脅威とその対策

脅威とその対策

最終更新日: 2006年8月14日

ダウンロード

『脅威とその対策ガイド』をダウンロードします。

ユーザーが指定された操作を実行すると、監査ログに 1 つのエントリが必ず記録されます。たとえば、ファイルまたはポリシーを変更すると、実行された操作、関連するユーザー アカウント、および操作の日付と時刻を示すエントリが監査ログに記録されます。成功した操作と失敗した操作の両方を監査できます。

コンピュータ上のオペレーティング システムとアプリケーションの状態は絶えず変化しています。たとえば、管理上の問題またはネットワークの問題をすぐに解決できるようにセキュリティ レベルを一時的に変更する場合があります。しかし、このような変更を行ったことは忘れられてしまうことが多く、元の状態に戻されることはありません。セキュリティ レベルが正しくリセットされないと、コンピュータが企業のセキュリティの要件を満たさなくなる場合があります。

管理者は、企業のリスク管理プログラムの一環として定期的なセキュリティ分析を行うことにより、各コンピュータに適切なセキュリティ対策が実施されていることを確認することができます。このような分析は、コンピュータのセキュリティに関するあらゆる面についての非常に特殊な情報に重点を置いており、管理者はこの情報を利用してセキュリティ レベルを調整できます。さらに重要なことに、この情報はコンピュータで時間の経過とともに発生する可能性のあるセキュリティ上の欠陥を見つけるのに役立ちます。

セキュリティの監査は、エンタープライズ ネットワークにとってはたいへん重要です。監査ログからは、セキュリティ違反が発生したことしかわからないからです。違反が他の何らかの方法で発見されると、適切な監査設定により、その違反に関する重要な情報が記録された監査ログが生成されます。

たいていの場合、失敗のログは成功のログよりも情報量がかなり多くなります。通常、失敗とは、エラーの発生を意味するからです。たとえば、ユーザーがコンピュータへのログオンに成功すると、正常とみなされます。しかし、誰かがシステムへのログオンに何回も失敗した場合、攻撃者が他人のアカウントの資格情報を使用してコンピュータに不正侵入しようとした可能性も考えられます。イベント ログにはコンピュータに関するイベントが記録され、Microsoft® Windows® オペレーティング システムでは、アプリケーション、セキュリティ イベントおよびシステム イベントごとに別々のイベント ログがあります。セキュリティ ログには、監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、最大ログ サイズや各ログのアクセス権利など、アプリケーション イベント ログ、セキュリティ イベント ログ、システム イベント ログに関する属性、および保存設定や保存方法を定義します。このガイドには、既定の設定が記載された「Windows Default Security and Services Configuration」という Microsoft Excel ブックが付属しています。

監査プロセスを実装する前に、組織でデータを収集、整理、および分析する方法を指定する必要があります。データを利用する基本計画がなければ、大量の監査データもほとんど意味がありません。また、監査設定がコンピュータのパフォーマンスに影響を与える場合があります。設定の組み合わせによっては、エンドユーザーのコンピュータにはごくわずかな影響しか与えないのに、ビジー状態にあるサーバーにはきわめて重大な影響を与える場合があります。このため、新しい監査設定を運用環境に導入する前にパフォーマンス テストをいくつか実施してください。

[監査ポリシー] 設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。

コンピュータの構成\Windows の設定\セキュリティの設定\ローカル ポリシー \監査ポリシー

トピック

監査の設定 監査の例:ユーザー ログオン イベントの結果 関連情報

監査の設定

すべての監査の設定の脆弱性、対策、考えられる影響は共通です。したがって、これらの用語については一度にまとめて説明します。その後、各設定について簡単に説明します。

監査の設定のオプションは、以下のとおりです。

  • 成功。要求された操作が成功すると、監査エントリが生成されます。

  • 失敗。要求された操作が失敗すると、監査エントリが生成されます。

  • 監査しない。関連操作について、監査エントリは生成されません。

脆弱性

監査設定が構成されていない場合、セキュリティ インシデントが発生した際にその詳細を知ることが困難になるか、不可能になります。しかし、多数の許可されたアクティビティがイベントを生成するように監査設定を構成すると、セキュリティ イベント ログは無駄なデータでいっぱいになってしまいます。また、大量のオブジェクトに対して監査設定を構成すると、コンピュータの全体的なパフォーマンスに影響を与える可能性があります。

