5059 鍵移行操作
暗号鍵の移行操作が行われたときに記録される。鍵のエクスポート/インポートを伴う移行を捉え、鍵マテリアルの持ち出しの観点で注目される。
概要
サブカテゴリは Audit Other System Events。鍵を別の場所・コンテナへ移行する操作(エクスポートしてインポートする等)が行われると生成される。鍵ファイル操作 5058 と並ぶ鍵関連イベント。
発生契機・方法
- 鍵のバックアップ・移行、別マシン/コンテナへの鍵の移動。
セキュリティ上の確認事項
- 鍵の移行(とくにエクスポート)は、秘密鍵を別の場所へ持ち出す操作であり、なりすまし用の鍵の窃取に関わりうる。想定外の主体・対象鍵による移行に注目する。
- 鍵ファイル操作 5058 と併せ、鍵マテリアルへのアクセス・持ち出しを追う。
ログレビュー時の注意観点
- 正規の鍵管理・移行運用でも発生する。対象鍵・実施主体・移行先の正常パターンと照合する。
- 高価値な鍵(CA、コード署名、DPAPI 関連等)の移行を高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Key Name | 移行された鍵 |
Operation | 移行の種別 |
Process Name / Subject | 操作元 |