セキュリティお助けマニュアル

【OS標準機能を使ったセキュリティ対策】

お金をかけずともできるセキュリティ対策

お金をかけずともできるセキュリティ対策

セキュリティ対策をする上ではある程度の投資は必要です。しかし情報システムに限ればOSの標準機能+運用である程度の対策をすることも可能です。

Windowsの標準機能を利用したセキュリティ対策

 Windows 10では個々のパソコンでポリシー設定をすることでセキュリティの設定を行うことができます。

 以下はWindows 10において設定すべき各セキュリティ対策の項目です。本ページでは『パスワードの設定』『スクリーンセーバーの設定』の手順を解説します。
 その他の項目についてはリンク先のページをご覧ください。

    1. パスワード設定
      1. パスワードの長さの設定
      2. パスワードの有効期間
      3. パスワードの履歴管理
      4. パスワードの変更禁止期間
      5. 複雑なパスワードの強制
      6. ログオン失敗回数の設定
    2. スクリーンセーバー設定
    3. 監査ポリシー設定
    4. ファイルの暗号化
    5. アクセス権設定
    6. WindowsOS標準のバックアップユーティリティーの利用

パスワード設定

    1.  画面左下『スタート』ボタンをクリックし、『ファイル名を指定して実行』を選択します。  
    2.  『ファイル名を指定して実行』ダイアログが開きます。『名前』ボックスに『gpedit.msc』と入力し、『OK』ボタンをクリックします。  

      ※Windows10 Pro/Enterprise/Educationにはgpedit.mscが標準搭載されていますが、Windows 10 Homeでは標準搭載されていないため別途インストールする必要があります。
       Windowsのエディションの確認方法は「セキュリティ対策のいろは」の1-b. それぞれのパソコンのオペレーションシステム(OS)は何ですか?のページをご覧ください。

    3.  『ローカル グループポリシーエディター』ウィンドウが開きます。目的のポリシー設定を含むフォルダを表示します。ポリシー項目は、グループポリシーエディタスナップインの右側のペインに表示されます。  
    4.  パスワードのポリシーを設定するには、[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > [アカウントポリシー] > [パスワードのポリシー]を展開します。右側のペインより設定したいポリシーを選択して、ダブルクリックします。  
    5.  選択したポリシーのプロパティウィンドウが開きます。値を入力して『OK』ボタンをクリックします。下記の表は、パスワードのポリシーについて説明したものです。  

内容

設定

パスワードの長さ

このセキュリティ設定は、ユーザー アカウントのパスワードに使用できる最少文字数を決定します。1 から 20 文字に設定するか、文字数を 0 に設定してパスワードを不要にします。

パスワードの変更禁止期間

このセキュリティ設定は、パスワードが変更可能になるまでの期間 (日数) を決定します。この期間内は、同じパスワードを使わなければなりません。1 から 998 までの日数を指定するか、または日数を 0 に設定してすぐに変更できるようにします。

パスワードの有効期間

このセキュリティ設定は、1 つのパスワードを使用できる期間 (日数) を決定します。この期間を過ぎると、システムから変更するよう要求されます。有効期間として 1 から 999 までの日数を指定するか、日数を 0 に設定してパスワードの有効期限が切れないように指定します。パスワードの有効期間が 1 から 999 日の場合、パスワードの変更禁止期間にはこの有効期間よりも短い日数を指定してください。パスワードの有効期間が 0 に設定されている場合は、パスワードの変更禁止期間として 0 から 998 までの日数を指定できます。

パスワードの履歴を記録する

このセキュリティ設定は、以前使ったことがあるパスワードをもう一度使用できるようになるまでに、ユーザー アカウントに関連付ける必要がある異なる新しいパスワードの数を決定します。0 から 24 までの値を指定してください。

パスワードは要求する複雑さを満たす

このセキュリティ設定は、パスワードが複雑さの要件を満たす必要があるかどうかを決定します。

このポリシーが有効な場合、パスワードは次の最小要件を満たす必要があります。

  • ユーザーのアカウント名またはフル ネームに含まれる 3 文字以上連続する文字列を使用しない
  • 長さは 6 文字以上にする
  • 次の 4 つのカテゴリのうち 3 つから文字を使う
    • 英大文字 (A から Z)
    • 英小文字 (a から z)
    • 10 進数の数字 (0 から 9)
    • アルファベット以外の文字 (!、$、#、% など)

