脅威とその対策
第 6 章 : イベント ログ
最終更新日: 2006年8月14日
ダウンロード
イベント ログにはコンピュータ上のイベントが記録され、セキュリティ ログには監査イベントが記録されます。グループ ポリシーのイベント ログ コンテナは、最大ログ サイズや各ログへのアクセス権利など、アプリケーション イベント ログ、セキュリティ イベント ログ、システム イベント ログに関する属性、および保存設定や保存方法を定義します。このガイドに付属の「Windows Default Security and Services Configuration」という Microsoft® Excel® ブックに、既定のイベント ログ設定が記載されています。
トピック
イベント ログの設定
イベント ログの設定は、グループ ポリシー オブジェクト エディタ内の次の場所で構成できます。
コンピュータの構成\Windows の設定\セキュリティの設定\イベント ログ\イベント ログの設定
イベント ログの最大サイズ
このポリシー設定は、アプリケーション、セキュリティ、およびシステム イベント ログの最大サイズを指定します。グループ ポリシー オブジェクト エディタと Microsoft 管理コンソール (MMC) イベント ビューア スナップインのどちらのユーザー インターフェイス (UI) でも 4 GB までの値を入力できますが、特定の要素によって、これらのログの有効な最大サイズはもっと小さくなります。
イベント ログ サービスはメモリ マップ ファイルを使用し、Eventlog.dll として Services.exe プロセス下のサービスの 1 つとして実行されます。ファイルがこの方法でロードされる場合は、ファイル全体がコンピュータ メモリにロードされます。Microsoft Windows® の現在のすべてのバージョンにおいて、プロセスでは合計で 1 GB を超えるメモリ マップ ファイルを使用できないという、メモリ マップ ファイルに関する構造上の制限があります。この制限は、Services.exe プロセス下で実行されるすべてのサービスで 1 GB のプールを共有する必要があることを意味します。メモリは連続した 64 KB のポーションとして割り当てられます。コンピュータでメモリ マップ ファイルの拡張に必要な追加メモリが割り当てられない場合は、問題が発生します。
イベント ログ サービスの場合、メモリ マップ ファイルを使用すると、[イベント ログの最大サイズ] 設定で構成されているメモリ サイズにかかわらず、コンピュータにメモリ マップ ファイルに使用できるメモリがなければ、ログ イベントがログに記録されなくなる可能性があります。エラー メッセージは表示されず、イベントは単にイベント ログに表示されなくなるか、または記録済みの他のイベントを上書きします。メモリ内でのログ ファイルの断片化も、ビジー状態のコンピュータ上で重要なパフォーマンス上の問題を引き起こす原因となることがわかっています。
このような制限があるため、メモリ マップ ファイルの理論上の制限とは異なり、また、イベント ビューアとグループ ポリシー オブジェクト エディタの UI では 1 つのログ当たり 4 GB まで指定できるにもかかわらず、ほとんどのサーバーにおける実質的な制限は約 300 MB であることが実証されています。つまり、すべてのイベント ログの合計の制限が 300 MB となります。Windows XP、メンバ サーバー、およびスタンドアロン サーバー上では、アプリケーション、セキュリティ、およびシステム イベント ログを組み合わせたサイズが 300 MB を超えてはなりません。ドメイン コントローラ上では、これら 3 つのログを組み合わせたサイズに、Active Directory® ディレクトリ サービス、DNS、およびレプリケーション ログを追加したものが、300 MB を超えることはできません。
このような制限は一部の Microsoft ユーザーにとって問題となっていますが、システム イベントが記録される方法を根本的に変更しない限り、この制限を排除できません。Microsoft では、イベント ログ システムを書き換えて、Windows の次のバージョンでこれらの問題を解決する予定です。
特定のサーバーにおける最適なログ サイズを決定する簡単な方程式は存在しませんが、妥当なサイズを決定することはできます。平均的なイベントでは各ログ内で約 500 バイトが消費されます。また、ログ ファイル サイズは 64 KB の倍数である必要があります。組織内で 1 日に生成されるログ タイプごとの平均イベント数の見積りから、各ログ ファイル タイプに適切なサイズを決定できます。
たとえば、ファイル サーバーによってセキュリティ ログ内に 1 日 5,000 個のイベントが生成され、少なくとも 4 週間分のデータを常に確保しておきたい場合は、そのログのサイズを約 70 MB に構成します (500 バイト X 5000 イベント/日 X 28 日 = 70,000,000 バイト)。そして、それから 4 週間の間、時々サーバーをチェックして、計算が適切で、ログ内に十分なイベントが保存されているかどうかを確認します。イベント ログのサイズとログのラッピングは、組織のセキュリティ計画の設計時に決定したビジネスおよびセキュリティ要件を満たすように定義する必要があります。
[イベント ログの最大サイズ] で設定できる値は、次のとおりです。
- 64 ~ 4,194,240 のユーザー定義値 (KB)。ただし、64 の倍数である必要があります。
脆弱性
