【Windows】利用者のサインイン履歴を確認して不審なアクセスがないか調査する手順

業務中に不審なサインインの兆候を感じた場合、それは情報漏洩や不正アクセスのリスクを示しています。

Windowsのサインイン履歴を詳細に確認することで、セキュリティ上の問題を早期に発見できます。

この記事では、イベントビューアーを活用したサインイン履歴の確認手順と、不審なアクセスを見つけるためのポイントを解説します。

Windowsがサインイン履歴を記録する仕組みとイベントビューアーの役割

Windowsは、システム上で発生する様々なイベントをイベントログとして記録しています。

特にサインインやサインアウト、アカウントのロックアウトといったセキュリティ関連のイベントは「セキュリティログ」に分類されます。

これらのログは、いつ、誰が、どの方法でシステムにアクセスしたかという重要な情報を含んでいます。

イベントビューアーは、これらのイベントログを一元的に閲覧、管理、分析するための標準ツールです。

不審なサインイン活動を調査する際には、イベントビューアーを使ってセキュリティログを詳細に確認することが不可欠となります。

ログを適切に記録するためには、Windowsの監査ポリシーが有効になっている必要があります。

セキュリティログの重要性

セキュリティログは、不正アクセスや情報漏洩の痕跡を追跡する上で最も信頼できる情報源の一つです。

成功したサインインだけでなく、失敗したサインイン試行やアカウントロックアウトの記録も含まれています。

これらの記録を分析することで、外部からの攻撃や内部不正の兆候を早期に検知できる場合があります。

ログにはタイムスタンプやユーザー名、サインインの種類などが詳細に記録されています。

Windowsのサインイン履歴をイベントビューアーで確認する手順

Windows 11でサインイン履歴を確認する具体的な手順を説明します。

Windows 10でも同様の操作で確認できますが、一部のメニュー名やアイコンの配置が異なる場合があります。

1. イベントビューアーを開く
   スタートボタンを右クリックし、表示されるメニューから「イベントビューアー」を選択します。または、検索ボックスに「イベントビューアー」と入力して開くこともできます。
2. セキュリティログに移動する
   イベントビューアーの左ペインで、「Windowsログ」を展開し、「セキュリティ」を選択します。
   これにより、中央ペインにセキュリティ関連のイベントログが一覧表示されます。
3. ログをフィルターする
   中央ペインの「セキュリティ」ログが選択された状態で、右ペインの「操作」欄にある「現在のログをフィルター」をクリックします。
   フィルターダイアログが開きます。
4. イベントIDを指定して絞り込む
   フィルターダイアログの「<すべてのイベントID>」の入力欄に、サインイン関連のイベントIDを入力します。
   例えば、成功したサインインは「4624」、失敗したサインインは「4625」です。
   複数のイベントIDを指定する場合は、カンマ「,」で区切って入力します。例:「4624,4625」。
5. 期間を指定して絞り込む
   「ログの記録日時」のドロップダウンメニューから、調査したい期間を選択します。
   「過去1時間」、「過去24時間」、「過去7日間」などが選択できます。
   より詳細な期間を指定する場合は、「カスタム範囲」を選択して開始日時と終了日時を設定します。
6. フィルターを適用してログを確認する
   イベントIDと期間を設定したら、「OK」ボタンをクリックしてフィルターを適用します。
   中央ペインに、指定した条件に合致するイベントのみが表示されます。
   各イベントをダブルクリックすると、詳細情報が表示され、サインインしたユーザー名やIPアドレス、プロセス名などを確認できます。
7. ログをエクスポートする
   フィルターされたログを保存したい場合は、右ペインの「操作」欄にある「フィルターされたログファイルを名前を付けて保存」をクリックします。
   保存場所とファイル名を指定し、「保存」ボタンをクリックします。
   ログはEVTX形式で保存され、後からイベントビューアーで再度開いて確認できます。

