詳細なセキュリティ監査に関する FAQ
IT 担当者向けのこのトピックでは、セキュリティ監査ポリシーの理解、展開、および管理に関してよく寄せられる質問への回答を掲載しています。
Windows セキュリティ監査とは何ですか。また、Windows セキュリティ監査を使用する必要があるのはなぜですか。
[ローカル ポリシー\監査ポリシー] にある監査ポリシーと、[監査ポリシーの詳細な構成] にある監査ポリシーの違いは何ですか。
基本の監査ポリシーの設定と監査ポリシーの詳細設定にはどのような関連がありますか。
監査設定をグループ ポリシーによって結合するにはどうすればよいですか。
オブジェクト DACL とオブジェクト SACL の違いは何ですか。
ユーザー単位ではなくコンピューター単位で監査ポリシーが適用されるのはなぜですか。
Windows のバージョン間での監査機能の違いは何ですか。
Windows Server 2003 または Windows 2000 Server を実行するドメイン コントローラーから詳細な監査ポリシーを使用することはできますか。
成功イベントと失敗イベントの違いは何ですか。失敗の監査を取得すると何か問題がありますか。
コンピューター上のすべてのオブジェクトに適用される監査ポリシーを設定するにはどうすればよいですか。
他のユーザーがリソースにアクセスした理由を特定するにはどうすればよいですか。
アクセス制御に対する変更を、いつ、だれが、どのように行ったかを確認するにはどうすればよいですか。
詳細な監査ポリシーから基本の監査ポリシーにセキュリティ監査ポリシーをロールバックするにはどうすればよいですか。
監査ポリシーの設定に対する変更を監視するにはどうすればよいですか。
生成されるイベントの数を最小限に抑えるにはどうすればよいですか。
監査ポリシーのモデル化と管理に最適なツールは何ですか。
受信可能なすべてのイベントに関する情報を確認できるリソースを教えてください。
さらに詳細な情報を確認できるリソースを教えてください。
Windows セキュリティ監査とは何ですか。また、Windows セキュリティ監査を使用する必要があるのはなぜですか。
セキュリティ監査とは、システムのセキュリティに影響を及ぼす可能性のあるアクティビティを体系的に調査して確認することです。Windows オペレーティング システムでのセキュリティ監査は、指定されたセキュリティ関連のアクティビティのイベントの記録と確認を管理者に許可する機能およびサービスとして、より狭義に定義されます。
Windows オペレーティング システムおよびそこで実行されているアプリケーションでタスクが実行されると、何百ものイベントが発生します。これらのイベントを監視すると、管理者によるセキュリティ関連のアクティビティのトラブルシューティングと調査に役立つ情報が提供されます。
[ローカル ポリシー\監査ポリシー] にある監査ポリシーと、[監査ポリシーの詳細な構成] にある監査ポリシーの違いは何ですか。
[セキュリティの設定\ローカル ポリシー\監査ポリシー] にある基本のセキュリティ監査ポリシーの設定と、[セキュリティの設定\監査ポリシーの詳細な構成\システム監査ポリシー] にあるセキュリティ監査ポリシーの詳細設定は、重複しているように見えますが、実際には記録と適用の方法が異なります。ローカル セキュリティ ポリシー スナップイン (secpol.msc) を使用して、基本の監査ポリシーの設定をローカル コンピューターに適用すると、有効な監査ポリシーが編集されるため、基本的な監査ポリシーの設定に加えられた変更は、Auditpol.exe で構成されたとおりに表示されます。
この 2 つの場所にあるセキュリティ監査ポリシーの設定には、その他にもいくつかの違いがあります。
[セキュリティの設定\ローカル ポリシー\監査ポリシー] には 9 個の基本の監査ポリシーの設定があり、[監査ポリシーの詳細な構成] にはいくつかの設定があります。[セキュリティの設定\監査ポリシーの詳細な構成] にある設定は、[ローカル ポリシー\監査ポリシー] にある基本の 9 個の設定と同様の問題を処理しますが、管理者はこの設定を使用して監査対象にするイベントの数と種類を選択して絞り込むことができます。たとえば、基本の監査ポリシーに用意されているアカウント ログオン用の設定は 1 つだけですが、詳細な監査ポリシーには 4 つあります。単一の基本のアカウント ログオン設定を有効にすることは、4 つのすべての詳細なアカウント ログオン設定を使用することと同じです。これに対して、単一の監査ポリシーの詳細設定を使用すると、監査の対象としないアクティビティの監査イベントが生成されません。
