詳細なセキュリティ監査ポリシーの計画と展開
IT 担当者向けのこのトピックでは、セキュリティ ポリシーの計画者が考慮する必要があるオプションと、詳細なセキュリティ監査ポリシーを含めネットワークの有効なセキュリティ監査ポリシーを展開するために完了する必要があるタスクについて説明します。
組織は、セキュリティ アプリケーションや、マルウェア対策ソフトウェア、ファイアウォール、および暗号化などのサービスに情報テクノロジ予算の大部分を投資しています。しかし、どれだけセキュリティ用のハードウェアやソフトウェアを配備しても、どれだけ緊密にユーザーの権利をコントロールしても、あるいはどれだけ慎重にデータへのセキュリティ アクセス許可を構成しても、防御の有効性を追跡してそれらの裏をかく試みを特定するために明確に定義されたタイムリーな監査戦略がない限り、その仕事が完了したと考えるべきではありません。
適切なタイミングで明確に定義するためには、監査戦略で、組織の最も重要なリソース、重要な動作、およびリスクの可能性に関して役立つ追跡データを提供する必要があります。組織が増え続ける中で、IT 運用が企業とコンプライアンスの要件に準拠しているという確実な証拠を提供することも必要です。
残念ながら、ネットワーク上のすべてのリソースとアクティビティを監視するためにリソースを無制限に使える組織はありません。優れた計画がなければ、監査戦略に格差が生じてしまいます。ただし、すべてのリソースとアクティビティを監査しようとすれば、何千もの問題のない監査エントリを含めると (アナリストは、より綿密な調査を保証する幅の狭いエントリの設定を識別するために、これらをふるいにかける必要があります)、監視データがあまりにも多いことに気づくかもしれません。これは、遅延を生じたさせり、監査人による疑わしい動作の識別を妨げることさえあります。したがって、監視データが多すぎれば、組織の脆弱性は十分な監視ができていないのと変わりません。
次のような、重点的に取り組むために役立つ機能があります。
監査ポリシーの詳細設定。監査ポリシーの詳細設定をグループ ポリシーによって適用および管理できます。
"アクセス理由" の監査。特定のオブジェクト アクセスのセキュリティ イベントの生成に使用されたアクセス許可を指定および識別できます。
グローバル オブジェクト アクセスの監査。コンピューター全体のファイル システムまたはレジストリのシステム アクセス制御リスト (SACLs) を定義できます。
これらの機能を展開し、有効なセキュリティ監査戦略を計画するには、次を行う必要があります。
最も重要なリソースと、追跡する必要がある最も重要なアクティビティを識別します。
これらのアクティビティの追跡に使用できる監査設定を識別します。
利点と、それぞれに関連する潜在的なコストを評価します。
選択内容を検証するためにこれらの設定をテストします。
監査ポリシーを展開して管理するための計画を作成します。
このガイドについて
このドキュメントでは、Windows 監査機能を使用するセキュリティ監査ポリシーを計画するために必要な手順を説明します。このポリシーでは、次を含む重要なビジネス ニーズを識別し、対応する必要があります。
ネットワーク信頼性
規制要件
組織のデータと知的財産権の保護
従業員、契約者、パートナー、および顧客を含めたユーザー
クライアント コンピューターやアプリケーション
サーバー、およびこれらのサーバーで実行されているアプリケーションとサービス
監査ポリシーは、次のものを含め、ログに記録された後の監査データを管理するためのプロセスも識別する必要があります。
監査データの収集、評価、および確認
監査データの保存と (必要な場合) 破棄
組織のビジネス要件に基づいてソリューションを慎重に計画、設計、テスト、展開することで、組織が必要とする標準化された機能、セキュリティ、および管理制御を提供できます。
セキュリティ監査ポリシーの設計プロセスを理解する
Windows セキュリティ監査ポリシーの設計と展開のプロセスには、このドキュメント全体にわたって非常に詳しく説明されている次のタスクが含まれます。
Windows セキュリティ監査ポリシーの展開の目標を特定する
このセクションでは、Windows セキュリティ監査ポリシーの指針となるビジネスの目的を定義します。また、セキュリティ監査の焦点になるリソース、ユーザー、およびコンピューターを定義するためにも役立ちます。
組織内のユーザー、コンピューター、およびリソースのグループへのセキュリティ監査ポリシーのマッピング
このセクションでは、セキュリティ監査ポリシーの設定を、別のユーザー、コンピューターおよびリソースのグループのドメイン グループ ポリシーの設定と統合する方法について説明します。さらに、Windows クライアントおよびサーバーのオペレーティング システムの複数のバージョンが含まれている場合には、基本の監査ポリシーの設定、および詳細なセキュリティ監査ポリシーの設定をいつ使用するかについても説明します。
セキュリティ監査の目標をセキュリティ監査ポリシーの構成にマッピングする
このセクションでは、利用できる Windows セキュリティ監査設定のカテゴリについて説明します。また、監査シナリオを扱うための特定の値になりうる個別の Windows セキュリティ監査ポリシーの設定も識別します。
セキュリティ監査の監視と管理の計画
このセクションでは、Windows 監査データを収集、分析、および格納するための計画に役立ちます。監査対象とするコンピューターの数やアクティビティの種類によっては、Windows イベント ログが短時間でいっぱいになることがあります。さらに、このセクションでは、監査人がサーバーやデスクトップ コンピューターからのイベント データにアクセスして集計する方法を説明します。また、格納する監査データの量や、どのように格納する必要があるかを含め、ストレージの要件に対処する方法についても説明します。
セキュリティ監査ポリシーを展開する
このセクションでは、Windows セキュリティ監査ポリシーの効率的な展開のための推奨事項とガイドラインを示します。テスト ラボ環境での Windows 監査ポリシー設定の構成と展開は、選択した設定によって必要な監査データの種類が生成されることを確認するのに役立ちます。ただし、ドメインと組織単位 (OU) の構造に基づいてパイロットや段階的な展開が慎重にステージングされた場合に限り、生成する監査データが監視可能であり、組織の監査のニーズを満たしていることを確認できます。
Windows セキュリティ監査ポリシーの展開の目標を特定する
