セキュリティお助けマニュアル

【セキュリティ対策のいろは】

何から守らなければならないかを知ろう

d. 監視(アクセスログの監視)

 個人情報保護法では情報漏えいなどの事故が発生した場合の対応について定めており、その中で望ましい対応の1つに「事実関係の調査及び原因の究明」が挙げられています。
 そのため、誰が、いつ、どこから、何に対してデータアクセスを行ったのか、などの情報を含んだアクセス情報(ログ)を管理し、万が一情報漏えいが発生した際に問題を特定できるようにする必要があります。
 またログから原因分析を行うことで、情報漏えいを再発させないための対策を立てることができるようになります。

 下記例では、共有ファイルやフォルダへのアクセスを監査し、監査結果をログに残すための設定手順を紹介しています。
 監査とログの記録・表示はWindows Serverの標準機能で行うことが可能です。
 下記はWindows Server 2019にて、共有フォルダへのアクセスに関するログを記録できるようにするまでの手順となります。

    1. まずはじめにオブジェクトアクセスの監査を有効にします。
      画面左下『スタート』ボタンをクリックし、『Windows 管理ツール』をクリックします。
    2. 『ローカル セキュリティ ポリシー』をクリックします。
    3. 『ローカル セキュリティ ポリシー』ウィンドウが開きます。
      左側ペインで『ローカル ポリシー』内の『監査ポリシー』をクリックし、その後右側ペインに表示された『オブジェクト アクセスの監査』をダブルクリックします。
    4. ログに記録したいイベントにチェックを入れます。
      例えば、『失敗』にチェックを入れるとアクセス失敗時のログが出力されるようになります。
      チェックを入れ終えたら『OK』をクリックします。
    5. 『ローカル セキュリティ ポリシー』ウィンドウで、設定が反映されたことを確認します。
      確認を終えたら『ローカル セキュリティ ポリシー』ウィンドウは閉じても問題ありません。
    6. 次に監査対象のフォルダに対して監査の設定を行います。
      監査を設定したいフォルダを右クリックし、『プロパティ』を開きます。
    7. 『プロパティ』ウィンドウが開きます。『セキュリティ』タブをクリックし、『詳細設定』をクリックします。
    8. 『セキュリティの詳細設定』ウィンドウが開きます。『監査』タブをクリックし、『追加』をクリックします。
    9. 『監査エントリ』ウィンドウが開きます。『プリンシパルの選択』をクリックします。
    10. 『ユーザー または グループ の選択』ウィンドウが開きます。『オブジェクト名』に対象のオブジェクト名を入力します。
      ※『オブジェクト名』への入力の仕方は「2-c. アクセス権設定」の手順6と同様です。
    11. 『監査エントリ』ウィンドウの『種類』『適用先』『基本のアクセス許可』にそれぞれ監査する内容等について入力し、『OK』をクリックします。
    12. 指定した内容が反映されていることを確認したら、『OK』ボタンをクリックします。
      その後、『プロパティ』ウィンドウを閉じます。

 ここまでが監査の設定及び監査ログを残すまでの設定となります。
 ログは『イベントビューアー』の[Windows ログ] > [セキュリティ]にて確認可能です。

監視ツールの利用
 Windows標準機能だけでは即時の分析がしづらいため、アクセス監視ツールを用いるとログの管理や分析がよりスムーズに行えるようになります。
 アクセス監視ツールは大抵アクセス権を設定できるツールとセットになっています。