カネ、ヒト、時間いらずのIT内部統制--第6章:「監査」のために(準備編) - (page 4)

木村尚義

2007-06-25 16:51

 3の「[イベントビューア]のセキュリティ」は、収集したログをチェックするために利用する。ログを収集しても、定期的にチェックしなければ、それは監査にならない。

 たとえば、「提案書2.txt」というファイル オブジェクトを変更すると、その操作内容はログに記録される。以下はテキストファイルとして保存した、ログの抜粋である。

IT06_02 セキュリティログの読み方のイメージ。実際にはテキスト、CSV形式で保存できるので適当なツールで検索や集計が可能だ。

 テキスト形式、CSV形式で保存できるので読むのに特別なソフトウェアは不要で、後から加工する場合にも都合がよい。

 ここで注意だが、ログのサイズは、共有フォルダを使用するユーザーの人数、アクセス頻度により思いのほか大きくなる可能性がある。あらかじめテスト運用を行って、どの程度のサイズになるかを予想しておくとよい。また、締め日、月末、年度末などアクセス頻度が上がる期間は急激にログサイズが大きくなるので、それも考慮しておくこと。

「イベントID」とは?

 Windowsでの監査には、「イベントID」と呼ばれる、どのような操作が行われたかを示す番号が振られる。

IT06_03 イベントIDはこのように表示される。各イベントIDの意味については記事を参照のこと。

 イベントIDには次のようなものがある。

●560:ファイル操作

 ファイルを開く、変更する、追加する、削除するといった操作がこのIDで記録される。書類に対する不正な操作を調べるためには、イベントID「560」を集中的に調べればよい。書き込み禁止のファイルにアクセスすると失敗の監査に記録が残る。

●540:ネットワーク経由のログオン

 ネットワーク経由でログオンしてくるユーザーが記録される。「従業員は何時にアクセスしてくるか」といったことを調べると、サーバが混み合う作業時間帯を推測できる。

●538:ログオフ

 ログオフの状況が記録される。ログオンと合わせると、従業員がどれくらいの時間、PCで作業をしていたかについて大まかな情報をつかめる。ただし、ケーブルを抜く、いきなりPCの電源を切るといった場合にはログオフの記録が残らない。

●675:ログオン失敗

 ログオンに失敗すると記録される。パスワード間違いによる失敗の記録が連続しているようであれば、それは不正アクセスを試みようとしているのかもしれない。

 次回の「操作編」では、これらの監査を行うための、実際の操作を詳細に説明する。

筆者紹介

木村 尚義(きむら なおよし)
木村PC活用研究所代表  マイクロソフト MCT/MCSE/MCA
ソフトハウスでSE、OA機器販売会社で提案営業、独立系教育専門会社を経て、事例専門ポータルをプロデュース。講師としての実績が高く、マイクロソフト系のセミナーを全国で実施している。実践経験を教育、執筆活動に生かし、カンによる経営から、科学的な経営に変革するためITの有効活用を研究。現在、経営者の視点から、従業員数50名程度の事業主に向けて、ITの効果測定方法を提言中。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]