監査

第12回 Azure ADのアクセスログ管理【MicrosoftのMVP解説!Azure ADの虎の巻】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法 Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。 Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。 [監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。 一方、[サインイン]ログではAzure...

ADAudit Plus , クラウドサービス , セキュリティ , 一般 1 min read

第11回 オブジェクトの監査管理【MicrosoftのMVP解説!Active Directoryのハウツー読本】

Reading Time: 1 minutesこの記事の所要時間: 約 5分 ◆ 今回の記事のポイント ◆ ・ グループポリシーによる監査の有効化方法について解説 ・ イベントログの確認方法について解説 前回のコラムでは、GUIやCUIの管理ツールを用いたオブジェクトの作成および管理について解説しました。今回は、オブジェクトの監査について解説します。 ■ オブジェクトの監査とは オブジェクトの監査とは、Active Directoryのオブジェクトに対する操作を記録することです。小規模な環境であれば1人の管理者によって全てのオブジェクトの管理をおこなうことも可能ですが、ある程度以上の規模の場合には複数人の管理者で管理することも少なくありません。このような場合、特定のユーザーに対して必要最低限の管理権限を与えて運用します。しかし、複数人で管理することで、設定ミスやインシデントが起きる可能性は高くなることが考えられます。監査の設定をおこない、「誰が」「いつ」「どのオブジェクトに対して」「どのような」操作をおこなったのかを記録することで、設定ミスの早期発見やインシデントが起きてしまった際にどのようなことがおこなわれたかを把握するのに役立ちます。 ユーザーの作成や変更のようなActive Directoryのオブジェクトの監査をおこなうためには、以下の2つの設定が必要です。 グループポリシーによる監査の有効化 監査対象のオブジェクトに対する監査設定 この2つの設定を適切に構成することにより、Active Directoryへの書き込みやプロパティの変更などを監視し、操作の内容をイベントログとして出力できます。 ■ グループポリシーによる監査の有効化 グループポリシーには、監査を有効化するためのポリシー設定が用意されています。監査をおこなうには、そのポリシー設定を構成し、ドメインコントローラーに対してグループポリシーを適用する必要があります。Active Directoryのオブジェクトの監査をおこなうためには、次のいずれかのポリシー設定を構成します。ドメインコントローラー以外のコンピューターには適用する必要がないため、ポリシーの編集時はDefault...

ADAudit Plus , セキュリティ , 一般 1 min read

特権IDを用いた重要システムへの操作をリアルタイムで監視!監査人に求められる厳しい現実とそのソリューション

Reading Time: 1 minutesこの記事の所要時間: 約 3分 情シス担当者であれば、社内システムやインフラの構築/運用/保守や社員PCのトラブルシューティングで、日々サーバーやネットワーク機器を扱っているでしょう。 このとき、管理者の方は、各情シス担当者が実際にどんな作業を行っているか把握していますか。または、現場メンバーが非常に重要度の高いサーバーやシステムに対する操作を行う際、リアルタイムの監視や定期的な監査を実行できているでしょうか。 今回は、特権ID利用におけるリスクと監査人に求められる要件に関してご案内します。 目次 特権ID利用におけるリスクとは リアルタイム監視にあたってぶつかる課題 特権ID管理ソフトウェアを利用した場合の解決策 特権ID利用におけるリスクとは 特権ID利用においてどのようなリスクがあるか、ご存知ですか。まずは、特権ID(WindowsのAdministrator権限やLinuxのroot権限)にシステムにアクセスした時にできることをご紹介します。 ————————————————————————-・サーバーの再起動・アカウントの作成/削除・アカウントの権限変更・パスワードの変更・アプリケーション/サービスのインストール・その他(重要な設定など)————————————————————————- 上記一覧を見るとわかるように、特権IDはあらゆる操作ができる「非常に強力な権限」を持っています。それがゆえ、管理におけるリスクも非常に大きいIDであり、性善説の考えに基づき、通常業務で特権IDを使用する情シス担当者に手放しでID管理を任せることは、非常に危険な行為です。 実際に特権IDが悪用されて個人情報が漏えいしてしまう事件や、操作ミスによりシステム障害に発展する事件も起きており、会社への信頼/コスト面で膨大な損失を被るケースもあります。 このようなリスクを避けるためにも、特権IDを用いた重要システムへの操作については、「立ち合い」を必須とする監査要件が設けられるケースがあるのが現状です。 リアルタイム監視にあたってぶつかる課題 立ち合いが必須になる場合、立ち合い業務に対応する担当者(監査人)にとっては、業務負荷が高まります。多くの場合、監査人は他の業務も兼任しており、作業が必要なタイミングですぐに対応できるとは限りません。 また、情シス担当者にとっては、立会人が作業室にいるタイミングでしか作業を行えないというデメリットがあります。 この他、いくら監査人が立ち会ったとしても、実際の操作履歴が残らなければ信頼性に欠けるという課題も残ります。例えば、監査という行為そのものが形骸化し、細部まで確認されていなかったり、監査人と作業者が結託して操作ミスを隠蔽していたりする可能性を指摘されると、否定できません。 以上のことから、人手による監視では、「担当者の負荷が高い」「非効率」「信頼性に欠ける」という課題があります。 特権ID管理ソフトウェアを利用した場合の解決策 上記のようにリスク/課題が多い特権IDについて、特権ID管理ソフトウェアを使用した場合の管理策をご案内します。 通常の特権ID管理ソフトウェアでは、特権IDを使って「誰が」「いつ」「どのシステムで」「何を操作したか」記録する機能が備わっています。これにより、情シス担当者の操作内容を全て把握することが可能になります。 さらに、弊社の特権ID管理製品「Password...

