要約:二つの証拠レーン
セッション監査は、どの鍵/ユーザーが、どの送信元IPから、いつ認証に成功または失敗したか、失敗が短時間に集中していないか、といった接続と身元の物語を示します。根拠はsshd/sftp-serverがOSログ基盤に残すイベントです。macOSでは単一の平文/var/log/auth.log前提が通用せず、Unified Loggingの問い合わせと(任意の)転送設計が前提になります。
バイト検証は、公開ディレクトリ上のファイルがCI生成物と一致するかを示します。整合性ガイドのSHA256マニフェストとゲートが該当します。ログが無くてもハッシュが合えばバイトは説明できますが、コンプライアンスやインシデント再構成では両レーンが求められることが多いです。
本稿は法務の保存期間決定を置き換えません。再現可能な取得テンプレート、変更窓、優先度付けをエンジニアがセキュリティとSREに渡せる形にします。規制対応ではlog show引数・時間窓・macOSビルド番号を添え、スクリーンショットのみに頼らない運用が望ましいです。predicateはリポジトリで共有し、マイナーアップ後にスモーク照会を回してください。
よくある詰まり
1 FinderだけではSFTP専用ログが見えない。log showや統制されたlog streamへ移行し、sshdプロセスとメッセージ形に合わせたpredicateテンプレートを固定化します(OS小版本で微調整が要る場合あり)。
2 sftp-serverへ安易にDEBUG。Subsystem行の変更でサービスが不安定になる報告があります。ステージング/メンテ窓で検証し、コメントアウトで即戻せる手順を用意します。
3 keepalive切断を侵入と誤認。先に同時SFTPと中間装置のアイドル方針を確認してからセキュリティチケットを切ります。
4 マルチテナント境界が無いと監査が空転。chrootとSFTP専用アカウントを先に置くと、ログのユーザー名とパスに業務意味が乗ります。
5 CI鍵ローテの変更記録が無い。OIDCや短命鍵とアップロードアカウントの対応を変更票に残し、CI資格情報を参照します。対話ユーザーと無人ジョブを同一アカウントに混在させると統計が歪みます。
6 ディスク圧迫。24時間入口ではログローテとSFTPを同優先度で設計しないと調査不能な夜が再来します。
判断マトリクス:深さ × 保持先 × 運用コスト
| 目的 | アプローチ | 利点 | 留意 |
|---|---|---|---|
| 随時トリアージ | 手動のlog show時間窓 | 変更リスクが低い | 長期アーカイブが無い |
| 監査パッケージ | ローカルローテファイル | エビデンス添付しやすい | 容量とマスキング作業 |
| SOC相関 | syslog/エージェント転送 | 多ソース結合 | セキュリティ審査とネットワーク |
| DIY削減 | マネージド入口ホスト | 部品点数削減 | ベンダ評価 |
先に何を証明するかを決めてから深さを選びます。SIEM選定ではAppleタイムスタンプと複数行sshdレコードを壊さないパーサかを確認してください。
手順スケルトン(How-to)
# 直近1時間のsshd関連(predicateはOSに合わせて調整)
log show --last 1h --style compact --predicate 'processImagePath CONTAINS "sshd"'
# 失敗に絞る例(キーワードは自環境で精緻化)
# log show --last 24h --predicate 'processImagePath CONTAINS "sshd" AND eventMessage CONTAINS "Failed"'
# 長期保持は手コピーではなくdaemon/SIEMエージェント+マスキング
# sshd_configのSubsystem sftp行を触る前:バックアップ、検証、ロールバック
# CIでSHA256マニフェスト生成→アップロード後にリモート検証(整合性ガイド)
# 照会した時間窓、predicate、(任意)サンプル行ハッシュをチケットに残す
コマンドは教育用の骨格です。本番は権限と社内ポリシーに従って実行してください。
チケットに書く観測項目
送信元IP、宛先ホスト名、アカウントまたはプリンシパル、認証方式の要約、UTCタイムスタンプ、成功/失敗理由、リリースのbuild_idとの紐付けを固定化します。保持期間は法務が決め、エンジニアは実装可能性とサンプリング率を提示します。
インシデント中は大量エクスポートの前後で空き容量をスナップショットし、復旧中にディスク枯渇を招かないようにします。四半期ごと、またはmacOS更新後にpredicateを見直し、メッセージ形の変化に追随します。チェックサム失敗と認証タイムラインを並べると、誤設定鍵と外部侵入仮説の切り分けが速くなります。
FAQ とホスト型リモートMac
統一ログはリアルタイムアラートに使える?
ストリームとルール設計が別途必要です。本稿は階層判断と手動再現ベースに焦点を当てます。
VPNログでsshdは代替?
両方が揃うと経路再構成が容易です。踏み台と内側sshdを分けて保存します。
ログにファイル内容は出る?
通常は出ません。コンテンツ級は業務側ハッシュとリリースゲートに寄せます。
まとめ:セッション証跡はUnified Loggingの規律、バイト証跡はチェックサムゲートで並走させます。アカウントとCI秘密を揃え、verbosity変更は慎重に。
限界:自前だとsshd・ログ・容量・コンプライアンスの同時運用が重いです。SFTPMACのホスト型リモートMacは暗号入口と運用知見を束ね、深夜のpredicate学習コストを下げます。
プランとリージョンを確認し、リモートMacの転送入口と配信方針を一本化。