ユーザーログオン監査

Active Directory監査レポートツール

ユーザーログオン活動のリアルタイム監査

ユーザーによるコンピューターへのアクセスは、企業規模に関わらず毎日行われる作業です。アクセスログは、一見すると単純なActive Directoryイベントに見えるかもしれませんが、システム管理者にとって、監査/コンプライアンス/および運用上のニーズなど、様々な用途で使用できる価値あるものです。Active Directoryのユーザーログオンログに関する監査は、以下の運用ニーズにおいて必要とされます。

  • 従業員の欠勤および出勤の確認
  • ドメインコントローラーへアクセスしているユーザー数の確認
  • リモートネットワークコンピュータを介してワークステーションまたはドメインコントローラーにアクセスしているユーザーの検出
  • ドメイン内におけるユーザーのログオンピーク時間の識別
  • 重要なドメインコンピューターに最後にログオンした人物の特定
  • 権限のない端末にログオンしようとしたユーザー(悪意のあるユーザー)がいるかどうかの特定
    (※通常、Active Directoryのドメインコントローラーやメンバーサーバーへのログオンには高い権限が必要となります。)
  • ドメイン内のすべてのユーザーのログオン履歴の表示
    (※不正な行為が疑われる従業員に質問を行う際、従業員が業務中にアクセス、変更したActive Directoryのオブジェクト、例えばコンピューター・グループ・他のユーザーアカウントなどの情報を用意する必要があります。)

Active Directoryのユーザーログオン監査にツールが必要と考えられる理由

Active Directoryのログオンログは、Active Directory ドメインコントローラーのセキュリティログに継続的に記録されます。ドメインコントローラーのイベントビューアーに記録されるデータの特徴は、次のとおりです。

  1. 特定のイベント番号とログオンアクションとの相関関係を理解する必要があるため、専門知識が必要となる
  2. データ量が大きい
    (※Active Directoryオブジェクトのログオン活動はドメインコントローラーに継続的に記録されるため、イベントログデータは膨大な量となります。)
  3. アクセスが制限されている
    (※ドメインコントローラーはActive Directoryにおける重要なコンポーネントであり、アクセスは基本的に管理者に限定されます。)

Active Directoryが提供するイベントビューアーのその他制限としては、監査人/人事担当者など、管理者以外のユーザーがログオン操作を追跡できないことが含まれます。また、ドメインコントローラー/メンバサーバーに対するログオン活動など、重要なログオンイベントに対しては、異常発生時における即時アラートの生成や継続的な監査が必要です。しかし、この重要な情報はログ記録されているものの、通常のイベントログと区別が行われないため、見逃される可能性が高くなります。

Active Directoryにおけるリアルタイムのログオン監査ソリューション

Active Directory全体で発生したアカウントログオン活動を一つずつ追跡することは不可能です。ADAudit Plusのユーザーログオン活動監査レポートは、発生したすべてのユーザーログオン活動を1つのレポートで表示します。これは、ADAudit PlusのWebコンソールにログイン後、わずかなステップで確認することができます。ログオン情報は、ドメイン内のユーザーオブジェクトのログオンの信頼性を理解/識別するために非常に重要です。

ADAudit Plusは、ログオンの失敗/ドメインコントローラのログオン活動/メンバーサーバーのログオン活動/ワークステーションのログオン活動/ユーザーログオン活動/最近のユーザーログオン活動/およびワークステーションの最終ログオンに関するユーザーログオンレポートを提供します。さらに、ログオン監査レポートでは、ログオン活動の監査を容易にするための不可欠なツールとして機能し、ログオンに関連するすべての変更を一覧で表示します。これは、直感的に使用できるWebインターフェースを介して行われ、チャート/グラフ/および定義済みレポートやカスタムレポートのリストビューによって統計情報を表示します。

