Windowsサーバには、監査と呼ばれる機能がある。これは、セキュリティに関連するイベントの発生を記録しておいて、後から確認できるようにする機能だ。今回は、この監査機能の利用について解説しよう。
監査機能とは何をするものか
たとえば、顧客や取引先に関する情報を記録したファイルをファイルサーバに置いて、公開している場面を考えてみよう。
もちろん、共有アクセス権の設定によって、問題のファイルにアクセスできるユーザーを限定する必要があるのはいうまでもない。これは、重要な機密情報を保護するための予防的な対策といえる。しかし、個人情報漏洩のようなセキュリティインシデントが発生したときには、事後対応のための手段が必要になる。つまり、いつ、誰が、どのファイルにアクセスしたかを把握しておかなければならないということだ。こうした場面で監査機能が威力を発揮する。
Windowsサーバで行える監査の機能には、以下のものがある。
・アカウントログオンイベントの監査
・アカウント管理の監査
・オブジェクトアクセスの監査
・システムイベントの監査
・ディレクトリサービスのアクセスの監査
・プロセス追跡の監査
・ポリシーの変更の監査
・ログオンイベントの監査
・特権使用の監査
これらの監査機能のうち「オブジェクトアクセスの監査」を使うと、ファイルやフォルダに対するユーザーごとのアクセス状況を記録しておくことができる。これを利用することで、顧客や取引先に関する情報のような、重要な情報を記録したファイルへのアクセス状況を把握できる。また、「ログオンイベントの監査」を利用すると、誰が、いつ、システムにログオンしたのかを把握できる。
どの監査機能でも、[成功]と[失敗]のいずれか、あるいは両方を記録できる。多くの場合、[成功]の監査を記録するとログが多くなり過ぎて、重要な情報がその中に埋もれてしまう可能性がある。通常は[失敗]のログだけを記録する方が無難だが、オブジェクトアクセスの監査については[成功]の監査も行わなければ意味がなくなる。
なお、監査した結果はイベントビューアの[セキュリティログ]で確認できる。これについてはイベントビューアのログ保存機能と併せて、次回にまとめて解説することにしよう。今回はとりあえず、監査機能の設定について取り上げる。
監査機能の設定手順
監査の設定を行うには、Active Directory環境であればグループポリシー、非Active Directory環境ではローカルセキュリティポリシーを使用する。監査する項目によって、単に監査を有効にするだけで済む場合と、さらに追加の作業が必要になる場合がある。
ログオンイベントの監査であれば、監査を有効にするだけでよい。しかし、オブジェクトアクセスの監査では監査を有効にするだけでなく、監査の対象にしたいオブジェクト、つまりファイルやフォルダの側でも、監査を有効にするための設定作業が必要になる。まずは、監査ポリシーの設定手順について解説しよう。
ポリシーエディタを使って、グループポリシー、あるいはローカルセキュリティポリシーの中にある[監査ポリシー]以下の監査ポリシーを有効にする。グループポリシーであれば、[グループポリシーの管理]管理ツールで任意のグループポリシーオブジェクト(GPO)の編集を指示する。ローカルセキュリティポリシーであれば、[スタート]-[管理ツール]以下にある[ローカルセキュリティポリシー]管理ツールを実行すればよい。
ポリシーエディタ左側のツリー画面で[監査ポリシー]を選択して、画面右側に現れるポリシー一覧の中から、変更したい監査ポリシー、たとえば[オブジェクトアクセスの監査]をダブルクリックする。
続いて表示するダイアログには、[有効][無効]のチェックボックスがある。そのうち片方、あるいは両方のチェックをオンにしてから、[OK]をクリックしてダイアログを閉じる。元のポリシーエディタの画面に戻ると、設定した内容を表示しているはずだ。
グループポリシー、あるいはローカルセキュリティポリシーで監査機能を有効にする。ファイルやフォルダに対するアクセス状況を監査する場合、[オブジェクトアクセスの監査]で[有効]と[無効]の両方を有効にする |
[ログオンイベントの監査]のように、監査ポリシーを設定するだけで有効になるものもあるが、[オブジェクトアクセスの監査]では、さらに追加の設定が必要になるものもある。これについてはこの後で解説する。
オブジェクトアクセスの監査を行うための設定
ファイルやフォルダに対するアクセス状況を記録する[オブジェクトアクセスの監査]では、監査ポリシーを有効にするだけでなく、監査の対象にしたいファイルやフォルダについて、「ユーザー○○を対象にして監査を行います」といった設定が必要になる。
監査ポリシーを有効にするだけですべてのファイル、すべてのユーザーに対して監査を行うのではシステムに負荷がかかりすぎるし、ログの量も多くなり過ぎて使い物にならないため、こうした仕様になっている。設定手順は以下の通りだ。
エクスプローラで、ファイル/フォルダのプロパティ画面を表示させる。
[セキュリティ]タブに移動して、[詳細設定]をクリックする。
続いて表示する[(フォルダ/ファイル名)のアクセス制御の設定]ダイアログの[監査]タブで[追加]をクリックして、監査対象になるユーザーやグループをリストに追加する。たとえば、[Everyone]を監査対象に指定すれば、すべてのユーザーが監査対象になる。いうまでもなく、特定のユーザー、あるいはグループを監査対象に指定することもできる。
- 元のダイアログに戻ったら、一覧で監査対象となるユーザー/グループを選択した状態で[編集]をクリックする。この操作によって表示するダイアログで、監査する項目を指定する。ファイルに対するアクセス状況を記録するのであれば、[フォルダの一覧/データの読み取り]について、[成功]と[失敗]の両方をオンにする。アクセス記録を残すためには[失敗]だけでは不十分で、[成功]も有効にしなければならない。
- 設定作業が完了したら、[OK]を順番にクリックしてダイアログを閉じる。この設定を行うと、設定対象となったファイルやフォルダについて、監査対象に指定したユーザーによるアクセスの状況を記録するようになる。
[編集]をクリックすると表示するダイアログで、一覧に加えたユーザーやグループを対象にして行う監査イベントを指定する。ファイルやフォルダに対するアクセスの有無を記録するのであれば、[フォルダの一覧/データの読み取り]を使う。成功と失敗について、個別に設定可能だ |
ドメインコントローラを監査対象にする場合の注意
Active Directoryを構成している環境でドメインコントローラを対象として監査を行う場合、GPO[Default Domain Controllers Policy]で監査を設定する必要がある。このGPOの既定値で監査ポリシーを明示的に無効化しており、ドメインにリンクしてあるGPO[Default Domain Policy]の設定を上書きしてしまうためだ。なお、これが影響するのはドメインコントローラだけなので、一般サーバで監査を行う場合には、任意のGPOで監査ポリシーを設定すればよい。
本連載で使用している富士通のPCサーバ「PRIMERGY ECONEL 100 S2」「PRIMERGY TX120」の詳細は、同社のWebを参照してください。また、高鹿陽介氏によるレビュー記事も掲載中です。