クラウドセキュリティ

Microsoft 365 監査ログの有効化や保存期間とは?活用事例を解説

Written by 田中寛大

Microsoft 365 監査ログの有効化や保存期間とは?活用事例を解説

目 次

【Microsoft 365 の監査ログ】
長期保管にかかるコストを比較表で解説

監査ログの長期保管にかかるコストは?Microsoft のプラン比較表を用いて解説します。

資料をダウンロードする


Microsoft 365 には、監査ログを記録する機能が搭載されており、「誰が機密情報にアクセスしたのか」「不正に情報を持ち出していないか」などを確認することができます。
監査ログを活用することで、情報漏洩や不正操作の防止が期待できるでしょう。
本記事では、 Microsoft 365 の監査ログの有効化の仕方や確認方法などを解説します。

本記事でわかること

  • Microsoft 365 の監査ログの種類
  • Microsoft 365 の監査ログを有効化する方法
  • Microsoft 365 の監査ログの取得方法

Microsoft 365の監査ログを自動取得し利用状況を見える化する「LANSCOPE セキュリティオーディター」についてもあわせて紹介します。

情報漏洩対策を強化したい企業・組織の方は、ぜひご確認ください。

Microsoft 365 の監査ログとは​


「監査ログ」とは、システムやアプリケーション上で、「誰がいつ何をしたか」を記録したものです。

時系列に沿って記録がされるため、たとえば、不正アクセスやセキュリティインシデントが発生した際に、操作記録の追跡などに活用されます。

Microsoft 365 (旧、Office365 )は、監査ログを記録する機能が搭載されています。

どのように活用されるのか、有効化する方法や確認方法などを詳しく確認していきましょう。

監査ログの具体的な活用シーン

Microsoft 365 の監査ログは、具体的にどのようなシーンで活用されるのでしょうか。

本記事では、Microsoft 365 の監査ログがどのような場面で活用されるかを3つの具体シーンで紹介します。

退職者の情報持ち出しの確認

監査ログは、退職者による情報漏洩が発生していないかを確認する際に活用することができます。

機密情報へのアクセスがないか、ダウンロードされていないかなどを確認することで、情報の持ち出しを防ぐことができるでしょう。

また、万が一不正が発覚した場合には、監査ログが重要な証拠となるため、監査ログの保存期間も確認する必要があります。

情報漏洩や不正操作などの内部不正への備え

監査ログは、情報漏洩や不正操作などの内部不正を防ぐ方法としても有効です。

操作ログを取得・記録していることを通知することで、内部不正の抑止力としても機能するでしょう。

関連ページ

内部不正とは?原因や対策、最新の事例まで徹底解説

監査への備え

監査ログは、内部監査や外部監査への備えとしても活用されます。

システムやアプリケーションをどのように操作しているのか、どのような情報にアクセスしているかなど、従業員の行動が可視化されるため、組織の透明性の担保につながります。

Microsoft 365 監査ログの種類


Microsoft 365 の監査ログは、ユーザーが以下のようなMicrosoftの提供ツールを使用したときにその操作ログを蓄積できます。

  • Microsoft Entra ID(旧、Azure AD)
  • Teams
  • SharePoint Online
  • OneDrive

それぞれのツールでどのような操作がログとして残るのかを確認していきましょう。

Microsoft Entra ID

「Microsoft Entra ID (旧名称、 Azure AD)」とは、Microsoftが提供するクラウドサービス専用のIDおよびアカウント管理サービスです。

Microsoft Entra ID を利用することで、各種クラウドサービスのアカウント認証情報(IDやパスワードなど)を一括管理できるようになります。

Microsoft Entra ID では、サインインログや監査ログを取得することが可能で、監査ログでは、ユーザーやグループなどのオブジェクトの追加・削除・変更などの操作記録を確認できます。

関連ページ

Microsoft Entra IDとは?Azure ADとの違い・機能をわかりやすく解説

Teams

「 Teams 」とは、Microsoftが提供するコミュニケーションツールで、チャット機能などが搭載されています。

Teams では、ユーザーと管理者のアクティビティが記録として残ります。

具体的には、チームの作成・削除や追加チャネル、設定変更などの情報を記録することができます。

関連ページ

Teamsとは?何ができるか・他製品との違い・料金などをわかりやすく解説

SharePoint Online

「 SharePoint Online 」とは、 Microsoft 365 に搭載されているファイル・情報の共有サービスです。

監査ログではユーザーと管理者のアクティビティが記録として残り、アイテムの削除や編集、ユーザーアカウントの権限変更などのアクティビティが記録されます。

また SharePoint Online は、ゲストアカウントも作成できるため、ゲストアカウントの監査ログも残すことも可能です。

さらに SharePoint Online におけるサイト管理者のアクティビティ(サイトの作成や削除)も記録されます。

OneDrive

「 OneDrive for Business 」とは、Microsoftが提供するストレージサービスで、監査ログではユーザーアクティビティが記録として残ります。

