トピックはじめに施錠、盗難警報装置、カメラ、フェンス、警備員などの適正な物理セキュリティがないことが前提でビジネスを行おうとする企業はありません。さらに、外部からの攻撃や内部からの侵入の両方からネットワーク資産を保護するための相応のセキュリティ対策が必要であると、多くの企業がようやく認識するようになりました。 ビルや立入禁止区域への侵入を検知する一般的な手段として、カメラや行動探知器のようなセキュリティ システムがあります。しかし、組織はネットワーク資産を監視し、攻撃者を検出するシステムも実装する必要があります。そのため、セキュリティの監視が、ネットワーク セキュリティ戦略を成功させる重要な構成要素になります。 2004 年 8 月、米国シークレット サービスは、カーネギー メロン大学ソフトウェア エンジニアリング研究所の CERT/CC (CERT Coordination Center) と共同で、内部のユーザーによって行われた大掛かりな詐欺に対する脆弱性があることに関して事例を挙げて文書化したホワイト ペーパーを発表しました。詳細については、ホワイト ペーパー「Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector」 (http://www.secretservice.gov/ntac/its_report_040820.pdf) を参照してください。このレポートは英語で記載されています。 2004 E-Crime の調査では、このような脅威に関する詳しい証拠が文書化されています。この調査の回答者には、政府や、情報、電気通信、銀行、財務などの分野に属する組織が含まれています。この調査では、43% の回答者が電子犯罪やデータへの侵入が増加していることを認識しており、70% の回答者が前年最低 1 回は電子犯罪があったと報告していることが明らかになりました。すべての回答者の電子犯罪に対する総コストは、6 億米ドルを超えています。2004 E-Crime 調査の詳細については、プレス リリース「2004 E-Crime Watch Survey Shows Significant Increase in Electronic Crimes」 (http://www.cert.org/archive/pdf/2004eCrimeWatchSummary.pdf) (英語) (PDF ファイル) を参照してください。 ビジネス規制の継続的な強化や、外部および内部からの攻撃者による脅威の認識が進むにつれて、効果的なセキュリティの監視を実装する必要性がますます高まっています。効果的なセキュリティの監視を計画するには、ソリューションの実装に使用できるテクノロジを把握する必要があります。この章では、セキュリティの監視、および分析や保管用の関連セキュリティ ログを有効にするマイクロソフトのテクノロジについて説明します。 注 : このドキュメントでは、内部からの攻撃と外部からの攻撃を区別しています。内部からの攻撃は、社員 (通常は管理者) によって行われる攻撃です。外部からの攻撃は、組織外部から行われる攻撃です。ワイヤレス ネットワークなどのテクノロジが普及するにつれて、外部からの攻撃者が境界ネットワーク内部から攻撃を行えるようになりましたが、これらも外部からの攻撃と見なします。 セキュリティの監視の実装Microsoft Windows NT® version 3.1 以降のすべてのバージョンの Microsoft® Windows® に含まれる組み込みのセキュリティ イベント ログ ファイルを使用して、セキュリティ イベントを記録できます。このログ ファイルにより、Windows ベースのネットワークでのセキュリティ監視の基礎が提供されます。その他のユーティリティやプログラムでは、記録されたこれらのイベントを中央のリポジトリに関連付けることができます。 セキュリティ イベント ログ ファイルは、セキュリティ監視データの記録に、独自のデータベース形式を使用します。コンピュータ名や IP アドレスなど、このファイルの一部をテキスト エディタで読み取ることができます。ただし、セキュリティ ログのすべての情報を読み取るには、イベント ビューア コンソールのような適切なプログラムが必要になります。セキュリティ イベント ログ ファイル (SecEvent.evt) は %systemroot%\System32\config ディレクトリにあります。アプリケーション ログやシステム ログとは異なり、このファイルにアクセスするための既定の NTFS ファイル システム アクセス許可は、Administrators グループのメンバとシステム アカウントのみに許可されます。 セキュリティ イベント ログには、成功の監査と失敗の監査の 2 種類のイベントが記録されます。成功の監査イベントは、ユーザー、サービス、またはプログラムが実行した操作が正常に完了したことを示します。失敗の監査は、同様の操作が正常に完了しなかったことを示します。たとえば、失敗したイベントに対してログオンの監査が有効になっている場合は、セキュリティ イベント ログには成功しなかったログオン試行が記録されます。 注 : Microsoft Windows Server™ 2003 に Service Pack 1 を適用している場合は、ユーザーごとに異なるセキュリティ監査レベルを構成できます。この機能の詳細については、第 4 章「ソリューションの設計」を参照してください。 次の表では、セキュリティ イベントのカテゴリと各カテゴリで記録されるイベントを示します。 表 2.1: セキュリティ イベントの監査カテゴリ アカウント ログオン イベント | コンピュータのローカル アカウントに対するログオン試行を監査します。ユーザー アカウントがドメイン アカウントの場合は、このイベントがドメイン コントローラにも表示されます。 | アカウント管理 | パスワードの変更やリセットと併せて、ユーザー アカウントとグループ アカウントの作成、変更、および削除を監査します。 | ディレクトリ サービスのアクセス | Active Directory® ディレクトリ サービス内のオブジェクトへのアクセスを監査します。 | ログオン イベント | ワークステーションとメンバ サーバーへのログオン試行を監査します。 | オブジェクト アクセス | オブジェクトのシステム アクセス制御リスト (SACL) 内で監査設定を定義している、ファイル、フォルダ、レジストリ キー、プリンタなどのオブジェクトへのアクセス試行を監査します。 | ポリシーの変更 | ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーに対する変更を監査します。 | 特権使用 | システム時刻の変更など、ユーザーによるユーザー権利の行使を毎回監査します。 | プロセス追跡 | プログラムの起動や終了などのアプリケーションの動作を監査します。 | システム イベント | 起動やシャットダウンなどのコンピュータのシステム イベント、およびシステム セキュリティやセキュリティ ログに影響するイベントを監査します。 |
監査ポリシーのグループ ポリシー 設定は、どのイベントがセキュリティ ログにエントリを作成するかを制御します。これらの設定は、グループ ポリシーのコンソール ツリーで、[コンピュータの構成]、[Windows の設定]、[セキュリティの設定]、[ローカル ポリシー] の順に展開することでアクセスします。監査ポリシーの設定は、ローカル セキュリティ ポリシー コンソールで構成できます。また、グループ ポリシーと Active Directory を連携させることで、サイト、ドメイン、または組織単位レベルに構成することもできます。 セキュリティ ログは、包括的なセキュリティ監視の優れた基盤になります。グループ ポリシーの設定によりセキュリティ ログの監査レベルを一元的に構成でき、セキュリティ ログにアクセスする管理者に、既定のセキュリティ設定のみが許可されます。ただし、分散攻撃の監視やフォレンシック分析の実装には、監査イベントを集中的に相互に関連付ける監視システムが必要になります。 セキュリティ監査イベントの相互関連付けセキュリティ監査イベントを相互に関連付ける場合は、複数のコンピュータからセキュリティ イベントを収集し、この情報を中央の場所に配置する必要があります。その後、セキュリティ担当者はこの中央のリポジトリを分析して、ポリシー違反や外部からの攻撃を特定できます。このリポジトリを基盤として、フォレンシック分析が可能になります。ここでは、複数のセキュリティ イベント ログを相互に関連付けることができるマイクロソフト製品とユーティリティを紹介します。このような機能を実行できるサード パーティの製品もいくつかあります。 Event Comb MTEvent Comb MT (マルチスレッド) は Windows Server 2003 セキュリティ ガイドのコンポーネントで、異なるコンピュータの複数のイベント ログからイベントを解析および収集できるようにします。Event Comb MT はマルチスレッド アプリケーションとして実行され、イベント ログをスキャンするときに、次のようなさまざまなパラメータを指定できます。 | • | イベント ID (個別または複数) | | • | イベント ID の範囲 | | • | イベント ソース | | • | 具体的なイベント テキスト | | • | 分単位、時間単位、日単位でのイベント履歴 |
Event Comb には Account Lockouts など、特定の検索カテゴリが組み込まれています。Account Lockouts では次のイベントが検索されます。 | • | 529 — ログオンの失敗 (ユーザー名やパスワードが不適切) | | • | 644 — ユーザー アカウントの自動ロック | | • | 675 — DC での事前認証の失敗 (不適切なパスワード) | | • | 676 — 認証チケット要求の失敗 | | • | 681 — ログオンの失敗 |
既定の Administrator アカウントに対する攻撃を検索する場合は、システム ログからイベント 12294 (アカウント ロックアウトしきい値の超過) を追加できます。アカウント ロックアウトのしきい値が既定の Administrator アカウントに適用されないので、このイベントは特に重要です。その結果、攻撃者はアカウント ロックアウト メカニズムが起動されることなく、何回でも既定の Administrator アカウントへの侵入を試みることができます。 注 : イベント 12294 は、セキュリティ ログではなく、システム ログにセキュリティ アカウント マネージャ (SAM) イベントとして表示されます。 Event Comb MT ではイベントを Microsoft SQL Server™ データベースのテーブルに保存できるので、長期に渡るイベントの保管や分析に有効です。SQL クエリ アナライザ、Microsoft Visual Studio® .NET、多数のサードパーティ ユーティリティなどの広範なクライアント プログラムを使用して、SQL Server テーブル内の情報にアクセスできます。 Event Comb MT v10.0 にはコマンドライン オプションも含まれているので、セキュリティ ログから定期的にイベントを自動収集するスクリプトを作成できます。Event Comb MT では、あらゆる形式のクライアント収集エージェントが用意されているわけではなく、またイベントを中央のリポジトリに自動的に転送する機能を備えていないので、あらゆる脅威のシナリオに適しているわけではありません。 