none
メールの監査に関して RRS feed

  • 質問

  • Exchange2016でメールの監査を行いたいのですが下記は可能でしょうか。

    【登場人物】
    一般社員:UserA
    Exchange管理者:Exchadmin

    【シナリオ】
    UserAに届いているメールをExchadminが管理者権限を使用してメールを盗み見た場合に
    Exchadminがどこから、何のメールを、いつ開いたか監査ログから追うことができるか

    Auditlogを有効にすれば監査ログ自体は取得できると思われますが
    上記シナリオは実現できますでしょうか。

    2018年4月11日 8:16

回答

  • 悪意を持って権限設定をしたかどうかはシステムで判断しようがないので、

    出来るとすれば管理者監査ログを提示運用として取得し、不要な権限を付与していないかをチェックすることで担保されるのではないでしょうか?そもそも権限がないと無理なので。

    で、なにかアクションをトリガーにするということはExchange の機能では無理です。

    (スクリプト化すればできなくはないでしょうが)

    https://technet.microsoft.com/ja-jp/library/dd335144%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

    2018年4月13日 10:40
  • まずは簡単にお答えできるところから回答します。監査ログの容量は概ね1件あたり2KB程度で各ユーザのメールボックス内に格納されます。監査が必要なイベントのみ記録する形になりますので、通常時は記録されません。デフォルトは90日間保存されますが、この日数は変更可能です。

    したがって、あまり容量のこと自体は気にしなくて良いと思いますが、Exchangeのメールボックス内に単一フォルダとして格納されますので、あまり大量に(100万件超など)保存し続けると、検索や読み出しが極端に遅くなったりタイムアウトするようになってしまいます。

    さて、管理者権限を持った人間が悪意を持って…という点ですが、Exchangeの管理権限を悪意を持って利用している人に対して、Exchangeの機能を使ってそれを防御・監査しようというのは絶対無理とは言いませんが、少し対策法としては筋が悪いと思います。

    例えば、kojikoji37さんのおっしゃった形で監査機能を実装したとして、ExchangeやActive Directoryの管理権限を持っている人間は理論上様々なアプローチを使ってそれをくぐり抜けることが可能です。いくつか例を書きますね。

    ①メールをのぞき見する直前に見る先のメールボックスのメールボックス監査ログを無効化し、読んだあとに戻す
    ②メールボックス監査ログを消す(保持期限設定を短くしてパージさせた後、元に戻す)
    ③管理権限を利用するのではなく、そのユーザーの認証情報自体を取得/利用して「そのユーザー自身として」メールボックスにアクセスする
    ④監査用のSearch-Mailboxコマンドなどを利用してまとめて他のメールボックスにコピーして読む
    ⑤メールボックスデータベースの.edbファイルをコピーして(もしくはバックアップやハードディスクから)直接中身を見る
    ⑥トランスポートルールやジャーナルルールなどで自分のメールボックスにコピーを配信する
    ⑦SMTPのトランスポートのトランザクションログからメールの内容を再生する

    Active Directory環境であればユーザー側の端末からのアプローチも可能でしょうし、色々な方法があると思います。

    対策ですが、個々のアプローチ方法に対して対策を取ることは可能ですが、どの方法を使っても完璧という物はありません。悪意のある管理者から守るためには、別のアプローチでの防御を組み合わせる方が有効だと思います。いくつか例を挙げますと
    ・管理者権限を付与する人間のバックグラウンドチェックをきちんと行い、悪用時(悪用された場合含む)の刑事訴追など含めた誓約書などをきちんと取る
    ・管理者権限を通常時は誰にも振らず、作業の前に付与して貰い(作業者と付与者を分ける)、作業後に戻す
     (アカウントを無効化しておいて有効化するという方式でもよい)
    ・管理権限での作業実施を特定の場所からのみの利用に制限してその作業端末の作業内容自体をレコーディングする、もしくは監視カメラで録画
    ・Exchange管理者とActive Directoryの管理者を分ける
    ・データセンタでのサーバの物理的な作業者とExchange管理者を分ける

    そう考えると、クラウドサービスであるExchange Onlineを使うと考慮が必要な項目がかなり減りますね。

    2018年4月14日 18:07

すべての返信

  • UserAのメールボックスにおいて、メールボックス監査ログを有効化すればログを取得可能です。ログとして取得できる項目については以下で紹介されておりますが、頂いた要件は満たすと思います。

    メールボックス監査ログの活用
    https://blogs.technet.microsoft.com/exchangeteamjp/2015/11/10/5105/

    根本的な話となりますが、通常はExchange管理者(Organization Management権限と思われますが)の  Exchadmin に各ユーザーのメールボックス自体へのアクセス権限は不要と思われますので、権限設計自体の見直しを並行して実施されることをお勧めさせていただきます。

    2018年4月12日 2:01

  • ご回答ありがとうございます。
    シナリオとして少々ずれておりましたので再度確認させてください。

    実際のシナリオとしては、管理者権限など強力な権限を認知している人物が
    一般ユーザのメールを見れるよう悪意を持って権限設定を行い
    メールを開いた場合に検知あるいは後々確認できるように
    したいという意図があります。

