ファイル アクセスの監査の計画
このトピックでは、Windows Server 2012 から導入されたセキュリティ監査の強化機能と、エンタープライズにダイナミック アクセス制御を展開する際に考慮する必要のある新しい監査設定について説明します。 展開する実際の監査ポリシー設定は、コンプライアンス遵守、監視、法的分析、トラブルシューティングなどの目標によって異なります。
注意
エンタープライズに全体的なセキュリティ監査戦略を計画および展開する方法の詳細については、「詳細なセキュリティ監査ポリシーの計画と展開」で説明されています。 セキュリティ監査ポリシーの構成と展開の詳細については、「詳細なセキュリティ監査ポリシーのステップ バイ ステップ ガイド」を参照してください。
Windows Server 2012 の次のセキュリティ監査機能をダイナミック アクセス制御と共に使用することで、全体的なセキュリティ監査戦略を拡張できます。
式ベースの監査ポリシー。 ダイナミック アクセス制御により、ユーザー、コンピューター、およびリソースの信頼性情報に基づく式を使用して、対象を絞った監査ポリシーを作成できます。 たとえば、ビジネス上重要と分類されたファイルに対する、高レベルなセキュリティ クリアランスを持たない従業員による読み取り操作と書き込み操作を追跡する監査ポリシーを作成できます。 式ベースの監査ポリシーは、ファイルまたはフォルダー用として直接作成できるほか、グループ ポリシーを介して一元的に作成することもできます。 詳細については、「グローバル オブジェクト アクセスの監査を使用したグループ ポリシー」を参照してください。
オブジェクト アクセスの監査から取得される追加情報。 ファイル アクセスの監査は、Windows Server 2012 の新機能ではありません。 適切な監査ポリシーを配置すると、ユーザーがファイルにアクセスするたびに Windows および Windows Server オペレーティング システムによって監査イベントが生成されます。 既存のファイル アクセス イベント (4656、4663) に、アクセスされたファイルの属性に関する情報が格納されます。 イベント ログ フィルター処理ツールでこの情報を使用すると、重要性の高い監査イベントを識別できます。 詳細については、「監査ハンドルの操作」と「セキュリティ アカウント マネージャーの監査」を参照してください。
ユーザー ログオン イベントから取得される詳細情報。 適切な監査ポリシーを配置すると、ユーザーがローカルまたはリモートでコンピューターにサインインするたびに Windows オペレーティング システムによって監査イベントが生成されます。 Windows Server 2012 または Windows 8 では、ユーザーのセキュリティ トークンに関連付けられたユーザーやデバイスの信頼性情報も監視できます。 これには、たとえば、部門、会社、プロジェクト、セキュリティ クリアランスなどがあります。イベント 4626 に格納されるこれらのユーザーやデバイスの信頼性情報を監査ログ管理ツールで使用すると、ユーザー ログオン イベントをオブジェクト アクセス イベントと関連付けて、ファイル属性およびユーザー属性に基づいてイベントをフィルター処理できます。 ユーザー ログオン監査の詳細については、「ログオンの監査」を参照してください。
セキュリティで保護できる新しい種類のオブジェクトの変更の追跡。 次のようなシナリオでは、セキュリティで保護できるオブジェクトの変更の追跡が重要となることがあります。
集約型アクセス ポリシーと集約型アクセス規則の変更の追跡。 集約型アクセス ポリシーと集約型アクセス規則は、重要なリソースへのアクセスの制御に使用できる集約型のポリシーを定義します。 これらに対する変更は、複数のコンピューター上のユーザーに与えられたファイル アクセス許可に直接影響を与える可能性があります。 このため、集約型アクセス ポリシーと集約型アクセス規則への変更を追跡することが組織にとって重要となる可能性があります。 集約型アクセス ポリシーと集約型アクセス規則は Active Directory ドメイン サービス (AD DS) に保存されるため、AD DS 内のセキュリティで保護できる他のオブジェクトに対する変更の監査と同様に、これらのポリシーと規則に対する変更の試行を監査できます。 詳細については、「ディレクトリ サービスのアクセスの監査」を参照してください。
信頼性情報ディクショナリ内の定義の変更の追跡。 信頼性情報の定義には、信頼性情報の名前、説明、指定できる値などが含まれます。 信頼性情報の定義への変更は、重要なリソースのアクセス許可に影響を与える可能性があります。 このため、信頼性情報の定義への変更を追跡することが組織にとって重要となる可能性があります。 集約型アクセス ポリシーおよび集約型アクセス規則と同様に、信頼性情報の定義は AD DS に保存されます。そのため、信頼性情報の定義は AD DS 内のセキュリティで保護できる他のオブジェクトと同じように監査できます。 詳細については、「ディレクトリ サービスのアクセスの監査」を参照してください。
ファイル属性の変更の追跡。 ファイル属性は、ファイルに適用される集約型アクセス規則を決定します。 ファイル属性の変更は、ファイルのアクセス制限に影響を与える可能性があります。 このため、ファイル属性の変更を追跡することが重要となる可能性があります。 任意のコンピューター上でのファイル属性の変更は、承認ポリシーの変更の監査ポリシーを構成して追跡できます。 詳細については、「承認ポリシーの変更の監査」と「ファイル システムのオブジェクト アクセスの監査」を参照してください。 Windows Server 2012 では、イベント 4911 によってファイル属性ポリシーの変更と他の承認ポリシーの変更イベントが区別されます。
ファイルに関連付けられた集約型アクセス ポリシーの変更履歴。 イベント 4913 では、新旧の集約型アクセス ポリシーのセキュリティ識別子 (SID) が表示されます。 各集約型アクセス ポリシーには、このセキュリティ識別子を使用して検索できるわかりやすい名前も付いています。 詳細については、「承認ポリシーの変更の監査」を参照してください。
ユーザー属性とコンピューター属性の変更の追跡。 ファイルと同様に、ユーザー オブジェクトとコンピューター オブジェクトは属性を持つことができます。これらの属性の変更は、ファイルにアクセスするためのユーザーの権限に影響を与える可能性があります。 このため、ユーザー属性またはコンピューター属性の変更を追跡することが有用な場合があります。 ユーザー オブジェクトとコンピューター オブジェクトは AD DS に保存されます。そのため、これらのオブジェクトの属性の変更は監査することができます。 詳細については、「 DS アクセス」を参照してください。
ポリシー変更のステージング。 集約型アクセス ポリシーへの変更は、そのポリシーが適用されているすべてのコンピューター上のアクセス制御決定に影響を与える可能性があります。 厳密でないポリシーの場合、必要以上のアクセス権を付与する可能性があります。また、過度に制限の厳しいポリシーの場合、ヘルプ デスクへの問い合わせが極端に多くなる可能性があります。 その結果、変更を適用する前に集約型アクセス ポリシーへの変更を検証することがきわめて重要となる可能性があります。 このため、Windows Server 2012 では "ステージング" という概念が導入されています。ステージングによってユーザーは、ポリシー変更候補を適用する前にその変更を検証できます。 ポリシーのステージングを使用するために、ポリシー候補は適用されているポリシーと共に展開されます。ただし、ステージングされるポリシーはアクセス許可を実際に付与することも拒否することもありません。 代わりに、Windows Server 2012 は、ステージングされるポリシーを使用するアクセス チェックの結果が、適用されているポリシーを使用するアクセス チェックの結果と異なる場合は常に、監査イベント (4818) をログに記録します。