Event Comb MT は、「Account Lockout and Management Tools」 Web サイト (http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) (英語) から無償でダウンロードできます。 「Windows Server 2003 セキュリティ ガイド」は http://www.microsoft.com/downloads/details.aspx?FamilyID=66994ba0-c977-41c8-a698-ef6edb9a4b52&DisplayLang=ja からダウンロードできます。 Microsoft Operations Manager 2005Microsoft Operations Manager (MOM) では、エンタープライズ環境内の複数のサーバーが監視されます。MOM エージェントでは、イベント ログからイベントが収集され、収集されたイベントは MOM 管理サーバーに転送されます。その後、MOM 管理サーバーによって、転送されたイベントが MOM データベースに格納されます。MOM 2005 以降では、MOM エージェントを実行していないコンピュータからもイベントを収集できます。 MOM では管理パックのルールを使用して、サーバーの運用効果に影響する問題点が特定されます。特定のイベントを検索するルールを追加で定義できます。このようなルールでは、このイベントが発生したときに、電子メール、ポップアップ メッセージ、ポケットベル デバイスなどを使って即時通知を送信します。 MOM にはセキュリティの監視や攻撃の検出に使用する機能が数多く用意されていますが、MOM はこのような目的で設計されたわけではありません。MOM の今後のリリースでは、セキュリティ ログの照合に関する多くの機能が提供される予定です。 独立系ソフトウェア ベンダのソリューションマイクロソフト製品で、セキュリティの監視のすべての側面に対するエンドツーエンドのソリューションが提供されるわけではありません。現在のマイクロソフト製品には、次の機能が含まれていません。 | • | リアルタイムのイベント ログ アラーム | | • | セキュリティが保護されたイベント ログ収集システム |
マイクロソフトのパートナーからこのような不足機能を埋める次の製品が提供されています (アルファベット順)。 | • | Adiscon の EventReporter: EventReporter により、管理者は UNIX と Windows のイベント ログ レポートや警告の機能を 1 つの環境に組み合わせることができます。この製品では、UNIX ベースのシステムとの統合に標準の UNIX syslog プロトコルをサポートし、警告の転送に SMTP (Simple Mail Transfer Protocol) をサポートします。EventReporter に含まれるエージェントを構成して、複数のコンピュータからセキュリティ イベントを収集し、フィルタを適用後、データベースに格納することができます。セキュリティ イベントに応じて、イベントを電子メールで転送したり、アプリケーションを起動したり、ネットワーク メッセージを作成したりできます。Adiscon EventReporter の詳細については、EventReporter の Web サイト (www.eventreporter.com) (英語) を参照してください。 | | • | GFI の GFI LANguard Security Event Log Monitor: LANguard Security Event Log Monitor では、イベント ログを基にした侵入検知とネットワーク規模のイベント ログ管理が実行されます。この製品では、すべてのネットワーク コンピュータのイベント ログが保管および分析され、セキュリティの問題、攻撃、およびその他の重要なイベントがリアルタイムに警告されます。Security Event Log Monitor では、イベント ログを中央のデータベースに保管でき、フォレンシック分析用にカスタム ルールやレポートを提供できます。詳細については、GFI LANguard Security Event Log Monitor の Web サイト (www.gfi.com/lanselm) (英語) を参照してください。 | | • | Lakeside Software, Inc の Systrack 3: Systrack 3 では、Event Log Monitor によりほぼリアルタイムのイベント ログ アラームが提供されます。Event Log Monitor では、コンピュータのすべてのイベント ログが定期的に検査され、最後に検査してから新しい事象が発生しているかどうかが判断されます。Systrack 3 では、新しく見つかったイベントがフィルタ選択され、適切な対応が行われます。これらのフィルタでは、既定の設定、ユーザー定義の設定、またはその両方の組み合わせを使用できます。ユーザー名やワークステーション名など、任意のイベント内の特定の文字列により、イベント ログ アラームをトリガできます。イベントによってスクリプトを実行したり、コンピュータを再起動することもできます。また、フィルタによって SNMP (Simple Network Management Protocol) トラップ、Windows ポップアップ メッセージ、または電子メール警告を生成することもできます。Systrack 3 の詳細については、Lakeside Software の Web サイト (www.lakesidesoftware.com) (英語) を参照してください。 |
| 