ユーザーログオン時のADAudit Plusにおける監査レポート

ログオン失敗レポート
クリックして拡大

選択した期間内におけるログイン失敗および失敗理由を表示します。また、ユーザーアカウントによる複数のログオン失敗試行を確認することができ、攻撃の可能性があるアカウントの特定を容易化します。レポートからは、ログオン失敗が発生した時間/ログオンに失敗したアカウント/考えられる理由など、ログオン失敗に関する詳細を確認することができます。
特に注意すべきエラーは、「パスワードの期限が切れました」「アカウントの無効化/期限切れ/ロックアウト」「管理者はアカウントのパスワードをリセットする必要があります」です。他のエラーとしては、「ワークステーション/ログオンの時間制限」「新しいコンピューターアカウントがまだレプリケートされていません」「コンピューターがpre-w2kです」「ワークステーションの時刻がドメインコントローラーの時刻と同期していません」が挙げれらます。

ドメインコントローラーのログオン活動
クリックして拡大

ドメインコントローラーとは変更作業が行われるActive Directoryの中心かつ重要なコンポーネントです。ドメインコントローラーへのログオンは、特権ユーザーまたは管理者ユーザーに限定され、他のユーザーが実行したログオン試行に関する情報は管理者に通知されるような対応が望まれます。ADAudit Plusでは、ドメインコントローラーにログオンしたすべてのユーザー情報を確認できます。さらに、ログオンの時間/ログオン元のクライアントホスト名/ログオンの成功や失敗/失敗の理由といった詳細が表示されます。

メンバーサーバーとワークステーションのログオン活動
クリックして拡大

選択したメンバーサーバーまたはワークステーションへのユーザーログオン情報が表示されます。本レポートは「ドメインコントローラーのログオン活動レポート」と同様に機能し、メンバーサーバーおよびワークステーションに対するログオン活動を可視化します。

ユーザーログオン活動
クリックして拡大

選択したドメインユーザーがアクセスする「サーバー」または「ワークステーション」に対するログオン履歴を表示します。ユーザーのログオン履歴は、対象ユーザーのログオン傾向を理解するために非常に重要です。また、レポートをエクスポートすることで、監査人や管理者など、任意のユーザーに関してデータを提供することができます。

最近のユーザーログオン活動
クリックして拡大

ログオン失敗イベントの監査は意図しない認証の痕跡を発見するのに役立ちます。ADAudit Plusの「最近のユーザーログオン活動」レポートには、選択した期間にわたるユーザーのログオン活動が一覧で表示されます。さらに、認証失敗の場合は、失敗原因も表示されます。特定の日付/選択した日付/指定期間にネットワークに正常にログインしたユーザーの一覧も、本レポートから簡単に抽出可能です。

ワークステーションの最後ログオン
クリックして拡大

ログインに成功/失敗したユーザーの情報や、ワークステーションまたはコンピューターに対して、最後にログオンした時刻を確認することが可能です。

コンピューターでのRADIUSログオン
クリックして拡大

リモートコンピューターにログオンしているユーザーによる、リモート認証ダイヤルインユーザーサービス(RADIUS)を使用したネットワークへのアクセスを監査します。RADIUSログオン失敗(NPS)やRADIUSログオン履歴(NPS)などのレポートでは、Active Directory内のすべてのRADIUS認証を監査できます。なお、現在はNetwork Policy Server(Windows Server 2008)経由のRADIUSログオン活動のみサポートされています。

ユーザー活動時間(勤怠管理)
クリックして拡大
クリックして拡大
クリックして拡大

ユーザーがコンピューターにログオンした時間、活動時間、休止時間を監査します。活動時間を算出する際はユーザーのログオン/ログオフ時間を追跡しますが、退勤の都度ログオフやシャットダウンを実施しないというユーザーのため、スクリーンセーバーの起動、画面のロック、リモートセッションの切断などの情報も加味して活動時間を算出します。これにより、従業員が実際にコンピューターを操作していた時間を特定することが可能です。

※[詳細]リンクをクリックすると、[ユーザー活動時間]画面が表示され、スクリーンセーバーの起動やロック時間を除いた実際の活動時間が表示されます。