コラム

COLUMN

Windowsサーバで標準出力されるイベントログは監査証跡になるか?


WEEDS Trace 証跡管理ソリューションについて詳しく紹介した資料です。

こんな方におすすめです。

・ISMSやガイドラインなどの対応を検討している方
・効率的にシステムの監査運用をしたい方
・不正アクセスなど情報セキュリティの課題を解決したい方
・ログ管理ツールについて詳しく知りたい方


昨今の情報漏えい事故の背景を受け、情報セキュリティーに関するガイドラインでは、”人間による操作”の記録保持をうたっています。それを受け、Windowsサーバーに標準搭載されているログ”イベントログ”を保管してそれに替えている企業やセキュリティ製品を多く見受けます。さて、このWindowsイベントログは、各ガイドラインが求める”人間による操作”の記録として成り立つのでしょうか?

目次

  1. そもそもWindowsイベントログとは何か?
  2. Windowsイベントログの解説
  3. 操作の記録はどれだけ取れるか?
  4. 記録されない操作は?
  5. Windowsイベントログを監査証跡とする場合の問題点
  6. ログ取得のポイント
  7. イベントログでセキュリティ対策は可能なのか?

まず、Windowsイベントログとは何でしょうか?

簡単に言えば、「Windowsシステム内で起こった特定の現象や動作(イベント)の記録(ログ)」のことです。

Windowsシステム内では色々なことが起きます。その現象の中で、”Windowsが決めた”動作を記録したものです。逆に言えば、Windowsが”記録する”と決めたものしか記録しません。つまり”記録する/しない”という設定をことになり、”記録する”と設定しない限り、イベントログとして記録されないことになります。

例えばどんなログが記録されるかというと、「Windowsが再起動した」とか「あるアプリケーションがエラーを出力した」などです。

このイベント(現象)ログですが、大きく3つの分野に別れています。
 ・アプリケーション ・セキュリティ ・システム
そして、それぞれの現象の中で、現象のレベルが以下の3つに分けられています。
 ・情報(I) ・警告(W) ・エラー(E)
例えば、”Windowsの再起動”が起きれば「システム」の「情報(I)」として記録が残る、というわけです。

従って、人間の操作が起因した記録(ログ)も無数に取得されます。どちらかというと、人間の操作に起因しないログが圧倒的に多く取得され、分別が必要になりますが、明確な分別がしにくいのが現状です。

このイベントログは、Windowsに標準搭載されたビューアー「イベントビューアー」で見ることができます。(「スタート」メニューから「プログラム」-「管理ツール」-「イベントビューア」)

このWindowsのイベントログは、現在ではEVTX形式のファイルに記録され、
C:\Windows\System32\winevt\Logs
というフォルダー以下に配置されています。

これらの設定やフォルダを見るには管理者権限が必要です。従って、管理者でなければ設定変更はできませんし、フォルダ内のファイルを見ることもできません。
しかし、管理者権限を持っていれば、設定を元に戻したり、都合の悪いイベントログファイルを削除してしまうこともできることになります。

ではこのWindowsイベントログで、人間の操作に近いログをどう設定すると取得できるのでしょうか。

例えば、ファイルの操作をイベントログに出力したい場合は、Windowsの「ファイルの監査」機能をONにします。設定方法は、「ローカル グループ ポリシー エディター」を起動して設定します。

上記画面の左ツリーから「コンピューターの構成」ー「Windows の設定」ー「セキュリティの設定」ー「監査ポリシーの詳細な構成」ー「システム監査ポリシー – ローカルグループポリシーオブジェクト」ー「オブジェクト アクセス」をクリック。

開いた右パネルの「ファイル システムの監査」を選択し、右クリックし、プロパティを起動します。

そして、ログ取得したいファイルが存在するフォルダ毎に、プロパティ画面から”取得したい操作”をチェックしていくことになります。

このようにして「監査の設定」がされたフォルダ内のファイルを操作するとイベントログとして操作が記録されることになりますが、実際に色々な操作をしてみると、うまくログ取得できない場合や、正確な操作がイメージできない記録もあることが分かります。

例えば「ファイル名の変更」や「ファイルの移動(同一ドライブ内)」です。
これらの操作は、”操作後のファイルパス”や”ファイル名”が取得できない場合があります。

そして「フォルダのコピー」や「フォルダの移動」については、明確なアクションを取得することが出来ず、「READ」「WRITE」の組合せで判断するしかありません。

以上のことを踏まえると、Windowsイベントログを監査証跡とする場合には、以下の問題点を許容しなくてはならないことが分かります。

  • 人間の操作に起因しないシステムイベントのログは、排除する必要があるが、明確に区別できない。
  • ファイルを移動した場合、どこに移動したか分からない。
  • フォルダのコピーや移動は、ログを追って解釈しないと分からない。
  • 管理者権限があれば、ログを削除したり、出力しないように設定変更できてしまう。
  • インターネットでアクセスしたページのタイトル、アドレスが取得できない(ブラウザの起動まで)
  • コマンドプロンプトで実行したコマンドが取得できない(コマンドプロンプトの起動まで)

