ADAudit Plus

ゾーホージャパンのManageEngine ADAudit Plusは、Active Directory管理者の変更操作チェック、IT統制、J-SOX対応の業務負荷軽減に貢献する、AD監査レポートツールです。 Visit:

AD監査の負荷をツールで大幅軽減!【2】 リアルタイムのログ収集

Reading Time: 1 minutesこの記事の所要時間: 約 2分 Active Directoryにて発生するイベントの中で、発生次第すぐに通知を受けたいイベントはありませんか?多くのIT担当者の方にとって、そのような要注意イベントは少なからず存在しているかと思います。そして発生次第すぐ、というのは、3分後、5分後のことをいっているのではなく、イベントが発生した「その瞬間」、という意味です。 多くのイベントログ収集ツールは、スケジュールベースで一定間隔ごとにドメインコントローラーからイベントを収集する仕組みを採用していますが、その場合、5分から30分ほどのインターバルのログ取得間隔が必要になります。つまり、たとえ特定のイベントに対する変更に関連付けたアラートを設定していたとしても、アラート通知は、実際のイベントが生成されてから最低でも5分以上かかる場合があり、時にその5分が致命的となる可能性があります。 ADAudit Plusはこの問題を解決するために、Windows Serverが採用している、Microsoft独自のアルゴリズムを使用した技術をベースに、リアルタイムのイベント収集・アラート通知を行うことが可能です。 この技術の仕組みとして、以前から使用されているAPI機能を活用した方法となりますが、各ドメインコントローラーのセキュリティログに「ステート変更」シグナル信号を送り続け、ADAudit Plusで定義している基準に一致したイベントが発生した場合に、プル サブスクリプションモデルを使用して、イベントを収集します。これにより、ADAudit Plusはリアルタイムでイベントの収集を行ったり、特定のイベントが発生した際には即座にアラート通知を行うこと可能となります。 この技術の最大のメリットとして、不要なログを取得しないためドメインコントローラーへの負荷軽減となり、エージェントも必要としないため構成変更を行なう必要もありません。また、ドメインコントローラーが停止した際に、復旧後にはその間に発生しているイベントもADAudit Plusサーバーが取得できるという点もメリットであります。 なおリアルタイム監査の有効化は、Webクライアント画面上の[ドメインコントローラー設定]から行うことが可能です。 図1 ドメインコントローラー設定画面 [ドメインコントローラー設定]画面には、[イベント取得間隔]を設定する項目があります。イベント取得間隔には2つのモードがあり、「リアルタイムモード」と「スケジュールモード」のいずれかから選択することが可能です。 図2 イベント取得間隔のモード ここで「リアルタイムモード」を選択することで、遅延のない、即座のイベントログ収集が可能になります。なお基本的にはリアルタイムモードでのログ収集を推奨していますが、「スケジュールモード」を選択することで、5分単位でのスケジュール設定を行うことも可能です。 図3 スケジュールモード もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。 評価期間中は、技術サポートもご利用可能です。 ※本記事にて掲載しているスクリーンショットは、ADAudit...

ADAudit Plus 1 min read

AD監査の負荷をツールで大幅軽減!【1】 ADAudit Plusってどんな製品?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ADAudit Plusは、Microsoftが提供するディレクトリ サービスであるActive Directoryを監査するレポートツールです。本製品を使うことで、Windowsドメイン上で管理されているドメインコントローラー/メンバーサーバー/ファイルサーバーなどのリソース、そしてユーザーやグループ、グループ ポリシーなどのオブジェクト情報から、 「簡単に」かつ「見やすい」 監査レポートを生成することが可能です。 本製品の特徴として、インストールから利用開始までおよそ10分間で行うことができるという導入の簡単さが挙げられます。監査に必要な手順はたったひとつ、「ドメインコントローラー」の登録のみです。以下に、ドメインコントローラーに関して必要となる設定情報についてご案内します。 図:ドメインコントローラー追加画面 1. ドメイン名を入力します。 2. ドメインコントローラーよりログを取得する際に使用するアカウント情報を入力します。 ※Domain Admin以上の権限が必要です。 3. 対象ドメインに対するドメインコントローラーを選択します。 また、ADAudit Plusはイベントログを収集して監査を行います。そのため、必要な監査ログが出力されるよう、監査ポリシーの設定が必要となりますが、ADAudit Plusでは、必要な監査ポリシーの設定も、同画面からワンクリックで行うことが可能です。 図:ドメイン設定画面 このようにユーザーは複雑な設定を一切行う必要がなく、ドメインコントローラーを登録していただくだけで、直ちにリアルタイムのログ収集・監査を行うことが可能です。...