複雑さの要件は、パスワードの変更時または作成時に強制的に適用されます。

暗号化を元に戻せる状態でパスワードを保存する

このセキュリティ設定は、オペレーティング システムが暗号化を元に戻せる状態でパスワードを保存するかどうかを決定します。

    1.  アカウントロックアウトのポリシーを設定するには、[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > [アカウントポリシー] > [アカウントロックアウトのポリシー]を展開します。右側のウィンドウより設定したいポリシーを選択して、ダブルクリックします。  
    2.  選択したポリシーのプロパティウィンドウが開きます。値を入力して『OK』ボタンをクリックします。下記の表は、アカウントロックアウトのポリシーについて説明します。

内容

説明

アカウントのロックアウトのしきい値

このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となるログオン失敗回数を決定します。ロックアウトされたアカウントは、管理者がリセットするか、そのアカウントのロックアウト期間が過ぎるまで使用できません。ログオン失敗回数として 0 から 999 までの値を設定できます。この値を 0 に設定すると、アカウントがロックアウトされることはありません。

ロックアウト カウンターのリセット

このセキュリティ設定は、ログオン失敗後、ログオン失敗のカウンターが 0 (不良ログオン試行) にリセットされるまでに必要な時間を分単位で指定します。設定できる時間は、1 から 99,999 分です。

ロックアウト期間

このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウト期間を分単位で指定します。設定できる時間は、0 から 99,999 分です。ロックアウト期間を 0 に設定すると、管理者が明示的にロックを解除するまでアカウントはロックアウトされます。

    1.  監査ポリシーを設定するには、[コンピューターの構成] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [監査ポリシー]を展開します。
       右側のペインより設定したいポリシーを選択して、ダブルクリックします。  
    2.  選択したポリシーのプロパティウィンドウが開きます。『成功』と『失敗』のチェックボックスを選択して『OK』ボタンをクリックします。下記の表は、監査ポリシーについて説明します。  

内容

設定

アカウント ログオン イベントの監査

このセキュリティ設定は、このコンピューターでアカウントの資格情報が検証されるたびに OS による監査を実行するかどうかを決定します。

アカウント管理の監査

このセキュリティ設定は、コンピューターでのアカウント管理の各イベントを監査するかどうかを決定します。アカウント管理イベントには次のものがあります。

  • ユーザー アカウント、またはユーザー グループが作成、変更、削除された
  • ユーザー アカウントの名前が変更された。ユーザー アカウントが無効、または有効になった
  • パスワードが設定、または変更された

オブジェクト アクセスの監査

このセキュリティ設定は、ユーザーによる非 Active Directory オブジェクトへのアクセス試行について OS による監査を実行するかどうかを決定します。監査はシステム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ、かつ、要求されたアクセスの種類 (書き込み、読み取り、変更など) およびその要求を発行したアカウントが SACL の設定に一致した場合にのみ生成されます。

システム イベントの監査

このセキュリティ設定は、次のイベントについて OS による監査を実行するかどうかを決定します。

  • システム時刻変更の試行
  • セキュリティ システムの開始またはシャットダウンの試行
  • 拡張可能な認証コンポーネントの読み込み試行
  • 監査システムのエラーによる監査イベントの消失
  • セキュリティ ログ サイズの構成可能な警告しきい値レベルの超過

ディレクトリ サービスのアクセスの監査

このセキュリティ設定は、ユーザーによる Active Directory オブジェクトへのアクセス試行について OS による監査を実行するかどうかを決定します。監査はシステム アクセス制御リスト (SACL) が指定されているオブジェクトに対してのみ、かつ、要求されたアクセスの種類 (書き込み、読み取り、変更など) およびその要求を発行したアカウントが SACL の設定に一致した場合にのみ生成されます。

プロセス追跡の監査

このセキュリティ設定は、プロセスの作成、プロセスの終了、ハンドルの複製、間接的なオブジェクト アクセスなど、プロセス関連のイベントについて OS による監査を実行するかどうかを決定します。

ポリシーの変更の監査

このセキュリティ設定は、ユーザー権利の割り当てポリシー、監査ポリシー、アカウント ポリシー、または信頼ポリシーに対する変更の試行について OS による監査を実行するかどうかを決定します。