対策

組織内のすべてのコンピュータについて、適切な監査ポリシーを適用し、正規ユーザーが自分が行う操作に対して責任を持てるように、また不正アクティビティを検出および追跡できるようにしておく必要があります。

考えられる影響

監査設定が構成されていなかったり、組織内のコンピュータに対して設定された監査のレベルが低すぎる場合、セキュリティ インシデントの発生後にネットワーク フォレンシック分析に利用できる証拠が不十分になります。しかし、監査設定が厳しすぎる場合、セキュリティ ログの重要なエントリが多数の無意味なエントリにまぎれてわかりにくくなり、またコンピュータのパフォーマンスが大きな影響を受ける場合があります。特定の規制産業で業務を遂行する企業では、一部のイベントやアクティビティをログに記録することを法的に義務づけられている場合があります。

アカウント ログオン イベントの監査

このポリシー設定では、アカウントのイベントを記録し、妥当性を検査するコンピュータとは別のコンピュータにユーザーがログオンするイベント、および、そのコンピュータからユーザーがログオフするイベントを監査するかどうかを決定します。このポリシー設定を構成している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、アカウント ログオンが成功すると監査エントリが生成されます。これは問題の原因を究明したり、問題発生後のフォレンシックに役立つ情報であり、この情報を用いて、誰がどのコンピュータへのログオンに成功したかを確認できます。失敗監査では、アカウント ログオンが失敗したときに監査エントリが生成されます。これは侵入の検出に役立ちます。しかし、このポリシー設定では、サービス拒否 (DoS) 攻撃を受ける可能性があります。[監査: セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定が有効の場合、攻撃者が何回もログオンの失敗を繰り返し、セキュリティ イベント ログをいっぱいにして、コンピュータを強制的にシャットダウンさせます。

ドメイン コントローラ上で [アカウント ログオン イベントの監査] を [成功] に設定している場合、そのドメイン コントローラにより正当であることが確認された各ユーザーのエントリがログに作成されます。ログは、ユーザーがそのドメインに参加しているワークステーションまたはサーバーに実際にログオンしていても作成されます。

アカウント管理の監査

このポリシー設定では、コンピュータ上で発生するアカウント管理イベントを監査するかどうかを決定します。アカウント管理イベントの例を以下に示します。

  • ユーザー アカウントまたはグループの作成、変更、削除

  • ユーザー アカウントの名前変更、無効化、有効化

  • パスワードの設定または変更

[アカウント管理の監査] 設定を構成している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、アカウント管理イベントが成功したときに監査エントリが生成されます。成功監査は、企業内のすべてのコンピュータで有効になっている必要があります。組織でセキュリティの問題に対処するときに、誰がアカウントを作成、変更、または削除したかを追跡できることが非常に重要です。失敗監査では、アカウント管理イベントが失敗したときに監査エントリが生成されます。

ディレクトリ サービスのアクセスの監査

このポリシー設定では、関連するシステム アクセス制御リスト (SACL) を持つ Active Directory® ディレクトリ サービス オブジェクトへのユーザー アクセスを監査するかどうかを設定します。SACL は、Microsoft Windows ベースのネットワークでオブジェクトに対する操作が監査されるユーザーおよびグループのリストです。

[ディレクトリ サービスのアクセスの監査] 設定を構成している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、要求された操作でユーザーを監査する必要があることを示す SACL を持つ Active Directory オブジェクトへのアクセスに成功したときに監査エントリが生成されます。失敗監査では、ユーザーが監査を要求する SACL を持つ Active Directory オブジェクトへのアクセスに失敗したときに監査エントリが生成されます(どちらのタイプの監査エントリも、ユーザーに要求が成功したか失敗したかが通知される前に作成されます)。このポリシー設定を有効にし、ディレクトリ オブジェクトに対して SACL を構成すると、ドメイン コントローラ上のセキュリティ ログに大量のエントリが作成されることがあります。作成される情報を実際に使用する場合のみ、これらの設定を有効にしてください。