また、基本の [アカウント ログオン イベントの監査] 設定の成功の監査を有効にすると、アカウント ログオン関連のすべての動作について、成功イベントのみ記録されます。これに対して、必要に応じて、1 つ目の詳細なアカウント ログオン設定に対して成功の監査を構成し、2 つ目の詳細なアカウント ログオン設定に対して失敗の監査を構成できます。3 つ目の詳細なアカウント ログオン設定に対しては、成功と失敗の監査を構成するか、または監査を行わないように構成することもできます。
[セキュリティの設定\ローカル ポリシー\監査ポリシー] にある基本の 9 個の設定は Windows 2000 で導入されたため、それ以降にリリースされたすべてのバージョンの Windows で使用できます。監査ポリシーの詳細設定は Windows Vista と Windows Server 2008 で導入されました。詳細設定を使用できるのは、Windows 7、Windows Server 2008 またはそれ以降を実行するコンピューターのみです。
基本の監査ポリシーの設定と監査ポリシーの詳細設定にはどのような関連がありますか。
基本の監査ポリシーの設定には、グループ ポリシーを使用して適用される監査ポリシーの詳細設定との互換性がありません。これは、グループ ポリシーを使用して監査ポリシーの詳細設定が適用されると、その監査ポリシーの詳細設定が適用される前に、現在のコンピューターの監査ポリシーの設定がクリアされるためです。グループ ポリシーを使用して監査ポリシーの詳細設定を適用した後は、その監査ポリシーの詳細設定を使用することにより、コンピューターのシステム監査ポリシーの設定のみを確実に行うことができます。
ローカル セキュリティ ポリシーで監査ポリシーの詳細設定を編集して適用すると、ローカルのグループ ポリシー オブジェクト (GPO) が変更されるため、他のドメイン GPO またはログオン スクリプトからのポリシーが存在する場合、ここで行われる変更は Auditpol.exe に正確に反映されない場合があります。どちらの種類のポリシーもドメイン GPO を使用して編集および適用できます。これらの設定は、競合するローカルの監査ポリシーよりも優先されます。ただし、基本の監査ポリシーは有効な監査ポリシーに記録されるため、変更が必要な場合は、基本の監査ポリシーを明示的に削除する必要があります。ローカルまたはドメインのグループ ポリシーの設定を使用して適用されたポリシーの変更は、新しいポリシーが適用されるとすぐに反映されます。
重要
グループ ポリシーとログオン スクリプトのどちらを使用して詳細な監査ポリシーを適用する場合でも、[ローカル ポリシー\監査ポリシー] にある基本の監査ポリシーの設定と [セキュリティの設定\監査ポリシーの詳細な構成] にある詳細設定の両方は使用しないでください。基本の監査ポリシーの設定と監査ポリシーの詳細設定の両方を使用すると、予期しない結果が生じる場合があります。
監査ポリシーの詳細な構成の設定またはログオン スクリプトを使用して詳細な監査ポリシーを適用する場合は、[ローカル ポリシー\セキュリティ オプション] にある [監査: 監査ポリシーのカテゴリ設定を上書きするよう、監査ポリシーのサブカテゴリ設定を強制する (Windows Vista 以降)] ポリシー設定を有効にしてください。これにより、基本的なセキュリティ監査が強制的に無視され、類似した設定どうしが競合しなくなります。
監査設定をグループ ポリシーによって結合するにはどうすればよいですか。
GPO で設定され、上位の Active Directory サイト、ドメイン、および OU にリンクされたポリシーのオプションは、既定では、下位のすべての OU によって継承されます。ただし、下位にリンクされている GPO を、継承されたポリシーよりも優先することができます。
たとえば、ドメイン GPO を使用して、組織全体の監査設定のグループを割り当て、特定の OU には定義済みの追加の設定のグループを割り当てることができます。そのために、下位の特定の OU に 2 つ目の GPO をリンクすることができます。したがって、OU レベルで適用されるログオン監査設定は、グループ ポリシー ループバック処理を適用するために特別な手順を実行していない限り、ドメイン レベルで適用される競合するログオン監査設定よりも優先されます。