    UserAを指定してログを有効化するというよりは、全ユーザの監査ログを有効にし
    自分以外のユーザがメールを開いたということを監査できればといった形です。

    その場合、全ユーザのメールボックスの監査ログを有効にし
    日時などでCSVに吐き出させ、MailboxOwnerUPNとLogonUserDisplayNameが
    それぞれ別ユーザだった場合に確認できるのではと考えております。

    上記を踏まえたうえで下記確認させて頂けますでしょうか。
    1.上記シナリオで確認可能か

    2.1日当たりの監査ログの容量
    【環境】
    ・ユーザ数:2000
    ・1日当たりの受信メール流量/人:100

    ご確認宜しくお願い致します。
    2018年4月13日 10:15
  • 悪意を持って権限設定をしたかどうかはシステムで判断しようがないので、

    出来るとすれば管理者監査ログを提示運用として取得し、不要な権限を付与していないかをチェックすることで担保されるのではないでしょうか?そもそも権限がないと無理なので。

    で、なにかアクションをトリガーにするということはExchange の機能では無理です。

    (スクリプト化すればできなくはないでしょうが)

    https://technet.microsoft.com/ja-jp/library/dd335144%28v=exchg.160%29.aspx?f=255&MSPPError=-2147217396

    2018年4月13日 10:40
  • まずは簡単にお答えできるところから回答します。監査ログの容量は概ね1件あたり2KB程度で各ユーザのメールボックス内に格納されます。監査が必要なイベントのみ記録する形になりますので、通常時は記録されません。デフォルトは90日間保存されますが、この日数は変更可能です。

    したがって、あまり容量のこと自体は気にしなくて良いと思いますが、Exchangeのメールボックス内に単一フォルダとして格納されますので、あまり大量に(100万件超など)保存し続けると、検索や読み出しが極端に遅くなったりタイムアウトするようになってしまいます。

    さて、管理者権限を持った人間が悪意を持って…という点ですが、Exchangeの管理権限を悪意を持って利用している人に対して、Exchangeの機能を使ってそれを防御・監査しようというのは絶対無理とは言いませんが、少し対策法としては筋が悪いと思います。

    例えば、kojikoji37さんのおっしゃった形で監査機能を実装したとして、ExchangeやActive Directoryの管理権限を持っている人間は理論上様々なアプローチを使ってそれをくぐり抜けることが可能です。いくつか例を書きますね。

    ①メールをのぞき見する直前に見る先のメールボックスのメールボックス監査ログを無効化し、読んだあとに戻す
    ②メールボックス監査ログを消す(保持期限設定を短くしてパージさせた後、元に戻す)
    ③管理権限を利用するのではなく、そのユーザーの認証情報自体を取得/利用して「そのユーザー自身として」メールボックスにアクセスする
    ④監査用のSearch-Mailboxコマンドなどを利用してまとめて他のメールボックスにコピーして読む
    ⑤メールボックスデータベースの.edbファイルをコピーして(もしくはバックアップやハードディスクから)直接中身を見る
    ⑥トランスポートルールやジャーナルルールなどで自分のメールボックスにコピーを配信する
    ⑦SMTPのトランスポートのトランザクションログからメールの内容を再生する

    Active Directory環境であればユーザー側の端末からのアプローチも可能でしょうし、色々な方法があると思います。

    対策ですが、個々のアプローチ方法に対して対策を取ることは可能ですが、どの方法を使っても完璧という物はありません。悪意のある管理者から守るためには、別のアプローチでの防御を組み合わせる方が有効だと思います。いくつか例を挙げますと
    ・管理者権限を付与する人間のバックグラウンドチェックをきちんと行い、悪用時(悪用された場合含む)の刑事訴追など含めた誓約書などをきちんと取る
    ・管理者権限を通常時は誰にも振らず、作業の前に付与して貰い(作業者と付与者を分ける)、作業後に戻す
     (アカウントを無効化しておいて有効化するという方式でもよい)
    ・管理権限での作業実施を特定の場所からのみの利用に制限してその作業端末の作業内容自体をレコーディングする、もしくは監視カメラで録画
    ・Exchange管理者とActive Directoryの管理者を分ける
    ・データセンタでのサーバの物理的な作業者とExchange管理者を分ける

    そう考えると、クラウドサービスであるExchange Onlineを使うと考慮が必要な項目がかなり減りますね。

    2018年4月14日 18:07
  • フォーラム オペレーターの栗下 望です。
    kojikoji37 さん、こんにちは。

    本件その後、いかがでしょうか?
    参考になった回答には [回答としてマーク] を設定いただき、
    同じ問題でお困りの方へ、情報をご提供いただけると幸いです。

    ご協力の程、どうぞよろしくお願いいたします。


    参考になった投稿には回答としてマークの設定にご協力ください
    MSDN/TechNet Community Support 栗下 望

    2018年4月16日 0:52
    モデレータ