第7回 アクセスの記録を監査ログに残す

次回をお楽しみに！

今回は、DeviceLockが標準で搭載している、監査ログ機能についてお話しします。

1. DeviceLockの監査ログとは？

会社など組織の設定するセキュリティポリシーにしたがって、皆さんのパソコンで利用する書き込み可能なデバイスやネットワークに一定のアクセス制限を設けよう、というのがDeviceLockのセキュリティ機能の趣旨です。

ですが、それだけではなく、付加機能ともいえる「ログ」生成機能も持っています。ログというのは簡単に言うと「行なわれたことの記録」のことです。

日常生活では「ログ」というと、「ログハウス」のように「丸太」のことを思い浮かべるかと思います。
コンピューター用語のログと丸太を意味するログが同じ語源とは長らく知りませんでしたが、どうやら元々は丸太も関係している航海用語のようですね。

興味がありましたら調べてみてはいかがでしょうか。

話がそれそうなので元に戻しますと、皆さんがデバイスをパソコンに装着し、書き込みなど、何かをした(これを「イベントの発生」などと呼ぶことあります)際などに、その記録を残すのが「監査ログ」となります。

DeviceLockでは、例えば、次のようなイベント履歴をログに残せます。

コンピューターの使用者さんが行なった行為や、DeviceLockの管理者さんが行なった設定変更などに関連した情報が残ります。Windows OSにも「イベントログ」と称してOSやアプリケーションなどの動作記録が残っていますが、同じようなものですね。

監査ログは、主に、DeviceLockの管理者さんが、コンピューターの使用者さんが禁止されている行動をしたかどうかを確認したり、場合によっては、起こってしまった情報漏えいについて、デバイスへの過去の書き込み履歴を追って原因の特定を試みる、などの目的で使用します。

2. 監査ログは細かく指定できる

ところで、このコラムの2回目「第2回 DeviceLockのしくみ」で、DeviceLockの仕組みについて以下のように説明しています。

そこでDeviceLockサービスは、USBメモリーなど、外部のデバイスにデータ(ファイル)が書き出されるのをWindowsの影からコッソリ監視し、もしこれが会社のシステム管理者さんから禁止されている行動だったら、書き込み操作そのものを妨害し、エラーを出力するなどの行動をとります。

このとき、あらかじめ指定されていれば、監査ログの生成もします。

DeviceLockの監査ログは、デバイスごと、ユーザー／グループごと、行動の種類ごと、曜日／時刻指定で、ログの「とる」「とらない」を指定できます。

• 「デバイスごと」というのは、たとえば、フロッピーやプリンターの監査ログはとらないけれど、USBメモリー(着脱可能デバイス)やスマートフォンの監査ログはとりたい、といった指定をすること。
• 「ユーザー／グループごと」というのは、Windowsのユーザーやグループを対象に、個別に、監査ログをとる／とらない、を指定すること。たとえば、Aさんの行動は監査ログに残すけれど、Bさんの行動は残さない、など。
• 「行動の種類ごと」というのは、たとえば「デバイスへの書き込み」の監査ログはとるけれど、「デバイスからの読み込み」はとらない、といった監査内容を指定すること。
• 「曜日／時刻指定」というのは、たとえば「月曜日から金曜日の8時から18時の間だけ監査ログをとって、他の時間帯はとらない」というように、ログが必要な曜日や時刻帯を限定して監査ログをとること。

これらを組み合わせると、たとえば、次のような指定ができます。

(例1) ローカル「Administrators」グループに属しているユーザーでWindowsにログオンし、月曜日から金曜日の8時から18時の間、リムーバブルデバイスに対して読み込み・書き込み・フォーマットを行ない、それがアクセス制御ポリシーによって許可または拒否された場合(早い話が「全部」)に監査ログを取得する。

(例2) ローカルユーザー「runexy」でWindowsにログオンし、月曜日から土曜日の全部の時間、リムーバブルデバイスに対して書き込みを行ない、それがアクセス制御ポリシーによって拒否された場合に監査ログを取得する。

