高度なセキュリティ監査ポリシーの計画と展開

このITプロフェッショナル向けの記事では、セキュリティポリシーの計画者が考慮すべきオプションと、高度なセキュリティ監査ポリシーを含むネットワークで効果的なセキュリティ監査ポリシーを展開するために完了すべきタスクについて説明します。

組織は、アンチマルウェアソフトウェア、ファイアウォール、暗号化などのセキュリティアプリケーションやサービスに多大な投資を行っています。しかし、どれだけ多くのセキュリティハードウェアやソフトウェアを展開し、ユーザーの権限を厳密に制御し、データのセキュリティ権限を慎重に設定しても、効果的な防御の有効性を追跡し、それを回避しようとする試みを特定するための明確でタイムリーな監査戦略がなければ、仕事は完了しません。

明確でタイムリーな監査戦略を立てるためには、組織の最も重要なリソース、重要な行動、および潜在的なリスクに対する有用な追跡データを提供する必要があります。多くの組織では、IT運用が企業および規制要件に準拠していることを証明する必要もあります。

すべてのリソースとネットワーク上の活動を監視するための無限のリソースを持つ組織はありません。計画をしっかり立てないと、監査戦略にギャップが生じる可能性があります。しかし、すべてのリソースと活動を監査しようとすると、監視データが多すぎて、アナリストが詳細な調査を要するエントリを特定するために数千の無害な監査エントリをふるいにかける必要が生じるかもしれません。このような大量のデータは、監査人が疑わしい活動を特定するのを遅らせたり、妨げたりする可能性があります。過剰な監視は、不十分な監視と同様に組織を脆弱にする可能性があります。

以下は、あなたの努力を集中させるのに役立ついくつかの機能です：

高度な監査ポリシー設定: グループポリシーを通じて詳細な監査ポリシー設定を適用および管理できます。
「アクセス理由」監査: 特定のオブジェクトアクセスセキュリティイベントを生成するために使用された権限を指定および識別できます。
グローバルオブジェクトアクセス監査: コンピュータ全体のファイルシステムまたはレジストリに対してシステムアクセス制御リスト（SACL）を定義できます。

これらの機能を展開し、効果的なセキュリティ監査戦略を計画するには、以下の手順が必要です：

最も重要なリソースと追跡する必要がある最も重要な活動を特定する。
これらの活動を追跡するために使用できる監査設定を特定する。
各設定に関連する利点と潜在的なコストを評価する。
選択を検証するためにこれらの設定をテストする。
監査ポリシーの展開と管理の計画を立てる。

このガイドについて

この記事では、Windowsの監査機能を使用したセキュリティ監査ポリシーを計画する手順を案内します。ポリシーは以下の重要なビジネスニーズに対応する必要があります：

ネットワークの信頼性
規制要件
データおよび知的財産の保護
従業員、契約者、パートナー、および顧客を含むユーザー
クライアントコンピュータおよびアプリケーション
サーバーおよびそのサーバー上で実行されるアプリケーションとサービス

監査ポリシーは、ログに記録された後の監査データを管理するためのプロセスも特定する必要があります。これには以下が含まれます：

データの収集、評価、およびレビュー
データの保存および（必要に応じて）廃棄

組織のビジネス要件に基づいて慎重に計画、設計、テスト、および展開することで、組織が必要とする標準化された機能性、セキュリティ、および管理制御を提供できます。

セキュリティ監査ポリシー設計プロセスを理解する

Windowsセキュリティ監査ポリシーの設計と展開には、以下のタスクが含まれます。このドキュメントで説明されています：

Windowsセキュリティ監査ポリシー展開の目標を特定する

このセクションでは、Windowsセキュリティ監査ポリシーを導くビジネス目標を定義するのに役立ちます。また、監査の対象となるリソース、ユーザー、およびコンピューターを定義するのにも役立ちます。

セキュリティ監査ポリシーをユーザー、コンピューター、およびリソースのグループにマップする
このセクションでは、異なるユーザー、コンピューター、およびリソースのグループに対して、セキュリティ監査ポリシー設定をドメイングループポリシー設定と統合する方法を説明します。また、基本的な監査ポリシー設定を使用する場合と、高度なセキュリティ監査ポリシー設定を使用する場合についても説明します。
セキュリティ監査の目標をセキュリティ監査ポリシー設定にマップする
このセクションでは、利用可能なWindowsセキュリティ監査設定のカテゴリを説明します。また、監査シナリオに対応する個々のWindowsセキュリティ監査ポリシー設定を特定します。
セキュリティ監査の監視と管理の計画
このセクションでは、Windows監査データを収集、分析、および保存する計画を立てるのに役立ちます。監査するコンピューターの数や活動の種類によっては、Windowsイベントログがすぐにいっぱいになることがあります。このセクションでは、監査人が複数のサーバーやデスクトップコンピューターからイベントデータにアクセスし、集約する方法についても説明します。また、ストレージ要件に対処する方法もカバーします。
セキュリティ監査ポリシーの展開
このセクションでは、Windowsセキュリティ監査ポリシーを効果的に展開するためのガイドラインを提供します。テストラボ環境でWindows監査ポリシー設定を展開することで、選択した設定が必要な監査データを生成することを確認できます。しかし、ドメインおよび組織単位（OU）構造に基づいた慎重に段階的に展開するパイロットと増分展開のみが、生成された監査データが監視可能であり、ニーズを満たしていることを確認できます。

