3の「[イベントビューア]のセキュリティ」は、収集したログをチェックするために利用する。ログを収集しても、定期的にチェックしなければ、それは監査にならない。
たとえば、「提案書2.txt」というファイル オブジェクトを変更すると、その操作内容はログに記録される。以下はテキストファイルとして保存した、ログの抜粋である。
セキュリティログの読み方のイメージ。実際にはテキスト、CSV形式で保存できるので適当なツールで検索や集計が可能だ。テキスト形式、CSV形式で保存できるので読むのに特別なソフトウェアは不要で、後から加工する場合にも都合がよい。
ここで注意だが、ログのサイズは、共有フォルダを使用するユーザーの人数、アクセス頻度により思いのほか大きくなる可能性がある。あらかじめテスト運用を行って、どの程度のサイズになるかを予想しておくとよい。また、締め日、月末、年度末などアクセス頻度が上がる期間は急激にログサイズが大きくなるので、それも考慮しておくこと。
「イベントID」とは?
Windowsでの監査には、「イベントID」と呼ばれる、どのような操作が行われたかを示す番号が振られる。
イベントIDはこのように表示される。各イベントIDの意味については記事を参照のこと。イベントIDには次のようなものがある。
●560:ファイル操作
ファイルを開く、変更する、追加する、削除するといった操作がこのIDで記録される。書類に対する不正な操作を調べるためには、イベントID「560」を集中的に調べればよい。書き込み禁止のファイルにアクセスすると失敗の監査に記録が残る。
●540:ネットワーク経由のログオン
ネットワーク経由でログオンしてくるユーザーが記録される。「従業員は何時にアクセスしてくるか」といったことを調べると、サーバが混み合う作業時間帯を推測できる。
●538:ログオフ
ログオフの状況が記録される。ログオンと合わせると、従業員がどれくらいの時間、PCで作業をしていたかについて大まかな情報をつかめる。ただし、ケーブルを抜く、いきなりPCの電源を切るといった場合にはログオフの記録が残らない。
●675:ログオン失敗
ログオンに失敗すると記録される。パスワード間違いによる失敗の記録が連続しているようであれば、それは不正アクセスを試みようとしているのかもしれない。
次回の「操作編」では、これらの監査を行うための、実際の操作を詳細に説明する。
筆者紹介
木村 尚義(きむら なおよし)
木村PC活用研究所代表 マイクロソフト MCT/MCSE/MCA
ソフトハウスでSE、OA機器販売会社で提案営業、独立系教育専門会社を経て、事例専門ポータルをプロデュース。講師としての実績が高く、マイクロソフト系のセミナーを全国で実施している。実践経験を教育、執筆活動に生かし、カンによる経営から、科学的な経営に変革するためITの有効活用を研究。現在、経営者の視点から、従業員数50名程度の事業主に向けて、ITの効果測定方法を提言中。
