Reading Time: 1 minutesサイバー攻撃を受けている、あるいはすでに感染してしまったクライアントPCは、本来通信が発生しない時間帯にアクセスが頻発する可能性があります。そのため、常日頃から勤務時間外に発生するログを監査することは、攻撃の兆候にいち早く気が付くためにも、とても大切なことなのです。 では、業務時間外のログを監査は、具体的にどのように行えば良いのでしょうか。 例えば、イベントビューアーから[ユーザー設定の範囲]で業務時間外の範囲を指定し、表示するという方法があります。あるいは、もう少し効率的な方法として、任意の日時やイベントIDに一致するログを出力するためのバッチファイルをタスクスケジューラーに仕込んでおき、定期的にエクスポートするという方法もあります。 しかし、上記の方法では、業務時間外に生成されたログをただ表示することができても、そこから「監査を行う」となった場合、ログを一つ一つ確認していく必要があり、やはり骨の折れる作業となり得ます。そこで、ADAudit Plusを使用いただくことにより、そのような作業を「時間をかけず」「簡単に」行うことが可能となるのです。... >>続きを読む
Latest Posts
AD監査の負荷をツールで大幅軽減!【6】 管理者権限を持つグループへのユーザ追加を監査
Reading Time: 1 minutes情報セキュリティの3要素として、OECDの情報セキュリティガイドラインでは、「機密性」「完全性」「可用性」の3つを定義しており、それらを総称して「CIA」と呼びます。このCIAは、ISO/IEC 27001でも重要視されており、セキュリティ対策を行う上で、バランスよく対策を施すことが求められます。一方で、様々な情報がデータ化される現代において、このCIAを脅かす攻撃も多様化しています。この脅威に対する代表的な考え方として、Microsoft社が提唱する「STRIDE」というものがあり、これは脅威に対する以下の6つの分類名の頭文字から成り立っています。 ・ Spoofing(なりすまし) ・... >>続きを読む
「標的型攻撃」対策を「野球」にたとえてみた ―今年中に対策を開始したいと思ったら、まずどこに相談しますか?―
Reading Time: 1 minutes 2017年の年明けにも、標的型攻撃による某大手ガス会社の情報流出事件が話題となりました。対岸の火事として見逃す訳にもいかず、対策に頭を悩ませる企業も増えているようです。 「標的型攻撃」というキーワードは1つです。 しかし、これに対抗するための施策には、「出入口対策」から「内部対策」、内部対策の中でも「ログ監査」から「端末管理」まで多岐にわたる施策が想定され、とても1つの部署では検討しきれません。同時に、1つのベンダーで全てのソリューションを提供することも、難しくなります。 例えば、弊社が提供するIT運用管理ソフトのブランド、「ManageEngine」では、ログ監査ソフトや脆弱性パッチ管理ソフトを提供できますが、出入口対策やふるまい検知のためのソリューションは提供できません。昨年、複数のベンダーと情報交換をする機会がありましたが、販促の際はどこも同じ悩みを抱えているようでした。... >>続きを読む
【なんか遅い!】なぜパスワードのリセットに時間がかかるのか?