Windowsセキュリティ監査ポリシー展開の目標を特定する

セキュリティ監査ポリシーは、組織全体のセキュリティフレームワークの一部として統合され、サポートされる必要があります。

すべての組織には、顧客データや財務データ、企業秘密などの独自のデータおよびネットワーク資産、デスクトップコンピューター、ポータブルコンピューター、サーバーなどの物理的リソース、財務やマーケティングなどの内部グループやパートナー、顧客、ウェブサイト上の匿名ユーザーなどの外部グループを含むユーザーが存在します。これらのすべての資産、リソース、およびユーザーが監査のコストを正当化するわけではありません。あなたの任務は、セキュリティ監査の焦点として最も強い正当性を提供するものを特定することです。

Windows セキュリティ監査計画を作成するには、まず以下を特定します。

全体的なネットワーク環境（ドメイン、OU、セキュリティグループを含む）
ネットワーク上のリソース、そのリソースのユーザー、およびそれらのリソースの使用方法
規制要件

ネットワーク環境

組織のドメインおよび組織単位 (OU) 構造は、セキュリティ監査ポリシーを適用する方法を考えるための基本的な出発点を提供します。これらは、おそらくグループポリシーオブジェクト (GPO) とリソースおよびアクティビティの論理的なグループ化の基盤を提供し、選択した監査設定を適用するために使用できます。ドメインおよび OU 構造は、おそらく監査に必要なリソースを正当化するユーザー、リソース、およびアクティビティの論理的なグループを既に提供しています。ドメインおよび OU 構造とセキュリティ監査ポリシーを統合する方法については、このドキュメントの後半にあるユーザー、コンピューター、およびリソースのグループへのセキュリティ監査ポリシーのマッピングを参照してください。

ドメインモデルに加えて、組織が体系的な脅威モデルを維持しているかどうかを確認します。優れた脅威モデルは、インフラストラクチャの主要コンポーネントに対する脅威を特定するのに役立ちます。その後、これらの脅威を特定して対抗する能力を強化する監査設定を適用できます。

[!IMPORTANT] 組織のセキュリティ計画に監査を含めることは、監査が最良の結果を達成できる領域にリソースを予算化するのにも役立ちます。

データとリソース

データおよびリソースの監査には、Windows 監査が提供できるより詳細な監視から利益を得ることができる最も重要な種類のデータおよびリソース（患者記録、会計データ、マーケティング計画など）を特定する必要があります。データリソースの一部は、Microsoft SQL Server や Exchange Server などの製品の監査機能を通じて既に監視されている場合があります。その場合、Windows 監査機能が既存の監査戦略をどのように強化できるかを検討することをお勧めします。前述のドメインおよび OU 構造と同様に、セキュリティ監査は最も重要なリソースに焦点を当てる必要があります。また、管理できる監査データの量も考慮する必要があります。

これらのリソースが高、中、または低のビジネスインパクトを持つかどうか、これらのデータリソースが不正なユーザーによってアクセスされた場合の組織へのコスト、およびそのようなアクセスが組織に与えるリスクを記録することができます。ユーザーによるアクセスの種類（例えば、読み取り、修正、またはコピー）も異なるレベルのリスクをもたらす可能性があります。

データのアクセスと使用はますます規制によって管理されており、違反が発生すると組織にとって厳しい罰則や信頼性の喪失を招く可能性があります。規制遵守がデータ管理において重要な役割を果たす場合は、この情報も必ず文書化してください。

以下の表は、組織のリソース分析の例を示しています。

リソースクラス	保存場所	組織単位	ビジネスインパクト	セキュリティまたは規制要件
給与データ	Corp-Finance-1	会計: Corp-Finance-1で読み取り/書き込み部門給与マネージャー: Corp-Finance-1で書き込みのみ	高	財務の整合性と従業員のプライバシー
患者の医療記録	MedRec-2	医師と看護師: MedRec-2で読み取り/書き込みラボアシスタント: MedRec-2で書き込みのみ会計: MedRec-2で読み取りのみ	高	厳格な法的および規制基準
消費者の健康情報	Web-Ext-1	広報ウェブコンテンツ作成者: Web-Ext-1で読み取り/書き込み一般公開: Web-Ext-1で読み取りのみ	低	公共教育と企業イメージ

ユーザー

多くの組織は、ユーザーの種類を分類し、この分類に基づいて権限を設定することが有用であると考えています。この分類は、どのユーザー活動がセキュリティ監査の対象となるべきか、そしてそれらが生成する監査データの量を特定するのに役立ちます。

組織は、ユーザーが仕事を遂行するために必要な権利と権限の種類に基づいて区別を作成できます。例えば、管理者の分類の下で、大規模な組織は単一のコンピュータ、Exchange ServerやSQL Serverなどの特定のアプリケーション、またはドメイン全体のローカル管理者の責任を割り当てることができます。ユーザーの分類の下では、権限とグループポリシー設定が組織内のすべてのユーザーに適用される場合もあれば、特定の部門の一部の従業員にのみ適用される場合もあります。

また、組織が規制要件の対象となる場合、医療記録や財務データへのアクセスなどのユーザー活動を監査して、これらの要件を遵守していることを確認する必要があります。

ユーザー活動を効果的に監査するためには、まず組織内の異なるタイプのユーザー、彼らがアクセスする必要のあるデータ、およびアクセスしてはいけないデータをリストアップします。

また、外部ユーザーが組織のデータにアクセスできる場合は、それらを特定することが重要です。彼らがビジネスパートナー、顧客、または一般ユーザーであるかどうか、アクセスできるデータ、およびそのデータにアクセスするための権限を確認します。