セキュリティ監査ポリシーは、組織の全体的なセキュリティの設計とフレームワークの重要な統合された部分としてサポートする必要があります。
すべての組織には、データとネットワーク資産 (顧客の財務データや企業秘密など)、物理的リソース (デスクトップ コンピューター、ポータブル コンピューター、サーバーなど)、ユーザー (これにはファイナンスやマーケティングなどのさまざまな内部グループ、およびパートナー、顧客、web サイト上の匿名ユーザーなどの外部グループが含まれる場合があります) の固有のセットがあります。監査のコストは、これらのアセット、リソース、およびユーザーのすべてに対して均等には割り付けません。お客様のタスクは、どの資産、リソース、およびユーザーが、セキュリティ監査の焦点に最も強力な正当性を与えるかを識別することです。
Windows セキュリティ監査計画を作成するには、次を識別することから開始します。
ドメイン、OU、およびセキュリティ グループを含む全体的なネットワーク環境。
ネットワーク上のリソース、それらのリソースのユーザー、およびそれらのリソースの使用方法。
規制要件。
ネットワーク環境
組織のドメインと OU の構造は、多くの場合、選択した監査設定の適用に使うことができるグループ ポリシー オブジェクト (GPOs) の基盤とリソースやアクティビティの論理グループを与えるので、セキュリティ監査ポリシーを適用する方法について検討するための基本的な開始点となります。ドメインと OU 構造の特定の部分は、監査に必要な時間とリソースを均等に割り付けるユーザー、リソース、およびアクティビティの論理グループも既に提供しています。セキュリティ監査ポリシーをドメインおよび OU の構造に統合する方法については、このドキュメントで後述する「組織内のユーザー、コンピューター、およびリソースのグループへのセキュリティ監査ポリシーのマッピング」をご覧ください。
ドメイン モデルに加えて、組織が体系的な脅威モデルを作成し、維持するかどうかも確認する必要があります。優れた脅威モデルは、インフラストラクチャ内の主要なコンポーネントへの脅威の識別に役立ちます。これにより、それらの脅威を識別して対抗する組織の能力を強化する監査設定を定義し、適用することができます。
重要
組織のセキュリティの計画に監査を含めることによって、監査が最もプラスの結果を達成できる分野のリソースについて予算をたてることもできるようになります。
これらの各手順を完了する方法と詳細な脅威モデルの準備をする方法について、さらに詳しくは、「IT インフラストラクチャ脅威モデリング ガイド」をダウンロードします。
データとリソース
データとリソースの監査のために、Windows 監査が提供可能なより綿密な監視によってメリットを受けられる、最も重要なデータとリソースの種類 (患者記録、アカウンティング データ、またはマーケティング プランなど) を識別する必要があります。これらのデータ リソースの一部は、Microsoft SQL Server や Exchange Server などの製品の監査機能を使用して既に監視されている可能性があります。その場合、Windows 監査機能によって既存の監査戦略を強化する方法を検討したいとお考えかもしれません。上で説明したドメインと OU の構造のように、セキュリティ監査は最も重要なリソースに着目する必要があります。管理できる監査データの量も検討する必要があります。
これらのリソースがビジネスへの高い、中程度、または低い影響を持つかどうか、これらのデータ リソースが承認されていないユーザーによってアクセスされた場合に組織にかかるコスト、およびこのアクセスが組織に与えるリスクを記録することができます。ユーザーによるアクセスの種類 (読み取り、変更、コピーなど) も、さまざまなレベルのリスクを組織にもたらす可能性があります。
データ アクセスと利用は、ますます規制によって管理され、違反すれば厳しい罰則や、組織の信頼性を失う可能性があります。データを管理する方法の中で法的コンプライアンスが役割を果たす場合は、必ずこの情報も記録します。
次の表は、組織のリソース分析の例を示します。
| リソース クラス | 保存場所 | 組織単位 | 事業影響度 | セキュリティまたは規制要件 |
|---|---|---|---|---|
給与支払いデータ |
Corp-Finance-1 |
アカウンティング: Corp-Finance-1 の読み取りと書き込み 部門給与マネージャー: Corp-Finance-1 の書き込みのみ |
高 |
財務の整合性と従業員のプライバシー |
患者の医療記録 |
MedRec-2 |
医師と看護師: Med/Rec-2 の読み取りと書き込み ラボ アシスタント: MedRec-2 の書き込みのみ アカウンティング: MedRec-2 の読み取りのみ |
高 |
厳密な法律や規制基準 |
消費者の健康情報 |
Web-Ext-1 |
広報 Web コンテンツの作成: Web-Ext-1 の読み取りと書き込み パブリック: Web-Ext-1 の読み取りのみ |
低 |
パブリック教育と会社イメージ |
ユーザー
多くの組織が、ユーザーの種類を分類し、その分類へのアクセス許可を基本とするのが便利であると考えています。これと同じ分類が、セキュリティ監査の対象にする必要があるユーザー アクティビティと発生する監査データの量を特定するために役立つ場合があります。
組織は、ユーザーがジョブを実行するために必要な権利とアクセス許可の種類に基づいた区別を作成できます。たとえば、大規模な組織では、分類管理者の下で、1 台のコンピューターに対して、Exchange Server や SQL Server などの特定のアプリケーションに対して、またはドメイン全体に対して、ローカル管理者の役割を割り当てることが可能です。アクセス許可とグループ ポリシー設定は、ユーザーの下で、組織内のすべてのユーザーのような多数にも、または特定の部門の従業員のサブセットのような少数にも適用できます。
また、組織が法的要件の対象である場合は、医療記録や財務データにアクセスするようなユーザー操作を、これらの要件に準拠していることを確認するために監査することが必要な場合もあります。
ユーザー操作を効率的に監査するには、始めに組織内のユーザーの種類とアクセスが必要なデータの種類と、これに加えてアクセスする必要がないデータも一覧化します。
また、外部ユーザーが組織の任意のデータにアクセスできる場合は、ビジネス パートナー、顧客、または一般ユーザーに属しているユーザー、彼らがアクセスするデータ、および彼らがそのデータにアクセスする必要があるアクセス許可を含め、必ずそれらを識別します。
