Reading Time: 1 minutesWindowsのログオン成功イベントに注目 イベントビューア上に出力されるイベントID:4624は、ローカルコンピューター上で発生したログオン成功イベントを記録しています。このイベントは、アクセスのあったコンピューター上、言い換えればログオンセッションが生成されたコンピューター上に生成されます。対するイベントID:4625は、ログオン失敗イベントが発生した際に生成されるイベントログとなり、こちらについては次回で詳しくご紹介していきたいと思います。 イベントID:4624は、以下のOSに出力されます。 Windows 7,... >>続きを読む
セキュリティ
ログの相関分析でサイバー攻撃の兆候をいち早く検知
Reading Time: 1 minutes増えつづけるサイバー攻撃 2017年に世界で猛威を振るった「WannaCry」を代表に、今年12月には実名制Q&Aサイトを運営する米Quoraで約1億人のユーザー情報が漏洩するなど、昨今、サイバー攻撃関連のニュースは注目を集めてきました。 攻撃が成功する要素は、大きく2つ挙げられます。1つはセキュリティホールといわれる抜け穴の存在、そしてもう1つは悪意ある内部関係者の存在です。この2つに対して、企業の大半はなんらかの対策を講じているにも関わらず、被害件数は一向に衰える気配をみせません。 以下は、NICTサイバーセキュリティ研究所がまとめた分析結果です。2017年に観測されたサイバー攻撃関連の通信は計1,504億パケットにも上り、1 IPアドレスあたり、年間約56万パケットが計測されている計算となります。中でも2016年以降から、その量が顕著に増え続けているのがグラフから明らかです。... >>続きを読む
Linuxのセキュリティ対策とパッチ管理:あなたは本当に安全ですか?
Reading Time: 1 minutes本ブログは、Aravind Ekanath氏による記事を翻訳、一部加筆したものです。リンク表記箇所については、原文から引用しております。... >>続きを読む
SIEMという選択(前編) – なぜSIEMが選ばれるのか?
Reading Time: 1 minutesセキュリティの脅威は日々上昇傾向にあり、ハッカーの攻撃方法はさらに洗練されつつあります。 アメリカの通信大手であるVerizon社は、データ侵害に関する調査レポート「Verizon 2018 Data Breach... >>続きを読む
第2回 Azure ADを使って安全にクラウドサービスへアクセスする【MicrosoftのMVP解説!第一弾 Azure ADの虎の巻】
Reading Time: 1 minutes◆ 今回の記事のポイント ◆ ・ Azure... >>続きを読む
セキュリティ基準を設けることの重要性
Reading Time: 1 minutesセキュリティ管理者に求められる重要なポイントの一つに、Active Directoryのセキュリティ対策における、現在の自分たちの立ち位置を正確に把握することが挙げられます。そのためには、Active Directoryに関する情報を広範囲にわたり収集することが大切です。 Active Directoryに対するセキュリティ基準の策定... >>続きを読む
【JPCERT/CC提唱】特権をもつアカウントの使用を監視
Reading Time: 1 minutes近年、高度サイバー攻撃による国内被害が増加しています。高度サイバー攻撃では、攻撃者は明確な目的をもっており、その目的を達成するため、プロセスを踏んで組織内ネットワークに侵入し、長期的な攻撃を繰り返します。 図1 高度サイバー攻撃のプロセス 攻撃者がコンピューターへ侵入後、自由にリソースへアクセスするため、まずはドメイン管理者やサーバー管理者権限のアカウント情報の入手を試みます。その方法の一つとして、ドメイン認証で使用されるKerberosに対する仕様上の脆弱性を利用する場合があり、その攻撃手法やツールはインターネットで公開されていることから、誰でも、比較的簡単にActive... >>続きを読む
Active Directoryのログオン認証を監査するには(前編)
Reading Time: 1 minutes目次 イベントビューアーを使用したログオン認証イベントの確認方法 イベントログ出力のために必要な監査ポリシーの設定 もっと簡単に確認できるツール Windows... >>続きを読む
セキュリティ強化のためのパケットフィルタリングと不要ルールの棚卸
Reading Time: 1 minutes ファイアウォールのもつ基本機能として「パケットフィルタリング」が挙げられます。これは、あらかじめファイアウォールの管理者が定めたルールに基づいて必要なパケットのみを通過させ、それ以外を遮断する機能であり、最も一般的なセキュリティ対策の一つです。 ファイアウォールの最もシンプルな構図として、イントラネット(内部ネットワーク)とインターネット(外部ネットワーク)の出入り口に設置し、その間を通過する通信を制御します。また、イントラネットからインターネットへの通信の制御には「情報漏えい防止」、逆にインターネットからイントラネットへの通信の制御には「不正アクセス防止」が目的として挙げられ、誰もが気軽にインターネットに接続できる現代だからこそ、悪意ある内部ユーザーによる情報漏えいや、高い技術を持つハッカーやクラッカーによる不正アクセスを防ぐための対策が必要なのです。そして、その最初の砦として、ファイアウォールの設置は効果的といえます。 では、パケットを振り分けるパケットフィルタリングとは、実際どのような機能なのか。それをご説明するため、以下ではパケットフィルタリングのルール設定について、もう少し具体的にご紹介したいと思います。 ファイアウォールのルールを設定... >>続きを読む
ツールを用いた現実解!特権IDの監査用履歴を効果的に残す方法
Reading Time: 1 minutes監査で利用するための「特権ID利用履歴」、皆さんはどのように記録していますか? 特権IDとは、システムにおいて最も高い権限をもち、システムの導入や設定変更作業で使用するアカウントです。しかし、不正に利用されたり人為的なミスが発生した場合は、システムへの影響が大きいため、適切な管理を必要とされています。また複数人が同じ特権IDを共有して使用することも多く、誰が、何の目的で、何の作業をしたのかを管理することが重要となります。 企業によって「特権IDの貸出管理」だけを行っているケースもありますが、台帳に記載されている内容が全て真実である保証は、どこにもありません。そのため、企業は「特権IDの貸出管理」に加えて、作業ログの継続的な監査体制を構築することも求められます。その場合、 たとえコンフィグを1行変えるだけの僅かな変更でも、申請、承認、エビデンスの提出など、多くのチェック項目を満たす必要があり、手動で管理しようとすれば膨大な作業量となります。現場作業を行なうエンジニアにとっては、実際に行なう設定変更作業以外にも複雑な手続きを踏む必要が生まれ、エンジニアの監督者にとっては作業内容をエビデンスとして記録・保管していくための負荷が課されます。 本ブログでは、このような特権IDの利用申請、承認、証跡管理を、ツールを用いて効率的に運用する方法を紹介します。... >>続きを読む