次の表は、ネットワーク上のユーザーの分析を示しています。例として「監査の考慮事項」という単一の列のみを含んでいますが、サインイン時間や権限の使用など、異なる種類のネットワーク活動を区別するために、より多くの列を作成することをお勧めします。

グループ	データ	監査の考慮事項
アカウント管理者	ユーザーアカウントとセキュリティグループ	アカウント管理者は、新しいユーザーアカウントの作成、パスワードのリセット、セキュリティグループのメンバーシップの変更に完全な権限を持っています。これらの変更を監視するメカニズムが必要です。
財務OUのメンバー	財務記録	財務部門のユーザーは、重要な財務記録に対する読み書きアクセス権を持っていますが、これらのリソースの権限を変更することはできません。これらの財務記録は、政府の規制遵守要件の対象となります。
外部パートナー	プロジェクトZ	パートナー組織の従業員は、プロジェクトZに関連する特定のプロジェクトデータおよびサーバーに対する読み書きアクセス権を持っていますが、ネットワーク上の他のサーバーやデータにはアクセスできません。

コンピューター

セキュリティおよび監査要件と監査イベントのボリュームは、組織内の異なる種類のコンピューターによって大きく異なる場合があります。これらの要件は次のような要素に基づくことができます：

コンピューターがサーバー、デスクトップコンピューター、またはポータブルコンピューターであるかどうか
コンピューターが実行する重要なアプリケーション（例：Microsoft Exchange Server、SQL Server、またはForefront Identity Manager）
[!NOTE] 監査に関する詳細情報については、以下を参照してください:
- Exchange Serverの場合、Exchange 2010 Security Guideを参照してください。
- SQL Server 2008の場合、Auditing (Database Engine)を参照してください。
- SQL Server 2012の場合、SQL Server Audit (Database Engine)を参照してください。
オペレーティングシステムのバージョン
[!NOTE] オペレーティングシステムのバージョンは、利用可能な監査オプションと監査イベントデータの量を決定します。
データのビジネス価値

例えば、外部ユーザーがアクセスするウェブサーバーは、組織のネットワーク上の通常のユーザーや公開インターネットにさらされないルート認証局 (CA) とは異なる監査設定が必要です。

以下の表は、組織内のコンピューターの分析を示しています。

コンピューターとアプリケーションの種類	オペレーティングシステムのバージョン	配置場所
Exchange Serverをホストするサーバー	Windows Server 2008 R2	ExchangeSrv OU
ファイルサーバー	Windows Server 2012	部門ごと、場合によっては場所ごとに分けられたリソースOU
ポータブルコンピューター	Windows VistaおよびWindows 7	部門ごと、場合によっては場所ごとに分けられたポータブルコンピューターOU
ウェブサーバー	Windows Server 2008 R2	WebSrv OU

規制要件

多くの業界や地域には、ネットワーク運用やリソースの保護に関する特定の要件があります。例えば、医療や金融業界では、誰が記録にアクセスできるか、記録がどのように使用されるかを制御する厳格なガイドラインがあります。多くの国や地域には厳しいプライバシールールがあります。規制要件を特定するには、組織の法務部門やこれらの要件を担当する他の部門と協力してください。その後、これらの規制に準拠し、準拠を確認するために使用できるセキュリティ構成と監査オプションを検討してください。

詳細については、System Center Process Pack for IT GRC を参照してください。

セキュリティ監査ポリシーをユーザー、コンピューター、およびリソースのグループにマップする

グループポリシーを使用すると、定義されたユーザー、コンピューター、およびリソースのグループにセキュリティ監査ポリシーを適用できます。組織内のこれらの定義されたグループにセキュリティ監査ポリシーをマップするには、グループポリシーを使用してセキュリティ監査ポリシー設定を適用する際の次の考慮事項を理解しておく必要があります。

識別したポリシー設定は、1 つ以上の GPO を使用して適用できます。GPO を作成および編集するには、グループポリシー管理コンソール (GPMC) を使用します。GPMC を使用して GPO を選択した Active Directory サイト、ドメイン、および OU にリンクすることで、GPO 内のポリシー設定をこれらの Active Directory オブジェクト内のユーザーおよびコンピューターに適用します。OU は、グループポリシー設定を割り当てることができる最下位レベルの Active Directory コンテナーです。
選択したすべてのポリシー設定を組織全体に適用するか、特定のユーザーまたはコンピューターにのみ適用するかを決定します。次に、これらの監査ポリシー設定を GPO にまとめ、適切な Active Directory コンテナーにリンクします。
デフォルトでは、Active Directory サイト、ドメイン、および OU の上位レベルにリンクされた GPO で設定されたオプションは、下位レベルのすべての OU に継承されます。ただし、下位レベルにリンクされた GPO は、継承されたポリシーを上書きすることができます。
たとえば、ドメイン GPO を使用して組織全体の監査設定グループを割り当てるが、特定の OU に追加の設定グループを割り当てたい場合があります。この割り当てを行うには、2 番目の GPO をその特定の下位レベルの OU にリンクします。次に、OU レベルで適用されたサインイン監査設定は、特別な手順を踏んでグループポリシーのループバック処理を適用しない限り、ドメインレベルで適用された競合するサインイン監査設定を上書きします。
監査ポリシーはコンピューターポリシーです。したがって、ユーザー OU ではなく、コンピューター OU に適用される GPO を通じて適用する必要があります。ただし、ほとんどの場合、関連するオブジェクトの SACL を構成することで、特定のリソースおよびユーザーグループに対してのみ監査設定を適用できます。この機能により、指定したユーザーのみを含むセキュリティグループの監査が可能になります。