本当は、このコラムではDeviceLockの画面をなるべく載せないようにしているのですが、今回は「一つの画面で結構複雑な設定ができるんだな～」と思っていただけるよう、画面を載せました。

3. 監査ログは「アクセスログ」

さて、生成された監査ログを見ていると、時々気になることがあります。

USBメモリーをコンピューターに挿して中のファイルの名前を見ただけなのに、監査ログがいっぱいできている。なんか、私がファイルを大量に読み込みしたことになっている。自分に覚えのない操作が記録されていて、なんだか気持ち悪い・・。

DeviceLockの監査ログが「アクセスログ」であって「操作ログ」でないことが、その理由です。

「操作ログ」と「アクセスログ」、似ているようですが、厳密には、違うものです。

「操作ログ」であれば、使用者さんによるキーボードやマウスの操作などを常に監視して、ファイルコピーやファイル書き出しなどの「ユーザー操作」をログにします。ですから、使用者さんが「していないこと」はログになりません。

一方、「アクセスログ」は使用者さんの操作を対象にしていません。そこで再度、この話が出て来ます。

そこでDeviceLockサービスは、USBメモリーなど、外部のデバイスにデータ(ファイル)が書き出されるのをWindowsの影からコッソリ監視し、もしこれが会社のシステム管理者さんから禁止されている行動だったら、書き込み操作そのものを妨害し、エラーを出力するなどの行動をとります。

ここで問題になるのは、「外部のデバイスにデータ(ファイル)が書き出される」操作を誰がしたか、ということです。

実は、「アクセスログ」は使用者さんが行なった操作の記録ではなく、Windowsがデバイスにアクセスした記録になります。上の例では、使用者さんが「USBメモリーをコンピューターに挿して中のファイルの名前を見」る操作をしたことで、実際は、Explorer.exe(エクスプローラー)という、ファイルを操作するためのソフトが、Windowsの内部機能を使って、USBメモリーの中にどんなファイルがあるか調べています。

その時にアクセスログが作られているのです。

使用者さんは何もしていないつもりでも、USBメモリーをコンピューターに挿すことで、Windowsが勝手に、デバイスにアクセスしているのですね。

なお、USBメモリーをコンピューターに挿すだけでなく、例えばウイルススキャンソフトでUSBメモリーをスキャンした場合に「USBメモリーの中のファイルを読み込んだ」という監査ログが発生するなど、アプリケーションが自動で行なったアクセス結果が監査ログとして記録されることもあります。

ご留意のほど。

なお「操作ログ」を取得したい場合は、弊社開発製品「MylogStar (マイログスター)」を、是非、ご検討ください！！

部長～、宣伝しときましたよ～。

ではまた。

でばいすろっくコラム 記事一覧

• 第20回 DeviceLockマスターへの道
• 第19回 DeviceLockのピリ辛機能
• 第18回 不思議な差の世界
• 第17回 テレワークとDeviceLock
• 第16回 マイナンバーを検出する
• 第15回 DeviceLockの集中管理
• 第14回 レガシーデバイスとDeviceLock
• 第13回 DeviceLockの管理のしくみ
• 第12回 一時的ホワイトリストによるUSBデバイスの一時許可
• 第11回 「コンテンツ認識ルール」って、なに？
• 第10回 「DeviceLock Lite」とは？
• 第9回 「シャドウイング」ログって、なに？
• 第8回 USBデバイスの識別IDとは？
• 第7回 アクセスの記録を監査ログに残す
• 第6回 DeviceLockのライセンス
• 第5回 光学ドライブのアクセス制御
• 第4回 トライアルのススメ
• 第3回「USBを止める」って、どういうこと？
• 第2回 DeviceLockのしくみ
• 第1回 パソコンとデバイス
• でばいすろっくコラムとは？

国内5800社、40万台の導⼊実績のデバイス制御ソフト︕
内部からの情報漏えいを防ぐDLPソリューション" DeviceLock （ デバイスロック）"