サインイン履歴確認時の注意点とよくある失敗パターン

サインイン履歴を確認する際には、いくつかの注意点があります。

ログの量が膨大であることや、必要な情報が見つからない場合の対処法を理解しておくことが重要です。

ログが膨大すぎて必要な情報を見つけられない場合

セキュリティログは非常に多くのイベントを記録するため、目的の情報を探し出すのが困難になることがあります。

この場合は、フィルター機能を活用して表示するログを絞り込むことが重要です。

特定のイベントIDだけでなく、ユーザー名やコンピューター名でフィルターをかけることも可能です。

さらに、「カスタムビューの作成」機能を利用すると、よく使うフィルター条件を保存してすぐに呼び出せるようになります。

1. カスタムビューの作成
   イベントビューアーの左ペインで「カスタムビュー」を右クリックし、「カスタムビューの作成」を選択します。
   フィルターダイアログで、イベントIDやログの記録日時、ユーザーなどの条件を設定し、「OK」をクリックします。
   ビューに名前を付けて保存することで、次回から同じ条件でログを素早く表示できます。

必要なサインインイベントが記録されていない場合

サインインイベントが全く記録されていない、または特定の種類のイベントが欠落している場合、監査ポリシーの設定が適切ではない可能性があります。

Windowsは、どのようなイベントをログに記録するかを監査ポリシーで制御しています。

特に、「アカウントログオンイベントの監査」と「ログオンイベントの監査」が有効になっていることを確認してください。

これらの設定は、ローカルセキュリティポリシーエディターまたはグループポリシーエディターで確認および変更できます。

ポリシーを変更した場合は、変更が適用されるまでに時間がかかることがあります。

ログの保存期間やサイズに関する注意点

イベントログは、設定されたサイズに達すると古いログが上書きされるように構成されている場合があります。

これにより、過去の重要なサインイン履歴が失われる可能性があります。

長期的な監査が必要な場合は、ログの最大サイズを増やすか、古いイベントを上書きせずにアーカイブする設定に変更を検討してください。

設定は、イベントビューアーの「セキュリティ」ログを右クリックし、「プロパティ」から変更できます。

「イベントログの最大サイズ」と「アーカイブオプション」を確認してください。

主要なサインイン関連イベントIDとその意味

イベントビューアーでサインイン履歴を調査する際に役立つ、主要なイベントIDとその詳細をまとめました。

これらのIDを理解することで、ログから具体的な状況を把握できます。

イベントID	意味	確認すべき点
4624	アカウントが正常にログオンしたことを示すイベント	ログオンの種類(インタラクティブ、ネットワークなど)、ログオンしたユーザー名、ソースIPアドレス、時刻を確認する。意図しないユーザーや場所からのログオンがないか
4625	アカウントのログオンに失敗したことを示すイベント	ログオンの種類、失敗したユーザー名、ソースIPアドレス、失敗理由(パスワード間違い、アカウントロックなど)を確認する。特に、存在しないユーザー名での試行や短時間に多数の失敗がないか
4634	アカウントが正常にログオフしたことを示すイベント	ログオフしたユーザー名と時刻を確認する。不自然なログオフや、ログオフの記録がないままセッションが終了しているケースがないか
4647	ユーザーがログオフを開始したことを示すイベント	ログオフの開始を記録する。4634と合わせて、ユーザーが意図的にログオフしたか、システムによるログオフかを確認する
4672	特殊なログオンが実行されたことを示すイベント	管理者権限など、特別な権限を持つアカウントがログオンしたことを示す。特権アカウントが不正に利用されていないか、常に監視する
4776	資格情報の検証に失敗したことを示すイベント	ドメインコントローラーが、ワークステーションやサーバーからの資格情報検証要求に失敗したことを示す。ネットワーク上の認証問題や、ブルートフォースアタックの兆候がないか

まとめ

この記事では、Windowsのイベントビューアーを使用してサインイン履歴を確認し、不審なアクセスを調査する手順を詳しく解説しました。

イベントIDのフィルターや期間指定を活用することで、膨大なログの中から必要な情報を効率的に見つけ出すことができます。

定期的なログの確認は、セキュリティリスクの早期発見につながります。

今回学んだイベントビューアーの操作とイベントIDの知識を活かし、システムのセキュリティ監査を継続的に実施してください。

不審なログを発見した場合は、速やかに原因を特定し、必要なセキュリティ対策を講じることが重要です。

💻

Windowsトラブル完全解決データベース 起動不能、更新の不具合、動作が重い、設定の消失など、Windows 10/11のあらゆるトラブル解決手順を網羅しています。