パソコンの操作ログ、不正操作防止によるセキュリティ対策
「WEEDS Windows-SecureControl」
「USBメモリーなどの外部媒体からの情報流出が心配」
「サーバーの不正操作を監視して抑止したい」
「重要ファイルがあるファイルサーバーへのアクセスを監視したい」
「Windows端末の全操作を把握して、情報流出経路は遮断したい」
昨今のセキュリティ強化対策を背景に、上記のようなお悩みを抱えられている企業が多くあります。
Windowsの操作記録を取得する製品は世の中にたくさんあり、自社にあった製品を探すのに苦労されている模様です。
また、過去にWindows操作のログを取得するツールを導入された経験をお持ちの企業では、
「Windows既存のイベントログ(EVT)では取得できない操作があり、困っている」
「ログが取れすぎていて、どうやって監査したらよいかわからない」
「USBメモリー抑止設定が、レジストリ値の変更で簡単に解除できてしまった」
このような課題を抱えられている企業をよく見受けます。上記の課題はWEEDS Windows-SecureControlなら問題なく解決できます。
WEEDS Windows-SecureControlとは
Windows操作ログを取得する「WEEDS Windows-SecureControl」
WEEDS Windows-SecureControlは、Windows端末(クライアントPC)、サーバーそれぞれの、GUI操作、CUI操作(コマンドプロンプト)を取得し、ログリポジトリデータベースへ暗号化して蓄積します。
WEEDS Windows-SecureControlによって取得されたログは、(標準では)3分毎にログ蓄積サーバー(ログリポジトリーサーバー)へ転送され、ログデータベースへロードされます。 ログリポジトリーサーバー上では、WEEDS Log-Repository Managerによってログは管理され、監査レポートの生成やログメンテナンス(定期退避、バックアップ、リストア)を行えます。 監査対象Windowsマシンへ一旦出力されたWEEDS Windows-SecureControlのログは、ログリポジトリサーバーへ転送後(標準では)速やかに削除し、監査対象へ負担をかけないよう対処しています。
Windows操作を抑止する「Guardian Option」
Guardian Optionは、予め設定された動作を抑止する機能です。
例えば、
外部媒体 : 書出しは不可だが、読込は可能
外部媒体 : ある特定のプログラムからの書出しは可能だが、それ以外は書出し、読込不可
プログラム : Winnyの起動を抑止
など様々な抑止設定を組み合わせることで、Windows環境のセキュリティ強化ができます。
なお、WEEDS Windows-SecureControlの抑止方法は、「Windows OSのカーネルへ処理を渡さない」ことで実現しています。
つまり、レジストリの設定変更などではないため、ユーザーが解除することはできません。
充実した監査レポート
操作記録はただ溜めているだけでは意味がありません。日次もしくは月次で監査することで、ユーザーへの抑止効果が働き、不正操作を監査することができます。
監査するには見易いレポートが必要です。WEEDS Windows-SecureControlでは、日次で操作の詳細レポートを、月次では集計レポート、またログサーバーを自由に検索できる利用分析レポートを用意しています。
つまり、予め用意された監査レポートで、すぐにでも監査運用を始めることができます。
ログ取得項目
以下に、WEEDS Windows-SecureControlにて取得しているログ項目、種別を記載します。
| ログ取得項目 | |
|---|---|
| ログイン日時 | 操作日時 |
| ログオフ日時 | 操作アプリケーション |
| ログインID | インプットファイルドライブ、パス、ファイル名 |
| 操作(※操作種別表参照) | アウトプットファイルドライブ、パス、ファイル名 |
| 操作種別(※) | |
|---|---|
| 操作アプリケーション起動 | 外部装置ディレクトリの作成を抑止 |
| 操作アプリケーション終了 | 外部装置ディレクトリの削除を抑止 |
| ログイン失敗 | ファイルのオープンの失敗 |
| ファイルのオープン | ファイルのコピーの失敗 |
| ファイルのクリエイト(指定エラー) | ファイルの移動の失敗 |
| ファイルの新規作成 | ファイルの削除の失敗 |
| ファイルの作成(あればオープン) | ディレクトリの作成の失敗 |