次の表は、ネットワーク上のユーザーの分析を示しています。この例では、「可能な監査の検討事項」という名前の 1 つの列が含まれていますが、ログオン時間やアクセス許可の使用などのネットワーク アクティビティのさまざまな種類を区別するために追加の列を作成することがあります。
| グループ | データ | 可能な監査の考慮事項 |
|---|---|---|
アカウント管理者 |
ユーザー アカウントとセキュリティ グループ |
アカウント管理者は、新しいユーザー アカウントを作成、パスワードをリセット、およびセキュリティ グループのメンバーシップを変更するための完全な権限を持っています。これらの変更を監視するためのメカニズムが必要です。 |
財務 OU のメンバー |
財務記録 |
財務のユーザーには、重要な財務記録への読み取りと書き込みのアクセス権はありますが、これらのリソースへのアクセス許可を変更する機能はありません。これらの財務記録は、政府規制準拠要件の対象です。 |
外部のパートナー |
プロジェクト Z |
パートナー組織の従業員には、特定のプロジェクトのデータとプロジェクト Z に関連するサービスへの読み取りと書き込みのアクセス権はありますが、その他のサーバーやネットワーク上のデータへのアクセス権はありません。 |
コンピューター
セキュリティおよび監査の要件と監査イベントのボリュームは、組織内のコンピューターのさまざまな種類のために大きく変わる可能性があります。これらの要件は、次に基づいて作成できます。
コンピューターがサーバー、デスクトップ コンピューター、またはポータブル コンピューターかどうか。
Exchange Server、SQL Server、または Forefront Identity Manager など、コンピューターが実行する重要なアプリケーション。
注
サーバー アプリケーション (Exchange Server、SQL Server など) に監査設定があるかどうか。Exchange Server での監査について詳しくは、「Exchange 2010 セキュリティ ガイド」をご覧ください。SQL Server 2008 での監査について詳しくは、「監査 (データベース エンジン)」をご覧ください。SQL Server 2012 については、「SQL サーバーの監査 (データベース エンジン)」をご覧ください。
オペレーティング システムのバージョン。
注
オペレーティング システムのバージョンによって、どの監査オプションが利用可能であるかと監査イベント データの量が決定します。
データのビジネス的価値。
たとえば、外部ユーザーがアクセスする web サーバーには、パブリック インターネットや組織のネットワーク上の標準のユーザーにさえ決して公開されないルート証明機関 (CA) とは異なる監査設定が必要です。
次の表は、組織のコンピューターの分析を示しています。
| コンピューターとアプリケーションの種類 | オペレーティング システムのバージョン | 位置 |
|---|---|---|
Exchange Server をホストしているサーバー |
Windows Server 2008 R2 |
ExchangeSrv OU |
ファイル サーバー |
Windows Server 2012 |
リソース OU を、部門と (場合によっては) 場所で区切ります |
ポータブル コンピューター (複数) |
Windows Vista および Windows 7 |
ポータブル コンピューター OU を、部門と (場合によっては) 場所で区切ります |
Web サーバー |
Windows Server 2008 R2 |
WebSrv OU |
規制要件
多くの業界とロケールには、ネットワークの運用とリソースを保護する方法に関する厳格で特別な要件があります。ヘルス ケアや金融業界では、たとえば、記録へのアクセス権を持っている人物とその使用する方法に関する厳格なガイドラインがあります。多くの国では、プライバシーに関する厳密な規則があります。規制要件を識別するには、組織の法務部門やこれらの要件を担当する他の部署と連携します。次に、これらの規制に準拠するため、および準拠していることを確認するために使用するセキュリティの構成と監査オプションを検討します。
詳しくは、「IT GRC の System Center Process Pack」をご覧ください。
組織内のユーザー、コンピューター、およびリソースのグループへのセキュリティ監査ポリシーのマッピング
グループ ポリシーを使って、ユーザー、コンピューター、およびリソースの定義済みのグループにセキュリティ監査ポリシーを適用できます。セキュリティ監査ポリシーを組織内のこれらの定義済みのグループにマップするには、グループ ポリシーを使用してセキュリティ監査ポリシー設定を適用するための次の考慮事項を理解する必要があります。
1 つまたは複数の GPO を使用して識別したポリシー設定を適用できます。GPO を作成して編集するには、グループ ポリシー管理コンソール (GPMC) を使用します。GPMC を使用して、選択した Active Directory サイト、ドメインおよび OU に GPO をリンクし、それらの Active Directory オブジェクトのユーザーおよびコンピューターに GPO のポリシー設定を適用します。OU は、グループ ポリシー設定を割り当てることができる最下位レベルの Active Directory コンテナーです。
選択したすべてのポリシー設定は、組織内全体に適用するか、または選択したユーザーやコンピューターにのみ適用するかどうかを判断する必要があります。GPO にこれらの監査ポリシー設定を結合し、これを適切な Active Directory コンテナーにリンクします。
既定では、高いレベルの Active Directory サイト、ドメイン、および OU にリンクされている GPO に設定されたオプションは、それより下位のレベルのすべての OU によって継承されます。ただし、下位レベルでリンクされている GPO は、継承されたポリシーを上書きすることができます。
たとえば、組織全体の監査設定のグループを割り当てるためにドメイン GPO を使用できますが、特定の OU を定義済みの追加設定のグループを取得するために使用したい場合などがあります。これを達成するには、特定の下位レベルの OU に 2 つ目の GPO をリンクすることができます。その結果、(グループ ポリシーのループバック処理を適用する特別な手順を実行した場合を除いて) OU レベルで適用されているログオン監査設定が、ドメイン レベルで適用されている競合するログオン監査設定よりも優先されます。
