【Windows】システムの監視規則を変更してログイン失敗の記録を詳細に残す手順

ビジネスにおいて、不正アクセス対策や内部監査は非常に重要です。Windowsシステムでログイン失敗の記録を詳細に残すことは、セキュリティインシデントの早期発見や原因特定に役立ちます。この記事では、Windows 11およびWindows 10でログイン失敗の詳細な監査ログを有効にする手順を解説します。この設定により、誰が、いつ、どのPCでログインに失敗したかといった情報を、イベントビューアーで確認できるようになります。

ログイン失敗の監査ログを詳細に残す意義と仕組み

Windowsは、システムの様々な活動をイベントログとして記録しています。特にセキュリティイベントログは、ユーザーのログイン、ファイルのアクセス、システム設定の変更など、セキュリティに関連する重要な情報を保持しています。通常、ログイン失敗イベントは記録されますが、その詳細度は既定の設定では限定的です。不正なログイン試行やユーザーのパスワード入力ミスなどのトラブルシューティングでは、より詳細な情報が必要となる場合があります。

詳細な監査ポリシーを有効にすると、単にログイン失敗があったという事実だけでなく、失敗したアカウント名、どのプロセスが認証を試みたか、ネットワーク経由での試行だったか、などの追加情報がイベントログに記録されるようになります。これにより、攻撃者がどのような方法で侵入を試みているのか、またはユーザーがなぜログインできないのかといった、より具体的な状況を把握できるようになります。この設定は、ローカルセキュリティポリシーまたはグループポリシーを使用して行います。

イベントログに記録される情報

ログイン失敗の監査を詳細に設定すると、イベントビューアーのセキュリティログにイベントID 4625として記録されます。このイベントログには、以下のような情報が含まれます。

• ログオンの種類: 対話型、リモートデスクトップ、ネットワークなど、ログオン試行の方法
• 失敗したアカウント名: ログオンに失敗したユーザーアカウント名
• ソースワークステーション名: ログオン試行が行われたPCの名前
• エラーコード: ログオン失敗の具体的な原因を示すコード
• 認証パッケージ: 認証に使用されたプロトコル

これらの詳細情報により、セキュリティ担当者は、不正なアクセス試行のパターンを分析したり、ユーザーがパスワードを誤って入力しているのか、アカウントがロックされているのかといった問題を特定したりできます。

ログイン失敗の詳細な記録を有効にする手順

Windows 11でログイン失敗の詳細な記録を有効にするには、ローカルセキュリティポリシーエディターを使用します。この設定はWindows 10でも同様の手順で適用できます。

1. ローカルセキュリティポリシーエディターを開く
   スタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。次に、表示されたウィンドウに「secpol.msc」と入力し、「OK」ボタンをクリックします。
2. 監査ポリシーの項目へ移動する
   ローカルセキュリティポリシーエディターの左側ペインで、「セキュリティの設定」を展開します。さらに「ローカルポリシー」を展開し、「監査ポリシー」を選択します。
3. 「監査ログオンイベント」の設定を変更する
   右側ペインに表示されるポリシーの一覧から、「監査ログオンイベント」をダブルクリックします。
4. 失敗の監査を有効にする
   「監査ログオンイベントのプロパティ」ウィンドウが表示されます。「失敗」のチェックボックスをオンにします。この設定は、基本的なログイン失敗イベントの記録を開始します。「適用」ボタンをクリックし、「OK」ボタンをクリックしてウィンドウを閉じます。
5. 詳細な監査ポリシーの項目へ移動する
   ローカルセキュリティポリシーエディターの左側ペインで、「セキュリティの設定」を展開します。次に「詳細な監査ポリシーの構成」を展開し、「システム監査ポリシー – ローカルグループポリシーオブジェクト」を展開します。
6. 「ログオン/ログオフ」カテゴリを展開する
   「詳細な監査ポリシーの構成」の下にある「ログオン/ログオフ」カテゴリを選択します。
7. 「ログオンの監査」の設定を変更する
   右側ペインに表示されるポリシーの一覧から、「ログオンの監査」をダブルクリックします。
8. 失敗の監査を有効にする
   「ログオンの監査のプロパティ」ウィンドウが表示されます。「失敗」のチェックボックスをオンにします。この設定は、「監査ログオンイベント」よりも詳細なログオン情報を記録します。「適用」ボタンをクリックし、「OK」ボタンをクリックしてウィンドウを閉じます。
9. システムを再起動またはグループポリシーを更新する
   設定をすぐに反映させるため、システムを再起動するか、コマンドプロンプトを管理者として開き「gpupdate /force」と入力してEnterキーを押します。

