【Edge】SmartScreenログをイベントビューアーで確認する手順

EdgeのSmartScreen機能がブロックしたWebサイトやダウンロードファイルについて、詳細な情報を確認したい場合があるでしょう。

SmartScreenの動作履歴はイベントビューアーに記録されており、セキュリティ分析やトラブルシューティングに役立ちます。

この記事では、Windows 11およびWindows 10でEdgeのSmartScreenログをイベントビューアーで確認する具体的な手順を解説します。

EdgeのSmartScreen機能とイベントログの役割

EdgeのSmartScreen機能は、ウェブ閲覧中のセキュリティを強化するための重要な要素です。この機能は、悪意のあるウェブサイトや不審なダウンロードファイルからユーザーを保護します。SmartScreenのブロック履歴は、Windowsのイベントビューアーに詳細に記録されており、セキュリティインシデントの分析やトラブルシューティングに役立つ情報源となります。

SmartScreenの概要と保護対象

EdgeのSmartScreenは、フィッシング詐欺サイトやマルウェアを配布する可能性のあるウェブサイトへのアクセスを事前に検知し、警告を表示またはブロックします。また、ダウンロードしようとしているファイルが既知のマルウェアであるか、または危険な性質を持つファイルであるかを検査し、ユーザーに警告を与えたりダウンロードを停止させたりします。これにより、従業員が悪意のあるコンテンツに誤ってアクセスしたり、危険なファイルをダウンロードしたりするリスクを低減できます。

イベントビューアーがログを記録する仕組み

Windowsのイベントビューアーは、オペレーティングシステムやアプリケーションの動作履歴を記録するツールです。SmartScreenが何らかのセキュリティアクションを実行すると、その情報が特定のイベントIDとしてイベントビューアーの「アプリケーションとサービスログ」内の「Microsoft」→「Windows」→「SmartScreen」→「Operational」に記録されます。このログには、イベントが発生した日時、対象のURL、ファイル名、およびSmartScreenが判断した脅威レベルなどの詳細が含まれます。

SmartScreenログを活用するメリット

SmartScreenログを確認することで、組織内のセキュリティ状況を把握できます。例えば、特定のユーザーが不審なサイトにアクセスしようとした履歴や、マルウェアのダウンロードがブロックされた記録を追跡できます。これにより、セキュリティポリシーの遵守状況の確認、インシデント発生時の初動調査、従業員へのセキュリティ教育の強化など、多岐にわたるセキュリティ運用に活用できます。また、Edgeの誤検知が疑われる場合のトラブルシューティングにも役立ちます。

EdgeのSmartScreenログをイベントビューアーで確認する手順

イベントビューアーの起動からSmartScreenログの表示まで

1. イベントビューアーを起動する
   Windowsのスタートボタンを右クリックし、表示されるメニューから「イベントビューアー」を選択して起動します。
   Windows 10でも同様に、スタートボタンを右クリックして「イベントビューアー」を選択できます。
2. ログソースを展開する
   イベントビューアーの左ペインにあるツリー構造を操作します。
   まず「アプリケーションとサービスログ」を展開し、次に「Microsoft」を展開、続いて「Windows」を展開します。
3. SmartScreenログを選択する
   「Windows」の下にある「SmartScreen」を展開し、「Operational」を選択します。
   中央ペインにEdgeのSmartScreen機能に関連するすべての操作ログが表示されます。
   この時点では、すべてのSmartScreen関連イベントが時系列で表示されています。

イベントIDを指定したログのフィルタリング

1. 「現在のログをフィルター」をクリックする
   中央ペインにログが表示された状態で、右ペインの「操作」パネルにある「現在のログをフィルター」をクリックします。
   これにより、特定の条件でログを絞り込むためのダイアログが開きます。
2. イベントIDを設定してフィルターを適用する
   表示された「フィルター」ダイアログで、「イベントID」フィールドにSmartScreen関連の主要なイベントIDを入力します。
   SmartScreenがウェブサイトやファイルをブロックした際の代表的なイベントIDは「1030」「1031」「1032」です。
   これらをカンマで区切って「1030,1031,1032」のように入力してください。
   さらに、「イベントレベル」で「エラー」や「警告」を選択すると、より深刻なイベントに絞り込むこともできます。
   入力後、「OK」をクリックしてフィルターを適用します。
3. ログの詳細を確認する
   フィルターされたログの中から、確認したいイベントをダブルクリックします。
   イベントのプロパティウィンドウが開き、「全般」タブに詳細情報が表示されます。
   ここには、ブロックされたURL、ファイルパス、アプリケーション名、ハッシュ値などの具体的な情報が記載されており、発生した事象を詳細に把握できます。

