Microsoft 365 / Office 365の監査ログとは

監査ログとは、ユーザーの操作記録のことを指します。具体的に言うと、時系列に記録していき見返したときに追跡できる情報のことです。Microsoft 365には、監査ログを記録する機能が搭載されています。ユーザーがファイルを削除したかどうかなどの操作情報も蓄積しており、確認することが可能です。

Microsoft 365 / Office 365の監査ログが必要になるシーン

Microsoft 365の監査ログは、インシデントが発生したときの追跡・原因調査に活用できます。また、事前に兆候を察知したり予防したりするのにも便利です。ここでは、具体的にMicrosoft 365の監査ログがどのような場面で必要になるか解説します。

退職者の利用状況チェック

退職者が出た場合は不正に情報を持ち出していないかどうかを確認するために、監査ログをチェックします。特に、機密情報へのアクセスログやダウンロードなどを確認するようにしましょう。万が一不正が発覚した場合には、監査ログが重要な証拠となります。そのため、監査ログの保存期間にも注意が必要です。

情報漏洩や不正操作など内部不正への備え

監査ログは、情報漏洩や不正操作などの内部不正を防ぎたい場合にも役立ちます。監査していることを従業員に通知すれば、内部不正の抑止力としても機能するでしょう。

監査への備え

内部監査・外部監査への備えとしても監査ログを使うことができます。従業員の行動を可視化できるので、組織の透明性の担保にもつながります。

監査ログの種類

会社の情報セキュリティポリシーによっては、監査ログを記録する必要があります。その種類や保存期間は企業によって異なりますし、監査ログとひとくちにいってもMicrosoft 365のサービスによって性質が異なることもあります。そこで、監査ログの種類について解説します。

どのような操作が監査ログに残るのか

監査ログには、ユーザーが以下のようなMicrosoftの提供ツールを使用したときにその操作ログを蓄積できます。

それでは、それぞれのツールでどのような操作がログとして残るのでしょうか。

Azure AD

Azure AD（Azure Active Directory）とは、クラウド型の認証サービスです。Azure ADでは、管理者アクティビティが記録として残ります。さまざまなクラウドサービスをまとめて管理できます。
Azure ADを使えば、シングルサインオンでアクセス可能です。Azure ADではサインインログや監査ログを抽出できる機能があります。監査ログでは、オブジェクトの追加や削除についての記録を確認可能です。

Teams

「Microsoft Teams」とは、チャット機能などを備えたコミュニケーションツールです。Teamsでは、ユーザーと管理者のアクティビティが記録として残ります。具体的には、チームの作成・削除や追加チャネル、設定変更についての情報を記録しています。

SharePoint Online

「SharePoint Online」とは、ファイル・情報の共有サービスです。監査ログではユーザーと管理者のアクティビティが記録として残ります。アイテムの削除や編集、ユーザーアカウントの権限変更などのアクティビティを記録可能です。
さらにSharePoint Onlineはゲストアカウントも作成できます。そのようなアカウントの監査ログも残すことが可能です。また、SharePoint Onlineにおけるサイト管理者のアクティビティ（サイトの作成や削除）も記録されます。

OneDrive

ストレージサービスである「OneDrive for Business」では、ユーザーアクティビティが記録として残ります。ファイルのコピーや削除、アップロードの情報を記録可能です。SharePoint Onlineと同様に、OneDriveでもゲストアカウントを作成でき、監査ログも残せます。

監査ログの記録タイミング

「Microsoft 365（Office365）」の監査ログは、既定ではオンになっています。しかし、監査状態を正しく把握するために一度設定を確認するのがおすすめです。次に、監査ログの有効化や確認方法について解説します。

監査ログの保存期間

監査ログは、ユーザーのライセンスによって保存期間が異なりますが、90日が最大となっています。

また、ログの確認が必要な状況になってはじめて監査を有効化してもそれ以前の監査ログについては参照することができません。必要なタイミングで必要な情報を参照できるよう、あらかじめ有効になっていることを必ず確認しておきましょう。

監査ログの有効化と確認方法

監査ログを有効化するには、まず「Microsoft 365 コンプライアンス センター」にアクセスします。画面左側のメニューから「監査」を選択し、「ユーザーと 管理アクティビティの記録を開始する」をクリックしましょう。変更が反映されるまで、最大60分ほどかかります。

監査が有効になっていない場合は「ユーザーと管理者のアクティビティの記録を開始する」という表示が出現します。このリンクが表示されない場合は監査機能が正しく有効化されています。

また、別の有効化手段として、「PowerShell」を使うことも可能です。「Exchange Online PowerShell」に接続し、以下の「PowerShell コマンド」を実行します。無効化の場合も同様のコマンドです。なお、Exchange Onlineの基本認証が廃止予定のため、接続には先進認証のExchange Online PowerShell V2を使いましょう。

PowerShell コマンド :
「Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false」

監査が有効になっているかどうかを確認するには、以下のコマンドを実行しましょう。

有効可になっているかを確認するコマンド:Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

保存されている監査ログの確認方法

Microsoft 365で監査ログを確認・取得する方法は、3つあります。どの方法で監査ログを取得すればよいかは、ログの性質によって異なります。それぞれの方法について解説しますので、どの方法にするか選択する参考にしてください。

