セキュリティの監視および攻撃検出計画ガイド

[アーティクル]
12/06/2019

第 2 章 - セキュリティ監視の方法

最終更新日: 2006年2月1日6

ダウンロード

トピック

はじめに
 セキュリティの監視の実装
 セキュリティ監査イベントの相互関連付け
 独立系ソフトウェアベンダのソリューション

はじめに

施錠、盗難警報装置、カメラ、フェンス、警備員などの適正な物理セキュリティがないことが前提でビジネスを行おうとする企業はありません。さらに、外部からの攻撃や内部からの侵入の両方からネットワーク資産を保護するための相応のセキュリティ対策が必要であると、多くの企業がようやく認識するようになりました。

ビルや立入禁止区域への侵入を検知する一般的な手段として、カメラや行動探知器のようなセキュリティシステムがあります。しかし、組織はネットワーク資産を監視し、攻撃者を検出するシステムも実装する必要があります。そのため、セキュリティの監視が、ネットワークセキュリティ戦略を成功させる重要な構成要素になります。

2004 年 8 月、米国シークレットサービスは、カーネギーメロン大学ソフトウェアエンジニアリング研究所の CERT/CC (CERT Coordination Center) と共同で、内部のユーザーによって行われた大掛かりな詐欺に対する脆弱性があることに関して事例を挙げて文書化したホワイトペーパーを発表しました。詳細については、ホワイトペーパー「Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector」 (https://www.secretservice.gov/ntac/its\_report\_040820.pdf) を参照してください。このレポートは英語で記載されています。

2004 E-Crime の調査では、このような脅威に関する詳しい証拠が文書化されています。この調査の回答者には、政府や、情報、電気通信、銀行、財務などの分野に属する組織が含まれています。この調査では、43% の回答者が電子犯罪やデータへの侵入が増加していることを認識しており、70% の回答者が前年最低 1 回は電子犯罪があったと報告していることが明らかになりました。すべての回答者の電子犯罪に対する総コストは、6 億米ドルを超えています。2004 E-Crime 調査の詳細については、プレスリリース「2004 E-Crime Watch Survey Shows Significant Increase in Electronic Crimes」 (https://www.cert.org/archive/pdf/2004eCrimeWatchSummary.pdf) (英語) (PDF ファイル) を参照してください。

ビジネス規制の継続的な強化や、外部および内部からの攻撃者による脅威の認識が進むにつれて、効果的なセキュリティの監視を実装する必要性がますます高まっています。効果的なセキュリティの監視を計画するには、ソリューションの実装に使用できるテクノロジを把握する必要があります。この章では、セキュリティの監視、および分析や保管用の関連セキュリティログを有効にするマイクロソフトのテクノロジについて説明します。

注 : このドキュメントでは、内部からの攻撃と外部からの攻撃を区別しています。内部からの攻撃は、社員 (通常は管理者) によって行われる攻撃です。外部からの攻撃は、組織外部から行われる攻撃です。ワイヤレスネットワークなどのテクノロジが普及するにつれて、外部からの攻撃者が境界ネットワーク内部から攻撃を行えるようになりましたが、これらも外部からの攻撃と見なします。

ページのトップへ

セキュリティの監視の実装

Microsoft Windows NT® version 3.1 以降のすべてのバージョンの Microsoft® Windows® に含まれる組み込みのセキュリティイベントログファイルを使用して、セキュリティイベントを記録できます。このログファイルにより、Windows ベースのネットワークでのセキュリティ監視の基礎が提供されます。その他のユーティリティやプログラムでは、記録されたこれらのイベントを中央のリポジトリに関連付けることができます。

セキュリティイベントログファイルは、セキュリティ監視データの記録に、独自のデータベース形式を使用します。コンピュータ名や IP アドレスなど、このファイルの一部をテキストエディタで読み取ることができます。ただし、セキュリティログのすべての情報を読み取るには、イベントビューアコンソールのような適切なプログラムが必要になります。セキュリティイベントログファイル (SecEvent.evt) は %systemroot%\System32\config ディレクトリにあります。アプリケーションログやシステムログとは異なり、このファイルにアクセスするための既定の NTFS ファイルシステムアクセス許可は、Administrators グループのメンバとシステムアカウントのみに許可されます。

セキュリティイベントログには、成功の監査と失敗の監査の 2 種類のイベントが記録されます。成功の監査イベントは、ユーザー、サービス、またはプログラムが実行した操作が正常に完了したことを示します。失敗の監査は、同様の操作が正常に完了しなかったことを示します。たとえば、失敗したイベントに対してログオンの監査が有効になっている場合は、セキュリティイベントログには成功しなかったログオン試行が記録されます。

注 : Microsoft Windows Server™ 2003 に Service Pack 1 を適用している場合は、ユーザーごとに異なるセキュリティ監査レベルを構成できます。この機能の詳細については、第 4 章「ソリューションの設計」を参照してください。