監査ポリシー設定時の注意点と確認事項

監査ポリシーを設定する際には、いくつかの注意点があります。設定が正しく機能しない場合や、予期せぬ問題が発生した場合の対処法を理解しておくことが重要です。

ログが大量に生成されてしまう

詳細な監査ポリシーを有効にすると、システムのイベントログが通常よりも早く満杯になる可能性があります。これにより、重要な他のイベントが上書きされてしまうことがあります。イベントビューアーでセキュリティログのサイズと上書き設定を確認し、必要に応じて調整してください。

1. イベントビューアーを開く
   スタートボタンを右クリックし、「イベントビューアー」を選択します。
2. セキュリティログのプロパティを開く
   左側ペインで「Windowsログ」を展開し、「セキュリティ」を右クリックして「プロパティ」を選択します。
3. ログのサイズと上書き設定を調整する
   「ログの最大サイズ」を増やし、「イベントを上書きして領域を確保する」または「ログがいっぱいになったときにイベントを上書きしない」などのオプションを選択します。セキュリティ監査の要件に合わせて設定してください。

設定が反映されない場合の確認

ローカルセキュリティポリシーの設定がすぐに反映されない場合や、意図したとおりに動作しない場合は、グループポリシーの更新が正しく行われていない可能性があります。また、ドメイン環境では、ローカルポリシーよりもドメインのグループポリシーが優先されるため、設定が上書きされることがあります。

1. グループポリシーの強制更新を行う
   管理者としてコマンドプロンプトを開き、「gpupdate /force」と入力してEnterキーを押します。これにより、ポリシーが強制的に更新されます。
2. ドメインポリシーを確認する
   ドメイン環境で使用している場合は、ドメイン管理者に問い合わせ、競合するグループポリシーがないか確認を依頼してください。
3. 現在の監査ポリシー設定を確認する
   管理者としてコマンドプロンプトを開き、「auditpol /get /category:*」と入力してEnterキーを押します。これにより、現在の詳細な監査ポリシー設定の一覧が表示され、設定が正しく適用されているかを確認できます。特に「ログオン/ログオフ」カテゴリの「ログオン」が「失敗」として表示されているか確認してください。

Windows 10での操作の違い

Windows 10におけるローカルセキュリティポリシーエディターの操作手順は、Windows 11とほぼ同じです。メニューの構成や用語に変更はありません。ただし、システム環境やバージョンによっては、インターフェースの細部が異なる場合があります。基本的には、同じパスと設定項目を探して手順を進めてください。

ローカルセキュリティポリシーとドメイングループポリシーの適用範囲の比較

Windowsの監査ポリシーを設定する方法には、ローカルセキュリティポリシーとドメイングループポリシーの二つがあります。それぞれの適用範囲と優先順位を理解しておくことは重要です。

まとめ

この記事では、Windows 11およびWindows 10でログイン失敗の詳細な記録を有効にする手順を解説しました。ローカルセキュリティポリシーエディターを使用して「監査ログオンイベント」と「ログオンの監査」の設定を変更することで、セキュリティイベントログに詳細な情報が記録されるようになります。設定後はイベントビューアーでイベントID 4625などのログを確認し、不正なログイン試行やユーザーのログイン問題を効率的に特定してください。この詳細な監査ログは、システムセキュリティの強化に貢献します。