グループ ポリシーの設定がどのように適用されるかを制御する規則は、監査ポリシーの設定のサブカテゴリ レベルに指定されます。つまり、下位で構成されたポリシー設定が存在しない場合は、さまざまな GPO で構成された監査ポリシーの設定が結合されます。次の表は、この動作を示しています。
| 監査のサブカテゴリ | OU GPO で構成された設定 (優先度: 高) | ドメイン GPO で構成された設定 (優先度: 低) | ターゲット コンピューターに適用されるポリシー |
|---|---|---|---|
詳細なファイル共有監査 |
成功 |
失敗 |
成功 |
プロセス作成監査 |
無効 |
成功 |
無効 |
ログオン監査 |
成功 |
失敗 |
失敗 |
オブジェクト DACL とオブジェクト SACL の違いは何ですか。
Active Directory ドメイン サービス (AD DS) のすべてのオブジェクト、およびローカル コンピューターまたはネットワーク上のセキュリティが設定可能なすべてのオブジェクトには、そのオブジェクトへのアクセスの制御に役立つセキュリティ記述子があります。セキュリティ記述子には、オブジェクトの所有者、オブジェクトへのアクセスが可能なユーザーとその方法、および監査対象のアクセスの種類に関する情報が含まれています。また、セキュリティ記述子には、そのオブジェクトに適用するすべてのセキュリティ アクセス許可を含むオブジェクトのアクセス制御リスト (ACL) が含まれています。オブジェクトのセキュリティ記述子には、次に示す 2 種類の ACL を含めることができます。
アクセスが許可または拒否されるユーザーとグループを識別する随意アクセス制御リスト (DACL)
アクセスがどのように監査されるかを制御するシステム アクセス制御リスト (SACL)
Windows で使用されるアクセス制御モデルは、オブジェクトへのさまざまなレベルのアクセス (アクセス許可) を設定することにより、オブジェクト レベルで管理されます。オブジェクトのアクセス許可が構成される場合、オブジェクトのセキュリティ記述子には、アクセスが許可または拒否されるユーザーおよびグループのセキュリティ識別子 (SID) を含む DACL が格納されます。
オブジェクトの監査が構成される場合、オブジェクトのセキュリティ記述子には、セキュリティ サブシステムの監査におけるオブジェクトへのアクセスの試行方法を制御する SACL も格納されます。ただし、オブジェクトの SACL が構成されておらず、対応する [オブジェクト アクセス] 監査ポリシーの設定が構成および適用されていなければ、監査が完全に構成されるわけではありません。
ユーザー単位ではなくコンピューター単位で監査ポリシーが適用されるのはなぜですか。
Windows セキュリティ監査では、コンピューター、コンピューター上のオブジェクト、および関連するリソースがクライアント (アプリケーション、他のコンピューター、ユーザーなど) によるアクションを主に受け取ります。悪意のあるユーザーは代替の資格情報を使用して身元を隠し、悪意のあるアプリケーションは正規のユーザーを偽装して、望ましくない処理を実行する可能性があります。そのため、監査ポリシーを適用する際に最も一貫性のある方法は、コンピューターおよびそのコンピューター上のオブジェクトとリソースを対象にすることです。
また、コンピューターで実行されている Windows のバージョンによって監査ポリシー機能が異なる可能性があるため、監査ポリシーが正しく適用されるようにするには、ユーザー単位ではなくコンピューター単位で設定を行う方法が最適です。
ただし、指定されたユーザー グループにのみ監査設定を適用する場合は、指定のユーザーだけが含まれるセキュリティ グループに対して監査が有効になるように、関連するオブジェクトで SACL を構成します。たとえば、"給与データ" というフォルダーで SACL を構成し、"給与処理 OU" のメンバーが "アカウンティング サーバー 1" のこのフォルダーからオブジェクトを削除しようとしたときに監査を有効にすることができます。[オブジェクト アクセス\ファイル システムの監査] 監査ポリシーの設定はすべての "アカウンティング サーバー 1" に適用されますが、その場合、対応するリソースの SACL が必要であるため、監査イベントが生成されるのは、"給与データ" フォルダーに対する "給与処理 OU" のメンバーによるアクションについてのみです。
Windows のバージョン間での監査機能の違いは何ですか。
