資料の紹介
Windowsへのログオンは、セキュリティやコンプライアンス維持の観点から適切に監査する必要がある。例えば、一定期間に発生した大量のログイン失敗は何らかの攻撃の可能性を示唆する。また、特定のユーザーが長時間にわたってログインしていたら、通常ではない働き方あるいは不正行為を行っているかもしれない。
しかし、Windows標準の監査ツールだけでは効率的な監査は難しい。まず、ログオン情報は端末ごとに記録されているため、複数端末からのデータ集約が面倒だ。また、大量のイベントが記録されており、必要なデータを見つけるのに時間がかかる。必要な情報を得るのに加工が必要になる場合もある。例えば、ログオンセッションの継続時間を知るには、ログオンとログオフの時間から計算しなければならない。
本資料は、Windowsのログオン監査を効率的に行うためのガイドである。認証とログオンの違い、監査で留意すべきポイント、追跡すべき重要なイベントID、エラーコードなどを解説する。そのうえで、Windows標準の監査ツールの限界と、それを克服するツールを紹介している。Windowsログオン監査の基本から実践方法までが分かる貴重な資料と言える。