例えば、Payroll Data というフォルダーに対して Accounting Server 1 上で SACL を設定することができます。このフォルダーからオブジェクトを削除しようとする Payroll Processors OU のメンバーの試みを監査することができます。Object Access\Audit File System 監査ポリシー設定は Accounting Server 1 に適用されます。しかし、対応するリソース SACL が必要なため、Payroll Data フォルダーに対する Payroll Processors OU のメンバーのアクションのみが監査イベントを生成します。

高度なセキュリティ監査ポリシー設定は Windows Server 2008 R2 および Windows 7 で導入されました。これらの高度な監査ポリシーは、グループポリシーを使用してこれらのオペレーティングシステムおよびそれ以降のバージョンにのみ適用できます。

[!IMPORTANT] 高度な監査ポリシーをグループポリシーやログオンスクリプトを使用して適用する場合でも、Local Policies\Audit Policy の基本監査ポリシー設定と Security Settings\Advanced Audit Policy Configuration の高度な設定の両方を使用しないでください。基本および高度な監査ポリシー設定の両方を使用すると、監査レポートに予期しない結果が生じる可能性があります。

Advanced Audit Policy Configuration 設定やログオンスクリプトを使用して高度な監査ポリシーを適用する場合は、Local Policies\Security Options の下にある Audit: Force audit policy subcategory settings (Windows Vista or later) to override audit policy category settings ポリシー設定を有効にしてください。この設定により、基本的なセキュリティ監査が無視されるようにして、類似の設定間の競合を防ぎます。

次の例は、組織の OU 構造に監査ポリシーを適用する方法を示しています：

ファイルサーバーを含む OU にデータ活動設定を適用します。組織に機密データを含むサーバーがある場合、それらを別の OU に配置することを検討してください。次に、これらのサーバーに対してより正確な監査ポリシーを設定および適用することができます。
組織内のすべてのコンピューターを含む OU にユーザー活動監査ポリシーを適用します。組織が部門ごとにユーザーを OU に配置する場合、ネットワーク管理者や法務部門など、より機密性の高いエリアで働く従業員がアクセスする重要なリソースに対して、より詳細なセキュリティ権限を適用することを検討してください。
組織の最も重要なサーバー（ドメインコントローラー、CA、メールサーバー、データベースサーバーなど）を含む OU にネットワークおよびシステム活動監査ポリシーを適用します。

セキュリティ監査の目標をセキュリティ監査ポリシー設定にマッピングする

セキュリティ監査の目標を特定した後、それをセキュリティ監査ポリシー設定にマッピングすることができます。この監査ポリシー設定は、セキュリティ監査の目標に対応する必要があります。しかし、次のような組織の制約も反映する必要があります。

監視が必要なコンピューターの数
監査したい活動
監査設定が生成する監査イベント
監査データを分析し、対応するために利用可能な管理者

監査ポリシー設定を作成するには、次の手順を実行する必要があります。

ニーズに対応するために使用できるすべての監査ポリシー設定を調査します。
前のセクションで特定された監査要件に最も効果的に対応する監査設定を選択します。
選択した設定が監視したいコンピューターで実行されているオペレーティングシステムと互換性があることを確認します。
監査設定に使用する構成オプション（成功、失敗、または成功と失敗の両方）を決定します。
ラボまたはテスト環境で監査設定を展開し、ボリューム、サポート性、および包括性に関して望ましい結果を満たしていることを確認します。その後、パイロット生産環境で監査設定を展開し、監査計画が生成する監査データの量の見積もりが現実的であり、このデータを管理できることを確認します。

監査ポリシーオプションを調査する

サポートされているバージョンのWindowsでは、次の場所でセキュリティ監査ポリシー設定を表示および構成できます。

セキュリティ設定\ローカルポリシー\監査ポリシー
セキュリティ設定\ローカルポリシー\セキュリティオプション
セキュリティ設定\高度な監査ポリシー設定

詳細については、高度なセキュリティ監査ポリシー設定を参照してください。

使用する監査設定を選択する

目標に応じて、特定の監査設定のセットが特に価値がある場合があります。たとえば、セキュリティ設定\高度な監査ポリシー設定の下のいくつかの設定は、次の種類の活動を監視するために使用できます。

データとリソース
ユーザー
ネットワーク

[!IMPORTANT] 参照で説明されている設定は、他の設定によって監査された活動に関する貴重な情報を提供する場合があります。例えば、ユーザー活動とネットワーク活動を監視するために使用する設定は、データリソースを保護するために明らかに関連性があります。同様に、データリソースを侵害しようとする試みは、全体的なネットワークの状態に大きな影響を与え、ネットワーク上のユーザーの活動をどれだけうまく管理しているかにも関わってきます。

データとリソースの活動

組織のデータリソースが侵害されると、莫大な財務損失、失われた名声、法的責任が発生する可能性があります。組織に保護しなければならない重要なデータリソースがある場合、以下の設定が貴重な監視およびフォレンジックデータを提供します：

