• ホーム
  • 企業動向
  • デージーネット、ランサムウェア対策に有効なGraylog向け「windows_authentication」を無償公開
企業動向

デージーネット、ランサムウェア対策に有効なGraylog向け「windows_authentication」を無償公開

株式会社デージーネットは、ランサムウェア攻撃や不正アクセス対策として、Windows認証ログの監視・可視化・異常検知を効率化するGraylog Content Packs「windows_authentication」を無償で公開しました。これにより、企業や自治体はセキュリティ監視環境を短期間で導入し、不正アクセスの兆候を早期に把握することが可能になります。

高まるサイバー攻撃の脅威とログ監視の重要性

近年、企業や自治体を標的としたランサムウェア攻撃や不正アクセス被害が急増しており、サイバーセキュリティ対策の重要性が高まっています。特に、IDやパスワードを悪用した認証突破を起点とする攻撃が多く、従来の境界型防御に加え、ゼロトラストの考え方に基づいた継続的な監視が求められる状況です。

Windows環境においても、不正アクセスの兆候や設定不備、利用者の誤操作などを早期に検知するため、認証関連のイベントログ監視が不可欠とされています。しかし、ログオン失敗や認証失敗といったイベントログは日々大量に出力されるため、個別のログ検索では担当者の負担が大きく、異常の見落としにつながる可能性がありました。また、監視環境の一からの構築には時間と工数がかかるという課題も存在しました。

デージーネットはこうした社会情勢を踏まえ、より多くの企業がセキュリティ対策を講じられるよう、GraylogのContent Packs用に「windows_authentication」のJSONファイルを作成し、無償公開に至ったとしています。

「windows_authentication」の機能概要

今回無償公開された「windows_authentication」は、Windowsの認証失敗系イベントを対象としたGraylogのContent Packsです。具体的には、以下のイベントIDに対応しています。

  • 4625:Windowsへのログオン失敗

  • 4771:Kerberos事前認証の失敗(Active Directory環境)

  • 4776:NTLM認証の資格情報チェック結果

「windows_authentication」を導入することで、Graylogのダッシュボード上で次のような情報を可視化できます。

  • 直近の認証失敗イベント一覧

  • イベントを発生させたユーザー別の件数

  • 接続元IPアドレス別の件数

  • 発生ホスト別の件数

  • 時間帯ごとの発生件数推移

  • イベントIDごとの発生割合

Graylogのダッシュボード画面です。認証失敗に関するセキュリティ情報が表示されており、ユーザー、IPアドレス、ホストごとの失敗回数、トレンド、および失敗タイプの内訳が確認できます。

これにより、「どのユーザーで失敗が多いのか」「どの接続元IPから試行が多いのか」「いつ集中して発生しているのか」といった状況を、画面上で直感的に把握することが可能となります。

Graylogのダッシュボード画面で、最近の認証失敗イベントがグラフと詳細なログとして表示されています。ログイン失敗やKerberos事前認証失敗の記録があり、システムセキュリティ監視の状況を示しています。

さらに、以下のような条件に該当した場合、管理者はメールによるアラート通知で異常を即座に把握できる機能も備わっています。

  • 指定時間内に複数回イベントが発生した場合

  • 同一の接続元IPアドレスから短時間に複数回イベントが発生した場合

  • 管理者ユーザーでイベントが発生した場合

Graylogからのアラートで、Windows認証の失敗が5分間に10回以上発生し、現在の失敗回数が12回に達したことを通知しています。優先度は3です。

これにより、ログの蓄積だけでなく、異常の早期検知につなげられる点が大きな特徴です。

「windows_authentication」の利用メリット

「windows_authentication」の利用は、主に以下の4つのメリットをもたらすとしています。

  1. セキュリティ監視環境を短期間で導入
    通常、Windowsの認証ログ監視には、ログの受信設定やダッシュボードの作成、アラート通知設定などを個別に構築する工数が必要です。同Content Packsを利用することで、これらの構成をまとめて導入できるため、監視環境の初期構築工数を削減し、運用開始までの期間を短縮することが可能となります。
  2. 不正アクセスの兆候を早期に把握
    Windowsの認証ログを継続的に監視することで、同一IPアドレスからの認証失敗の繰り返しや、管理者アカウントへの不審なアクセス試行など、不正アクセスの兆候を早期に把握できます。これにより、ランサムウェア感染やアカウント侵害につながる攻撃への迅速な対応を支援します。
  3. ログ監視運用の負担を軽減
    ダッシュボードによるログの可視化やアラート通知を活用することで、認証失敗イベントの発生状況を直感的に把握できます。これにより、日々大量に出力されるログを個別に確認する負担を軽減し、効率的なセキュリティ運用を実現します。
  4. OSSを活用した低コストなセキュリティ監視を実現
    Graylogおよび「windows_authentication」は、オープンソースソフトウェア(OSS)を活用しているため、ライセンスコストを抑えながら実践的なログ監視・セキュリティ監視環境を構築できます。

Graylogとは

Graylogは、GUI(Graphical User Interface)からログサーバーの管理やログの参照、検査、可視化などを行える統合ログ管理ソフトウェアです。OSSとして提供されているため、ライセンス費用がかからず、カスタマイズの自由度が高いことが特長です。プラグインや拡張機能を活用することで、自社の要件に合わせた最適な監視環境を迅速に構築できるとされています。

GraylogのContent Packs機能は、監視設定をまとめて配布・再利用できるテンプレート機能です。ダッシュボード、ログの受信設定、ログの検知ルールなどの構成をJSONファイルとしてまとめ、別のGraylog環境へアップロードしてインストールすることが可能となります。

デージーネットの関連サービス

デージーネットは、Graylogを活用したログ管理・監視基盤の構築を提案しています。今回ご紹介した「windows_authentication」のように、現場ですぐに活用できる構成をContent Packsとして整備することで、導入負荷を抑えながら実用的な監視環境を提供できるとしています。

同社はOSSを使ったシステム構築サービスに加え、導入後のサポートサービス「OpenSmartAssistance」も提供しています。このサポートには、Q&A、セキュリティ情報提供、点検とチューニング、障害調査、運用サービスなどが含まれます。

ソース元

ページトップへ戻る
×