| ファイルの削除 | ディレクトリの削除の失敗 |
| ファイルのコピー | アプリケーション起動 |
| ファイルの移動 | 操作APPLからのプログラム起動 |
| ファイルのドラッグ&ドロップ | 操作APPLからのプログラム停止 |
| ディレクトリの作成 | Windowの生成 |
| ディレクトリの削除 | Window 操作中 |
| ディレクトリへのアクセス | Window 終了 |
| ファイルへのアクセス | 子Windowにフォーカスがセット |
| ファイル新規作成 | 親Windowにフォーカスがセット |
| バイナリでオープン | フォーカスが移動 |
| 外部装置ファイルのオープンを抑止 | 要求URL |
| 外部装置ファイルのコピーを抑止 | プリンター利用 |
| 外部装置ファイルの移動を抑止 | 印刷開始 |
| 外部装置ファイルの削除を抑止 | |
標準監査レポート
WEEDS Windows-SecureControlには以下の監査レポートが標準装備されています。
| 監査レポート名 | 説明 | ||
|---|---|---|---|
| 日次監査レポート | ログイン一覧 | 監査対象機器へのログイン一覧を出力します。コンソール、リモートデスクトップでのログインが取得可能です。 | |
| ログイン失敗一覧 | 監査対象機器へのログインに失敗すると、出力されます(管理ツールの「ローカルセキュリティポリシー」で、「アカウントログオンイベントの監査」と「ログオンイベントの監査」の失敗を監査するように設定した場合)イベントログに出力される、分類:ログオン/ログオフ 種類:失敗の監査 のレコードを取得します。 | ||
| 特権ユーザ操作 | 特権ユーザとして登録されたユーザでログイン、操作すると、出力されます。 | ||
| プリンタ利用一覧 | 監査対象機器へログイン、ファイルを印刷すると、出力されます。 | ||
| 外部装置利用一覧 | 監査対象機器へログイン、外部装置(リムーバルディスク、CD−ROM、ネットワークファイル)のファイルへアクセス(オープン、コピー、削除等)すると、出力されます。 | ||
| 時間外操作一覧 | 定義された許可時間外にログイン、操作した場合、出力されます。 | ||
| 重要ファイルアクセス一覧 | 重要ファイルとして登録されたファイルにアクセス(オープン、コピー、削除等)した場合、出力されます。 | ||
| 月次監査レポート | ユーザ利用履歴一覧 | 現在使用しているユーザと、使用しなくなったユーザ一覧が出力されます。 | |
| 月間アクセス分布 ログイン数 | 月間の合計ログイン数が分布図として出力されます。監査対象機器へログインすると出力されます。 | ||
| 月間アクセス分布 プリント数 | 月間の合計プリント数が分布図として出力されます。監査対象機器へログイン、ファイルの印刷を行うと出力されます。 | ||
| 月間アクセス分布 USBアクセス数 | 月間の合計リムーバルディスクアクセス数が分布図として出力されます。監査対象機器へログイン、リムーバルディスクへのファイルアクセス(オープン、コピー、削除等)をすると出力されます。 | ||
| 月間監査項目状況一覧 | 月間の全監査項目状況の一覧が出力されます。監査対象機器へログイン、ファイルの操作を行うと出力されます。 | ||
| 年間監査項目状況一覧 | 年間の全監査項目状況の一覧が出力されます。監査対象機器へログイン、ファイルの操作を行うと出力されます。 | ||
| 重要ファイル登録状況 | 重要と登録されたファイルの一覧が出力されます。重要ファイルを登録した場合、出力されます。 | ||
| 利用分析レポート | 月間アクセス分布 | ログイン数 | 月間の合計ログイン数が分布図として出力されます。 |
| 参照数 | 月間のファイルのオープン数が分布図として出力されます。監査対象機器へログイン、ファイルのオープンを行うと出力されます。 | ||
| 作成数 | 月間のファイルの作成数が分布図として出力されます。監査対象機器へログイン、ファイルの作成を行うと出力されます。 | ||
| 削除数 | 月間のファイルの削除数が分布図として出力されます。監査対象機器へログイン、ファイルの削除を行うと出力されます。 | ||
| 移動数 | 月間のファイルの移動数が分布図として出力されます。監査対象機器へログイン、ファイルの移動を行うと出力されます。 | ||
| コピー数 | 月間のファイルのコピー数が分布図として出力されます。監査対象機器へログイン、ファイルのコピーを行うと出力されます。 | ||