オブジェクトアクセス\ファイル共有の監査: このポリシー設定により、どのコンテンツがアクセスされたか、リクエストの発信元（IPアドレスとポート）、およびアクセスに使用されたユーザーアカウントを追跡できます。この設定で生成されるイベントデータの量は、ファイル共有にアクセスしようとするクライアントコンピューターの数によって異なります。ファイルサーバーやドメインコントローラーでは、ポリシー処理のためにクライアントコンピューターがSYSVOLにアクセスするため、ボリュームが高くなる場合があります。ファイル共有へのクライアントコンピューターによる通常のアクセスを記録する必要がない場合、ファイル共有へのアクセスに失敗した試みのみを監査イベントとしてログに記録することを検討してください。
オブジェクトアクセス\ファイルシステムの監査: このポリシー設定は、オペレーティングシステムがファイルシステムオブジェクトへのユーザーのアクセス試行を監査するかどうかを決定します。監査イベントは、SACLが設定されたオブジェクト（ファイルやフォルダーなど）に対してのみ生成され、要求されたアクセスの種類（書き込み、読み取り、変更など）およびリクエストを行っているアカウントがSACLの設定と一致する場合にのみ生成されます。
成功監査が有効になっている場合、SACLと一致するファイルシステムオブジェクトに任意のアカウントが正常にアクセスするたびに監査エントリが生成されます。失敗監査が有効になっている場合、SACLと一致するファイルシステムオブジェクトにユーザーがアクセスしようとして失敗するたびに監査エントリが生成されます。ファイルシステムの監査ポリシー設定によって生成される監査データの量は、監視するように設定したオブジェクトの数によって大きく異なる場合があります。
[!NOTE] コンピューター上のすべてのファイルシステムオブジェクトへのユーザーアクセス試行を監査するには、Global Object Access Auditing 設定 Registry (Global Object Access Auditing) または File System (Global Object Access Auditing) を使用します。
Object Access\Audit Handle Manipulation: このポリシー設定は、オブジェクトへのハンドルが開かれたり閉じられたりしたときに、オペレーティングシステムが監査イベントを生成するかどうかを決定します。これらのイベントは、SACL が設定されたオブジェクトのみが生成し、試行されたハンドル操作が SACL に一致する場合にのみ生成されます。
イベントのボリュームは、SACL の設定方法によっては多くなることがあります。Audit File System または Audit Registry ポリシー設定と一緒に使用すると、Audit Handle Manipulation ポリシー設定は、監査イベントの基礎となる正確な権限を詳細に示す「アクセス理由」監査データを提供できます。例えば、ファイルが 読み取り専用 リソースとして設定されているが、ユーザーがファイルに変更を保存しようとした場合、監査イベントはイベント および ファイル変更を保存するために使用された（または使用しようとした）権限を記録します。
Global Object Access Auditing: 多くの組織は、データセキュリティとプライバシーを規定する規制要件を遵守するためにセキュリティ監査を使用しています。しかし、厳格な管理が実施されていることを示すのは難しい場合があります。この問題に対処するために、サポートされている Windows のバージョンには、レジストリ用とファイルシステム用の 2 つの Global Object Access Auditing ポリシー設定が含まれています。これらの設定を構成すると、システム上のそのクラスのすべてのオブジェクトにグローバルシステムアクセス制御 SACL が適用されます。これらの設定は上書きや回避ができません。
[!IMPORTANT] Global Object Access Auditing ポリシー設定は、Object Access カテゴリの Audit File System および Audit Registry 監査ポリシー設定と共に構成および適用される必要があります。

ユーザー活動

前のセクションの設定は、ネットワーク上に保存されているファイル、フォルダー、およびネットワーク共有に関連するアクティビティに関するものです。このセクションの設定は、従業員、パートナー、および顧客を含む、これらのリソースにアクセスしようとするユーザーに焦点を当てています。

ほとんどの場合、これらの試みは正当なものであり、ネットワークは正当なユーザーにデータをすぐに利用できるようにする必要があります。しかし、他の場合では、従業員、パートナー、およびその他の人々が正当な理由なくリソースにアクセスしようとすることがあります。セキュリティ監査を使用して、特定のコンピューター上のさまざまなユーザーアクティビティを追跡し、正当なユーザーの問題を診断および解決し、不正なアクティビティを特定および対処することができます。ネットワーク上のユーザーアクティビティを追跡するために評価すべき重要な設定は次のとおりです：

