Reading Time: 1 minutes
★監査ログ管理における課題について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
どのようなサービスおよびシステムであっても、監査を行うことは重要なことです。例えば、「組織の環境に適した使われ方をしているかどうか」、「意図しない設定がされていないか」、「誰が特定のコンテンツを削除したのか」などを把握するために定期的な監査を行い、適切な状態を維持できるように運用していきます。これは、Microsoft 365(旧称:Office 365)環境に対しても同じことが言えます。今回の投稿では、ログ監査をテーマにご紹介します。
★監査ログの有効化と確認
Microsoft 365でユーザーがドキュメントを削除したかどうかなどの情報をログとして確認する場合、まず、監査ログの有効化が必要です。監査ログの有効化や確認は、Microsoft 365管理センターの[Compliance]からアクセス可能なMicrosoft 365コンプライアンス センターを使用します。Microsoft 365コンプライアンス センターにおいて、[すべてを表示] – [ソリューション] – [監査]を選択し[ユーザーと管理者のアクティビティの記録を開始する]をクリックすると、監査ログが有効化されます。
有効化の操作自体は簡単ですが、有効化が反映されるまでには数時間かかる場合があるため注意してください。また、有効化後には組織のユーザーおよび管理者のアクティビティが監査ログに記録されるようになりますが、各アクティビティが行われてからそれらアクティビティに対応する監査ログ結果が表示されるようになるまでにもタイムラグがあり、サービスによって30分または最長24時間かかる場合があります。なお、有効化をおこなっても、それ以前の日時に遡って監査ログを参照することはできないため、併せてご注意ください。
監査ログとして記録された内容は、同画面でアクティビティや日時、対象のユーザーを指定して検索できます。表示される結果には特定の列情報のみが表示されますが、個々のログをクリックすると詳細情報を参照できます。表示される詳細情報は対象のサービスによって異なりますが、例えば特定のSharePoint Onlineサイトへのドキュメント アップロードのログであれば、そのサイトURLやアップロードしたアイテムのファイル名などの情報を確認できます。ログの一覧をCSVファイルに出力したい場合には、[エクスポート]をクリックします。
★監査ログ管理における課題
[アクティビティ]のリストで[すべてのアクティビティの結果を表示]が選択されていると膨大な結果が表示されてしまうため、特定のアクティビティを選択(複数選択も可能)して参照すると良いでしょう。ただし、選択したフィルター条件は残しておくことはできず、コンプライアンス センターにアクセスする度に再度条件を指定する必要があります。
また、監査ログの保持期間についても注意が必要です。Microsoft 365 E5のライセンスがある場合には1年間保持することができますが、それ以外のライセンスでの保持期間は90日です。保持期間は変更できないため、その期間以上に監査ログを保存しておくためには定期的に監査ログをエクスポートする必要があります。
このような課題に対応するためには、Windows PowerShellを使用するか、サードパーティーの製品を活用するかのいずれかの対応が必要です。Windows PowerShellを使用する方法を簡単に紹介しますが、監査ログを取得するためのSearch-UnifiedauditlogコマンドレットはExchange Online PowerShell V2モジュールに含まれているため、事前にそのモジュールをインストールしてExchange Onlineに接続する必要があります。
■管理モジュールのインストール
Install-Module -Name ExchangeOnlineManagement
■Exchange Onlineへの接続
Connect-ExchangeOnline
※Microsoft 365管理者の資格情報の入力が必要
■特定期間の監査ログを取得する
Search-UnifiedAuditLog -StartDate 07/01/2020 -EndDate 07/31/2020
■特定期間のSharePointでのファイル操作に関する監査ログを取得し、その結果をCSVファイルにエクスポートする
Search-UnifiedAuditLog -StartDate 07/01/2020 -EndDate 07/31/2020 -RecordType SharePointFileOperation | Export-Csv <エクスポートするCSVファイルのパス>