[監査 : セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を有効にしていると、組織内で監査対象となるオブジェクト数を大幅に増やした場合、セキュリティ ログの容量が一杯になり、コンピュータが強制的にシャットダウンしてしまうというリスクが発生します。このようなシャットダウンが起きると、管理者がセキュリティ ログを消去するまでコンピュータを使用できません。このようなシャットダウンを防ぐには、「第 5 章 セキュリティ オプション」に記載されている [監査 : セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を無効にして、セキュリティ ログのサイズを大きくします。または、マイクロソフト サポート技術情報の記事 https://support.microsoft.com/default.aspx?kbid=312571 の「イベント ログが最大ログ サイズに達する前に、イベントの出力が停止する」で説明している方法で、自動ログ ローテーションを構成してください。
対策
組織内のすべてのコンピュータに適切なログ サイズ ポリシーを適用し、正規ユーザーが自ら行う操作に対して責任を持てるように、不正アクティビティを検出および追跡できるように、またコンピュータ問題を検出および診断できるようにしておく必要があります。
考えられる影響
イベント ログの容量がいっぱいになると、コンピュータによって最も古いエントリが最新エントリで上書きされるように各ログの保存方法を設定している場合を除き、情報の書き込みが停止されます。最新のデータを失うリスクを小さくするには、必要に応じて古いイベントが上書きされるように保存方法を構成します。
この構成により、結果として古いイベントがログから削除されます。攻撃者はこれを利用し、関係のないイベントを大量に生成して、攻撃の証拠をすべて上書きすることができます。イベント ログ データのアーカイブとバックアップを自動化すると、これらのリスクをいくぶん軽減できます。
特別に監視しているイベントすべてを、MOM (Microsoft Operations Manager) などの自動監視ツールを使用しているサーバーに送信するのが理想的です。サーバーへの侵入に成功した攻撃者はセキュリティ ログを消去できるため、このような対策は特に重要です。すべてのイベントが監視サーバーに送信された場合、攻撃者のアクティビティに関して、法廷で用いることが可能な情報を収集できます。
ローカル ゲスト グループがイベント ログにアクセスできないようにする
このポリシー設定は、ゲストにアプリケーション、セキュリティ、およびシステム イベント ログへのアクセスを許可するかどうかを決定します。
[ローカル ゲスト グループがイベント ログにアクセスできないようにする] で設定できる値は、次のとおりです。
有効
無効
未定義
注 : このポリシー設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
このポリシー設定は、Windows 2000 およびそれ以降のバージョンの Windows を実行するコンピュータのみに影響します。
脆弱性
ゲストの特権を使用してコンピュータへのログオンに成功した攻撃者は、イベント ログを表示することができればコンピュータに関する重要な情報を知ることができます。攻撃者は、この情報を使用して別の攻撃を実行することができます。
対策
3 つのイベント ログすべてのポリシーで [ローカル ゲスト グループがイベント ログにアクセスできないようにする] 設定を有効にします。
考えられる影響
なし。これは既定の構成です。
イベント ログの保存
このポリシー設定は、ログに対して指定されている保存方法が [指定した日数] である場合、アプリケーション、セキュリティ、およびシステム ログのイベント ログ データを何日分保存するかを決定します。ログを予定した間隔でアーカイブし、かつ最大ログ サイズがこの間隔に十分対応できる大きさであることが確認できた場合のみ、この設定を構成します。
[イベント ログの保存] で設定できる値は、次のとおりです。
1 ~ 365 のユーザー定義日数
未定義
注 : このポリシー設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
セキュリティ ログにアクセスするには、[監査とセキュリティ ログの管理] ユーザー権利が必要があります。
脆弱性
ログを予定した間隔でアーカイブする場合
このポリシーの [プロパティ] ダイアログ ボックスを開きます。
[アプリケーション ログの保存日数] 設定で適切な日数を指定します。
そのイベント ログの保存方法として、[指定した日数を過ぎたら上書きする] を選択します。
また、最大ログ サイズがこの間隔に十分対応できる大きさであることを確認します。
対策
3 つのイベント ログすべてのポリシーで [イベント ログの保存] 設定を [未定義] に構成します。
考えられる影響
なし。これは既定の構成です。
イベント ログの保存方法
このポリシー設定は、アプリケーション、セキュリティ、およびシステム ログのラッピング方法を決定します。
アプリケーション ログをアーカイブしない場合
このポリシーの [プロパティ] ダイアログ ボックスを開きます。
[このポリシーの設定を定義する] チェック ボックスをオンにします。
[必要に応じてイベントを上書きする] をクリックします。
ログを予定した間隔でアーカイブする場合
このポリシーの [プロパティ] ダイアログ ボックスを開きます。
[このポリシーの設定を定義する] チェック ボックスをオンにします。
[指定した日数を過ぎたら上書きする] をクリックします。
[アプリケーション ログの保存日数] 設定で適切な日数を指定します。最大ログ サイズがこの間隔に十分対応できる大きさであることを確認します。
ログにすべてのイベントを保存する場合