基本の監査ポリシーの設定は、Windows 2000 以降のすべてのバージョンの Windows で使用できます。この設定は、ローカルで、またはグループ ポリシーを使用して適用できます。監査ポリシーの詳細設定は Windows Vista と Windows Server 2008 で導入されましたが、この設定を適用できるのはログオン スクリプトを使用する場合のみです。Windows 7 および Windows Server 2008 R2 では、ローカルおよびドメインのグループ ポリシーの設定が導入されました。これを使用して、監査ポリシーの詳細設定を構成および適用できます。
Windows Server 2003 または Windows 2000 Server を実行するドメイン コントローラーから詳細な監査ポリシーを使用することはできますか。
監査ポリシーの詳細設定を使用するには、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、または Windows Server 2003 Service Pack 2 (SP2) を実行するコンピューターにドメイン コントローラーをインストールする必要があります。Windows 2000 Server はサポートされていません。
成功イベントと失敗イベントの違いは何ですか。失敗の監査を取得すると何か問題がありますか。
成功の監査イベントは、定義済みのアクション (ファイル共有へのアクセスなど) が正常に完了したときにトリガーされます。
失敗の監査イベントは、定義済みのアクション (ユーザー ログオンなど) が正常に完了しなかったときにトリガーされます。
イベント ログに失敗の監査イベントが記録されても、システムで問題が発生しているとは限りません。たとえば、ログオン イベントの監査を構成した場合の失敗イベントは、単にユーザーがパスワードの入力を間違えたことを意味する場合があります。
コンピューター上のすべてのオブジェクトに適用される監査ポリシーを設定するにはどうすればよいですか。
システムのすべてのオブジェクトに監査ポリシーが適用されていることをシステムの管理者と監査者が確認しなければならない機会が増えています。監査を制御するシステム アクセス制御リスト (SACL) はオブジェクト単位で適用されているため、この作業は困難でした。したがって、監査ポリシーがすべてのオブジェクトに適用されていることを確認するには、単一の SACL に対して (一時的にでも) 変更が行われていないことをオブジェクトごとにチェックする必要がありました。
Windows Server 2008 R2 および Windows 7 では、管理者はコンピューター上のファイル システム全体またはレジストリのどちらについても、コンピューター全体にわたるグローバル オブジェクト アクセスの監査ポリシーを定義できます。指定した SACL は、その種類に属する個々のすべてのオブジェクトに自動的に適用されます。このため、コンピューター上の重要なファイル、フォルダー、およびレジストリ設定がすべて保護されていることを検証する場合に役立つだけでなく、システム リソースに関する問題がいつ発生したのかを特定する場合にも役立ちます。ファイルまたはフォルダーの SACL とグローバル オブジェクト アクセスの監査ポリシーの両方 (または単一のレジストリ設定の SACL とグローバル オブジェクト アクセスの監査ポリシー) をコンピューターで構成した場合、ファイルまたはフォルダーの SACL とグローバル オブジェクト アクセスの監査ポリシーを合わせたものが有効な SACL となります。つまり、アクティビティがファイルまたはフォルダーの SACL またはグローバル オブジェクト アクセス監査ポリシーのいずれかに一致した場合に、監査イベントが生成されます。
他のユーザーがリソースにアクセスした理由を特定するにはどうすればよいですか。
多くの場合、ファイルやフォルダーなどのオブジェクトへのアクセスがあったことを単に把握するだけでは不十分です。場合によっては、ユーザーがなぜこのリソースにアクセスできたかを確認することが必要です。[ファイル システムの監査] または [レジストリの監査] の監査設定と共に [ハンドル操作の監査] 設定を構成することにより、この法的証拠となるデータを取得できます。
アクセス制御に対する変更を、いつ、だれが、どのように行ったかを確認するにはどうすればよいですか。
