共有フォルダや機密性の高いファイルが保存されたフォルダへのアクセス状況を把握したいビジネスマンは多いでしょう。誰がいつ、どのような操作をしたのかが分からないと、情報漏洩や不正操作のリスク管理が困難になります。
Windowsのセキュリティ監査機能を活用することで、特定のフォルダに対するアクセスや変更、削除などの操作を詳細に記録できます。
この記事では、Windows 11を基準に、特定のフォルダへのアクセス操作をログに残す具体的な設定手順を解説します。この設定により、セキュリティ監視を強化し、問題発生時の原因究明に役立てられます。
【要点】Windowsで特定のフォルダへのアクセス操作を監査する
- セキュリティ監査の有効化: フォルダ操作のログ記録をシステム全体で許可します。
- 監査ポリシーの構成: ログに記録するイベントの種類を詳細に設定します。
- フォルダの監査設定: 特定のフォルダに対して監査ルールを適用します。
- イベントビューアーでの確認: 記録された監査ログを確認する方法を把握します。
ADVERTISEMENT
目次
Windowsのセキュリティ監査機能でできることと前提条件
Windowsのセキュリティ監査機能は、システム内で発生する特定のイベントを記録する機能です。ファイルやフォルダへのアクセス、ユーザーのログオン・ログオフ、システム設定の変更など、多岐にわたる操作をログとして保存できます。
この機能を使うことで、情報漏洩や不正アクセスが疑われる際に、誰がいつ、どのファイルにアクセスしたかといった具体的な操作履歴を追跡できます。これにより、セキュリティインシデント発生時の原因究明や証拠収集に役立ちます。
セキュリティ監査を設定する際の前提条件として、管理者権限を持つユーザーアカウントで操作する必要があります。また、監査対象となるフォルダやファイルは、NTFSファイルシステムでフォーマットされている必要があります。FAT32などの他のファイルシステムでは、詳細なセキュリティ設定ができないため、監査機能は利用できません。
特定のフォルダへのアクセス操作を監査する手順
特定のフォルダへのアクセスを監査するには、まずシステム全体の監査ポリシーを有効にし、次に個別のフォルダに監査設定を適用します。最後にイベントビューアーでログを確認します。
1. 監査ポリシーを有効にする
ローカルグループポリシーエディターを使用して監査ポリシーを有効にします。Windows 10 Homeエディションではローカルグループポリシーエディターが利用できないため、コマンドプロンプトを使用します。
- ローカルグループポリシーエディターを開く
WindowsキーとRキーを同時に押し、「ファイル名を指定して実行」ダイアログを開きます。gpedit.mscと入力し、OKボタンをクリックします。 - 監査ポリシーの場所へ移動する
左ペインで「コンピューターの構成」を展開し、「Windowsの設定」をクリックします。「セキュリティの設定」を展開し、「ローカルポリシー」をクリックします。「監査ポリシー」を選択します。 - オブジェクトアクセスの監査を有効にする
右ペインで「オブジェクトアクセスの監査」をダブルクリックします。「ローカルセキュリティの設定」タブで「成功」と「失敗」の両方のチェックボックスをオンにします。適用ボタンをクリックし、OKボタンで閉じます。
Windows 10 Homeエディションの場合の補足:
ローカルグループポリシーエディターが存在しないため、以下のコマンドを管理者として実行するコマンドプロンプトで実行します。
- コマンドプロンプトを管理者として実行する
スタートボタンを右クリックし、「ターミナル 管理者」または「コマンドプロンプト 管理者」を選択します。 - 監査ポリシーを設定するコマンドを実行する
auditpol /set /category:”Object Access” /success:enable /failure:enable と入力し、Enterキーを押します。
2. 特定のフォルダに監査設定を適用する
次に、監査したい特定のフォルダに対して、アクセス権限の監査設定を行います。
- フォルダのプロパティを開く
監査したいフォルダを右クリックし、「プロパティ」を選択します。 - セキュリティタブへ移動する
「プロパティ」ウィンドウで「セキュリティ」タブをクリックします。 - 詳細なセキュリティ設定を開く
「詳細設定」ボタンをクリックします。 - 監査タブへ移動する
「セキュリティの詳細設定」ウィンドウで「監査」タブをクリックします。 - 監査エントリを追加する
「追加」ボタンをクリックします。「監査エントリ」ウィンドウが開きます。 - プリンシパルを選択する
「プリンシパルの選択」をクリックします。監査対象としたいユーザーまたはグループの名前を入力し、「名前の確認」ボタンをクリックします。例えば、Everyoneと入力すると、すべてのユーザーの操作が監査対象になります。OKボタンをクリックします。 - 監査するアクセス権限を選択する
「種類」ドロップダウンリストで「すべて」を選択し、成功と失敗の両方を監査対象とします。監査したい操作の種類にチェックを入れます。例えば、「ファイルの作成」「ファイルの削除」「フォルダの作成」「フォルダの削除」など、目的に応じて選択します。適用ボタンをクリックし、OKボタンを何度かクリックしてすべてのウィンドウを閉じます。
3. イベントビューアーで監査ログを確認する
設定が完了したら、実際にフォルダへの操作を行い、イベントビューアーでログが記録されているかを確認します。
- イベントビューアーを開く
スタートボタンを右クリックし、「イベントビューアー」を選択します。 - セキュリティログへ移動する
左ペインで「Windowsログ」を展開し、「セキュリティ」をクリックします。 - ログをフィルターする
右ペインの「現在のログをフィルター」をクリックします。「イベントID」欄に、ファイルやフォルダへのアクセス監査に関連するIDを入力します。例えば、ファイルアクセスは4656、4663、ファイル削除は4660などです。複数のIDはカンマで区切って入力できます。OKボタンをクリックします。 - ログの詳細を確認する