監査ポリシーはコンピューター ポリシーです。したがって、ユーザーの OU ではなく、コンピューターの OU に適用されている GPO によって適用する必要があります。ただし、ほとんどの場合、関連するオブジェクトの SACLs を構成することによって、指定したリソースとユーザーのグループのみの監査設定を適用できます。これにより、指定したユーザーのみを含むセキュリティ グループの監査が有効になります。
たとえば、アカウンティング サーバー 1 の給与データという名前のフォルダーの SACL を構成できます。これにより、給与プロセッサ OU のメンバーがこのフォルダーからオブジェクトを削除する試行を監査できます。オブジェクト アクセス\ファイル システムの監査監査ポリシー設定がアカウンティング サーバー 1 に適用されますが、対応するリソースの SACL が必要なため、給与データ フォルダーの給与プロセッサ OU のメンバーによる操作だけが、監査イベントを生成します。
詳細なセキュリティ監査ポリシーの設定は、Windows Server 2008 R2 または Windows 7 で導入され、これらのオペレーティング システム以降に適用することができます。これらの詳細な監査ポリシーは、グループ ポリシーを使用してのみ適用できます。
重要
グループ ポリシーを使用して詳細な監査ポリシーを適用するか、ログオン スクリプトを使用して詳細な監査ポリシーを適用するかにかかわらず、[ローカル ポリシー\監査ポリシー] の下の基本の監査ポリシー、および [セキュリティの設定\監査ポリシーの詳細な構成] の下の詳細な設定は、どちらも使用しません。基本および詳細な監査ポリシー設定はどちらも、使用すると監査報告で予期しない結果が発生することがあります。
詳細な監査ポリシーを適用するために [監査ポリシーの詳細な構成] 設定を使用する場合、またはログオン スクリプトを使用する場合は、必ず [ローカル ポリシー]/[セキュリティ オプション] で [監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする] ポリシー設定を有効にします。これにより、類似した設定が競合しないように、基本的なセキュリティ監査が無視されます。
監査ポリシーを組織の OU 構造に適用する方法の例を次に示します。
ファイル サーバーを含む OU にデータのアクティビティの設定を適用します。組織に特に重要なデータが含まれているサーバーがある場合は、これらのサーバーにより正確な監査ポリシーを構成して適用できるように、別の OU に含めることを検討してください。
組織内のすべてのコンピューターを含む OU にユーザーのアクティビティの監査ポリシーを適用します。組織でユーザーが働いている部門に基づいてそのユーザーを OU に配置する場合、ネットワーク管理者や法務部門などの重要度の高い分野で作業を行う従業員がアクセスする重要なリソースに対して、より詳細なセキュリティ アクセス許可を構成して適用することを検討してください。
ドメイン コント ローラー、CA、メール サーバー、またはデータベース サーバーなどの組織の最も重要なサーバーを含む OU には、ネットワークとシステムのアクティビティの監査ポリシーを適用します。
セキュリティ監査の目標をセキュリティ監査ポリシーの構成にマッピングする
セキュリティ監査の目標を特定したら、セキュリティ監査ポリシーの構成にそれらをマッピングすることができます。この監査ポリシーの構成は、最も重要なセキュリティ監査の目的に対応する必要がありますが、監視が必要なコンピューターの数、監査対象とするアクティビティの数、目的の監査の構成で生成される監査イベントの数、監査データを分析し操作することができる管理者の数などの組織の制約にも対応する必要があります。
監査ポリシーの構成を作成するには、次を行う必要があります。
ニーズに対応するために使用可能なすべての監査ポリシー設定について調査します。
前のセクションで確認した監査の要件に最も効果的に対応する監査設定を選択します。
選択した設定が監視するコンピューターで実行しているオペレーティング システムと互換性があることを確認します。
監査設定に使用する構成オプション (成功、失敗、または成功と失敗の両方) を決定します。
ボリューム、サポート性、および包括性の観点から、目的の結果を満足することを確認するために、ラボ環境またはテスト環境での監査設定を展開します。次に試験運用環境で監査設定を展開して、監査計画によって生成される監査データの量の概算値が現実的であり、このデータを管理可能であることを確認します。
監査ポリシー オプションを調べる
サポートされている Windows のバージョンのセキュリティ監査ポリシー設定は、次の場所で表示および構成できます。
セキュリティの設定\ローカル ポリシー\監査ポリシー。
セキュリティの設定\ローカル ポリシー\セキュリティ オプション。
セキュリティの設定\監査ポリシーの詳細な構成。詳しくは、「詳細なセキュリティ監査ポリシーの設定」をご覧ください。
使用する監査設定を選択する
目標によっては、監査設定の異なるセットは特定の値になる場合があります。たとえば、セキュリティの設定\監査ポリシーの詳細な構成の下の一部の設定は、次の種類のアクティビティの監視に使用することができます。
データとリソース
ユーザー
ネットワーク
重要
参照に記載されている設定は、他の設定で監査されるアクティビティに関する重要な情報も提供することがあります。たとえば、ユーザーのアクティビティとネットワークのアクティビティの監視に使用する設定は、データ リソースの保護と明確な関連性があります。同様に、データ リソースを妥協しようとすれば、全体的なネットワークの状態、および場合によってはネットワーク上のユーザーのアクティビティの管理方法の有効性にも大きく影響します。
データとリソースのアクティビティ
多くの組織では、組織のデータ リソースが損なわれることによって、名声を落としたり法的責任を負うだけでなく、非常に大きな経済的損失も生じる可能性があります。組織に侵害から保護する必要がある重要なデータ リソースがある場合、次の設定は非常に有用な監視と法的データを提供します。