:Active Directory オブジェクトの [プロパティ] ダイアログ ボックスの [セキュリティ] タブを使用して、そのオブジェクトに対する SACL を設定できます。この方法は、[オブジェクト アクセスの監査] と似ていますが、Active Directory オブジェクトにのみ適用され、ファイル システムおよびレジストリ オブジェクトには適用されません。

ログオン イベントの監査

このポリシー設定では、監査イベントを記録するコンピュータにユーザーがログオンするイベント、および、そのコンピュータからユーザーがログオフするイベントまたはそのコンピュータへのネットワーク接続を監査するかどうかを決定します。ドメイン コントローラ上での成功したアカウント ログオン監査イベントを記録している場合、ワークステーションにログオンしてもログオン監査イベントは生成されません。ドメイン コントローラ自体への対話型ネットワーク ログオンでのみ、ドメイン コントローラ上にログオン イベントが生成されます。つまり、アカウント ログオン イベントは、アカウントが有効な間に生成され、ログオン イベントはログオンが試行される場合に生成されます。

[ログオン イベントの監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、ログオンが成功すると監査エントリが生成されます。これは問題の原因を究明したり、問題発生後のフォレンシックに役立つ情報であり、この情報を用いて、誰がどのコンピュータへのログオンに成功したかを確認できます。失敗監査では、ログオンが失敗したときに監査エントリが生成されます。これは侵入の検出に役立ちます。しかし、この構成では、攻撃者が何回もログオンの失敗を繰り返し、セキュリティ イベント ログをいっぱいにして、サービス拒否 (DoS) の状態に陥らせる可能性もあります。

オブジェクト アクセスの監査

このポリシー設定では、監査を要件を指定する SACL を持つオブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) にアクセスするユーザーのイベントを監査するかどうかを決定します。

[オブジェクト アクセスの監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、ユーザーが SACL を持つオブジェクトへのアクセスに成功したときに監査エントリが生成されます。失敗監査では、ユーザーが SACL を持つオブジェクトへのアクセスに失敗したときに監査エントリが生成されます (通常のコンピュータ動作時にも、いくつかの失敗イベントが予想されます)。たとえば、多くのアプリケーション (Microsoft Word など) は、常に読み書き可能な状態でファイルを開こうとします。それが不可能な場合は、読み取り専用でファイルを開こうとします。失敗監査とそのファイルに対する適切な SACL が有効になっていれば、このようなイベントが発生した場合に失敗イベントが記録されます。

Microsoft Windows Server™ 2003 Service Pack 1 (SP1) では、IIS (Internet Information Server) メタベースに格納されているオブジェクトへのアクセスを監査できます。メタベース オブジェクトの監査を有効にするには、ターゲットのコンピュータで [オブジェクト アクセスの監査] を有効にし、アクセスを監査する特定のメタベース オブジェクトに SACL を設定する必要があります。

[オブジェクト アクセスの監査] ポリシー設定を定義し、オブジェクトに対して SACL を構成すると、組織内のコンピュータ上のセキュリティ ログに大量のエントリが作成されることがあります。このため、ログに記録される情報を実際に使用する場合のみ、これらの設定を有効にしてください。

:Windows Server 2003 では、ファイル、フォルダ、プリンタ、またはレジストリ キーなどのオブジェクトの監査機能を有効にするには、2 段階の操作を実行する必要があります。監査オブジェクト アクセス ポリシーを有効にした後、アクセスを監視するオブジェクトを決定し、それに応じて SACL を変更しなければなりません。たとえば、ユーザーが特定のファイルを開くのを監査する場合、Windows Explorer またはグループ ポリシーを使用し、その特定のイベントを監視するファイル上で直接、[成功] または [失敗] の監査属性を設定できます。

ポリシーの変更の監査

このポリシー設定では、ユーザー権利の割り当てポリシー、Windows のファイアウォール ポリシー、監査ポリシーまたは信頼ポリシーに対するあらゆる変更を監査するかどうかを設定します。

[ポリシーの変更の監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーの変更が成功したときに監査エントリが生成されます。この監査情報は、問題の原因を究明するのに便利で、また誰がどのドメインまたはコンピュータでポリシーを変更したかを確認するのに役立ちます。失敗監査では、ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーの変更が失敗したときに監査エントリが生成されます。

