セキュリティの監視および攻撃検出計画ガイド
概要
最終更新日: 2006年2月1日
ダウンロード
インターネットを利用した悪意のあるソフトウェアの蔓延についての多くの報道で、組織のネットワーク リソースに対する外部からの脅威の輪郭が大きく浮かび上がりました。しかし、組織のインフラストラクチャにとっての最大の脅威の中には、内部ネットワークから行われる攻撃に起因するものもあります。内部からの攻撃が、最も信頼のおける地位にあるネットワーク管理者などによって行われると、最大限の損害を被る可能性があります。内部からの攻撃と外部からの攻撃の両方を分析した結果、多くの組織がネットワークを監視し、攻撃を検出するシステムを調査するようになりました。
組織の運営が規制による制約を受ける場合は、セキュリティの監視が運営の要件になります。世界中の多くの機関からの規範的な要件が増加するにつれて、ネットワークの監視、リソース アクセス要求のチェック、ネットワークにログオンやログオフを行うユーザーの特定など、組織に対する要求もますます多くなります。また、法的規制により、企業は監視したセキュリティ データを一定期間保管することを求められる可能性があります。
セキュリティを監視するためのパッケージとして、Microsoft® Windows® のセキュリティ ログ機能を出発点に使用できます。しかし、事故に対する対応策を計画するには、セキュリティ ログだけでは十分な情報が得られません。セキュリティ ログの収集と照会を行う他のテクノロジとセキュリティ ログを組み合わせることで、セキュリティの監視および攻撃検出システムの中心となる部分を形成できます。
このガイドでは、Windows ベースのネットワークでセキュリティの監視システムを計画する方法について説明します。このシステムでは、内部および外部ソースから行われる攻撃を検出できます。セキュリティの監視システムは、ネットワーク上で行われる、悪意のある動作や手続き上のエラーを示す特異なイベントを特定することを主な目的とします。
トピック
ビジネス上の課題
ビジネス上の利点
対象読者
必要な知識
計画ガイドの概要
ビジネス上の課題
ビジネスでは、大規模ネットワークに効果的なセキュリティ監視システムを実装する際に多くの課題に直面します。ビジネス上の課題には、次の点が挙げられます。
情報を保護するための要件の特定
管理者やユーザーの認証レベルの定義
包括的な監視ポリシーの実装
このポリシーと検出するセキュリティ イベントの対応付け
これらの課題は、ネットワーク要件があまり複雑ではない組織にも当てはまります。
ビジネス上の利点
セキュリティを監視することで、あらゆる規模の組織に 2 つの利点がもたらされます。1 つは、攻撃が行われたときにその攻撃を特定する機能です。もう 1 つは、攻撃前、攻撃後、および攻撃中にフォレンシック分析を実行する機能です。
セキュリティ部門では、攻撃が行われたときにその攻撃を特定する機能を使って迅速な対応を行い、ネットワーク インフラストラクチャへの実質的な損害を軽減できます。また、調査担当者はフォレンシック データにより、攻撃の範囲を特定できます。セキュリティの監視には、他に次の利点があります。
攻撃による影響が軽減される。
セキュリティ スタッフが特異な行動パターンを迅速に特定できる。
法的要件を満たす監査情報を作成する。
このような利点の詳細については、第 2 章「セキュリティ監視の方法」を参照してください。
対象読者
このガイドでは、厳密なプライバシーを必要とする組織、特に規制による制約を受ける組織にとって有益な情報を提供します。このガイドは、ID 保護やデータへのアクセス制御が必要な、あらゆる規模の組織に適用されます。
このガイドは、エンタープライズ設計者やエンタープライズ セキュリティ管理者のような、IT マネージャおよび IT 担当者を対象に記載されています。また、Windows ベースのネットワークの計画、展開、または運用に必要なコンサルタントや、技術上の意思決定者に有益な情報も含まれています。
必要な知識
このガイドで示しているソリューションを理解するには、ネットワークのセキュリティの問題点やリスクの特徴を理解し、それらに関する知識に精通している必要があります。また、Windows イベント ログ サービスに関する知識にも精通している必要があります。
このガイドでは、Microsoft Operations Framework (MOF) プロセス モデルの運用とサポートの 2 つの作業領域を使用します。また、サービス管理機能 (SMF) の MOF セキュリティ管理およびインシデント管理も使用しています。MOF の詳細については、Microsoft Operations Framework の Web サイト (www.microsoft.com/mof) (英語) を参照してください。
計画ガイドの概要
このガイドは、セキュリティの監視および攻撃検出ソリューションを計画するために不可欠な問題点と概念に重点を置いた 4 つの章で構成されています。各章の概要を以下に示します。
第 1 章 : はじめに
この章では概要を説明し、ビジネス上の課題と利点を紹介します。また、対象読者や必要な知識を示し、このガイドに含まれる各章の概要とソリューション シナリオについて説明します。
第 2 章 : セキュリティ監視の方法
この章では、Microsoft およびサード パーティのテクノロジを使用して、セキュリティの監視および攻撃検出ソリューションを実装する際のさまざまなオプションの概要について説明します。
第 3 章 : 問題点と要件
この章では、セキュリティの監視の範囲を他のビジネス要件および企業ネットワークに対する潜在的な脅威や攻撃に対応付ける方法について説明します。また、次のことを行う方法のビジネス上の課題、技術的な課題、およびセキュリティ上の課題についても説明します。
ポリシー違反の検出
外部からの攻撃の特定
フォレンシック分析の実装
この章では、ポリシー違反を組織のポリシーから逸脱することと定義しています。章の最後に、セキュリティの監視および攻撃検出システムのソリューション要件を示します。
第 4 章 : ソリューションの設計
この章では、攻撃を検出するためにセキュリティの監視を使用する方法とセキュリティ監査のアーカイブを実装する方法について詳しく説明します。また、効果的なセキュリティ監視を行うための推奨構成設定とセキュリティ ポリシーに加える必要のある変更点も示します。
さらに、大規模組織で高度なセキュリティ監視を実装する方法に関する規範となるガイダンスについても詳しく紹介します。この規範的ガイダンスでは、監査のための大量のセキュリティ イベントの保管の問題に対処する方法や、分散ネットワークでの攻撃検出を計画する方法について説明します。
ご意見、ご感想
マイクロソフトでは、このガイドに関するご意見、ご感想を歓迎いたします。特に、次の質問に関するご意見をお待ちしております。
この情報はどの程度役に立ちましたか?
段階的な手順は正確でしたか?
各章は読みやすく関心を引く内容でしたか?
全体的に、このソリューションをどのように評価しますか?
ご意見、ご感想は cisfdbk@microsoft.com (英語のみ) までお送りください。