目次

1. そもそもWindowsイベントログとは何か？
2. Windowsイベントログの解説
3. 操作の記録はどれだけ取れるか？
4. 記録されない操作は？
5. Windowsイベントログを監査証跡とする場合の問題点
6. ログ取得のポイント
7. イベントログでセキュリティ対策は可能なのか？

---

1. そもそもWindowsイベントログとは何か？

2. Windowsイベントログの解説

従って、人間の操作が起因した記録（ログ）も無数に取得されます。どちらかというと、人間の操作に起因しないログが圧倒的に多く取得され、分別が必要になりますが、明確な分別がしにくいのが現状です。

このイベントログは、Windowsに標準搭載されたビューアー「イベントビューアー」で見ることができます。（「スタート」メニューから「プログラム」－「管理ツール」－「イベントビューア」）

このWindowsのイベントログは、現在ではEVTX形式のファイルに記録され、
C:\Windows\System32\winevt\Logs
というフォルダー以下に配置されています。

これらの設定やフォルダを見るには管理者権限が必要です。従って、管理者でなければ設定変更はできませんし、フォルダ内のファイルを見ることもできません。
しかし、管理者権限を持っていれば、設定を元に戻したり、都合の悪いイベントログファイルを削除してしまうこともできることになります。

3. 操作の記録はどれだけ取れるか？

4. 記録されない操作は？

このようにして「監査の設定」がされたフォルダ内のファイルを操作するとイベントログとして操作が記録されることになりますが、実際に色々な操作をしてみると、うまくログ取得できない場合や、正確な操作がイメージできない記録もあることが分かります。

例えば「ファイル名の変更」や「ファイルの移動（同一ドライブ内）」です。
これらの操作は、”操作後のファイルパス”や”ファイル名”が取得できない場合があります。

そして「フォルダのコピー」や「フォルダの移動」については、明確なアクションを取得することが出来ず、「READ」「WRITE」の組合せで判断するしかありません。

5. Windowsイベントログを監査証跡とする場合の問題点

以上のことを踏まえると、Windowsイベントログを監査証跡とする場合には、以下の問題点を許容しなくてはならないことが分かります。

• 人間の操作に起因しないシステムイベントのログは、排除する必要があるが、明確に区別できない。
• ファイルを移動した場合、どこに移動したか分からない。
• フォルダのコピーや移動は、ログを追って解釈しないと分からない。
• 管理者権限があれば、ログを削除したり、出力しないように設定変更できてしまう。
• インターネットでアクセスしたページのタイトル、アドレスが取得できない（ブラウザの起動まで）
• コマンドプロンプトで実行したコマンドが取得できない（コマンドプロンプトの起動まで）

上記の課題を解決するためにはどのような対策を実施すればいいのでしょうか。解決策の一つとして証跡管理ツールの利用をお勧めします。「WEEDS Trace」は、抜け漏れのないアクセスログの取得が可能であり、全ての”人間による操作”をカバーしています。全ての操作を取得することで、内部からの不正行為の抑止や、不正アクセスの早期発見に貢献します。また、万が一のインシデント時でも、これらのログを基に詳細な調査を行うことができます。

6. ログ取得のポイント

操作ログの取得でもっとも重要なことは、すべてのコンピューターで行われた”人間の操作のログ”を漏れなく取得することに他なりません。取得したログから実際に行われた操作を再現できるかどうかがポイントとなります。

Windowsが標準で持っているイベントログ機能は、取得したい用途に合わせ操作ログの出力を行えることが利点ですが、特定の操作に関しては必要な情報全てを取得することができないことが上記のことで分かります。

そこでWEEDSでは、全ての操作ログを漏れなく取得するため、イベントログ+独自技術により取得したログ情報を組み合わせることで全操作をカバーし、直感で操作がわかるような監査証跡として記録する製品開発を実現しています。

詳しくは、Windowsサーバ向けの操作ログ取得製品「WEEDS WinServer-Trace」、WindowsクライアントPC向けの操作ログ取得製品「WEEDS Windows-Trace」をご参照ください。

WEEDS Traceでは「Windowsサーバ/クライアント」だけでなく、UNIX/Linuxサーバやデータベースに対応した製品もご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。

7. イベントログでセキュリティ対策は可能なのか？

イベントログはサイバー攻撃の兆候を捉えるための重要なツールですが、ログ取得だけではセキュリティ対策としては不十分と言えます。外部からの攻撃者はシステム侵入後、特権アクセスを狙うため、アクセス制御の強化が不可欠です。
特権アクセスが外部からの攻撃だけでなく、内部からの脅威に対しても狙われるため、包括的な対策が求められます。ここでは、アクセス制御の重要性とその具体的な方法について説明します。

攻撃者の戦略とアクセス制御の必要性

外部からの攻撃

攻撃者は最初の侵入後、特権アクセス権を取得し、システム全体への制御を確立しようとします。これにより、機密情報の盗難やシステムの破壊活動が可能になります。

内部からの脅威

内部の従業員による不正アクセスも重大なリスクです。従業員が意図的に、または不注意で特権アクセスを悪用することを防ぐために、アクセス制御が有効です。

効果的なアクセス制御の方法

特権ID管理の導入

特権ID管理を導入することで、特権アクセスの監視と制御を強化できます。これにより、特権IDの使用状況をリアルタイムで把握し、不正なアクセスを迅速に検出できます。

ログの一貫性と完全性の確保

ログデータが改ざんされないようにし、整合性を保つための対策が必要です。これにより、ログデータを信頼できる情報源として活用できます。

監視とアラート機能

不正アクセスや異常な行動を即座に検出し、対応するための監視とアラート機能を導入します。

次のステップ

ログとアクセス制御を組み合わせた効果的なセキュリティ対策についてさらに知りたい方は、以下のコラムもご覧ください。

• 特権ID管理スタートガイド – 失敗しない導入ステップ
• 特権ID管理ツールの機能とそのメリット
• DX時代のサイバー攻撃対策！アクセス管理の重要性

監査・セキュリティ対策ならウイーズ・システムズにご相談を

ウイーズ・システムズ株式会社は、創業からアクセスログ一筋のセキュリティ専門企業です。内部統制や各種ガイドラインへの対応、情報漏えいなどシステムセキュリティに関するご相談を受け付けております。

個人情報をはじめとする様々な情報の流出対策にウイーズ・システムズ株式会社が開発・販売する WEEDS Traceが貢献します。WEEDS Traceは、抜け漏れのないアクセスログの取得が可能です。取得したログのレポート機能や不正操作の早期発見のためのポリシー機能など提供しており、情報セキュリティの強化と業務効率の向上が実現できます。

ぜひウイーズ・システムズ株式会社のWEEDS Traceのご利用をご検討ください。