管理コンソールで確認：Office 365 セキュリティ/
コンプライアンス センター / Microsoft 365 コンプライアンス センター

短い時間範囲での特定の操作に関する監査ログを速やかに見つけたい場合「管理コンソール」での確認が効率的です。確認方法は、まずMicrosoft 365 コンプライアンス センターの画面左側のウィンドウから「監査」を選択します。「検索」タブで、ログの「日付と時間の範囲」などを指定。「ユーザー」や「ファイル、フォルダー、またはサイト」などの検索条件も設定可能です。
特定のサイトやファイルに関するログを確認する場合には、URLやファイル名に「*（ワイルドカード文字）」を追加します。URLの場合はアドレスの後ろに、ファイルの場合はファイル名の前に追加します。検索条件を指定せずにすべての結果を表示させるには、ボックスを空欄にしておけば問題ありません。検索結果は、最新のログが最大5,000件まで表示されます。

コマンドで確認：Search-UnifiedAuditLog コマンド

大規模な組織における長い時間での特定の調査やインシデントに関するログを取得したい場合は、コマンドレットの「Search-UnifiedAuditLog」の利用が適しています。
このコマンドでは、SharePoint OnlineやMicrosoft TeamsなどのMicrosoft 365のサービスに関する監査ログを取得できます。また、監査ログの確認と同様に「Exchange Online PowerShell」も利用しましょう。コマンドの中で日付やファイル名の指定ができ、結果についてはCSVファイルとしてエクスポートすることで、一覧で確認できます。

APIで確認：Office 365 Management Activity API

大規模な組織において、数百万の監査ログを継続的に取得したい場合は「Office 365 Management Activity API」の活用が適しています。前提として、「Exchange Online PowerShell」にて監査ログを有効化することが必要です。
まず、APIにアクセスするためにAzure ADでアプリケーション登録を行います。そして、APIを呼び出すためにアクセストークンを要求取得します。サブスクリプションを作成すれば、監査ログが記録されるようになります。

監査ログ管理における課題

Microsoft 365は機能性に優れていますが、保存期間やアラートなどに未だ課題がみられます。これらを把握したうえで、対策を練るようにすると効率的に監査ログを使用できるようになります。

多くのプランで90日間の保存期間

基本的に、Microsoft 365における監視ログの保存期間は90日です。しかし企業によっては、監査ログの長期保存が求められるケースもあるかもしれません。そのため、定期的に監査ログをエクスポートしておくことが大切です。
一方Microsoft 365のライセンスによっては、長期保存が可能です。Microsoft 365 E5・Microsoft 365 E5 コンプライアンス・Microsoft 365 E5 eDiscoveryとAudit アドオンライセンスのいずれかのライセンスがあれば最大1年、監査ログを保持できます。10年間保持したい場合には、E5 ライセンスと10年間の監査ログ保持のアドオンライセンスの取得が必要です。

ログ確認方法とアクティビティを解析

監査ログの数が膨大な場合、検索時にフィルターを設定したうえで確認します。しかし、フィルターの条件を残せる仕様は現在ありません。そのため、コンプライアンスセンターで毎回検索条件の設定しましょう。
さらに、コマンドやAPIの使用は技術的にも難しい面があります。膨大な数の監査ログをエクスポートしたとしても、それらのアクティビティの解析に時間がかかってしまう課題も生じてしまいます。

運用を考慮したアラート設定

Microsoft 365管理センターにはアラート機能がなく、レポート数も少ない仕様です。そのためMicrosoft 365で起こる配慮すべき事象について、なかなか速やかに把握できません。
セキュリティやリスク管理を考慮した運用をする場合には、リアルタイムのアラートが重要です。また、あわせて本人・管理者にメールやポップアップで通知する機能があると、予防や抑止になり効率的な運用につながります。

Microsoft 365の情報漏洩対策機能を実装したLANSCOPE セキュリティオーディター

LANSCOPE セキュリティオーディターの最新バージョンでは、Microsoft 365の監査ログを収集後、「誰がいつどのアプリで何をしたのか」を分かるように自動で整形まで行うため、専門的なスキルを必要とせずに利用状況の把握ができます。? 管理者向けのレポート機能に加え、従業員や管理者に対して、セキュリティリスクのある操作に対するアラートをビジネスチャットで通知する機能を実装し、セキュリティルールの浸透を支援します。?

Microsoft 365利用状況レポート

Microsoft 365 製品（OneDrive / SharePoint / Microsoft Teams / Azure Active Directory）の監査ログを、内容把握に必要な複数の情報を組み合わせて利用ログとして整形し、管理コンソール上で利用状況や違反状況のレポートを視覚的に表示します。

従業員・管理者向けアラート通知機能

セキュリティリスクのある操作など設定したポリシーに違反した場合、Teams等のビジネスチャットで利用者本人と管理者に通知できます。

まとめ

Microsoft 365の監査ログについて、必要になるシーンやログの種類について解説しました。監査ログは、インシデントへの備えや事後対応で必要になるケースがあります。Microsoft 365のサービスで監査ログを記録しているかどうか確認し、目的に合った運用を目指しましょう。