たとえば、ファイルをコピー・削除した記録や、アップロードの情報などが記録されます。

SharePoint Online と同様に、OneDrive でもゲストアカウントを作成でき、監査ログを記録することができます。

Microsoft 365 の監査ログを有効化する方法


監査ログを有効化するには、まず「Microsoft Purview ポータル」にアクセスします。

画面左側のメニューから「監査」を選択し、「ユーザーと管理アクティビティの記録を開始する」をクリックしましょう。
変更が反映されるまで、最大60分ほどかかります。

監査が有効になっていない場合は「ユーザーと管理者のアクティビティの記録を開始する」という表示が出現します。
このリンクが表示されない場合は、監査機能が正しく有効化されています。

また、別の有効化手段として、「PowerShell」を使う方法もあります。

「Exchange Online PowerShell」に接続し、以下の「PowerShell コマンド」を実行します。無効化の場合も同様のコマンドです。

なお、Exchange Onlineの基本認証が廃止予定のため、接続には先進認証のExchange Online PowerShell V2を使いましょう。

PowerShell コマンド :

「Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false」

監査が有効になっているかどうかを確認するには、以下のコマンドを実行します。

有効可になっているかを確認するコマンド:

Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

Microsoft 365 で監査ログを確認・取得する方法


Microsoft 365 で監査ログを確認・取得する方法は、3つあります。

  • 管理コンソールで確認する方法
  • コマンドで確認する方法
  • APIで確認する方法

どの方法で監査ログを取得すればよいかは、ログの性質によって異なります。

3つの取得方法を解説するので、選択する際の参考としてください。

管理コンソールで確認: Microsoft Purview ポータル

短い時間範囲での特定の操作に関する監査ログを速やかに見つけたい場合は、管理コンソールでの確認が効率的です。

まずは、Microsoft Purview ポータルにログインし、画面左側のウィンドウから「監査」を選択し「検索」タブで、ログの「日付と時間の範囲」などを指定してください。

「ユーザー」や「ファイル、フォルダー、またはサイト」などの検索条件も設定することが可能です。

特定のサイトやファイルに関するログを確認する場合には、URLやファイル名に「*(ワイルドカード文字)」を追加します。
URLの場合はアドレスの後ろに、ファイルの場合はファイル名の前に追加してください。

また、検索条件を指定せずにすべての結果を表示させたい場合は、ボックスを空欄のままにします。

検索結果には、最新のログが最大5,000件まで表示されます。

コマンドで確認:Search-UnifiedAuditLog コマンド

大規模な組織における長い期間での特定の調査やインシデントに関するログを取得したい場合は、 PowerShellコマンドレットの「Search-UnifiedAuditLog」の利用が適しています。

このコマンドでは、SharePoint OnlineやMicrosoft Teamsなどの Microsoft 365 の各種サービスに関する監査ログを取得できます。

ログの取得には、「Exchange Online PowerShell」への接続が必要で、コマンドの中で日付やファイル名を指定して検索することができます。

検索結果はCSVファイルとしてエクスポートすることが可能です。

APIで確認:Office 365 Management Activity API

大規模な組織において、数百万の監査ログを継続的に取得したい場合は、「Office 365 Management Activity API」の活用が適しています。

Office 365 Management Activity API を活用する際は、事前に「Exchange Online PowerShell」を用いて監査ログを有効化する必要があります。

まず、Microsoft Entra ID (旧名称、 Azure AD)にてアプリケーションを登録し、APIへのアクセス権を確立します。

次に、登録したアプリケーションを使用してアクセストークンを取得し、APIの認証をおこないます。

そして、対象サービスごとにサブスクリプションを作成し開始することで、定期的にログが記録されるようになります。

監査ログ管理における課題


Microsoft 365 の監査ログを使用する際は、保存期間やアラート機能を考慮する必要があります。

効率的に監査ログを使用するために、 Microsoft 365 の監査ログを使用する際の注意点を確認していきましょう。

保存期間における課題

Microsoft 365 の監査ログの保存期間は、標準では180日間です。

長期保存が必要な場合は、定期的に監査ログをエクスポートしておく必要があるため、注意しましょう。

たとえば、企業の方針や監査ログの活用方法によっては、180日以上の長期保存が求められるケースがあると思います。
その場合は、Microsoft 365 のライセンス変更を検討しましょう。

監査ログを最大1年間保持するには、Microsoft 365 E5・Office 365 E5・Microsoft 365 E5 Complianceライセンスまたは E5 電子情報開示および監査アドオンライセンスを取得する必要があります。