Password Manager Pro , セキュリティ 1 min read

Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 Windowsのログオン成功イベントに注目 イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。 イベントID:4624は、以下のOSに出力されます。 Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016 ※ Windows Server 2003以前の場合、同じ内容のイベントがイベントID:528・540として出力されます。...

ADAudit Plus 1 min read

Windowsのログオン失敗イベントを監査【連載:ここに注目!セキュリティログをご紹介】

Reading Time: 1 minutesこの記事の所要時間: 約 4分 Windowsのログオン失敗イベントに注目 イベントビューア上に出力されるイベントID:4625は、ローカルコンピューター上で発生したログオン失敗イベントを記録しています。このイベントは、ログオンの試行があったコンピューター上に生成されます。 イベントID:4625が出力されるOSは、以下の通りです。 Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2016 ※ Windows Server 2003以前の場合、同じ内容のイベントがイベントID:529・530・531・532・533・534・535・536・537・539として出力されます。...

ADAudit Plus 1 min read

AD監査の負荷をツールで大幅軽減!【1】 ADAudit Plusってどんな製品?

Reading Time: 1 minutesこの記事の所要時間: 約 2分 ADAudit Plusは、Microsoftが提供するディレクトリ サービスであるActive Directoryを監査するレポートツールです。本製品を使うことで、Windowsドメイン上で管理されているドメインコントローラー/メンバーサーバー/ファイルサーバーなどのリソース、そしてユーザーやグループ、グループ ポリシーなどのオブジェクト情報から、 「簡単に」かつ「見やすい」 監査レポートを生成することが可能です。 本製品の特徴として、インストールから利用開始までおよそ10分間で行うことができるという導入の簡単さが挙げられます。監査に必要な手順はたったひとつ、「ドメインコントローラー」の登録のみです。以下に、ドメインコントローラーに関して必要となる設定情報についてご案内します。 図:ドメインコントローラー追加画面 1. ドメイン名を入力します。 2. ドメインコントローラーよりログを取得する際に使用するアカウント情報を入力します。 ※Domain Admin以上の権限が必要です。 3. 対象ドメインに対するドメインコントローラーを選択します。 また、ADAudit Plusはイベントログを収集して監査を行います。そのため、必要な監査ログが出力されるよう、監査ポリシーの設定が必要となりますが、ADAudit Plusでは、必要な監査ポリシーの設定も、同画面からワンクリックで行うことが可能です。 図:ドメイン設定画面 このようにユーザーは複雑な設定を一切行う必要がなく、ドメインコントローラーを登録していただくだけで、直ちにリアルタイムのログ収集・監査を行うことが可能です。...