次の表では、セキュリティイベントのカテゴリと各カテゴリで記録されるイベントを示します。

表 2.1: セキュリティイベントの監査カテゴリ

カテゴリ	効果
アカウントログオンイベント	コンピュータのローカルアカウントに対するログオン試行を監査します。ユーザーアカウントがドメインアカウントの場合は、このイベントがドメインコントローラにも表示されます。
アカウント管理	パスワードの変更やリセットと併せて、ユーザーアカウントとグループアカウントの作成、変更、および削除を監査します。
ディレクトリサービスのアクセス	Active Directory® ディレクトリサービス内のオブジェクトへのアクセスを監査します。
ログオンイベント	ワークステーションとメンバサーバーへのログオン試行を監査します。
オブジェクトアクセス	オブジェクトのシステムアクセス制御リスト (SACL) 内で監査設定を定義している、ファイル、フォルダ、レジストリキー、プリンタなどのオブジェクトへのアクセス試行を監査します。
ポリシーの変更	ユーザー権利の割り当てポリシー、監査ポリシー、または信頼ポリシーに対する変更を監査します。
特権使用	システム時刻の変更など、ユーザーによるユーザー権利の行使を毎回監査します。
プロセス追跡	プログラムの起動や終了などのアプリケーションの動作を監査します。
システムイベント	起動やシャットダウンなどのコンピュータのシステムイベント、およびシステムセキュリティやセキュリティログに影響するイベントを監査します。