ADAudit Plus 1 min read

SIEMという選択(後編) – SIEM製品を選択する基準とは?

Reading Time: 1 minutesこの記事の所要時間: 約 3分 記事の前編では、企業がSIEMを選択すべき理由について解説しました。後編となる今回は、SIEM製品を選定する際の基準についてご紹介します。 ■ SIEM製品の選定で重要となる「予算面」 SIEM製品を選定する際、予算というのは非常に重要な検討項目の一つです。SIEM製品によっては、処理するログ流量がライセンスの課金対象となっているものもあれば、監視対象となるデバイス数に基づき課金されるものもあります。デバイス数に基づく価格設定となっており、ログ流量には影響されない場合、生成されるログのボリュームの量にかかわらず金額が一定となるため、コストの見積もりが容易になります。 しかし、予算以外にも重要な事項はもちろん存在します。そのいくつかを、以下でご紹介したいと思います。 ■ SIEM製品を選定する際に考慮すべき4つの事項 1.対応デバイスの範囲:ルーター・スイッチ・ファイアウォール・IDS/IPSなどのネットワークデバイスに加え、アプリケーション、サーバー、ワークステーション、さらにはクラウドサービスなど、様々なデバイス・サービスが企業で利用されています。SIEM製品を導入する際には、監視対象とするデバイスを一つのツールで包括的に管理できるかどうか、さらにデバイスの登録に多くの工数を必要としないかという点も併せて確認することが大切です。 ManageEngine Log360は、750を超えるデバイスからのログ収集に対応しています。また、「追加フィールド機能」を使用することで、正規表現を使用した解析ルールを自由に定義することができ、可視性を高めることが可能です。   2.ログを分析・可視化するレポーティング機能:SIEM製品の特長として、複数ログに対する横断的な分析への対応が挙げられます。ログ管理プロセスを自動化し、重要なメッセージを監視することで、脅威の早期検知に寄与します。そのためには、セキュリティ面だけでなく、対応が必要なコンプライアンスの双方に対して有用なレポートがデフォルトで搭載されており、効率よくログの可視性を高めることができるSIEM製品が推奨されます。また、重要性の高い情報を一画面に集約したダッシュボード画面と、そこから必要な情報を数クリックで掘り下げて確認できるドリルダウン機能が含まれていることで、分析に伴う作業の効率性をさらに高めることが可能です。 ManageEngine Log360には、サポートデバイスを対象とした1,000以上の定義済みレポートが用意されています。また、PCI-DSS・SOX・GDPRをはじめとする各種コンプライアンスに対応したコンプライアンスレポートにより、コンプライアンス対応をスムーズに行うことが可能です。   3.フォレンジック分析:ログ分析にかかる時間は、攻撃を検知するまでにかかる時間と比例します。記事の前編でもご案内しましたが、「攻撃の検知」は「攻撃の遂行」と比べて大幅に時間がかかる傾向にあります。したがってSIEM製品に求められるのは、幅広いデバイスから受信する大量のログを取りこぼしなく収集し、それを相関的に分析するとともに、疑わしいログが発生した際に即座に通知を行うような機能の搭載です。また、インシデントが発生した際に過去のログを遡って調査ができるよう、ログを長期保管できる仕組みも大切です。 ManageEngine Log360のコリレーション機能を使用することで、異なるデバイス、異なるログ種別から発生したログを相関的に分析して、ネットワーク間で発生している不審な動きを検知することが可能です。また、ログの長期保管を行う場合は、アーカイブ化を行うことで圧縮した状態での保存ができ、さらに必要に応じて暗号化や改ざん検知の設定を行うことで、よりセキュアにデータを保持できます。   4.柔軟なカスタマイズ:たとえSIEM製品にセキュリティ(コンプライアンス)レポート、アラートプロファイルや相関分析のルールが豊富に組み込まれていたとしても、それが企業の運用ルールに合致していない、あるいは使いづらいなどで利用が難しい場合、無駄なものとなってしまいます。そこで、アラートプロファイルのしきい値を微調整したり、レポートの項目を変更するなど、企業に合わせた柔軟なカスタマイズが必須です。故にSIEM製品には、「豊富なレポートの提供」と、それに対して簡単に変更を加えられる「カスタマイズ性」の2点が備わっていることが求められます。 ManageEngine Log360のコリレーション機能は、企業の運用に合わせて自由にしきい値を変更したり、ルールの再定義を行うことが可能です。...