また、10年間保持したい場合には、監査ログを生成するユーザーに対して、E5 ライセンスと10年間の監査ログ保持のアドオンライセンスを割り当てる必要があります。

ログ確認方法とアクティビティ解析における課題

監査ログの数が膨大な場合、検索時にフィルターを設定して確認する必要があります。
しかし、フィルターの条件を残せる仕様は現状搭載されていません。

そのため、コンプライアンスセンターで毎回検索条件を設定する必要があります。

さらにコマンドやAPIの使用は技術的に難しい面もあるため、膨大な数の監査ログをエクスポートしたとしても、それらのアクティビティの解析に時間がかかってしまう課題も生じやすいです。

アラート設定における課題

Microsoft 365管理センターにはアラート機能が標準で備わってなく、レポートも限定的なため、不審な動きがあったとしても、リアルタイムに検知することが難しいです。

セキュリティやリスク管理を重視する運用合においては、リアルタイムのアラートが不可欠です。

たとえば、本人や管理者にメール通知やポップアップでアラートが届く機能があると、迅速な対応とリスク管理の実現に近づくでしょう。

監査ログの効率的な運用に役立つツールとして、「LANSCOPE セキュリティオーディター」を紹介します。

Microsoft 365 の情報漏洩対策機能を実装した「LANSCOPE セキュリティオーディター」


「LANSCOPE セキュリティオーディター」は、「誰が」「いつ」「何をしたのか」など、クラウドサービス上の操作を見える化できるセキュリティソリューションです。

また、Microsoft 365 の監査ログを収集後、整形までを自動で実施することが可能なため、収集や分析に関する専門的なスキルがなくても、すぐに利用状況を把握することが可能です。

さらに、セキュリティリスクのある操作が実行された際には従業員や管理者に対して、ビジネスチャットでアラートを通知することもできるため、セキュリティインシデントの防止やセキュリティ意識の向上・浸透にも役立ちます。

「LANSCOPE セキュリティオーディター」の主な機能を3つ紹介します。

Microsoft 365 利用状況レポート

「LANSCOPE セキュリティオーディター」 では、Microsoft 365(OneDrive・SharePoint・Microsoft Teams・Azure AD)の監査ログを閲覧しやすいよう成形し、管理コンソールで確認することが可能です。

取得できる監査ログは6種18個で、利用状況や設定したアラートの発生状況をレポート形式で把握することができます。

複数の情報を組み合わせて利用ログとして整形することも可能なため、管理コンソール上で、利用状況や違反状況のレポートを視覚的にわかりやすく確認することが可能です。

従業員・管理者向けアラート通知機能

セキュリティリスクのある操作など、事前に設定したポリシーに違反する操作がされた場合、TeamsやGoogle Chat、ChatworkやSlackなどのビジネスチャットで利用者本人と管理者に通知することができます。

利用者本人にアラートが届くため、セキュリティルールの周知・把握にも役立てることができるでしょう。

監査ログの長期保存

前述した通り、Microsoft 365 の通常プランでは監査ログの保存期間は6か月(180日)ですが、「LANSCOPE セキュリティオーディター」では、25か月間の長期保存が可能です。

Microsoft 365 監査ログので180日間分の監査ログをエクスポートしようとすると、エクスポート上限の5万件を342回繰り返す必要があるため、約43時間以上の時間を要します。

「LANSCOPE セキュリティオーディター」なら、最大25か月分のログを保存できるだけでなく、一括でエクスポートすることも可能なため、効率的なログ管理が可能になります。

「LANSCOPE セキュリティオーディター」の機能に関してより詳しく知りたい方は、ぜひ下記のページを合わせご確認ください。

関連ページ

LANSCOPE セキュリティオーディターについて

まとめ

本記事では Microsoft 365 の監査ログについて、有効化の方法や種類、利用する際の課題について解説しました。

本記事のまとめ

  • Microsoft 365 には、監査ログを記録する機能が搭載されており、取得することで情報漏洩や不正操作の防止効果が期待できる
  • Microsoft 365 の監査ログを有効化するには、「Microsoft Purview ポータル」にアクセスする方法と「PowerShell」を使用する方法がある
  • Microsoft 365 の監査ログの保存期間は基本的に180日だが、ライセンスによっては長期保存が可能

監査ログの継続的な取得は、情報漏洩や内部不正の抑止・防止に加えて、セキュリティインシデントへの備えや事後対応にも役立ちます。

保存期間やログの確認・解析には、やや課題もあるため、本記事で紹介した「LANSCOPE セキュリティオーディター」を活用することもぜひご検討ください。

監査ログを1年以上保管する場合、どれくらいコストがかかるのかをまとめた資料もご用意しているので、ぜひプランを比較して、自社に最適な管理方法を確認してみてください。

【Microsoft 365 の監査ログ】
長期保管にかかるコストを比較表で解説

監査ログの長期保管にかかるコストは?Microsoft のプラン比較表を用いて解説します。

資料をダウンロードする

おすすめ記事