Windows XP SP2 および Windows Server 2003 SP1 で [ポリシーの変更の監査] 設定を有効にしている場合、Windows ファイアウォール コンポーネントの構成変更のログ記録も有効になっています。

特権使用の監査

このポリシー設定では、ユーザーによるユーザー権利の使用を監査するかどうかを設定します。

[特権使用の監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、ユーザー権利の使用が成功したときに監査エントリが生成されます。失敗監査では、ユーザー権利の使用が失敗したときに監査エントリが生成されます。このポリシー設定を有効にしている場合、生成されるイベントの量が非常に大量になり、イベントの並べ替えが困難になる場合があります。生成される情報の利用方法がきちんと決められている場合のみ、この設定を有効にしてください。

このポリシー設定で成功監査または失敗監査が指定されていても、以下のユーザー権利の使用に関する監査イベントは生成されません。

  • 横断チェックのバイパス

  • プログラムのデバッグ

  • トークン オブジェクトの作成

  • プロセス レベル トークンの置き換え

  • セキュリティ監査の生成

  • ファイルとディレクトリのバックアップ

  • ファイルとディレクトリの復元

プロセス追跡の監査

このポリシー設定では、プログラムのアクティブ化、プロセスの終了、ハンドルの複製、および間接的オブジェクト アクセスなどの、イベントに関する詳細な追跡情報を監査するかどうかを設定します。

[プロセス追跡の監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、追跡対象のプロセスが成功したときに監査エントリが生成されます。失敗監査では、追跡対象のプロセスが失敗したときに監査エントリが生成されます。

Windows XP SP2 および Windows Server 2003 SP1 で [プロセス追跡の監査] を有効にしている場合、Windows では Windows ファイアウォール コンポーネントの動作モードとステータスに関する情報もログに記録されます。

有効になっている場合、[プロセス追跡の監査] 設定では大量のイベントが生成されます。このポリシー設定は通常 [監査なし] に設定されています。しかし、このポリシー設定により生成される情報は、起動したプロセスおよびプロセス起動時の詳細なログを提供するため、インシデント対応時に非常に役に立ちます。

システム イベントの監査

このポリシー設定では、ユーザーがコンピュータを再起動またはシャットダウンしたとき、またはコンピュータ セキュリティまたはセキュリティ ログに影響するイベントが発生したときに監査するかどうかを設定します。

[システムイベントの監査] 設定を定義している場合、成功を監査するか、失敗を監査するか、またはこの種類のイベントをまったく監査しないかを指定できます。成功監査では、イベントの実行が成功したときに監査エントリが生成されます。失敗監査では、イベントの実行が失敗したときに監査エントリが生成されます。システム イベントの失敗監査と成功監査の両方を有効にすると、いくつかの追加イベントが記録されます。これらのイベントはすべて非常に重要であるため、組織内のすべてのコンピュータでこのポリシー設定を [有効] に設定してください。

ページのトップへ

監査の例:ユーザー ログオン イベントの結果

Windows で使用できるさまざまな監査設定に慣れたところで、特定の事例について考えてみましょう。監査は、エンタープライズの管理者が指定するような全体的な観点からではなく、個々のコンピュータに的を絞って行われます。イベントは個々のコンピュータについて記録されるため、何が起こったのかを突き止めるには、複数のコンピュータのセキュリティ ログを参照し、データの相関関係を調べる必要があります。

この章の残りの部分では、許可されているユーザーが自分のコンピュータにログオンし、ファイル サーバー上の共有フォルダのファイルにアクセスするときに、ドメイン コントローラ、ファイル サーバー、およびエンド ユーザーのコンピュータのイベント ログに書き込まれる中核イベントについて説明します。コア イベントのみについて説明しており、これらのアクティビティによって生成される他のイベントについてはわかりやすくするため省いてあります。ここで説明する事例に関連するアカウントとリソースの名前は、以下のとおりです。

