皆様こんにちは

今回は再びTMGのお話です。

ご存知の通り、TMGには Firewall , IPS , Anti-Virus , URL フィルタリング等、様々な機能が実装されているわけですが、多くご利用頂いているシナリオの一つに「監査ログ」があります。
以前のブログでもお伝えした通り、TMGにはURL フィルタリングの機能が実装されており、ビジネスに不必要なサイト等に対してアクセス制限をかけることで、「君子危うきに近寄らず」な構成を実現する事ができます。

更に、近年では、「誰がどこを閲覧しているのか？」を知りたい、ログにとっておきたいという要望が多くあり、TMGの監査ログ機能で実現する事ができます。
TMGの監査ログ機能では、TMGを介して行われる通信の送信元を Active Directory と連携する事で、ユーザー名で記録する事ができます。

また、監査ログでは、監査証跡としての信頼性が重要になります。
通常のプロキシやファイアウォールでは、送信元をＩＰアドレスでロギングする事はできますが、これだと、ＤＨＣＰ等により動的なアドレス配布を実施している環境に置いては、送信元を特定するための監査証跡としては信頼性に欠けると言えます。無線ＬＡＮを導入されている環境であれば、ＤＨＣＰによる動的なアドレス配布が多いため、該当する環境も多いのではないでしょうか。

また、静的な固定ＩＰアドレス環境であっても、管理者権限を持たせて運用しているような環境であれば、ＩＰアドレスは変更することができてしまいます。
このケースも監査証跡の信頼性に欠けると言えます。 監査証跡の信頼性を確保するには、「識別され、認証された」識別子を利用する事が大事ですが、TMG監査ログの機能を利用する事で、ユーザー名という「識別され、認証された」識別子をもってロギングする事が可能になるというわけです。

下記がＴＭＧで記録された通信ログですが、ドメイン名\ユーザー名の形式でしっかりと送信元ユーザー名が記録されています。更に、CONTOSO\junnoake が、カテゴリ「検索エンジン」のbingを閲覧している事がわかります。



また、監視を持って社員が不正を働く抑止力とする考え方が一般的に浸透しつつあります。ＴＭＧで取得した監査ログを毎月部長に提示する等、監視を告知する事で、より抑止力を向上する事ができ、ビジネスに対するリソースの集中化を図ると同時に、不正を抑止する効果が期待できます。 ネットワークの監査ログを検討されている方は是非一度お試し下さい。

皆さん、こんにちは、2週間ほど更新できておりませんでしたが、また再開させていただきます。今後ともよろしくお願いいたします。
涼しくなりましたね。あの夏の猛暑はどこに！？といった感じです。うちの犬は暑さに非常に弱く、夏の間は夜中に散歩させないといけない状態で、また散歩に出てもすぐにバテバテ状態になり、ウチに帰ると水をがぶ飲みしておりました。でも今は軽快（？）な足取りで散歩をしております。

さて今回は、以前に出版させていただきました「Active Directory ID 管理ガイド Forefront Identity Manager 2010で実装する ID統合ソリューション」（通称：青本）の環境構築時の注意事項を紹介させていただきます。

FIM 2010では、ID管理ポータルを利用する事で同期対象の属性のマッピングや属性データの加工処理はポータル上（GUI）で定義することができます。
そのため、ILM 2007では、管理エージェント（MA）で定義していた、属性のマッピングは不要となり、FIM 2010では、MAの種類、接続先、接続するユーザーID/パスワード、同期対象オブジェクトなど、最低限の定義のみすれば良くなっています。（設定が非常に簡単になりました。）
ID管理ポータルを利用するためには、コンポーネントのインストールは勿論ですが、ID管理ポータル用DBである FIM Service DBを構成していただき、さらにポータルと同期サービスを連携させるためにMAを定義していただく必要があります。
ID 管理ポータル用のMA（FIM Service Management Agent）は、通常のMAと同様にSynchronization Service Manager（ILM 2007の管理コンソールと同等の同期サービス用の管理コンソール）を利用してMAの定義を行いますが、他のMAとは異なり、属性のマッピングを行う必要があります。具体的には「Configure Attribute Flow」にて属性のマッピングの指定を行います。（詳細はFIM 青本 P65 3.3 「Synchronization Service Manager」による設定をご参照ください。）
前置きが長くなりましたが、このような設定を行う必要があるのですが、ここで注意事項がございます。
この「Configure Attribute Flow」で既定にて設定されている項目が、FIM 2010 RTM版とFIM 2010 Update1版では異なります。
FIM 2010 RTM版の「Configure Attribute Flow」画面では、同期対象オブジェクトであるUserおよびGroupに既定で設定されている属性は最低限の属性しか定義されていません。しかし、FIM 2010 Update1版では、同期対象オブジェクトのユーザーおよびグループに対して既定で「detectedRulesList」および「expectedRulesList」が定義されています。以下にFIM 2010 RTM版とFIM 2010 Update1版のそれぞれ既定の「Configure Attribute Flow」画面を示します。

 
●FIM 2010 RTM版「Configure Attribute Flow」画面

●FIM 2010 Update1版「Configure Attribute Flow」画面

 このRTM時では「detectedRulesList」および「expectedRulesList」は手動にて追加登録する必要がありましたが、Update1では既定でｌこれらの属性が追加されています。
この「detectedRulesList」および「expectedRulesList」は、FIM 2010でID管理ポータルで定義された同期規則を含めた管理ポリシーの情報が登録されプロビジョニン時に処理される機能を担っており、ID管理ポータルと密接な関係を持った属性です。簡単に表現すると、属性を追加しなかった場合、ID管理ポータル上で定義した管理ポリシーの処理が行われなくなります。

FIM 青本では、FIM 2010 Update1を前提に記載していますので、この設定作業の詳細は記載しておりません。RTM版ベースで環境を構築する場合は、「Configure Attribute Flow」画面で「detectedRulesList」および「expectedRulesList」を手動で追加する作業が発生しますのでご注意ください。（P86 8.［Configure Attribute Flow］画面の設定を参照）

今後も、FIM 2010関連の情報を提供させていただきますので、今後ともよろしくお願いいたします。