| プリント数 | 月間のファイルの印刷数が分布図として出力されます。監査対象機器へログイン、ファイルの印刷を行うと出力されます。 | ||
| アクティブ数 | 月間のウィンドウのアクティブ数が分布図として出力されます。監査対象機器へログイン、ウインドウ切り替えを行うと出力されます。 | ||
| USBアクセス数 | 月間の合計USBファイルへのアクセス数が分布図として出力されます。監査対象機器へログイン、リムーバルディスクのファイル操作を行うと出力されます。 | ||
| ネットアクセス数 | 月間の合計ネットワークファイルへのアクセス数が分布図として出力されます。監査対象機器へログイン、ネットワーク上のファイルの操作を行うと出力されます。 | ||
| CDアクセス数 | 月間の合計CDROMファイルアクセス数が分布図として出力されます。監査対象機器へログイン、CDROM上ファイルの操作を行うと出力されます。 | ||
| アクセス数 | 月間のアクセス合計数が分布図として出力されます。監査対象機器へログイン、ファイルの操作を行うと出力されます。 | ||
| 月間勤務時刻一覧レポート | 月間のログイン時間が表示されます。監査対象機器へログインを行うと出力されます。 | ||
| ログイン監査(日次−ユーザ別) | 監査対象機器へログイン、ログアウトを行うと出力されます。 | ||
| ログイン失敗一覧 | 監査対象機器へログインに失敗すると、出力されます。 | ||
| タイムシート | 月間のログイン時間(業務時間内、時間外)が表示されます。監査対象機器へログイン、ファイルの操作を行うと出力されます。 | ||
| ユーザ操作一覧 | Explorerでの操作が出力されます。監査対象機器へログイン、Explorerでの操作を行うと出力されます。 | ||
| アプリケーション操作一覧 | アプリケーション(Explorer以外)の操作が出力されます。監査対象機器へログイン、Explorer以外での操作を行うと出力されます。 | ||
| プリンタ利用一覧 | プリンタの存在確認、ファイル印刷を行った場合、出力されます。 | ||
| 外部装置アクセス一覧 | 外部装置(リムーバルディスク、CD−ROM、ネットワークファイル)のアクセスが出力されます。監査対象機器へログイン、外部装置ファイルの操作を行うと出力されます。 | ||
| 重要ファイルアクセス一覧 | 重要ファイルとして登録されたファイルへのアクセスが出力されます。監査対象機器へログイン、重要ファイルへの操作を行うと出力されます。 | ||
| 重要ファイル休日・深夜アクセス一覧 | 休日/深夜に重要ファイルとして登録したファイルへのアクセスが出力されます。監査対象機器へログイン、重要ファイルへの操作を、休日、指定時間外に行うと出力されます。 | ||
| 実行時間ランキング | アプリケーションの操作時間のランキングを表示します。監査対象機器へログイン、操作を行うと出力されます。 | ||
| プリンタ利用回数ランキング | プリンタ利用回数が多い順にアプリケーション名が表示されます。監査対象機器へログイン、印刷操作を行うと出力されます。 | ||
| 監査対象操作数ランキング | 監査対象操作回数のランキングが表示されます。監査対象機器へログイン、操作を行うと出力されます。 | ||
WEEDS Windows-SecureControlの仕組み
企業のシステム部の方や、お客様へ情報システムを導入されるSIerの方は、セキュリティ製品を導入される際、仕組みや動作、パフォーマンスが気になると思われます。
そのような情報システム導入に責任を持って携わる皆様に、製品の仕組みを下記にてご案内いたします。
ご参考にしていただき、製品比較、導入のご検討にご活用下さい。
ログ取得、操作抑止の方法(GUI操作)
WEEDS Windows-SecureControlでは、すべての操作を取得するため、Kernel32をフックし、ログ取得しています。
そうすることで、すべての操作はWEEDS Windows-SecureControlを通過していきますので、ログ取得できる機構になります。
CUI操作(コマンドプロンプト)
コマンドプロンプトの操作ログを取得するのに、WEEDS Windows-SecureControlでは、別途Shellをフックする機能をインストールします。
この機能では、“コマンド”“パラメータ”“コマンド実行結果”を取得しています。つまり、コマンドプロンプトに表示される“標準入力”及び“標準出力”を取得しています。
ログ取得、操作抑止の技術的なポイント
イベントログ(EVT)で操作がわかる?