Account Logon\Audit Credential Validation: この設定により、すべての成功および失敗したサインイン試行を追跡できます。失敗した試行のパターンは、ユーザーまたはアプリケーションが無効になった資格情報を使用していることを示している可能性があります。または、ユーザーまたはアプリが連続してさまざまな資格情報を使用し、最終的にこれらの試行のいずれかが成功することを期待している可能性があります。これらのイベントは、資格情報の権限を持つコンピューターで発生します。ドメインアカウントの場合、ドメインコントローラーが権限を持ちます。ローカルアカウントの場合、ローカルコンピューターが権限を持ちます。
Detailed Tracking\Audit Process Creation および Detailed Tracking\Audit Process Termination: これらのポリシー設定により、ユーザーがコンピューター上で開いたり閉じたりするアプリケーションを監視できます。
DS Access\Audit Directory Service Access および DS Access\Audit Directory Service Changes: これらのポリシー設定は、Active Directory Domain Services (AD DS) 内のオブジェクトへのアクセス、作成、変更、削除、移動、または削除の試行の詳細な監査トレイルを提供します。AD DS オブジェクトを変更する権限を持つのはドメイン管理者のみであるため、これらのオブジェクトを変更しようとする悪意のある試行を特定することが重要です。また、ドメイン管理者は組織の最も信頼される従業員の一部であるべきですが、Audit Directory Service Access および Audit Directory Service Changes 設定を使用することで、AD DS に対して承認された変更のみが行われていることを監視および確認できます。これらの監査イベントはドメインコントローラーでのみ記録されます。
Logon/Logoff\Audit Account Lockout: もう一つの一般的なセキュリティシナリオは、ロックアウトされたアカウントでサインインしようとするユーザーがいる場合です。これらのイベントを特定し、ロックアウトされたアカウントを使用しようとする試行が悪意のあるものであるかどうかを判断することが重要です。
Logon/Logoff\Audit Logoff および Logon/Logoff\Audit Logon: ログオンおよびログオフイベントは、ユーザーアクティビティを追跡し、潜在的な攻撃を検出するために不可欠です。ログオンイベントはログオンセッションの作成に関連しており、アクセスされたコンピューターで発生します。インタラクティブなログオンの場合、イベントはログオンされたコンピューターで生成されます。共有リソースへのアクセスなどのネットワークログオンの場合、イベントはアクセスされたリソースをホストするコンピューターで生成されます。ログオフイベントはログオンセッションが終了したときに生成されます。
[!NOTE] ログオフ活動には失敗イベントがありません。システムが突然シャットダウンするなどして失敗したログオフは監査記録を生成しないためです。ログオフイベントは100％信頼できるものではありません。例えば、コンピュータが適切なログオフやシャットダウンなしに電源を切られることがあるため、ログオフイベントは生成されません。
ログオン/ログオフ\特別なログオンの監査: 特別なログオンは管理者と同等の権限を持ち、プロセスをより高いレベルに昇格させるために使用できます。これらの種類のログオンを追跡することをお勧めします。
オブジェクトアクセス\認証サービスの監査: このポリシー設定により、Active Directory Certificate Services (AD CS) ロールサービスをホストするコンピュータ上の活動を監視し、許可されたユーザーのみがこれらのタスクを実行し、許可されたまたは望ましいタスクのみが実行されることを確認できます。
オブジェクトアクセス\ファイルシステムの監査およびオブジェクトアクセス\ファイル共有の監査: これらのポリシー設定は前のセクションで説明されています。
オブジェクトアクセス\ハンドル操作の監査: このポリシー設定と「アクセスの理由」監査データの提供における役割は前のセクションで説明されています。
オブジェクトアクセス\レジストリの監査: レジストリの変更を監視することは、管理者が悪意のあるユーザーが重要なコンピュータ設定を変更しないようにするための最良の方法の一つです。監査イベントは、SACLが設定されているオブジェクトに対してのみ生成され、要求されるアクセスの種類（書き込み、読み取り、変更など）と要求を行うアカウントがSACLの設定と一致する場合にのみ生成されます。
[!IMPORTANT] レジストリ設定の変更をすべて追跡する必要がある重要なシステムでは、レジストリの監査 と グローバルオブジェクトアクセス監査 のポリシー設定を組み合わせて、コンピュータ上のレジストリ設定の変更をすべて追跡できます。
オブジェクトアクセス\SAMの監査: セキュリティアカウントマネージャー (SAM) は、Windowsを実行しているコンピュータ上のデータベースで、ローカルコンピュータ上のユーザーアカウントとセキュリティ記述子を保存します。ユーザーおよびグループオブジェクトの変更は、アカウント管理 監査カテゴリによって追跡されます。ただし、適切なユーザー権限を持つユーザーアカウントは、システムに保存されているアカウントおよびパスワード情報が格納されているファイルを変更し、アカウント管理 イベントをバイパスする可能性があります。
特権使用\機密特権使用の監査: これらのポリシー設定と監査イベントにより、1つ以上のシステムで特定の権利の使用を追跡できます。このポリシー設定を構成すると、機密権利要求が行われたときに監査イベントが生成されます。

ネットワーク活動

以下のネットワーク活動ポリシー設定は、データやユーザー活動カテゴリには必ずしも含まれないが、ネットワークの状態と保護に重要なセキュリティ関連の問題を監視するためのものです。