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(後編)

Reading Time: 1 minutesこの記事の所要時間: 約 1分   本投稿の前編では、イベントビューアーを使用したログオン認証の監査方法についてご案内しましたが、後編では、弊社製品ADAudit Plusを使用した場合の確認方法についてご紹介します。 楽々!わかりやすい!ADAudit Plusを使用したログオン認証イベントの確認方法 ADAudit Plusには、200以上の定義済みレポートがあると記載しましたが、ドメイン認証を使用したログオンに関するレポートとしては、以下の15つをご用意しています。 一覧からお分かりいただける通り、一言に「ログオンレポート」といっても様々な観点でのレポートがあり、ログオン失敗理由別、ドメインコントローラー別、ユーザー別と確認することが可能となっています。 各レポートからは、「いつ」「誰が」「どこから」ログオンしたのか、失敗の場合は「なぜ失敗したのか」という詳細な内容まで確認することができ、さらに、ADAudit Plus側でコンピューターアカウントによるログオンイベントは自動で除外するため、純粋にユーザーによるログオン認証イベントを確認することが可能です。 ▼ ログオン監査機能を動画で紹介  イベントビューアーから確認する場合は、フィルターをかけたうえで、さらに一つ一つ目で見て判断を行う必要がありました。しかし、ADAudit Plusはそれらをすべて自動で行ってくれるため、システム管理者は複雑な作業の一切を行う必要がなく、ADAudit Plusにログインし、レポート名をクリックするだけで、監査を行うことが可能となるのです。 もし、ManageEngineが提供するActive Directory監査ログ分析ツール「ADAudit Plus」について、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。評価期間中は、技術サポートもご利用可能です。 無料で使えます[機能制限なし] ダウンロードはこちら | 概要資料はこちら 前編へ移動...

ADAudit Plus 1 min read

Active Directoryのログオン認証を監査するには(前編)

Reading Time: 1 minutesこの記事の所要時間: 約 5分 目次 イベントビューアーを使用したログオン認証イベントの確認方法 イベントログ出力のために必要な監査ポリシーの設定 もっと簡単に確認できるツール Windows 9x系のOSでは、ユーザー名とパスワードの入力が必須ではなく、Escキーを押すことで、省略してログオンすることができました。それは、Windows 9x系のOSが個人での利用を前提につくられており、本人以外が使用する可能性、およびそこへの配慮が重要視されていなかったためです。しかし、企業でのコンピューターの使用が一般的となっている現代では、複数の人が同じコンピューターを使用する場合もあれば、ネットワーク越しに不正にコンピューターへアクセスされ、社内の情報が奪取されるという場合もあります。このような状況において、誰もがコンピューターにログオンできるという状態はまず避けなければいけないことであり、安全な使用のためには、コンピューターへログオンするアカウントの管理、および不審なログオン認証が行われていないかの監査が必要とされています。 ワークグループ環境の場合、各コンピューターが独立して存在しているため、管理や監査が困難となります。例えば、運用ポリシーに則った適切なパスワードが設定されているか、パスワードが定期的に変更されているか、といったことを把握しようとした場合、システム管理者は一台一台の設定状況を確認する必要があります。そこで、ある程度のネットワークの規模が大きくなる場合は、Active Directory環境で管理することにより、効率的にユーザーの認証・管理を行うことができます。なお、Active Directoryの概要や必要性については、以下のブログ記事にてご案内しておりますので、興味のある方は、ご一読いただければと思います。 【 連載:ADについて学ぼう 】 では、Active Directory環境において、意図したアカウントによるログオンが行われているか、不審なログオン失敗の履歴が存在していないかということを確認するためには、どうすればよいでしょうか。本投稿の前編では、イベントビューアーを使用した確認方法について、ご案内していきたいと思います。 イベントビューアーを使用したログオン認証イベントの確認方法 Active Directory環境において、ユーザーがログオンすると、認証情報がドメインコントローラーに送られ、認証情報の検証を行います。そして、ドメインコントローラー側で認証データが正しいことが確認できた場合はチケットが発行され、今後クライアントは、このチケットを使用してリソースにアクセスすることができるようになります。ログオンの成功・失敗を決定する、この「事前認証」の結果は、以下のイベントIDにて、イベントビューアー上に出力されます。 4768 Kerberos 認証チケット (TGT)...

ADAudit Plus 1 min read

ADManager Plusのオペレータの監査レポート

Reading Time: 1 minutesこの記事の所要時間: 約 0分 本ブログでは、Active Directory ID管理ツールADManager Plusのオペレータの監査レポートを紹介します。 オペレータの監査レポートでは、オペレータがADManager Plus上で行った操作の履歴を表示します。 表示する手順は次のとおりです。 1. [オペレータ]メニューに移動 2. [監査レポート]をクリック オペレータの監査レポートをスケジュール化することもできます。 スケジュール化する手順は次のとおりです。 1. [オペレータ]メニューに移動 2. [監査レポート]をクリック 3. [スケジュールレポート]をクリック 4. [新規スケジュールレポートの設定]をクリック 5....

ADManager Plus 1 min read