イベントログをWindowsの操作ログとして扱っている製品もありますし、Windowsを少しご存知のエンジニアであれば、イベントログを取得して別途ログとしてファイル出力するツールを開発することは容易だと思われます。
しかし、果たしてWindowsが既存に出力するイベントログで、操作記録としての役割を果たすことができるのでしょうか。
WEEDS社では、イベントログが操作記録の役割を果たせないと判断し、WEEDS Windows-SecureControlでは使用していません。
詳しくは、下記サイトをご参照下さい。
> 「WEEDS COLUMN:Windowsイベントログは監査ログになり得るか?」
“エージェントレス”でWindows操作を統制できるか?
まず、ログ取得エージェントなし(エージェントレス)では、操作を抑止することは出来ません。
そして、エージェントレスの場合、OS既存のログ(イベントログなど)、またはネットワークパケットを活用するしか、操作ログを取得することはできません。
イベントログでは操作ログが取得できない点は、上記で既に解説しました。
ネットワークパケットで操作ログを取得するのも難しいと判断できます。外部に通信しない限り、ネットワークパケットが生成されないからです。
従ってエージェントレスでは、Windows操作を統制することは非常に困難と言えます。
レジストリ設定での抑止はユーザー解除されてしまう
Windowsの操作を抑止するために、レジストリの設定を変更して抑止する方法があります。
稀に、USBフラッシュメモリーなどの外部媒体への書込みを抑止するために、この手法で対処しているツールを見かけます。
しかし、この方法ではレジストリキーの設定を知っている人なら簡単に解除できてしまいます。Windowsに詳しい技術者でないと知らない難しい設定かというとそうではなく、簡単に調査できるものです。
よって、WEEDS Windows-SecureControlでは、カーネルをフックする方法で、ログ取得及び操作抑止を実現し、操作抑止を解除できないようなアーキテクチャにしています。
なお、USBデバイスをレジストリでコントロールする方法を以下に解説いたします。
1.管理者権限のあるユーザーでログイン
2.スタートメニューから「ファイル名を指定して実行」を選択
3.「regedit」と入力して「OK」ボタンをクリック
4.レジストリエディタが起動したら、
「HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Control」の順でキーをたどる
5.「Control」の下に「StorageDevicePolicies」というキーがあるか確認
6.なければ「Control」を右クリックして「新規」−「キー」を選び、
新たに「StorageDevicePolicies」を作成
7.「StorageDevicePolicies」を右クリックして「新規」−「DWORD値」を選び
「WriteProtect」というDWORD値を作成
8.こちらをダブルクリックして、「値のデータ」に半角で「1」を入力して「OK」ボタンをクリック
注意:OSはWindows XP SP2を前提としています。
コマンドプロンプトの操作ログも重要
Windowsサーバーでは、コマンドプロンプトにて操作をすることも多いと思われます。
その場合、コマンドプロンプトでの操作(コマンド、パラメータ)を取得して監査することは、非常に重要です。
製品仕様
| 導入効果 | 内部統制(IT全般統制対応)、監督官庁監査対応、個人情報保護法対応、 システム内部監査対応、Pマーク、ISMS対応 |
|
| エージェント モジュール | 対応OS | Windows98、Windows2000、WindowsXP、Windows Vista、Windows7 ※サーバはWEEDS WinServer-Traceを参照。 |
| 負荷 | ログイン時のエージェント起動に数秒。操作時は体感では負荷なし。 | |
| メモリ | 平均8MB。(表示画面数により変動) | |
| ログ | ログ 取得項目 | 前述 |
| 暗号化 | 独自暗号化した状態でアクセスログを生成 | |
| 転送 | 3分間隔及び、ログイン/ログオフ時 | |
| ログ量 | 5kb/操作、5MB/日(1台につき。業務量が多い端末の例) | |
| ライセンス体系 | サーバー/クライアント(OS)単位 | |
| 価格 | オープン(サーバー版、クライアント版で異なります) | |
.jpg)
.jpg)