ADAudit Plus , EventLog Analyzer , セキュリティ 1 min read

Log360がガートナー社のマジック・クアドラント(SIEM部門)に2年連続で掲載!

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ManageEngine Log360は2016年に続き、”2年連続”でガートナー社のマジック・クアドラント(SIEM部門)に掲載されました。 ガートナー社とは、米国に本社をおく業界最大のアドバイザリ企業です。マジック・クアドラントでは、特定のテクノロジー市場における販売会社を、ガートナー社が中立的な立場から「リーダー」・「ビジョナリー」・「ニッチ」・「チャレンジャー」という4つのクアドラントに分類し、その位置づけを公開しています。 なお、Log360は2016年3月に本社リリース、そして2018年9月に日本リリースされた製品で、「ログの統合管理」に特化した簡易SIEMツールとなりますが、リリースの年である2016年、そして2017年と続いて「ニッチ(特定市場志向型)」としての位置づけで掲載されました。 レポートにて、ガートナー社のアナリストはLog360の強みを以下のように述べています: ・ 統合管理ソリューションに関心のあるManageEngineの既存ユーザー、あるいはコストパフォーマンスに優れたシンプルなSIEMツールを探している企業は、Log360やEventLog Analyzerの利用が推奨されます。 ・ Log360には、監査とコンプライアンスに関わる機能が数多く提供されています。複数のコンプライアンスに特化したレポートを含めて、1,200以上の定義済みレポートが存在します。 ・ ADAudit Plusは、単一または複数のActive Directory(ドメインコントローラー)を対象とした、認証・アクセスなどの監査に対応しており、内部統制対策としての機能を提供します。 ・ Log360は他の多くのSIEMツールと比較すると、シンプルな構造になっているため、直感的に使用することが可能です。また、脅威検知を含む、幅広いコリレーションルールがあらかじめ用意されており、特にWindowsを対象とした定義済みレポートや解析ルールが豊富に備わっています。 >> 原文となるマジック・クアドラントレポートはこちらをご参照ください。(英語) ガートナー社の免責事項 ガートナーは、ガートナー・リサーチの発行物に掲載された特定のベンダー、製品またはサービスを推奨するものではありません。また、最高の評価を得たベンダーのみを選択するようテクノロジの利用者に助言するものではありません。ガートナー・リサーチの発行物は、ガートナー・リサーチの見解を表したものであり、事実を表現したものではありません。ガートナーは、明示または黙示を問わず、本リサーチの商品性や特定目的への適合性を含め、一切の保証を行うものではありません。   <...

ADAudit Plus , EventLog Analyzer , セキュリティ , 一般 1 min read

【MicrosoftのMVP解説!AzureADの虎の巻】第3回 Azure ADの利用開始

Reading Time: 1 minutesこの記事の所要時間: 約 4分 今回の記事のポイント ・ Azure ADにおける「ディレクトリ」の意味について解説 ・ Azure ADディレクトリの作成方法について解説   今回からいよいよAzure Active Directory (Azure AD) の具体的な操作も交えながら、その特徴について見ていきます。 Azure ADでは「ディレクトリ」と呼ばれる単位で管理を行います。オンプレミスで運用するActive Directoryで言うところの「ドメイン」に当たるものだと思ってもらえれば、分かりやすいと思います。Azure ADでは「ドメイン」という言葉は、Azure ADディレクトリに対して設定する、example.comやcotoso.comのような名前のことを指すために、「Azure ADドメイン」ではなく「Azure ADディレクトリ」という呼び方をするようです。しかし、実際にはディレクトリとドメインの言葉は、区別せずに使ってしまうことが多いようです。ですので、そういう違いがあるという認識をしていただいた上で、どちらでも皆さんにとって使いやすい言葉を選択してください。 前置きはこんなところにして、実際にディレクトリを作っていきましょう。...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

【MicrosoftのMVP解説!Active Directoryのハウツー読本】第2回 Active Directoryのキホン(1)