フィルターされたログの中から、該当するイベントをダブルクリックすると、詳細な情報が表示されます。誰が、いつ、どのファイルに対してどのような操作を行ったかを確認できます。
監査設定時の注意点とよくある誤操作
監査設定は強力な機能ですが、設定を誤ると必要な情報が得られなかったり、システムパフォーマンスに影響を与えたりする可能性があります。ここでは、よくある注意点と誤操作について解説します。
監査ログが記録されない場合
監査設定を行ったにもかかわらず、イベントビューアーにログが記録されないことがあります。この場合、以下の点を確認してください。
原因: 監査ポリシーがシステム全体で有効になっていない、またはフォルダの監査設定が正しく適用されていない可能性があります。また、監査対象のユーザーにアクセス権限がない場合もログは記録されません。
対処法: まず、「オブジェクトアクセスの監査」が「成功」と「失敗」の両方で有効になっているか、手順1を再確認してください。次に、監査対象フォルダの「セキュリティの詳細設定」にある「監査」タブで、設定したエントリが正しく追加され、適切なユーザーと権限が選択されているかを確認します。特に、アクセス権限の継承が原因で設定が上書きされている可能性もあるため、「子オブジェクトのアクセス許可エントリすべてを、このオブジェクトからの継承可能なアクセス許可エントリで置き換える」オプションを試すことも検討してください。
ログが多すぎて必要な情報が見つけにくい場合
広範囲に監査設定を適用しすぎると、大量のログが生成され、本当に必要な情報が埋もれてしまうことがあります。これにより、イベントビューアーの操作性が低下したり、ディスク容量を圧迫したりする可能性もあります。
原因: 「Everyone」に対してすべての操作を監査する設定にしているなど、監査範囲が広すぎるためです。
対処法: 監査対象のユーザーやグループを特定し、最小限の範囲に絞ってください。また、監査するアクセス権限の種類も、本当に監視したい操作のみに限定します。例えば、ファイルの読み取りはログに記録せず、書き込みや削除のみを記録するといった具体的な設定が有効です。イベントビューアーのログサイズも適切な値に設定し、必要に応じて古いログをアーカイブするように設定することも検討してください。
Windows 10 Homeエディションでの設定方法
Windows 10 Homeエディションでは、ローカルグループポリシーエディターが標準で提供されていません。そのため、手順1の監査ポリシーの有効化はコマンドプロンプトで行う必要があります。
原因: Homeエディションにはgpedit.mscツールが含まれていないため、GUIでのポリシー設定ができません。
対処法: 前述の手順1で示した通り、管理者として実行するコマンドプロンプトで auditpol /set /category:”Object Access” /success:enable /failure:enable コマンドを実行してポリシーを有効化してください。フォルダごとの監査設定(手順2)とログの確認(手順3)は、Windows 10 Homeエディションでも同様のGUI操作で実行できます。
ADVERTISEMENT
Windows 11とWindows 10の監査設定における違い
Windows 11とWindows 10では、セキュリティ監査の設定に関する基本的な機能や手順に大きな違いはありません。しかし、一部のUI表現やスタートメニューからのアクセス方法にわずかな違いが見られます。
| 項目 | Windows 11 | Windows 10 |
|---|---|---|
| 設定ツール | ローカルグループポリシーエディター、コマンドプロンプト | ローカルグループポリシーエディター、コマンドプロンプト |
| 主な手順 | 監査ポリシー有効化、フォルダ監査設定、イベントビューアー確認 | 監査ポリシー有効化、フォルダ監査設定、イベントビューアー確認 |
| UIの違い | スタートボタン右クリックメニューに「ターミナル 管理者」がある | スタートボタン右クリックメニューに「コマンドプロンプト 管理者」がある |
| Homeエディション対応 | コマンドプロンプトで監査ポリシーを設定する | コマンドプロンプトで監査ポリシーを設定する |
まとめ
この記事では、Windowsのセキュリティ監査機能を使って、特定のフォルダへのアクセス操作をログに残す手順を解説しました。システム全体の監査ポリシーを有効にし、対象フォルダに監査設定を適用することで、誰がいつどのような操作をしたかを詳細に追跡できます。
イベントビューアーでログを確認し、適切なフィルターを適用することで、必要な情報を効率的に把握できます。この設定は、組織のセキュリティ強化と情報資産の保護に貢献します。ぜひ、機密性の高いフォルダへのアクセス監査を設定し、セキュリティリスクの低減に役立ててください。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Windows・PCの人気記事ランキング
- 【Edge】起動時や新しいタブを「Google」にする設定!ニュースを消してシンプルにする方法
- 【直し方】F7でカタカナにならない!ファンクションキーが効かず音量などが変わる時のFnロック解除法
- 【Windows】サブモニターが映らない!HDMIを挿しても「信号なし」になる時の認識・設定手順
- 【Windows】パスワードなしで起動!PIN入力を省略して自動ログイン(サインイン)させる設定手順
- 【Windows】画面がチカチカ・点滅する!グラフィックドライバの更新と設定の見直し
- 【Windows】デスクトップのアイコンが「白い紙」になった!アイコンキャッシュを削除して元に戻すコマンド
- 【PC周辺】2台のモニターで壁紙を「別々」にする方法!Windows11での配置と調整
- 【Windows】デスクトップアイコンの「緑のチェック」は何?OneDriveの同期マークを非表示にする方法
- Windows 11を極限まで軽量化する「不要な標準サービス」停止リスト|PCの動作を爆速化する設定手順とリスク管理の全貌
- 【Windows】イヤホンを挿してもスピーカーから音が出る!ジャックを認識しない時のRealtek設定と直し方