アカウント管理: このカテゴリのポリシー設定を使用して、ユーザーまたはコンピューターアカウント、セキュリティグループ、または配布グループの作成、削除、または変更の試行を追跡します。これらの活動を監視することは、ユーザー活動およびデータおよびリソース活動セクションで選択した監視戦略を補完します。
アカウントログオン\Kerberos 認証サービスの監査およびアカウントログオン\Kerberos サービスチケット操作の監査: アカウントログオンカテゴリの監査ポリシー設定は、ドメインアカウント資格情報の使用に関連する活動を監視します。これらのポリシー設定は、ログオン/ログオフカテゴリのポリシー設定を補完します。Kerberos 認証サービスの監査ポリシー設定は、Kerberos サービスの状態および潜在的な脅威を監視することを可能にします。Kerberos サービスチケット操作の監査ポリシー設定は、Kerberos サービスチケットの使用を監視することを可能にします。
[!NOTE] アカウントログオンポリシー設定は、アクセスされるコンピューターに関係なく、特定のドメインアカウント活動にのみ適用されます。ログオン/ログオフポリシー設定は、アクセスされるリソースをホストするコンピューターに適用されます。
アカウントログオン\その他のアカウントログオンイベントの監査: このポリシー設定は、リモートデスクトップ接続、有線ネットワーク接続、および無線接続の作成試行を含むさまざまなネットワーク活動を追跡するために使用できます。
DS アクセス: このカテゴリのポリシー設定は、AD DS ロールサービスを監視することを可能にします。これらのサービスは、アカウントデータを提供し、ログオンを検証し、ネットワークアクセス権限を維持し、ネットワークの安全で適切な機能に重要な他の機能を提供します。したがって、ドメインコントローラーの構成へのアクセスおよび変更の権利を監査することは、組織が安全で信頼性のあるネットワークを維持するのに役立ちます。AD DS が実行する主要なタスクの1つは、ドメインコントローラー間のデータのレプリケーションです。
ログオン/ログオフ\IPsec 拡張モードの監査、ログオン/ログオフ\IPsec メインモードの監査、およびログオン/ログオフ\IPsec クイックモードの監査: ネットワークは、多くの外部ユーザー、リモート従業員やパートナーをサポートすることがよくあります。これらのユーザーは組織のネットワーク境界の外にいるため、IPsec はインターネット上の通信を保護するためによく使用されます。IPsec は、ネットワークレベルのピア認証、データの起源認証、データの整合性チェック、データの機密性（暗号化）、およびリプレイ攻撃に対する保護を提供します。これらの設定を使用して、IPsec サービスが適切に機能していることを確認できます。
ログオン/ログオフ\ネットワークポリシーサーバーの監査: RADIUS (IAS) およびネットワークアクセス保護 (NAP) を使用して外部ユーザーのセキュリティ要件を設定および維持する組織は、このポリシー設定を使用してこれらのポリシーの有効性を監視し、誰かがこれらの保護を回避しようとしているかどうかを判断できます。
ポリシー変更: これらのポリシー設定およびイベントは、ローカルコンピューターまたはネットワーク上の重要なセキュリティポリシーの変更を追跡することを可能にします。ポリシーは通常、ネットワークリソースを保護するために管理者によって設定されるため、これらのポリシーの変更または変更の試行を監視することは、ネットワークのセキュリティ管理の重要な側面となる可能性があります。
ポリシー変更\監査ポリシー変更の監査: このポリシー設定は、監査ポリシーの変更を監視することを可能にします。悪意のあるユーザーがドメイン管理者の資格情報を取得した場合、ネットワーク上の他の活動が検出されないように、重要なセキュリティ監査ポリシー設定を一時的に無効にすることができます。
ポリシー変更\フィルタリングプラットフォームポリシー変更の監査: このポリシー設定は、組織の IPsec ポリシーに対するさまざまな変更を監視するために使用できます。
ポリシー変更\MPSSVC ルールレベルポリシー変更の監査: このポリシー設定は、Microsoft Protection Service (MPSSVC.exe) のポリシールールに変更が加えられたときに、オペレーティングシステムが監査イベントを生成するかどうかを決定します。ファイアウォールルールの変更は、コンピューターのセキュリティ状態とネットワーク攻撃に対する保護の程度を理解するために重要です。

オペレーティングシステムのバージョン互換性を確認する

すべてのバージョンのWindowsが高度な監査ポリシー設定やグループポリシーを使用してこれらの設定を管理することをサポートしているわけではありません。詳細については、どのエディションのWindowsが高度な監査ポリシー設定をサポートしているかを参照してください。

ローカルポリシー\監査ポリシーの下の監査ポリシー設定は、セキュリティ設定\高度な監査ポリシー設定の下の監査ポリシー設定と重複しています。しかし、高度な監査ポリシーのカテゴリとサブカテゴリを使用すると、重要な活動に監査の努力を集中させることができ、組織にとって重要性の低い監査データの量を減らすことができます。

例えば、ローカルポリシー\監査ポリシーには**アカウントログオンイベントの監査**という単一の設定があります。この設定が構成されると、少なくとも10種類の監査イベントが生成されます。

これに対して、セキュリティ設定\高度な監査ポリシー設定の下のアカウントログオンカテゴリには、次の高度な設定が提供されており、監査を集中させることができます：

資格情報の検証
Kerberos認証サービス
Kerberosサービスチケット操作
その他のアカウントログオンイベント

これらの設定により、どの活動やイベントがイベントデータを生成するかをより厳密に制御することができます。いくつかの活動やイベントは組織にとってより重要であるため、セキュリティ監査ポリシーの範囲をできるだけ狭く定義してください。

成功、失敗、またはその両方

計画に含めるイベント設定に関係なく、活動が失敗したとき、成功したとき、または成功と失敗の両方をログに記録するかどうかを決定する必要があります。この質問は重要です。答えはイベントの重要性とイベントボリュームに対する決定の影響に依存します。

例えば、正当なユーザーが頻繁にアクセスするファイルサーバーでは、データへのアクセスが失敗したときのみイベントをログに記録したいかもしれません。なぜなら、このアクセス失敗は不正または悪意のあるユーザーの証拠となる可能性があるからです。この場合、サーバーへの成功したアクセスをログに記録すると、イベントログがすぐに無害なイベントでいっぱいになってしまいます。

しかし、ファイル共有に機密情報（例えば、企業秘密）が含まれている場合、リソースにアクセスしようとするすべてのユーザーの監査証跡を残すために、すべてのアクセス試行を記録することを検討する必要があります。

セキュリティ監査の監視と管理の計画

ネットワークには、重要なサービスを実行したり、重要なデータを保存したりする数百台のサーバーが含まれている可能性があり、これらすべてを監視する必要があります。ネットワーク上には数万台、あるいは数十万台のコンピューターが存在するかもしれません。サーバーやクライアントコンピューターの管理者1人あたりの比率が低い場合、これらの数は問題にならないかもしれません。そして、セキュリティやパフォーマンスの問題を監査する責任を持つ管理者が監視するコンピューターが比較的少ない場合でも、管理者がレビューするためのイベントデータをどのように取得するかを決定する必要があります。以下は、イベントデータを取得するためのいくつかのオプションです。