Reading Time: 1 minutesこの記事の所要時間: 約 5分 今回の記事のポイント ・ Active Directoryのキホンとなる3つのキーワード (ドメイン、フォルスト、信頼関係) について解説   前回よりActive Directoryのコラムを担当している新井です。前回は、Active Directoryの必要性や、ワークグループとドメインの違いについて解説しました。今回は、このコラムの本題となるActive Directoryを管理していく上で「キホン」となる概念やキーワードについて解説してきます。ただ、その「キホン」となるキーワードはボリュームが多いため、2回に分けて解説していきますので、次回のコラムと併せてお読みいただければと思います。今回は、「ドメイン」、「フォレスト」、「信頼関係」という3つについてピックアップして解説します。 ■ ドメイン ドメインとは、Active Directoryの「オブジェクトを管理する単位」です。オブジェクトとは、Active Directoryに登録されるアカウント (ユーザー、コンピューター、グループなど) やリソースの総称です。オブジェクトの管理方法などについては次回以降の連載で解説しますが、現時点ではオブジェクトは「アカウントなどの総称」として捉えていただければと思います。さて、本題となるドメインに話を戻しますが、ドメインはオブジェクトを管理する単位であるため、1つのドメイン内ではドメインコントローラー (DC) 同士が複製の仕組みを使用して同じオブジェクトの情報を共有します。逆にドメインが分かれている場合にはオブジェクトの管理も分かれるということになります。例えば、下の図のようにAドメインとBドメインがある場合、保有するオブジェクトはそれぞれ別物であるということになります。 ■ フォレスト...

ADAudit Plus , ADManager Plus 1 min read

【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性

Reading Time: 1 minutesこの記事の所要時間: 約 6分   今回より、Active Directoryのコラムを担当させていただくことになりました、新井と申します。Azure Active Directoryのコラムを担当させていただいている国井と同様に、私も普段はマイクロソフトの製品や技術に関するトレーニングをおこなっております。その中でも、Windows ServerやActive Directoryに関するトレーニングを中心に担当していることもあり、本コラムを担当させていただくことになりました。コラムを通して、現状の環境の再確認や、今後のクラウド化に向けた環境の整理などのために役立てていただければと考えておりますので、宜しくお願いいたします。 さて、初回となる今回は、Active Directoryの必要性について解説していきます。今ではほとんどの組織で当たり前のように導入されている「Active Directory」ですが、あらためてその必要性を確認していきましょう。 ■ 「認証」と「認可」 組織内には、様々なアプリケーションやデータ、サーバーなどのリソースが存在します。そして、扱われるリソースの中には、誰でも閲覧できるように公開したいものもあれば、特定の人だけにアクセスを限定したいものもあります。そのため、コンピューターを使用する上では、どの利用者なのかを識別するプロセスが重要であり、その確認をおこなうための「認証」の仕組みが必要になります。Windowsベースのコンピューターでは、ユーザーアカウントを使用して認証をおこなうことによって、どの利用者なのかを識別しています。その上で、各データに対してどのユーザーだったらアクセスを許可するのかを設定することにより、データへのアクセス制御である「認可」を実現しているのです。 Windowsにおけるユーザー管理の仕組みには、「ワークグループ」と「ドメイン」という2つのスタイル(管理形態)があります。本コラムはActive Directoryを用いる「ドメイン」の話が中心ですが、まずはその違いを理解しておく必要があります。 ■ ワークグループでの認証動作 ワークグループとは、Windowsの既定値であり、「分散管理」と言い表すことができます。WindowsのコンピューターはSAM(Security Account Manager)と呼ばれるデータベースを持っており、ワークグループは各コンピューターのSAMを使用してアカウントを管理していくスタイルです。そのため、ユーザーが使用するコンピューター上にユーザーアカウントを作成し、そのコンピューター上で認証がおこなわれます。さらに、そのコンピューターにユーザーがサインインしたあと、他のサーバーなどにネットワークを介してアクセスしたい場合もあります。ワークグループでは各コンピューターが持つ認証情報を使用するため、ネットワークを介したアクセスでは、そのアクセス先のコンピューターで再度認証がおこなわれます。 ■ ワークグループの課題と、ドメインでの認証動作...

ADAudit Plus 1 min read

【MicrosoftのMVP解説!AzureADの虎の巻】第2回 Azure ADを使って安全にクラウドサービスへアクセスする

Reading Time: 1 minutesこの記事の所要時間: 約 5分 今回の記事のポイント ・ Azure ADを利用したSSO(シングルサインオン)ガセキュリティに与える影響について解説   皆さんこんにちは。前回からAzure Active Directoryのコラムを担当している国井です。 前回、Azure Active Directory (Azure AD) を利用することで、それぞれのクラウドサービスにアクセスするたびにユーザー名・パスワードを入力しなくてもよくなる、という話をしました。このような仕組みを「シングルサインオン」と呼びますが、今回はシングルサインオンを行うことがセキュリティに与える影響についてお話します。 シングルサインオンは1回のユーザー名・パスワードの入力操作でどこにでもアクセスできる仕組みです。そのため、利用者側 (ユーザー) から見れば、ブラウザーでユーザー名・パスワードがキャッシュされているのと、Azure ADを使ってシングルサインオンしているのは、どちらも同じに見えます。そのため、Azure ADの利用を社内で検討するときは「わざわざAzure ADを利用するメリットがあるのか?」という議論もあるでしょう。 この質問に対する、セキュリティ面から見た答えは「まったく違います」。 このことを理解するために、Azure...

