コラム

COLUMN

Windowsサーバで標準出力されるイベントログは監査証跡になるか?

昨今の情報漏えい事故の背景を受け、情報セキュリティーに関するガイドラインでは、”人間による操作”の記録保持をうたっています。それを受け、Windowsサーバーに標準搭載されているログ”イベントログ”を保管してそれに替えている企業やセキュリティ製品を多く見受けます。さて、このWindowsイベントログは、各ガイドラインが求める”人間による操作”の記録として成り立つのでしょうか?

目次

  1. そもそもWindowsイベントログとは何か?
  2. Windowsイベントログの解説
  3. 操作の記録はどれだけ取れるか?
  4. 記録されない操作は?
  5. Windowsイベントログを監査証跡とする場合の問題点
  6. まとめ

まず、Windowsイベントログとは何でしょうか?

簡単に言えば、「Windowsシステム内で起こった特定の現象や動作(イベント)の記録(ログ)」のことです。

Windowsシステム内では色々なことが起きます。その現象の中で、”Windowsが決めた”動作を記録したものです。逆に言えば、Windowsが”記録する”と決めたものしか記録しません。つまり”記録する/しない”という設定をことになり、”記録する”と設定しない限り、イベントログとして記録されないことになります。

例えばどんなログが記録されるかというと、「Windowsが再起動した」とか「あるアプリケーションがエラーを出力した」などです。

このイベント(現象)ログですが、大きく3つの分野に別れています。
 ・アプリケーション ・セキュリティ ・システム
そして、それぞれの現象の中で、現象のレベルが以下の3つに分けられています。
 ・情報(I) ・警告(W) ・エラー(E)
例えば、”Windowsの再起動”が起きれば「システム」の「情報(I)」として記録が残る、というわけです。

従って、人間の操作が起因した記録(ログ)も無数に取得されます。どちらかというと、人間の操作に起因しないログが圧倒的に多く取得され、分別が必要になりますが、明確な分別がしにくいのが現状です。

このイベントログは、Windowsに標準搭載されたビューアー「イベントビューアー」で見ることができます。(「スタート」メニューから「プログラム」-「管理ツール」-「イベントビューア」)

このWindowsのイベントログは、現在ではEVTX形式のファイルに記録され、
C:\Windows\System32\winevt\Logs
というフォルダー以下に配置されています。

これらの設定やフォルダを見るには管理者権限が必要です。従って、管理者でなければ設定変更はできませんし、フォルダ内のファイルを見ることもできません。
しかし、管理者権限を持っていれば、設定を元に戻したり、都合の悪いイベントログファイルを削除してしまうこともできることになります。

ではこのWindowsイベントログで、人間の操作に近いログをどう設定すると取得できるのでしょうか。

例えば、ファイルの操作をイベントログに出力したい場合は、Windowsの「ファイルの監査」機能をONにします。設定方法は、「ローカル グループ ポリシー エディター」を起動して設定します。

上記画面の左ツリーから「コンピューターの構成」ー「Windows の設定」ー「セキュリティの設定」ー「監査ポリシーの詳細な構成」ー「システム監査ポリシー – ローカルグループポリシーオブジェクト」ー「オブジェクト アクセス」をクリック。

開いた右パネルの「ファイル システムの監査」を選択し、右クリックし、プロパティを起動します。

そして、ログ取得したいファイルが存在するフォルダ毎に、プロパティ画面から”取得したい操作”をチェックしていくことになります。

このようにして「監査の設定」がされたフォルダ内のファイルを操作するとイベントログとして操作が記録されることになりますが、実際に色々な操作をしてみると、うまくログ取得できない場合や、正確な操作がイメージできない記録もあることが分かります。

例えば「ファイル名の変更」や「ファイルの移動(同一ドライブ内)」です。
これらの操作は、”操作後のファイルパス”や”ファイル名”が取得できない場合があります。

そして「フォルダのコピー」や「フォルダの移動」については、明確なアクションを取得することが出来ず、「READ」「WRITE」の組合せで判断するしかありません。

以上のことを踏まえると、Windowsイベントログを監査証跡とする場合には、以下の問題点を許容しなくてはならないことが分かります。

  • 人間の操作に起因しないシステムイベントのログは、排除する必要があるが、明確に区別できない。
  • ファイルを移動した場合、どこに移動したか分からない。
  • フォルダのコピーや移動は、ログを追って解釈しないと分からない。
  • 管理者権限があれば、ログを削除したり、出力しないように設定変更できてしまう。
  • インターネットでアクセスしたページのタイトル、アドレスが取得できない(ブラウザの起動まで)
  • コマンドプロンプトで実行したコマンドが取得できない(コマンドプロンプトの起動まで)

上記の課題を解決するためにはどのような対策を実施すればいいのでしょうか。解決策の一つとして証跡管理ツールの利用をお勧めします。「WEEDS Trace」は、抜け漏れのないアクセスログの取得が可能であり、全ての”人間による操作”をカバーしています。全ての操作を取得することで、内部からの不正行為の抑止や、不正アクセスの早期発見に貢献します。また、万が一のインシデント時でも、これらのログを基に詳細な調査を行うことができます。

製品資料|証跡管理「WEEDS Trace」

・Windowsサーバー向け製品「WEEDS WinServer Trace」の紹介
・UNIX系サーバー向け製品「WEEDS UNIX Trace」の紹介
・データベース向け製品「WEEDS DB Trace」の紹介

操作ログの取得でもっとも重要なことは、すべてのコンピューターで行われた”人間の操作のログ”を漏れなく取得することに他なりません。取得したログから実際に行われた操作を再現できるかどうかがポイントとなります。

Windowsが標準で持っているイベントログ機能は、取得したい用途に合わせ操作ログの出力を行えることが利点ですが、特定の操作に関しては必要な情報全てを取得することができないことが上記のことで分かります。

そこでWEEDSでは、全ての操作ログを漏れなく取得するため、イベントログ+独自技術により取得したログ情報を組み合わせることで全操作をカバーし、直感で操作がわかるような監査証跡として記録する製品開発を実現しています。

詳しくは、Windowsサーバ向けの操作ログ取得製品「WEEDS WinServer-Trace」、WindowsクライアントPC向けの操作ログ取得製品「WEEDS Windows-Trace」をご参照ください。

WEEDS Traceでは「Windowsサーバ/クライアント」だけでなく、UNIX/Linuxサーバやデータベースに対応した製品もご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。

Writer 星 光史
WEEDS SYSTEMSの創業メンバーの一人。
創業から証跡監査、アクセスログ分野のツールを自社販売してきたWEEDS SYSTEMS社で、導入からセールスサポートまで一貫して従事し続けているコアメンバー。現場で起きているお客様の課題や悩みに直面しながら解決に導き、製品バージョンアップの方針策定も手掛ける。