このポリシーの [プロパティ] ダイアログ ボックスを開きます。
[このポリシーの設定を定義する] チェック ボックスをオンにします。
[イベントを上書きしない (手動でログを消去)] をクリックします。
このオプションを選択すると、ログを手動で消去する必要があります。この構成の場合、最大ログ サイズに達すると、新しいイベントが破棄されます。
[イベント ログの保存方法] で設定できる値は、次のとおりです。
指定した日数を過ぎたら上書きする
必要に応じてイベントを上書きする
イベントを上書きしない (手動でログを消去)
未定義
注 : このポリシー設定は、ローカル コンピュータ ポリシー オブジェクトでは表示されません。
脆弱性
組織内で監査対象となるオブジェクトの数を大幅に増やした場合、セキュリティ ログの容量が一杯になり、コンピュータが強制的にシャットダウンしてしまうというリスクが発生します。このようなシャットダウンが起きると、管理者がセキュリティ ログを消去するまでコンピュータを使用できません。このようなシャットダウンを防ぐには、「第 5 章 セキュリティ オプション」に記載されている [監査 : セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする] 設定を無効にして、セキュリティ ログのサイズを大きくします。
[イベント ログの保存方法] を [手動] または [指定した日数を過ぎたら上書きする] に設定すると、最近の重要なイベントが記録されなかったり、DoS 攻撃を受けたりする可能性があります。
対策
3 つのイベント ログすべての保存方法を、[必要に応じてイベントを上書きする] に構成します。一部のリソースでは、この設定を [手動] に構成することを推奨していますが、この設定によって生じる管理的な負担は、ほとんどの組織にとって大きすぎます。
すべての重要なイベントを、MOM などの自動監視ツールを使用する管理サーバーに送信するのが理想的です。
考えられる影響
イベント ログの容量がいっぱいになると、コンピュータによって最も古いエントリが最新エントリで上書きされるように保存方法を設定している場合を除き、情報の書き込みが停止されます。
イベント ログへのアクセスの委任
Microsoft Windows Server™ 2003 では、コンピュータ上の各イベント ログへのアクセス許可をカスタマイズできます。Windows の以前のバージョンでは、この機能はありませんでした。組織によっては、IT チームの一部のメンバに 1 つまたは複数のシステム イベント ログへの読み取り専用アクセス権限を付与したい場合があります。アクセス制御リスト (ACL) は、次の例で示すように、SDDL (Security Descriptor Definition Language) 文字列として、レジストリ内にある各イベント ログの「CustomSD」と呼ばれる REG_SZ 値に保存されます。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\CustomSD Create a REG_SZ registry value O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG) (A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x5;;;SO)(A;;0x1;;;IU)(A;;0x1;;;SU) (A;;0x1;;;S-1-5-3)(A;;0x2;;;LS)(A;;0x2;;;NS)
この値を編集してコンピュータを再起動すると、新しい設定を有効にすることができます。
注 : レジストリ エディタのツールには "元に戻す" 機能がないため、レジストリ値を編集する際は注意が必要です。間違いは手動で修正する必要があります。さらに、イベント ログ上の ACL を誤って構成し、誰も ACL にアクセスできないようにしてしまう可能性もあります。SDDL および各イベント ログで設定されている既定のアクセス許可について完全に理解してから、作業を進めてください。また、どのような変更も、運用環境で実装する前に、徹底的にテストする必要があります。
Windows Server 2003 でイベント ログのセキュリティを構成する方法の詳細については、https://support.microsoft.com/default.aspx?kbid=323076 の「Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法」を参照してください。
SDDL の詳細については、MSDN ® の Web サイト https://msdn2.microsoft.com/en-us/library/Aa379567.aspx の「Security Descriptor Definition Language」(英語情報) を参照してください。
関連情報
次のリンクは、Windows Server 2003 と Windows XP でのイベント ログの追加情報を提供しています。
Windows Server 2003 でイベント ログのセキュリティを構成する方法の詳細については、https://support.microsoft.com/default.aspx?kbid=323076 の「Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法」を参照してください。
SDDL の詳細については、MSDN オンライン https://msdn2.microsoft.com/en-us/library/Aa379567.aspx の「Security Descriptor Definition Language」(英語情報) を参照してください。