オブジェクト アクセス\「ファイル共有の監査」。このポリシー設定を使うと、アクセスされたコンテンツ、要求のソース (IP アドレスとポート)、およびアクセスに使用されたユーザー アカウントを追跡することができます。この設定によって生成されるイベント データのボリュームは、ファイル共有にアクセスしようとするクライアント コンピューターの数によって異なります。ファイル サーバーまたはドメイン コントローラーでは、ポリシーの処理のためにクライアント コンピューターによってアクセスされる SYSVOL アクセスが原因でボリュームが大きくなります。ファイル共有へのアクセス許可を持つクライアント コンピューターによる日常的なアクセスを記録する必要がない場合、ファイル共有へのアクセスに失敗した監査イベントのみを記録したいことがあります。
オブジェクト アクセス\「ファイル システムの監査」。このポリシー設定では、ファイル システム オブジェクトにアクセスするユーザーの試行をオペレーティング システムが監査するかどうかを決定します。監査イベントは、構成済みの SACL を持つオブジェクト (ファイルおよびフォルダーなど) のためだけに生成され、また、要求されたアクセスの種類 (書き込み、読み取り、変更など) と要求を行っているアカウントが SACL の設定と一致する場合にのみ生成されます。
成功の監査を有効にすると、すべてのアカウントが一致する SACL を持つファイル システム オブジェクトに正常にアクセスするたびに監査エントリが生成されます。失敗の監査を有効にすると、すべてのユーザーが一致する SACL を持つファイル システム オブジェクトへのアクセスの試みに失敗するたびに監査エントリが生成されます。ファイル システムの監査ポリシー設定によって生成される監査データの量は、監視されるように構成されているオブジェクトの数に応じて大きく異なります。
注
コンピューター上のすべてのファイル システム オブジェクトへのアクセスを試みるユーザーを監査するには、グローバル オブジェクト アクセスの監査設定「レジストリ (グローバル オブジェクト アクセスの監査)」または「ファイル システム (グローバル オブジェクト アクセスの監査)」を使用します。
オブジェクト アクセス\「ハンドル操作の監査」。このポリシー設定では、オブジェクトへのハンドルを開くかまたは閉じたときに、オペレーティング システムが監査イベントを生成するかどうかを決定します。構成済みの SACL を持つオブジェクトだけが、また実行しようとしたハンドルの操作が SACL と一致する場合にのみ、これらのイベントを生成します。
イベントのボリュームは、SACL の構成方法に応じて大きくなる可能性があります。[ファイル システムの監査] または [レジストリの監査] ポリシー設定と共に使用すると、管理者は [ハンドル操作の監査] ポリシー設定によって、監査イベントの基になる正確なアクセス許可の詳細を示す便利な「アクセス理由」の監査データを得ることができます。たとえば、ファイルが読み取り専用リソースとして構成されていて、ユーザーがファイルへの変更を保存しようとした場合、監査イベントは、イベントだけでなくファイルの変更を保存するために使われた (使用しようとした) アクセス許可もログに記録します。
グローバル オブジェクト アクセスの監査。ますます多くの組織が、データのセキュリティとプライバシーを左右する法的要件に準拠するためにセキュリティ監査を使用しています。しかし、厳密なコントロールが適用されていることを示すのは、非常に困難です。この問題に対処するには、サポートされている Windows のバージョンに 2 つの [グローバル オブジェクト アクセスの監査] ポリシー設定を含めます。1 つはレジストリ用、もう 1 つはファイル システム用です。これらの設定を構成するときに、システム上のそのクラスのすべてのオブジェクトでグローバル システム アクセス制御 SACL が適用されます。これは上書きまたは回避することはできません。
重要
[グローバル オブジェクト アクセスの監査] ポリシー設定は、[オブジェクト アクセス] カテゴリの [ファイル システムの監査] と [レジストリの監査] 監査ポリシー設定と共に構成および適用する必要があります。[グローバル オブジェクト アクセスの監査] ポリシー設定の使用について詳しくは、「詳細なセキュリティ監査のチュートリアル」をご覧ください。
ユーザーのアクティビティ
前のセクションの設定は、ネットワーク上で共有されるファイル、フォルダー、およびネットワーク共有を含めたアクティビティに関連します。このセクションの設定は、これらのリソースにアクセスしようとする可能性がある従業員、パートナー、および顧客を含めたユーザーに着目します。
ほとんどの場合、これらの試行は正当なものであり、ネットワークは正規のユーザーが重要なデータを簡単に利用できるようにする必要があります。ただし状況によっては、従業員、パートナー、およびその他のユーザーが、アクセスする正当な理由なくリソースにアクセスを試みる可能性があります。セキュリティ監査は、特定のコンピューター上のさまざまなユーザー アクティビティを追跡することで、正規のユーザーの問題を診断して解決したり、不正なアクティビティを特定して対応するために使用できます。ネットワーク上のユーザー アクティビティを追跡するために評価する必要があるいくつかの重要な設定を次に示します。
アカウント ログオン\「資格情報の確認の監査」。これは、ユーザー ログオンの資格情報を表示する成功と失敗の試行をすべて追跡できるので、非常に重要な設定です。具体的には、失敗した試行のパターンでは、ユーザーまたはアプリケーションを無効になった資格情報を使用しているか、または最終的に 1 つが成功することを期待して、さまざまな資格情報を連続して使おうとしている可能性があります。これらのイベントは資格情報の権限のあるコンピューターで発生します。ドメイン アカウントに対しては、ドメイン コント ローラーに権限があります。ローカル アカウントに対しては、ローカル コンピューターに権限があります。
詳細追跡\「プロセス作成の監査」と詳細追跡\「プロセス終了の監査」。これらのポリシー設定を使用して、ユーザーがコンピューター上でアプリケーションを開く、または閉じるのを監視することができます。
DS アクセス\「ディレクトリ サービスのアクセスの監査」とDS アクセス\「ディレクトリ サービスの変更の監査」。これらのポリシー設定は、Active Directory ドメイン サービス (AD DS) 内のオブジェクトの作成、変更、削除、移動、または削除の取り消しへのアクセスの試行の詳細な監査証跡を提供します。AD DS オブジェクトを変更するアクセス許可はドメイン管理者のみが持っています。このため、これらのオブジェクトを変更しようとする悪意のある試行を識別することは非常に重要です。さらに、ドメイン管理者は組織で最も信頼される社員であることが必要ですが、[ディレクトリ サービス アクセスの監査] と [ディレクトリ サービスの変更の監査] 設定を使用して、承認済みの変更のみが AD DS に行われることを監視および確認することができます。これらの監査イベントは、ドメイン コントローラーのログにのみ記録されます。