Reading Time: 1 minutes急いでいる時、あるいは外出中に限ってパスワードの有効期限が切れてしまい、PCへのログインや VPN接続ができないといった経験はないでしょうか。 また、そんな急いでいる社員にせかされて、サーバーにログインしてリセット対応するといった経験は ないでしょうか。 本ブログでは、エンドユーザー(社員)から依頼のあるActive... >>続きを読む
AD監査の負荷をツールで大幅軽減!【5】 グループポリシーの変更履歴を管理
Reading Time: 1 minutes「グループポリシー」とは、Active Directoryが提供している機能の一つであり、ドメインに所属するリソースに対する設定を一元管理し、作業の効率化を図ることが可能です。また、グループポリシーからパスワードの複雑さを定義したり、アカウントロックアウトの条件を定義することもできるため、セキュリティ面の強化にも有効です。しかし、セキュリティ面に深くかかわる機能だからこそ、知らぬ間に勝手に変更されていた、ということがあれば大変です。 そこで、ADAudit PlusのGPO監査レポートをご利用いただくことにより、 ・... >>続きを読む
セキュリティを強化するための3つの重要なパスワードポリシー
Reading Time: 1 minutes多くの組織は、Microsoftのパスワードポリシーとそれが提供する機能に精通しています。 MicrosoftのActive Directoryドメインのパスワードポリシーは、17年以上も前から今も同じです。 いくつかの組織では多要素認証を実装する取り組みを行っていますが、これらのテクノロジーは高価だったり、複雑であったりするため、導入するにはエンドユーザーのトレーニングやサポートが必要になります。 多要素認証の導入が不可能な場合は、パスワードを保護するために、いくつかの制限を検討する必要がありますが、パスワードポリシーを定義するために3つの重要な点を解説します。... >>続きを読む
AD監査の負荷をツールで大幅軽減!【3】 リアルタイムのアラート通知
Reading Time: 1 minutes前回の記事(AD監査の負荷をツールで大幅軽減!【2】 リアルタイムのログ収集)の中で、ADAudit Plusのリアルタイム・アラート通知機能について触れましたが、今回はそのアラートをどのように設定するのか、アラートの設定方法についてご紹介したいと思います。 1.アラートプロファイルを定義する 多くのIT管理者からすると、変更や異常があった際に、即座に異常を検知する必要があります。ADAudit... >>続きを読む
標的型攻撃のトレーサビリティ確保!JPCERT推奨「取得すべき5つのシステムログ」
Reading Time: 1 minutes今日、日本年金機構をはじめ、大手旅行会社、大手ガス会社国立大学や政府系機関など、高度標的型メール(APT)攻撃による情報流出報道が後を絶たない。 繰り返される事故報道や事故に関するセキュリティ専門家の見解からも、メールを開いた個人に責任を追求するべきでなく、サイバー攻撃については災害や国際紛争のように余儀なく被害を受けてしまう状況になっている。 災害などのリスク管理においては、「想定外」を無くすという考え方から、有事の際の事後対応に向けて、事前の対応チームや手順の確立、災害発生を想定した上での訓練などが一般的に行われている。いわゆるBCMとかBCPと言われる類の対策だ。 サイバー攻撃においてもこの考え方を当てはめるのであれば、CSIRTなどを設立して、サイバー攻撃を受けてしまった(もしくは受けてしまった可能性がある)際、どういったチームがどういった手順でどのような対応を行うのかについて、事前の対策を行う事になる。 多数の調査実績から、自組織で攻撃を検知できずに、第三者からの通知で攻撃を受けていることに気づくことになるケースが報告されているが、そうした際に、不正通信を正確に検知し、問題となるウィルスなどのプログラムを隔離、根絶することが最も優先される事項だ。... >>続きを読む
i-FILTER ver.9に対応!プロキシ/ファイアウォールログの解析ツールFirewall Analyzer新版登場
Reading Time: 1 minutes多くの企業で、ネットワークの境界にファイアウォールとプロキシを設置して通信の出入りを管理することは、常識となっています。 標的型攻撃が横行する昨今では、これらのログを長期的に保管し、定期的に監視していなければ、怪しい兆候が発生していたとしても気づけず、また、事件が起きたときの原因調査ができません。 例えば、あなたの企業で外部攻撃による情報漏えいの可能性が発覚したとき、ログの保管を1ヶ月しか実施していなかったとすれば、どうでしょう。 最近の標的型攻撃は、侵入後に数ヶ月から(ひどい時には)数年に渡って攻撃者が潜伏しているケースがあります。 メールのアーカイブ情報などを辿り、発覚時点から1年以上前に遡ってウイルス侵入の形跡を確認した場合、直近1カ月のログでは侵入から情報持ち出しに至るまでの詳細な調査が不可能です。... >>続きを読む
EventLog Analyzerの検索機能
Reading Time: 1 minutesたとえ小規模のネットワーク環境であっても、日々膨大なログデータが出力されます。そのログの中には重要性の低いログが大量に出力されていた場合、ネットワークセキュリティにおいてクリティカルな情報を持つ、重要度の高いログを見過ごしてしまうかもしれません。 そのようなクリティカルなログを見過ごさないために、ログデータから効率的に検索することができるメカニズムが必要になります。 特定条件でログを検索するには、例えば以下のクエリを実行する方法があります: USERNAME=”John” AND... >>続きを読む