Windows Server 2016 Technical Preview、Windows Server 2012 R2、Windows Server 2012、Windows 7、Windows Server 2008 R2、Windows Vista、または Windows Server 2008 を実行するコンピューターでアクセス制御に対する変更を追跡するには、次の設定を有効にして、DACL に対する変更を追跡する必要があります。
[ファイル システムの監査] サブカテゴリ: 成功、失敗、または成功と失敗に対して有効化します。
[承認ポリシーの変更の監査] 設定: 成功、失敗、または成功と失敗に対して有効化します。
監視するオブジェクトに適用される [書き込み] と [所有権] の取得のアクセス許可を含む SACL。
Windows XP と Windows Server 2003 では、[ポリシーの変更の監査] サブカテゴリを使用する必要があります。
詳細な監査ポリシーから基本の監査ポリシーにセキュリティ監査ポリシーをロールバックするにはどうすればよいですか。
監査ポリシーの詳細設定を適用すると、同等の基本のセキュリティ監査ポリシーの設定は監査ポリシーの詳細設定に置き換えられます。その後で監査ポリシーの詳細設定を [未構成] に変更したときに、次の手順を実行して、元の基本のセキュリティ監査ポリシーの設定を復元する必要があります。
[詳細な監査ポリシー] サブカテゴリをすべて [未構成] に設定します。
ドメイン コントローラーの %SYSVOL% フォルダーから audit.csv ファイルをすべて削除します。
基本の監査ポリシーの設定を再構成して適用します。
これらの手順をすべて完了しない限り、基本の監査ポリシーの設定は復元されません。
監査ポリシーの設定に対する変更を監視するにはどうすればよいですか。
セキュリティ監査ポリシーに対する変更は重要なセキュリティ イベントです。[監査ポリシーの変更の監査] 設定を使用すると、以下の種類のアクティビティが発生したときにオペレーティング システムで監査イベントが生成されるかどうかを確認できます。
監査ポリシー オブジェクトでアクセス許可と監査設定が変更されたとき。
システムの監査ポリシーが変更されたとき。
セキュリティ イベント ソースが登録または登録解除されたとき。
ユーザー別の監査設定が変更されたとき。
CrashOnAuditFail の値が変更されたとき。
ファイルまたはレジストリ キーで監査設定が変更されたとき。
特殊グループの一覧が変更されたとき。
生成されるイベントの数を最小限に抑えるにはどうすればよいですか。
監査対象とするネットワークとコンピューターのアクティビティの範囲について適切なバランスをとることは困難な場合があります。このバランスをとるには、最も重要なリソース、重要なアクティビティ、およびユーザーまたはユーザー グループを特定し、それらを対象としたセキュリティ監査ポリシーを作成します。有効なセキュリティ監査戦略を決定する際に役立つガイドラインと推奨事項については、詳細なセキュリティ監査ポリシーの計画と展開を参照してください。
監査ポリシーのモデル化と管理に最適なツールは何ですか。
Windows 7 および Windows Server 2008 R2 で導入された、監査ポリシーの詳細設定とドメインのグループ ポリシーとの統合は、組織のネットワークのセキュリティ監査ポリシーの管理と実装を簡略化するように設計されています。そのため、ドメインのグループ ポリシーの計画と展開に使用されるツールは、セキュリティ監査ポリシーの計画と展開にも使用できます。
各コンピューターでは、Auditpol コマンド ライン ツールを使用して、監査ポリシーに関連する多数の重要な管理タスクを実行することができます。
また、イベント データの収集とフィルター処理に使用できる、Microsoft System Center Operations Manager の監査コレクション サービスなどのコンピューター管理製品もあります。
受信可能なすべてのイベントに関する情報を確認できるリソースを教えてください。
初めてセキュリティ イベント ログを使用する場合は、格納される監査イベントの数 (すぐに数千に達する可能性があります) および各監査イベントに関して構造化された情報に圧倒されるかもしれません。これらのイベントおよびイベントの生成に使用される設定に関する追加情報は、次のリソースから入手できます。
さらに詳細な情報を確認できるリソースを教えてください。
セキュリティ監査ポリシーの詳細については、次のリソースを参照してください。