ログオン/ログオフ\「アカウント ロックアウトの監査」。もう 1 つの一般的なセキュリティ シナリオは、ユーザーがロックアウトされているアカウントでログオンしようとしたときに発生します。これらのイベントを特定し、ロックアウトされているアカウントを使おうとする試行が悪意のあるものかどうかを判断することは重要です。
ログオン/ログオフ\「ログオフの監査」とログオン/ログオフ\「ログオンの監査」。ログオンとログオフ イベントは、ユーザー アクティビティを追跡し、潜在的な攻撃を検出するのに必要不可欠です。ログオン イベントは、ログオン セッションの作成に関連して、アクセスされたコンピューター上で発生します。対話型ログオンの場合、イベントはログインしたコンピューターで生成されます。共有リソースへのアクセスなどのネットワーク ログオンの場合、アクセスされたリソースをホストしているコンピューターでイベントが生成されます。ログオン セッションが終了したとき、ログオフ イベントが生成されます。
注
失敗したログオフ (システム操作のシャット ダウン時など) は監査レコードを生成しないため、ログオフ アクティビティに関してエラー イベントはありません。ログオフ イベントは、100% 確実ではありません。たとえば、コンピューターは適切なログオフやシャット ダウンをしなくてもオフにすることができ、その場合ログオフ イベントは生成されません。
ログオン/ログオフ\「特殊なログオンの監査」。特殊なログオンには、管理者と同等の権限があり、プロセスをより高いレベルに昇格するために使用することができます。これらの種類のログオンを追跡することをお勧めします。これらの機能について詳しくは、Microsoft サポート技術情報の「記事 947223」をご覧ください。
オブジェクト アクセス\「証明書サービスの監査」。このポリシー設定を使うと、Active Directory 証明書サービス (AD CS) 役割サービスをホストするコンピューター上のさまざまなアクティビティを追跡および監視でき、承認されたユーザーだけがタスクを実行または実行しようとしていることと、許可されたタスクまたは必要なタスクだけを実行していることを確認できます。
オブジェクト アクセス\「ファイル システムの監査」とオブジェクト アクセス\「ファイル共有の監査」。これらのポリシー設定は、前のセクションで説明しています。
オブジェクト アクセス\「ハンドル操作の監査」。このポリシー設定および「アクセス理由」の監査データを提供するその役割は、前のセクションで説明しています。
オブジェクト アクセス\「レジストリの監査」。レジストリへの変更の監視は、管理者が、悪意のあるユーザーに重要なコンピューター設定への変更をさせないために行う必要がある最も重要な方法の 1 つです。監査イベントは、構成済みの SACL を持つオブジェクトのためだけに生成され、また、要求されたアクセスの種類 (書き込み、読み取り、変更など) と要求を行っているアカウントが SACL の設定と一致する場合にのみ生成されます。
重要
レジストリ設定を変更するすべての試行を追跡する必要がある重要なシステムでは、コンピューターのレジストリ設定を変更しようとするすべての試みを確実に追跡するために、[レジストリの監査] ポリシー設定を [グローバル オブジェクト アクセスの監査] ポリシー設定と組み合わせることができます。
オブジェクト アクセス\「SAM の監査」。セキュリティ アカウント マネージャー (SAM) は、ローカル コンピューター上のユーザーのユーザー アカウントとセキュリティ記述子が格納されている Windows を実行しているコンピューターに存在するデータベースです。ユーザーおよびグループ オブジェクトに対する変更は、[アカウントの管理] 監査カテゴリによって追跡されます。ただし、適切なユーザー権限を持つユーザー アカウントは、アカウントとパスワードの情報がシステムに格納されている場合、[アカウントの管理] イベントの任意の操作を省略することによってファイルを変更できる可能性があります。
特権の使用\「重要な特権の使用の監査」。[特権の使用] ポリシー設定と監査イベントを使用すると、1 つまたは複数のシステムで特定の権限の使用を追跡することができます。このポリシー設定を構成する場合、重要な権限が要求されると監査イベントが生成されます。
ネットワーク アクティビティ
次のネットワーク アクティビティのポリシー設定では、データまたはユーザーのアクティビティ カテゴリでは必ずしも扱わなくてもよく、ただしネットワークの状態と保護のために同様に重要なセキュリティ関連の問題を監視できます。
アカウントの管理。このカテゴリのポリシー設定は、ユーザー アカウント、コンピューター アカウント、セキュリティ グループ、または配布グループを作成、削除、または変更しようとする試行の追跡に使用できます。これらのアクティビティの監視は、ユーザー アクティビティとデータ アクティビティのセクションで選択した監視戦略を補完します。
アカウント ログオン\「Kerberos 認証サービスの監査」とアカウント ログオン\「Kerberos サービス チケット操作の監査」。[アカウント ログオン] カテゴリの監査ポリシー設定は、ドメイン アカウント資格情報の使用に関連するアクティビティを監視します。これらのポリシー設定は、[ログオン/ログオフ] カテゴリのポリシー設定を補完します。[Kerberos 認証サービスの監査] ポリシー設定では、Kerberos サービスの状態と潜在的な脅威を監視することができます。[Kerberos サービス チケット操作] の監査ポリシー設定では、Kerberos サービス チケットの使用状況を監視することができます。
注
[アカウント ログオン] ポリシー設定は、アクセスされるコンピューターに関係なく、特定のドメイン アカウントのアクティビティのみに適用されますが、[ログオン/ログオフ] ポリシー設定は、アクセスされているリソースをホストしているコンピューターに適用されます。