イベントデータをローカルコンピューターに保持し、管理者がサインインしてこのデータをレビューするまで待ちますか？その場合、管理者は各クライアントコンピューターやサーバーのイベントビューアーに物理的またはリモートでアクセスする必要があります。また、各クライアントコンピューターやサーバーのリモートアクセスとファイアウォールの設定を、このアクセスを可能にするように構成する必要があります。さらに、管理者が各コンピューターを訪問する頻度を決定し、監査ログが容量に達した場合に重要な情報が削除されないように、監査ログのサイズを調整する必要があります。
イベントデータを収集して、中央コンソールからレビューできるようにしますか？その場合、Microsoft Operations Manager 2007および2012のAudit Collection Servicesなど、イベントデータを収集およびフィルタリングするための多くのコンピュータ管理製品があります。このソリューションを使用すると、ローカルストレージオプションを使用するよりも多くのデータを単一の管理者がレビューできると考えられます。しかし、場合によっては、この方法では単一のコンピューターで発生する関連イベントのクラスターを検出するのが難しくなることがあります。

さらに、監査データを個々のコンピューターに残すか、中央の場所に統合するかに関係なく、ログファイルのサイズとログが最大サイズに達したときに何が起こるかを決定する必要があります。これらのオプションを構成するには、イベントビューアーを開き、Windowsログを展開し、セキュリティを右クリックして、プロパティを選択します。次のプロパティを構成できます:

必要に応じてイベントを上書きする（最も古いイベントから）: このオプションはデフォルトであり、ほとんどの状況で受け入れられます。
ログが満杯になったらアーカイブし、イベントを上書きしない: このオプションは、すべてのログデータを保存する必要がある場合に使用できます。しかし、このシナリオでは、監査データを十分に頻繁に確認していない可能性があります。
イベントを上書きしない（手動でログをクリア）: このオプションは、ログファイルが最大サイズに達したときに監査データの収集を停止します。最新の監査イベントを犠牲にして古いデータが保持されます。このオプションは、監査データを失いたくない、イベントログのアーカイブを作成したくない、最大ログサイズに達する前にデータを確認することを約束する場合にのみ使用してください。

グループポリシー設定を使用して、監査ログのサイズやその他の主要な管理オプションを構成することもできます。GPMCの次の場所でイベントログ設定を構成できます: コンピュータ構成\管理用テンプレート\Windowsコンポーネント\イベントログサービス\セキュリティ。これらのオプションには以下が含まれます:

最大ログサイズ（KB）: このポリシー設定は、ログファイルの最大サイズを指定します。ローカルグループポリシーエディターおよびイベントビューアーでは、最大2TBの値を入力できます。この設定が構成されていない場合、イベントログのデフォルトの最大サイズは20メガバイトです。
ログアクセス: このポリシー設定は、どのユーザーアカウントがログファイルにアクセスできるか、およびどの使用権限が付与されるかを決定します。
古いイベントを保持: このポリシー設定は、ログファイルが最大サイズに達したときのイベントログの動作を制御します。このポリシー設定が有効になっている場合、ログファイルが最大サイズに達すると、新しいイベントはログに書き込まれず、失われます。このポリシー設定が無効になっている場合、ログファイルが最大サイズに達すると、新しいイベントが古いイベントを上書きします。
満杯になったときにログを自動的にバックアップ: このポリシー設定は、ログファイルが最大サイズに達したときのイベントログの動作を制御します。この設定は、古いイベントを保持ポリシー設定が有効になっている場合にのみ有効です。これらのポリシー設定を有効にすると、イベントログファイルは満杯になると自動的に閉じられ、名前が変更されます。その後、新しいログファイルが開始されます。このポリシー設定を無効にするか構成しない場合、古いイベントを保持ポリシー設定が有効になっている場合、新しいイベントは破棄され、古いイベントが保持されます。

多くの組織は、アーカイブされたログファイルを何年も保存することが求められています。あなたの組織にそのようなガイドラインが適用されるかどうかを判断するために、組織内の規制コンプライアンス担当者に相談してください。詳細については、ITコンプライアンス管理ガイドを参照してください。

セキュリティ監査ポリシーの展開

本番環境に監査ポリシーを展開する前に、設定したポリシー設定の影響を確認することが重要です。

監査ポリシー展開を評価する最初のステップは、ラボでテスト環境を作成することです。これを使用して、選択した監査設定が正しく構成され、望む結果を生成することを確認するために、特定したさまざまな使用シナリオをシミュレートします。

しかし、ネットワーク使用パターンのかなり現実的なシミュレーションを実行できない限り、ラボのセットアップでは、選択した監査ポリシー設定が生成する監査データの量や、監査データを監視する計画の効果について正確な情報を提供することはできません。この種の情報を提供するには、1つ以上のパイロット展開を実施する必要があります。これらのパイロット展開には以下が含まれる可能性があります：

重要なデータサーバーを含む単一のOU、または特定の場所にあるすべてのデスクトップコンピューターを含むOU
ログオン/ログオフやアカウントログオンなどの限定されたセキュリティ監査ポリシー設定
限定されたOUと監査ポリシー設定の組み合わせ—例えば、オブジェクトアクセスポリシー設定を持つ会計OUのサーバーのみを対象とする

1つ以上の限定された展開を正常に完了した後、収集された監査データが管理ツールや管理者で管理可能であることを確認する必要があります。パイロット展開が効果的であることを確認した後、必要なツールとスタッフを確保して、展開を拡大し、より多くのOUと監査ポリシー設定のセットを含めるまで展開を完了する必要があります。