ただ、Windows PowerShellを使用して特定の操作をフィルターするためにはRecordTypeを調べておくなどの必要があり、目的の監査ログを参照するためにはこのあたりの理解も必要です。単純に特定期間のログをCSVファイルに出力して保存したいだけであれば十分かもしれませんが、様々な条件を用いて検索や分析をしたいような場合にはサードパーティーの製品を活用するよう検討することも1つの方法です。
株式会社ソフィアネットワークに勤務し、2009年よりマイクロソフト認定トレーナーとしてトレーニングの開催やコース開発に従事。前職である会計ソフトメーカー勤務時には、会計ソフトの導入サポート支援や業務別講習会講師を担当。これらの経歴も活かして、ユーザー視点や過去の経験談なども交えながらのトレーニングを提供し、近年はMicrosoft AzureやMicrosoft Intuneなどのクラウドサービスを主な担当領域とする。講師として活動しながら、書籍の執筆などの活動も評価され、2017~2020年にかけてMicrosoft MVP for Enterprise Mobilityを受賞。
主な著作は『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』『徹底攻略MCP問題集 Windows 10』(インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。今回は、ログ監査についての投稿でしたね。ログはIT管理者側だけではなく、一社員側も上手く活用できるのです。例えば、チーム内でドキュメントを共有しながら作業進めることはよくあることかと思いますが、他のメンバーの作業進捗状況をアクセスログから確認できたり、また、ファイルを公開・共有後アクセス数がチーム編成人数以上の異様に多い数値でログ表示される場合、ファイルのアクセス権限がチーム内のみではなく社内全体へ間違えて付与していたことがわかったりと、。上記はほんの一例ですが、ログは社員自身の業務活動にも役立つのです。
さて、上記投稿の「監査ログ管理の課題」において、ログ監査を柔軟かつ様々な要件に対応しながら実施するには、サードパーティ製のツール導入を検討した方が良いと記載がありました。
弊社製品「M365 Manager Plus」では、セキュリティの懸念を緩和しながら、Microsoft 365監査を実施できます。Exchange Online、Azure Active Directory、OneDrive for Business、SharePoint Online、Teams、Swayなどのサービスで、詳しいユーザー活動を追跡できます。
例えば、OneDrive for Business監査においては、以下を追跡できます;
1. 作成、修正、削除、名前変更、または移動されたファイルに関して、その実行者と内容と時期の詳細
2. 招待状の共有、許可または拒否されたアクセス要求、および、作成・許可・削除されたファイル共有アクティビティ
3. 一部/全体がダウンロードされたファイル、およびアップロードされたファイル
4. 同期済みのデバイス
また、M365 Manager Plusでは、監査ログが無期限で保管されるため、定期的にエクスポートする必要はありません。コンプライアンス監査やセキュリティ調査時の監査ログへのアクセスの効率性も大幅に向上します。
そして、「アラート」機能もありますので、「重要ファイルがコピーされた」「【日本】以外からログインがあった」など、注視すべき監査ログが出た場合、管理者は早く気づくことができます。
M365 Manager Plusとは?
Microsoft 365の定義済みレポートを包括的に提供し、大量のユーザー管理、大量のメールボックス管理、ログ監査、サービス監視、セキュア委任などを含む複雑な作業の実行に貢献します。
使いやすいインターフェイスで、Exchange Online、Azure Active Directory、Skype for Business、OneDrive for Business、Microsoft Teams、SharePoint Online、その他のMicrosoft 365サービスを一箇所で管理または可視化することができます。
M365 Manager Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてください。
M365 Manager Plusの製品ページはこちら
M365 Manager Plusの概要資料ダウンロードページはこちら
M365 Manager Plusの無料評価版ダウンロードページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第四弾:ファイルサーバーのアクセス許可【ファイルサーバー管理のいろはを学ぶ】
Microsoft MVPシリーズ第五弾:人事システム管理とAD管理【Active Directoryと人事システム連携のコツ丸わかり】
>> 第6回ユーザー管理
<< 第8回ログのレポート化
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。