上記の課題を解決するためにはどのような対策を実施すればいいのでしょうか。解決策の一つとして証跡管理ツールの利用をお勧めします。「WEEDS Trace」は、抜け漏れのないアクセスログの取得が可能であり、全ての”人間による操作”をカバーしています。全ての操作を取得することで、内部からの不正行為の抑止や、不正アクセスの早期発見に貢献します。また、万が一のインシデント時でも、これらのログを基に詳細な調査を行うことができます。

WEEDS Trace 証跡管理ソリューションについて詳しく紹介した資料です。

こんな方におすすめです。

・ISMSやガイドラインなどの対応を検討している方
・効率的にシステムの監査運用をしたい方
・不正アクセスなど情報セキュリティの課題を解決したい方
・ログ管理ツールについて詳しく知りたい方


操作ログの取得でもっとも重要なことは、すべてのコンピューターで行われた”人間の操作のログ”を漏れなく取得することに他なりません。取得したログから実際に行われた操作を再現できるかどうかがポイントとなります。

Windowsが標準で持っているイベントログ機能は、取得したい用途に合わせ操作ログの出力を行えることが利点ですが、特定の操作に関しては必要な情報全てを取得することができないことが上記のことで分かります。

そこでWEEDSでは、全ての操作ログを漏れなく取得するため、イベントログ+独自技術により取得したログ情報を組み合わせることで全操作をカバーし、直感で操作がわかるような監査証跡として記録する製品開発を実現しています。

詳しくは、Windowsサーバ向けの操作ログ取得製品「WEEDS WinServer-Trace」、WindowsクライアントPC向けの操作ログ取得製品「WEEDS Windows-Trace」をご参照ください。

WEEDS Traceでは「Windowsサーバ/クライアント」だけでなく、UNIX/Linuxサーバやデータベースに対応した製品もご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。

イベントログはサイバー攻撃の兆候を捉えるための重要なツールですが、ログ取得だけではセキュリティ対策としては不十分と言えます。外部からの攻撃者はシステム侵入後、特権アクセスを狙うため、アクセス制御の強化が不可欠です。
特権アクセスが外部からの攻撃だけでなく、内部からの脅威に対しても狙われるため、包括的な対策が求められます。ここでは、アクセス制御の重要性とその具体的な方法について説明します。

攻撃者の戦略とアクセス制御の必要性

外部からの攻撃

攻撃者は最初の侵入後、特権アクセス権を取得し、システム全体への制御を確立しようとします。これにより、機密情報の盗難やシステムの破壊活動が可能になります。

内部からの脅威

内部の従業員による不正アクセスも重大なリスクです。従業員が意図的に、または不注意で特権アクセスを悪用することを防ぐために、アクセス制御が有効です。

効果的なアクセス制御の方法

特権ID管理の導入

特権ID管理を導入することで、特権アクセスの監視と制御を強化できます。これにより、特権IDの使用状況をリアルタイムで把握し、不正なアクセスを迅速に検出できます。

ログの一貫性と完全性の確保

ログデータが改ざんされないようにし、整合性を保つための対策が必要です。これにより、ログデータを信頼できる情報源として活用できます。

監視とアラート機能

不正アクセスや異常な行動を即座に検出し、対応するための監視とアラート機能を導入します。

次のステップ

ログとアクセス制御を組み合わせた効果的なセキュリティ対策についてさらに知りたい方は、以下のコラムもご覧ください。

監査・セキュリティ対策ならウイーズ・システムズにご相談を

ウイーズ・システムズ株式会社は、創業からアクセスログ一筋のセキュリティ専門企業です。内部統制や各種ガイドラインへの対応、情報漏えいなどシステムセキュリティに関するご相談を受け付けております。

個人情報をはじめとする様々な情報の流出対策にウイーズ・システムズ株式会社が開発・販売する WEEDS Traceが貢献します。WEEDS Traceは、抜け漏れのないアクセスログの取得が可能です。取得したログのレポート機能や不正操作の早期発見のためのポリシー機能など提供しており、情報セキュリティの強化と業務効率の向上が実現できます。

ぜひウイーズ・システムズ株式会社のWEEDS Traceのご利用をご検討ください。

Writer 星 光史
WEEDS SYSTEMSの創業メンバーの一人。
創業から証跡監査、アクセスログ分野のツールを自社販売してきたWEEDS SYSTEMS社で、導入からセールスサポートまで一貫して従事し続けているコアメンバー。現場で起きているお客様の課題や悩みに直面しながら解決に導き、製品バージョンアップの方針策定も手掛ける。