アカウンティング (AAA の Accounting).

AAA モデル(認証・認可・アカウンティング)におけるアカウンティングは、検証済みの ID と各操作を結び付けるアクティビティ記録を取得・保存し、セキュリティ監視・フォレンジック調査・コンプライアンス・社内チャージバックの証跡を提供します。代表的なデータは、ログイン/ログアウト、セッション、実行コマンド、転送バイト数、利用リソースなどです。RADIUS・TACACS+・Diameter といったプロトコルは、ネットワーク機器が中央サーバーへ記録を送る方式を定義し、SIEM や監査ログ基盤がそれを集約します。改ざん耐性のあるストレージ、正確な時刻同期、規制に沿った保存期間が要件となります。

標準化されたアカウンティングは、現代のオブザーバビリティよりも前から存在します。RADIUS アカウンティング(RFC 2866)は、Acct-Status-Type が Start・Interim-Update・Stop のいずれかである Accounting-Request パケットを定義し、セッション時間や Acct-Input/Output-Octets を伝送します。TACACS+(RFC 8907)はアカウンティングを認証・認可から分離し、ルーター上のコマンド単位の監査を独立して記録できるようにします。Diameter(RFC 6733)はこのモデルをモバイル網および IMS 網向けに刷新したものです。クラウドでは、AWS CloudTrail、Azure Activity Log、Google Cloud Audit Logs といったサービスが同じ役割を担い、すべてのコントロールプレーン API 呼び出しを呼び出し元 ID・送信元 IP・タイムスタンプとともに記録します。

アカウンティングは否認防止の基盤となります。各記録が認証済みの ID に結び付いているため、ユーザーは自らの操作を信ぴょう性をもって否認できません。規制はこれを必須としており、PCI DSS Requirement 10 はカード会員データへのすべてのアクセスのログ記録を求め、NIST SP 800-92(Guide to Computer Security Log Management)は標準的な実装指針を示します。攻撃者は痕跡を消すために日常的にログを削除するため(MITRE ATT&CK T1070, Indicator Removal)、堅牢なアカウンティングでは記録をほぼリアルタイムでホスト外へ送出して WORM または追記専用ストレージに保存し、署名やハッシュチェーンで完全性を担保し、NTP で時刻を同期させて、インシデント対応時にシステム間のイベントを相関分析できるようにします。

flowchart LR
  U[ユーザー / デバイス] -->|操作| N[ネットワーク機器またはアプリ]
  N -->|Accounting-Request RADIUS / TACACS+| S[AAA サーバー]
  S --> L[(改ざん耐性のあるログストア)]
  L --> M[SIEM による相関分析]
  M --> R[監査 / 課金 / フォレンジック]