ログオン イベントの監査

このセキュリティ設定は、このコンピューターに対してユーザーのログオンまたはログオフが試行されるたびに OS による監査を実行するかどうかを決定します。

特権使用の監査

このセキュリティ設定は、ユーザー権利を使用するユーザーの各インスタンスを監査するかどうかを決定します。

スクリーンセーバー

    1.  スクリーンセーバーを設定するには、[ユーザーの構成] > [管理用テンプレート] > [コントロールパネル] > [個人用設定]を展開します。右側のペインより設定したい設定項目を選択して、ダブルクリックします。  
    2.  選択した設定項目のプロパティウィンドウが開きます。有効にしたい項目を選択して『OK』ボタンをクリックします。下記の表は、スクリーンセーバーについて説明したものです。  

内容

設定

スクリーン セーバーを有効にする

デスクトップ スクリーン セーバーを有効にします。

この設定を無効にした場合、スクリーン セーバーは実行されなくなります。また、コントロール パネルの [個人用設定] または [画面] の [スクリーン セーバー] ダイアログにある [スクリーン セーバー] セクションが無効になります。そのため、ユーザーはスクリーン セーバー オプションを変更できなくなります。

この設定を構成しない場合、システム上の影響はありません。

この設定を有効にした場合、次の 2 つの条件を前提としてスクリーン セーバーが実行されます。まず、クライアント上の有効なスクリーン セーバーがクライアント コンピューター上の [スクリーン セーバーの実行可能ファイル名] 設定またはコントロール パネルを使用して指定されていること。次に、スクリーン セーバーのタイムアウトがこの設定またはコントロール パネルで 0 以外の値に設定されていること。

[スクリーン セーバーを変更できないようにする] 設定も参照してください。

特定のスクリーン セーバーを強制する

ユーザーのデスクトップのスクリーン セーバーを指定します。

この設定を有効にした場合、システムでユーザーのデスクトップ上に指定したスクリーン セーバーが表示されます。また、この設定によってコントロール パネルの [個人用設定] または [画面] の [スクリーン セーバー] ダイアログにあるスクリーン セーバーのドロップダウン リストが無効になります。そのため、ユーザーはスクリーン セーバー オプションを変更できなくなります。

この設定を有効にした場合、スクリーン セーバーが保存されているファイル名を .scr ファイル名拡張子を含めて入力します。スクリーン セーバー ファイルが %Systemroot%\System32 ディレクトリにない場合、そのファイルへの完全修飾パスを入力します。

指定されたスクリーン セーバーが設定の適用先コンピューター上にインストールされていない場合、設定は無視されます。

注: この設定は、[スクリーン セーバーを有効にする] 設定によって上書きされることがあります。[スクリーン セーバーを有効にする] 設定が無効になっている場合、この設定は無視され、スクリーン セーバーは実行されません。

スクリーン セーバーをパスワードで保護する

コンピューター上で使用するスクリーン セーバーをパスワードで保護するかどうかを判断します。

この設定を有効にした場合、すべてのスクリーン セーバーはパスワードで保護されます。この設定を無効にした場合、スクリーン セーバーにパスワード保護を設定することはできません。

また、この設定によってコントロール パネルの [個人用設定] または [画面] の [スクリーン セーバー] ダイアログにある [パスワード保護] チェック ボックスが無効になります。そのため、ユーザーはパスワード保護設定を変更できなくなります。

コンピューターが確実にパスワード保護されるようにするには、[スクリーン セーバーを有効にする] 設定を有効にし、[スクリーン セーバーのタイムアウト] 設定を使用してタイムアウトを設定します。

注: [スクリーン セーバー] ダイアログを削除するには、[スクリーン セーバーを変更できないようにする] 設定を使用します。

スクリーンセーバーのタイムアウト

コンピュータがアイドル状態になってからスクリーン セーバーが起動されるまでの時間を指定します。

アイドル時間が構成されている場合は、1 秒から 86,400 秒 (24 時間) の間の数値を指定できます。値を 0 に設定した場合は、スクリーン セーバーは起動されません。

この設定は次のような状況では何も影響しません。

  • 設定が無効になっているか、構成されていない。
  • 待ち時間が 0 に設定されている。
  • [スクリーン セーバーの実行可能ファイル名] 設定、およびクライアント コンピューターのコントロール パネルにある [個人用設定] または [画面] の [スクリーン セーバー] ダイアログで、 クライアント上にある既存の有効なスクリーン セーバー プログラムが指定されていない。

この設定を構成しなかった場合は、コントロール パネルの [個人用設定] または [画面] の [スクリーン セーバー] ダイアログで指定された待ち時間が使用されます。既定値は 15 分です。