ADAudit Plus , セキュリティ , 一般 1 min read

セキュリティ基準を設けることの重要性

Reading Time: 1 minutesこの記事の所要時間: 約 1分 セキュリティ管理者に求められる重要なポイントの一つに、Active Directoryのセキュリティ対策における、現在の自分たちの立ち位置を正確に把握することが挙げられます。そのためには、Active Directoryに関する情報を広範囲にわたり収集することが大切です。 Active Directoryに対するセキュリティ基準の策定 まずは、現在行われているセキュリティ設定の中でコンプライアンスに準拠しないもの、または全体のセキュリティ要件を満たさないものを洗い出し、対策をとることが求められます。 以下が、調査と対策のために見るべき設定の一例です: ・ 特権を有するセキュリティグループ ・ ユーザーの権利 ・ パスワードポリシー ・ アカウントロックアウトポリシー ・ Active Directory 委任 ・ グループポリシー 委任...

ADAudit Plus , ADManager Plus 1 min read

UberのセキュリティインシデントからみるGDPR準拠へのポイント

Reading Time: 1 minutesこの記事の所要時間: 約 2分 年々利用者を増やしており、特に海外では多くの人に親しまれているUberですが、昨年、その人気が危ぶまれる出来事が発生しました。 Uberは、欧州連合(EU)の中でその成長率を維持するために、広報、法的課題、マーケティング活動に多くのリソースを費やしてきました。そのような活動の中、2017年11月掲載のUberのブログにて、2016年10月ごろに受けたサイバー攻撃を公開せず、隠ぺいしていたことが明らかとなりました。同社はブログにて、昨年10月に5000万人のユーザー情報と700万人のドライバーの名前、メールアドレス、電話番号、運転免許証の番号が流出し、漏洩した情報に対する一切の黙秘を条件に、ハッカーへ10万ドルを支払っていたことを報告しました。もともとこのようなセキュリティ違反は重大なインシデントとなりますが、EUの一般データ保護規則(GDPR)が施行された今、Uberにとっては、EUで再び信頼を得るための大きな障壁となり得ます。 ● どのようにして攻撃が発生したのか? Uberのエンジニアは、開発のためにGitHubコーディングサイトを使用していましたが、ハッカーはそのサイトの抜け穴を利用してログイン情報を取得後、個人データを抜き出しました。Uberは、すでに今後の攻撃を阻止するための対策を講じていると主張していますが、今回ポイントとなるのは、セキュリティ違反を直ちに公表しなかったという点です。実際、問題が発生したタイミングでは違反を報告する義務はありませんでしたが、GDPRが施行された今、欧州で同様のことが発生した際には、企業にとって深刻な事態となります。 ● GDPR施行後に問題が発生した場合はどうなるのか? 今回の問題では、EU市民の個人データが多数漏洩してしまいましたが、GDPRは、このような問題に対して重いペナルティを課しています。例えば、制裁金として、最大2000万ユーロ(約26億円)、あるいは年間売り上げの4%のいずれかのうち、高額な方を支払う必要があります。また、違反があったことを直ちに公表しなかったという事実は、EU市民の信頼を大きく損なうことにつながるでしょう。 ● GDPRを遵守するために必要なこと 今回のセキュリティ違反を踏まえて、2018年5月25日に施行されたGDPRを遵守するために求められることを、以下に挙げていきたいと思います。 セキュリティ違反が発生した際には、速やかに検知し、被害を最小限に留めるための措置をとること。また、発生72時間以内に、監督機関へ報告をおこなうこと。いずれかを怠った場合、GDPRの違反につながります。 データが保管されている場所(物理、仮想、クラウドなどに関わらず)に対して、企業は不正なアクセスからデータを保護し、安全性を継続的に検証するためのセキュリティ対策を講ずること。 カスタムアプリケーションやサービスを使用している場合は、同様に監査対象とすること。企業はセキュリティの穴を防ぐため、これらのアプリケーションやサービスで起こっている活動を監査し、記録する必要があります。 ● GDPRへの準拠にManageEngineはどのように貢献できるのか? ManageEngineでは、GDPRに準拠するためのツールとして、以下を提供しています。   関連情報をCheck! >> GDPR対応ソリューション

ADAudit Plus , Desktop Central , EventLog Analyzer 1 min read