  • ドメイン = DOM

  • ドメイン コントローラ = DC1

  • ファイル サーバー = FS1

  • エンド ユーザー コンピュータ = XP1

  • ユーザー = HFurui

  • FS1 上の共有フォルダ = Share

  • 共有フォルダ内のドキュメント = document.txt

ユーザーがコンピュータにログオンする場合

  • エンド ユーザーのコンピュータに記録されるイベント

    • イベント ID 528、コンピュータ XP1 のユーザー DOM\HFurui のユーザー ログオン/ログオフの成功監査
  • ドメイン コントローラに記録されるイベント

    • イベント ID 540、コンピュータ DC1 のユーザー DOM\HFurui のユーザー ログオン/ログオフの成功監査
  • ファイル サーバーに記録されるイベント

    • 該当しません。

ユーザーが Share という共有フォルダに接続する場合

  • エンド ユーザーのコンピュータに記録されるイベント

    • 該当しません。
  • ドメイン コントローラに記録されるイベント

    • イベント ID 673、サービス名 FS1$ に対するユーザー HFurui@DOM.com のアカウント ログオンの成功監査

    • イベント ID 673、サービス名 FS1$ に対するユーザー FS$@DOM.com のアカウント ログオンの成功監査

    • イベント ID 673、サービス名 FS1$ に対するユーザー XP1$@DOM.com のアカウント ログオンの成功監査

      :これらはすべて、Kerberos 認証プロトコル サービス チケット要求です。

  • ファイル サーバーに記録されるイベント

    • イベント ID 540、コンピュータ FS1 のユーザー DOM\HFurui のユーザー ログオン/ログオフの成功監査

    • イベント ID 560、アクセスの種類が READ_CONTROL、ReadData (または ListDirectory)、ReadEA、および ReadAttributes である C:\Share という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

    • イベント ID 560、アクセスの種類が READ_CONTROL、ReadData (または ListDirectory)、ReadEA、および ReadAttributes である C:\Share\document.txt という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

ユーザーがファイル document.txt を開く場合

  • エンド ユーザーのコンピュータに記録されるイベント

    • 該当しません。
  • ドメイン コントローラに記録されるイベント

    • 該当しません。
  • ファイル サーバーに記録されるイベント

    • イベント ID 560、アクセスの種類が READ_CONTROL、ReadData (または ListDirectory)、WriteDate (または AddFile)、AppendDate (または AddSubdirectory または CreatePipeInstance)、ReadEA、WriteEA、ReadAttributes、および WriteAttributes である C:\Share\document.txt という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

    • イベント ID 560、アクセスの種類が ReadAttributes である C:\Share\document.txt という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

    • イベント ID 560、アクセスの種類が ReadAttributes である C:\Share という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

ユーザーがファイル document.txt を保存する場合

  • エンド ユーザーのコンピュータに記録されるイベント

    • 該当しません。
  • ドメイン コントローラに記録されるイベント

    • 該当しません。
  • ファイル サーバーに記録されるイベント

    • イベント ID 560、アクセスの種類が SYNCHRONIZE、ReadData (または ListDirectory)、WriteDate (または AddFile)、AppendDate (または AddSubdirectory または CreatePipeInstance)、ReadEA、WriteEA、ReadAttributes、および WriteAttributes である C:\Share\document.txt という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

    • イベント ID 560、アクセスの種類が READ_CONTROL、SYNCHRONIZE、および ReadData (または ListDirectory) である C:\Share\document.txt という名前のオブジェクトへのユーザー DOM\HFurui のオブジェクト アクセスの成功監査

この例で示しているのは一連の複雑なイベントのように見えますが、大幅に簡素化してあります。上記の手順では、実際にはドメイン コントローラおよびファイル サーバー上に数十ものログオン、ログオフ、および特権使用イベントが生成されます。また、ユーザーがファイルを開いたときに、多数のオブジェクト アクセス イベントが生成され、ユーザーがそのファイルを保存するたびに、さらに多数のイベントが生成されます。そのため、監査データを使用した作業は、Microsoft Operations Manager などの自動化ツールを使用しないと非常に困難になります。

ページのトップへ

関連情報

以下のリンクでは、Windows XP SP2 または Windows Server 2003 SP1 を実行するコンピュータの監査ポリシーに関する詳細情報を提供しています。

ページのトップへ

目次

ページのトップへ