監査ポリシーのグループポリシー設定は、どのイベントがセキュリティログにエントリを作成するかを制御します。これらの設定は、グループポリシーのコンソールツリーで、\[コンピュータの構成\]、\[Windows の設定\]、\[セキュリティの設定\]、\[ローカルポリシー\] の順に展開することでアクセスします。監査ポリシーの設定は、ローカルセキュリティポリシーコンソールで構成できます。また、グループポリシーと Active Directory を連携させることで、サイト、ドメイン、または組織単位レベルに構成することもできます。セキュリティログは、包括的なセキュリティ監視の優れた基盤になります。グループポリシーの設定によりセキュリティログの監査レベルを一元的に構成でき、セキュリティログにアクセスする管理者に、既定のセキュリティ設定のみが許可されます。ただし、分散攻撃の監視やフォレンシック分析の実装には、監査イベントを集中的に相互に関連付ける監視システムが必要になります。 [](#mainsection)[ページのトップへ](#mainsection) ### セキュリティ監査イベントの相互関連付けセキュリティ監査イベントを相互に関連付ける場合は、複数のコンピュータからセキュリティイベントを収集し、この情報を中央の場所に配置する必要があります。その後、セキュリティ担当者はこの中央のリポジトリを分析して、ポリシー違反や外部からの攻撃を特定できます。このリポジトリを基盤として、フォレンシック分析が可能になります。ここでは、複数のセキュリティイベントログを相互に関連付けることができるマイクロソフト製品とユーティリティを紹介します。このような機能を実行できるサードパーティの製品もいくつかあります。 #### Event Comb MT Event Comb MT (マルチスレッド) は Windows Server 2003 セキュリティガイドのコンポーネントで、異なるコンピュータの複数のイベントログからイベントを解析および収集できるようにします。Event Comb MT はマルチスレッドアプリケーションとして実行され、イベントログをスキャンするときに、次のようなさまざまなパラメータを指定できます。 - イベント ID (個別または複数) - イベント ID の範囲 - イベントソース - 具体的なイベントテキスト - 分単位、時間単位、日単位でのイベント履歴 Event Comb には Account Lockouts など、特定の検索カテゴリが組み込まれています。Account Lockouts では次のイベントが検索されます。 - 529 — ログオンの失敗 (ユーザー名やパスワードが不適切) - 644 — ユーザーアカウントの自動ロック - 675 — DC での事前認証の失敗 (不適切なパスワード) - 676 — 認証チケット要求の失敗 - 681 — ログオンの失敗既定の Administrator アカウントに対する攻撃を検索する場合は、システムログからイベント 12294 (アカウントロックアウトしきい値の超過) を追加できます。アカウントロックアウトのしきい値が既定の Administrator アカウントに適用されないので、このイベントは特に重要です。その結果、攻撃者はアカウントロックアウトメカニズムが起動されることなく、何回でも既定の Administrator アカウントへの侵入を試みることができます。 **注 :** イベント 12294 は、セキュリティログではなく、システムログにセキュリティアカウントマネージャ (SAM) イベントとして表示されます。 Event Comb MT ではイベントを Microsoft SQL Server™ データベースのテーブルに保存できるので、長期に渡るイベントの保管や分析に有効です。SQL クエリアナライザ、Microsoft Visual Studio® .NET、多数のサードパーティユーティリティなどの広範なクライアントプログラムを使用して、SQL Server テーブル内の情報にアクセスできます。 Event Comb MT v10.0 にはコマンドラインオプションも含まれているので、セキュリティログから定期的にイベントを自動収集するスクリプトを作成できます。Event Comb MT では、あらゆる形式のクライアント収集エージェントが用意されているわけではなく、またイベントを中央のリポジトリに自動的に転送する機能を備えていないので、あらゆる脅威のシナリオに適しているわけではありません。 Event Comb MT は、「[Account Lockout and Management Tools](https://www.microsoft.com/download/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e)」 Web サイト (https://www.microsoft.com/download/details.aspx?displaylang=en&familyid=7af2e69c-91f3-4e63-8629-b999adde0b9e) (英語) から無償でダウンロードできます。「[Windows Server 2003 セキュリティガイド](https://www.microsoft.com/download/details.aspx?familyid=66994ba0-c977-41c8-a698-ef6edb9a4b52&displaylang=ja)」は https://www.microsoft.com/download/details.aspx?FamilyID=66994ba0-c977-41c8-a698-ef6edb9a4b52&DisplayLang=ja からダウンロードできます。 #### Microsoft Operations Manager 2005 Microsoft Operations Manager (MOM) では、エンタープライズ環境内の複数のサーバーが監視されます。MOM エージェントでは、イベントログからイベントが収集され、収集されたイベントは MOM 管理サーバーに転送されます。その後、MOM 管理サーバーによって、転送されたイベントが MOM データベースに格納されます。MOM 2005 以降では、MOM エージェントを実行していないコンピュータからもイベントを収集できます。 MOM では管理パックのルールを使用して、サーバーの運用効果に影響する問題点が特定されます。特定のイベントを検索するルールを追加で定義できます。このようなルールでは、このイベントが発生したときに、電子メール、ポップアップメッセージ、ポケットベルデバイスなどを使って即時通知を送信します。 MOM にはセキュリティの監視や攻撃の検出に使用する機能が数多く用意されていますが、MOM はこのような目的で設計されたわけではありません。MOM の今後のリリースでは、セキュリティログの照合に関する多くの機能が提供される予定です。 [](#mainsection)[ページのトップへ](#mainsection) ### 独立系ソフトウェアベンダのソリューションマイクロソフト製品で、セキュリティの監視のすべての側面に対するエンドツーエンドのソリューションが提供されるわけではありません。現在のマイクロソフト製品には、次の機能が含まれていません。 - リアルタイムのイベントログアラーム - セキュリティが保護されたイベントログ収集システムマイクロソフトのパートナーからこのような不足機能を埋める次の製品が提供されています (アルファベット順)。 - **Adiscon の EventReporter:** EventReporter により、管理者は UNIX と Windows のイベントログレポートや警告の機能を 1 つの環境に組み合わせることができます。この製品では、UNIX ベースのシステムとの統合に標準の UNIX syslog プロトコルをサポートし、警告の転送に SMTP (Simple Mail Transfer Protocol) をサポートします。EventReporter に含まれるエージェントを構成して、複数のコンピュータからセキュリティイベントを収集し、フィルタを適用後、データベースに格納することができます。セキュリティイベントに応じて、イベントを電子メールで転送したり、アプリケーションを起動したり、ネットワークメッセージを作成したりできます。Adiscon EventReporter の詳細については、[EventReporter](https://www.eventreporter.com/) の Web サイト (www.eventreporter.com) (英語) を参照してください。 - **GFI の GFI LANguard Security Event Log Monitor:** LANguard Security Event Log Monitor では、イベントログを基にした侵入検知とネットワーク規模のイベントログ管理が実行されます。この製品では、すべてのネットワークコンピュータのイベントログが保管および分析され、セキュリティの問題、攻撃、およびその他の重要なイベントがリアルタイムに警告されます。Security Event Log Monitor では、イベントログを中央のデータベースに保管でき、フォレンシック分析用にカスタムルールやレポートを提供できます。詳細については、[GFI LANguard Security Event Log Monitor](https://www.gfi.com/lanselm/) の Web サイト (www.gfi.com/lanselm) (英語) を参照してください。 - **Lakeside Software, Inc の Systrack 3:** Systrack 3 では、Event Log Monitor によりほぼリアルタイムのイベントログアラームが提供されます。Event Log Monitor では、コンピュータのすべてのイベントログが定期的に検査され、最後に検査してから新しい事象が発生しているかどうかが判断されます。Systrack 3 では、新しく見つかったイベントがフィルタ選択され、適切な対応が行われます。これらのフィルタでは、既定の設定、ユーザー定義の設定、またはその両方の組み合わせを使用できます。ユーザー名やワークステーション名など、任意のイベント内の特定の文字列により、イベントログアラームをトリガできます。イベントによってスクリプトを実行したり、コンピュータを再起動することもできます。また、フィルタによって SNMP (Simple Network Management Protocol) トラップ、Windows ポップアップメッセージ、または電子メール警告を生成することもできます。Systrack 3 の詳細については、[Lakeside Software](https://www.lakesidesoftware.com/) の Web サイト (www.lakesidesoftware.com) (英語) を参照してください。 [](#mainsection)[ページのトップへ](#mainsection)

次の方法で共有