アカウント ログオン\「その他のアカウント ログオン イベントの監査」。このポリシー設定は、リモート デスクトップ接続、ワイヤード ネットワーク接続、およびワイヤレス接続の作成の試行を含め、複数の別のネットワーク アクティビティの追跡に使用できます。
DS アクセス。このカテゴリのポリシー設定では、アカウント データの提供、ログオンの検証、ネットワーク アクセスのアクセス許可の管理、およびネットワークのセキュリティと適切な動作に必要な他のサービスの提供を行う AD DS の役割サービスを監視できます。したがって、ドメイン コント ローラーの構成へのアクセスや変更を行う権利を監査することにより、組織がセキュアで信頼性の高いネットワークを維持するのに役立ちます。さらに、AD DS が実行する主要なタスクの 1 つは、ドメイン コントローラー間のデータのレプリケーションです。
ログオン/ログオフ\「IPsec 拡張モードの監査」、ログオン/ログオフ\「IPsec メイン モードの監査」、およびログオン/ログオフ\「IPsec クイック モードの監査」。多くのネットワークでは、リモートの従業員やパートナーなど、多数の外部ユーザーをサポートします。これらのユーザーは組織のネットワークの境界の外にいるため、ネットワーク レベルのピア認証、データ送信元の認証、データの整合性、データの機密性 (暗号化)、およびリプレイ攻撃に対する保護を有効にすることによってインターネット経由の通信を保護するために、IPsec がよく使われます。これらの設定を使用して、IPsec サービスが正しく機能していることを確認できます。
ログオン/ログオフ\「ネットワーク ポリシー サーバーの監査」。RADIUS (IAS) およびネットワーク アクセス保護 (NAP) を使用して外部ユーザーのセキュリティ要件を設定および管理する組織では、このポリシー設定を使用して、これらのポリシーの有効性を監視し、またこれらの保護機能を回避しようとする試行を判別することができます。
ポリシー変更。これらのポリシー設定とイベントを使用すると、ローカル コンピューターまたはネットワーク上の重要なセキュリティ ポリシーに対する変更を追跡できます。ポリシーは通常は管理者がネットワーク リソースをセキュアにするために確立するので、これらのポリシーの変更や変更しようとする試行は、ネットワークのセキュリティ管理の重要な局面である可能性があります。
ポリシーの変更\「監査ポリシーの変更の監査」。このポリシー設定では、監査ポリシーの変更を監視することができます。悪意のあるユーザーがドメイン管理者の資格情報を取得した場合に、ネットワーク上の他のアクティビティを検出できないように重要なセキュリティ監査ポリシー設定を一時的に無効にすることができます。
ポリシーの変更\「フィルタリング プラットフォーム ポリシーの変更の監査」。このポリシー設定は、組織の IPsec ポリシーへの多様な変更を監視するために使用できます。
ポリシーの変更\「MPSSVC ルールレベル ポリシーの変更の監査」。このポリシー設定では、Windows ファイアウォールで使用される Microsoft 保護サービス (MPSSVC.exe) のポリシーの規則が変更されたときに、オペレーティング システムが監査イベントを生成するかどうかを決定します。ファイアウォール規則の変更は、コンピューターのセキュリティ状態、およびネットワーク攻撃に対する保護の程度を把握するために重要です。
オペレーティング システムのバージョンの互換性を確認する
Windows のすべてのバージョンが、詳細な監査ポリシー設定をサポートしたり、またはこれらの設定を適用し管理するためにグループ ポリシーを使用しているわけではありません。詳しくは、「監査ポリシーの詳細な構成をサポートする Windows のエディション」をご覧ください。
ローカル ポリシー\監査ポリシーの下の監査ポリシー設定は、セキュリティの設定\監査ポリシーの詳細な構成の下の監査ポリシー設定と重複します。ただし、詳細な監査ポリシーのカテゴリとサブカテゴリでは、組織にとって重要度の低い監査データの量を抑えながら、最も重要なアクティビティに監査の重点を置くことができます。
たとえば、ローカル ポリシー\監査ポリシーには、「アカウント ログオン イベントの監査」と呼ばれる単一の設定が含まれています。この設定を構成すると、少なくとも 10 種類の監査イベントが生成されます。
これに対して、セキュリティの設定\詳細な監査ポリシーの構成の下のアカウント ログオンのカテゴリでは、監査に重点をおくことができるように、次の詳細設定を提供します。
資格情報の確認
Kerberos 認証サービス
Kerberos サービス チケット操作
その他のアカウント ログオン イベント
これらの設定では、アクティビティやイベントがイベント データを生成する、より厳密なコントロールを実行できます。一部のアクティビティやイベントは組織にとってより重要なものになるため、セキュリティ監査ポリシーのスコープをできるだけ狭義に定義します。
成功、失敗、またはその両方
どのイベント設定をプランに含める場合でも、操作が失敗したとき、アクティビティが成功したとき、または成功と失敗の両方でイベントをログに記録するかどうかも決定します。これは重要な質問であり、その答えは、イベントの重要度とイベントのボリュームの決定の意味に基づくことになります。
たとえば、正規のユーザーが頻繁にアクセスするファイル サーバーでは、未承認のまたは悪意のあるユーザーの証拠になることがあるので、データにアクセスしようとして失敗した場合のみイベントをログに記録することに関心があるかもしれません。またこの例の場合は、サーバーへのアクセスに成功した試行をログ記録すると、問題の無いイベントでイベント ログがすぐにいっぱいになる可能性があります。
これに対して、営業秘密など、慎重な扱いを要する極めて重要な情報がファイル共有にある場合、リソースにアクセスするすべてのユーザーの監査証跡を得られるように、成功したか失敗したかにかかわらず、すべてのアクセス試行をログに記録できます。
セキュリティ監査の監視と管理の計画
ネットワークには、すべて監視が必要な重要サービスを実行している、または重要データを格納している数百のサーバーが含まれることがあります。ネットワーク上のクライアント コンピューターの数は、数十台や何十万台にも簡単に変動する場合があります。これは、管理者あたりのサーバーやクライアント コンピューターの比率が低い場合は問題にはならないかもしれません。セキュリティとパフォーマンスの問題の監査を担当する管理者が監視するコンピューターが比較的少数の場合でも、管理者が確認するイベント データを取得する方法を決定する必要があります。イベント データを取得するためのいくつかのオプションを次に示します。