SmartScreenログ確認時の注意点と高度な活用方法

ログが見つからない場合の確認項目

SmartScreenのログが見つからない場合、いくつかの原因が考えられます。
まず、EdgeのSmartScreen機能自体が無効になっている可能性があります。
Edgeのアドレスバーに edge://settings/privacy と入力し、プライバシー、検索、サービスのセクションにある「セキュリティ」項目を確認してください。
「Microsoft Defender SmartScreen」のスイッチが「オン」になっていることを確認します。
もしオフになっている場合、SmartScreenは動作せずログも記録されません。
また、企業の環境ではグループポリシーによってSmartScreen機能が強制的に無効化されていることもあります。
その場合は、システム管理者に確認が必要です。
さらに、イベントログはシステムの容量を圧迫しないよう、一定期間経過後に自動的に上書きされる設定になっている場合があります。
古いログは確認できないため、ログの保持期間設定も確認ポイントです。

イベントIDとログレベルの理解

SmartScreenログの分析では、イベントIDとログレベルの理解が不可欠です。
主要なイベントIDは以下の通りです。

• イベントID 1030: 悪意のあるWebサイトまたはファイルがブロックされたことを示します。重大なセキュリティリスクがあったことを意味します。
• イベントID 1031: 疑わしいWebサイトまたはファイルがブロックされたことを示します。潜在的なリスクがあったことを意味します。
• イベントID 1032: ユーザーがSmartScreenの警告を無視してWebサイトにアクセスまたはファイルをダウンロードしたことを示します。ユーザーの操作によりリスクが発生した可能性があります。
• イベントID 1033: SmartScreenがファイルを安全と判断し、ダウンロードを許可したことを示します。

ログレベルは、イベントの重要度を示します。
「エラー」は深刻な問題、「警告」は注意が必要な事象、「情報」は通常の動作を示します。
これらの組み合わせで、より効率的に必要なログを特定できます。

カスタムビューを作成して効率的にログを監視する

SmartScreenのログを定期的に確認する場合、毎回フィルターを設定するのは手間がかかります。
イベントビューアーのカスタムビュー機能を利用すると、特定のフィルター条件を保存し、いつでも簡単に呼び出すことができます。
カスタムビューの作成手順は以下の通りです。

1. カスタムビューを作成する
   イベントビューアーの左ペインで「カスタムビュー」を右クリックし、「カスタムビューの作成」を選択します。
2. ログソースとイベントIDを指定する
   「カスタムビューの作成」ダイアログで、「イベントログ」のプルダウンから「SmartScreen/Operational」を選択します。
   「イベントID」フィールドに「1030,1031,1032」のように入力し、必要に応じて「イベントレベル」も指定します。
3. カスタムビューを保存する
   「OK」をクリックすると「カスタムビューを保存」ダイアログが表示されます。
   カスタムビューに「Edge SmartScreenブロック履歴」など分かりやすい名前を付け、「OK」をクリックして保存します。

作成したカスタムビューは、左ペインの「カスタムビュー」の下に表示され、クリックするだけで設定したフィルター条件でSmartScreenログを確認できます。
これにより、セキュリティ監視の効率を大幅に向上できます。

まとめ

この記事では、EdgeのSmartScreen機能が記録したログをイベントビューアーで確認する手順を詳細に解説しました。
イベントビューアーの起動からSmartScreenログの表示、イベントIDによるフィルター、そしてログの詳細確認までの一連の操作を習得できます。
また、ログが見つからない場合の対処法や、カスタムビューを活用した効率的な監視方法も紹介しました。
これらの手順により、Edgeのセキュリティ動作を正確に把握し、セキュリティインシデントの分析や予防策の強化に役立てることができます。
組織のセキュリティ強化のため、SmartScreenログの定期的な確認と分析をぜひ習慣化してください。