管理者がイベント データを確認するためにログオンするまで、ローカル コンピューター上にこのデータを保存しますか?保存する場合、管理者は、各クライアント コンピューターまたはサーバー上のイベント ビューアーへの物理またはリモート アクセスが必要です。また、各クライアント コンピューターまたはサーバー上のリモート アクセスとファイアウォールの設定は、このアクセスを有効にするように構成する必要があります。さらに、管理者が各コンピューターにアクセスする頻度を判断し、ログが最大容量に達した場合に重要な情報が削除されないように、監査ログのサイズを調整する必要があります。
一元管理されたコンソールから確認できるようにイベント データを収集しますか?収集する場合、Operations Manager 2007 および 2012 の監査コレクション サービスなど、イベント データの収集やフィルター処理に使用できるさまざまなコンピューター管理製品があります。おそらくこのソリューションにより、1 人の管理者が、ローカル記憶域オプションを使用するよりも大量のデータを確認できます。だたし場合によっては、これにより 1 台のコンピューターで発生する可能性がある関連したイベントのクラスターの検出が困難になることがあります。
また、監査データを個々のコンピューターに残すか一元化された場所に集約するかの選択にかかわらず、ログ ファイルの大きさと、ログが最大サイズに達したときに実行される処理を決定する必要があります。これらのオプションを構成するには、イベント ビューアーを開いて、[Windows ログ] を展開し、[セキュリティ] を右クリックして [プロパティ] をクリックします。次のプロパティを構成できます。
[必要に応じてイベントを上書きする (最も古いイベントから)]。これは既定のオプションであり、ほとんどの場合に使用可能なソリューションです。
[イベントを上書きしないでログをアーカイブする]。すべてのログ データの保存が必要な場合にこのオプションを使用できますが、監査データをあまり頻繁に確認していないことも示唆します。
[イベントを上書きしない (ログは手動で消去)]。このオプションは、ログ ファイルが最大サイズに達したときに監査データのコレクションを停止します。最新の監査イベントを犠牲にして、古いデータが保持されます。このオプションは、すべての監査データを失いたくない場合、イベント ログのアーカイブを作成したくない場合、および最大サイズに達する前にデータを確認することがコミットされている場合にのみ使用します。
グループ ポリシー設定を使用して、監査ログのサイズとその他のキーの管理オプションを構成することもできます。GPMC 内の次の場所でイベント ログの設定を構成することができます: [コンピューターの構成\管理用テンプレート\Windows コンポーネント\イベント ログ サービス]。これには次のようなオプションがあります。
最大ログ サイズ (KB)。このポリシー設定では、ログ ファイルの最大サイズを指定します。ローカル グループ ポリシー エディターとイベント ビューアーのユーザー インターフェイスを使用して、2 TB までの値を入力できます。この設定が構成されていない場合、イベント ログの既定の最大サイズは 20 メガバイトです。
[ログ アクセス]。このポリシー設定は、ログ ファイルへのアクセス権を持つユーザー アカウントと、与える使用権限を決定します。
[古いイベントを保持する]。このポリシー設定は、ログ ファイルが最大サイズに達したときのイベント ログの動作をコントロールします。このポリシー設定を有効にして、ログ ファイルが最大サイズに達すると、新しいイベントはログに書き込まれずに失われます。このポリシー設定を無効にして、ログ ファイルが最大サイズに達すると、新しいイベントは古いイベントを上書きします。
[ログがいっぱいになった場合に自動的にバックアップする]。このポリシー設定では、ログ ファイルの最大サイズに達したとき、[古いイベントを保持する] ポリシー設定が有効の場合にのみ、コントロールのイベント ログの動作をコントロールします。これらのポリシー設定を有効にした場合、イベント ログ ファイルはいっぱいになったときに自動的に閉じられ名前が変更されます。そして新しいファイルが開始されます。このポリシー設定を無効にするか構成せずに [古いイベントを保持する] ポリシー設定を有効にした場合、新しいイベントは破棄され、古いイベントが保持されます。
さらに、数年分のアーカイブされたログ ファイルの保存を必要とする組織が増え続けています。このようなガイドラインを組織に適用するかどうかは組織の規制遵守担当者と相談して判断する必要があります。詳しくは、「IT 遵守管理ガイド」をご覧ください。
セキュリティ監査ポリシーを展開する
運用環境で監査ポリシーを展開する前に、構成したポリシー設定の効果を判定することが重要です。
監査ポリシーの展開を評価する最初の手順は、選択した監査設定が正しく構成され、目的とする結果の型が生成されることを確認するために、ラボのテスト環境を作成して特定したさまざまな使用シナリオをシミュレートすることです。セキュリティ監査ポリシーのテストのためのラボ環境のセットアップ方法について詳しくは、「詳細なセキュリティ監査のチュートリアル」をご覧ください。
ただし、ネットワークの使用パターンのかなり現実的なシミュレーションが実行可能な場合を除いて、ラボのセットアップでは、選択した監査ポリシー設定が生成する監査データのボリュームや、監査データを監視するための計画の有効性に関する正確な情報を提供することはできません。この種の情報を提供するには、1 つ以上のパイロット展開を実行する必要があります。これらのパイロット展開には、次が関係する場合があります。
重要なデータ サーバーを含む単一の OU または指定された場所のすべてのデスクトップ コンピューターを含む OU。
[ログオン/ログオフ] や [アカウント ログオン] などの、制限付きのセキュリティ監査ポリシー設定のセット。
制限付きの OU と監査ポリシー設定の組み合わせ。たとえば、[オブジェクト アクセス] ポリシー設定があるアカウンティング OU 内のサーバーのみを対象とします。
1 つ以上の制限付きの展開を正常に完了した後、収集された監査データを管理ツールや管理者が管理できることを確認する必要があります。パイロット展開が有効であることを確認したら、運用展開が完了するまで、展開を拡大して追加の OU と監査ポリシー設定のセットを含めるために必要なツールやスタッフが揃うことを確認する必要があります。