Reading Time: 1 minutes
◆ 今回の記事のポイント ◆
・ 「誰が」「いつ」「どのクラウドサービス」にアクセスしたのかを監査するためのアクセスログの参照方法

Azure ADとクラウドサービスを関連付けて、ユーザーにAzure ADを経由してアクセスさせれば、誰が、いつ、どのクラウドサービスにアクセスしたか?をAzure ADでまとめて参照できるようになります。このようなログは不正アクセスの検出に役立つだけでなく、様々な法令に基づいて証跡を保持しなければならないようなケースにおいても有効です。今回は、Azure ADのログの参照方法や保持方法について解説します。

Azure ADでは、管理作業のログとユーザーによるアクセスログを別々に記録し、それぞれAzure管理ポータルの[Azure Active Directory]より確認できます。管理作業のログはAzure管理ポータルの[Azure Active Directory]-[監査ログ]、アクセスログは[Azure Active Directory]-[サインイン]よりそれぞれ参照します。

[監査ログ]では、管理作業のジャンルやその操作の結果(成功・失敗)、対象となるユーザーなどを選択し、フィルターできます。例えば、別のAzure ADディレクトリに作られたユーザーをゲストユーザーとして登録したユーザーに対する操作であれば、「Invited Users」というサービス名を選択すれば、該当のログだけが表示されます。特定のログはクリックすると、その詳細を参照でき、日付、アクティビティの種類(どのような操作を行ったか)、状態(成功・失敗)などを確認できます。万が一、不正アクセスが疑われるような事象があった場合、監査ログを参照することで、その事象の確認ができるようになります。ちなみに、下の画面ではゲストユーザーを削除したことを表しています。

一方、[サインイン]ログではAzure ADにサインインしたユーザーと日付、サインインしたサービスとその操作の結果(成功・失敗)などを一覧できます。サインインログも監査ログと同様に特定のログをクリックすれば、その詳細を参照できます。なお、サインインログの詳細では、場所の情報が記録されますが、場所はIPアドレスを割り当てるプロバイダーの情報に基づくもので、利用場所を正確に表したものではないので、参考程度に見ておくようにしましょう。

Azure ADのログはAzure AD Premium P1またはP2を契約している場合、30日間保管されます。30日という期間は多くの企業にとって十分な期間ではないでしょう。そのため、Azure ADに保存したままの状態にはせず、定期的に別の場所に保存するように設定してください。ログを別の場所に保存する方法は2つあり、ひとつはエクスポート操作を通じてファイルとして保存する方法、もうひとつはAzureストレージに保存するように設定する方法です。
エクスポート操作を通じてログをファイルとして保存する場合、[サインイン]または[監査ログ]画面で、[ダウンロード]をクリックすると、CSV形式のファイルとしてログを保存できます。ただし、定期的にAzure管理ポータル画面にアクセスして[ダウンロード]ボタンをクリックするのも現実的ではありません。Windows PowerShellを使って[ダウンロード]ボタンをクリックする操作を実行することができるので、スクリプトを作成して定期的に実行するように構成するとよいでしょう。サンプルスクリプトがマイクロソフトのWebサイトに掲載(https://docs.microsoft.com/ja-jp/azure/active-directory/reports-monitoring/tutorial-access-api-with-certificates)しているので、よければ参考にしてください。
一方、Azureストレージに保存する方法は、[サインイン]または[監査ログ]画面で、[データ設定のエクスポート]をクリックして行います。ログデータのエクスポート先には、前述のAzureストレージのほか、Azure上の汎用的なログ管理サービスであるAzure Event HubsまたはLog Analyticsを選択することができます。ここでAzureストレージを選択した場合、保存先となるAzureストレージの選択と、ストレージアカウントでの保存期間(画面上では[リテンション期間]と表示)、保存するログの種類(サインインログはSignInLogs、監査ログはAuditLogsと表示)をそれぞれ選択するだけです。これにより、自動的に指定した領域へログが記録されるようになります。

Azure ADに限った話ではないですが、ログは参照してはじめて役立つものです。「とりあえず収集しているけど、内容を見たことがない」ということがないように定期的に参照し、不正アクセスが疑われるようなアクティビティがないか、確認するようにしましょう。もし、不正アクセスのサインインログを探すという操作そのものを自動化したいということであれば、Azure AD Premium P2のライセンスに含まれるAzure AD Identity Protectionサービスを利用するのもひとつの方法です。

筆者紹介
国井 傑 (くにい すぐる)
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Active Directoryの分野におけるMicrosoft MVPを12年連続で受賞する。
主な著作に『ひと目でわかるAzure Information Protection』 (日経BP)、『徹底攻略MCP問題集 Windows Server 2016』 (インプレスジャパン)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。

 

ゾーホー社員のつぶやき

こんにちは、ゾーホージャパンの前田です。今回は、Azure ADで行った管理作業の結果を確認できる[監査ログ]と、Azure ADへのアクセス履歴を確認できる[サインイン]ログの参照方法について学びました。Microsoft Azure Portal画面から各種ログを簡単に参照することができますが、さらに

「複数テナントのログを一元的に管理したい。」
「30日間より長い期間、ログを保管しておきたい。」

という方には、ManageEngineが提供する「ADAudit Plus」を推奨させていただきます。

ADAudit Plusは、オンプレミス(Active Directory)とクラウド(Azure AD)の双方のログを一元的に管理し、あらかじめ用意されている豊富なレポートを元に 「誰でも、簡単に」 ログを監査することが可能となります。

※Azure ADにTwitterを追加した場合、ADAudit Plusには以下のように表示されます。

[最近追加されたアプリケーション] レポート

また、下記URLにAzure AD監査機能についてご紹介する動画を公開していますので、ご興味のある方は是非アクセスいただければと思います。
https://www.manageengine.jp/products/ADAudit_Plus/features.html#azuread

■ ADAudit Plusとは?
Active Directoryのログをリアルタイムで収集して、200以上のレポートで可視化、およびアラート通知などを行うWebベースのオンプレミス型ソフトウェアです。ドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。

ADAudit Plusについて詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスください。

【ADAudit Plusの製品ページ】
https://www.manageengine.jp/products/ADAudit_Plus/

【ADAudit Plusのダウンロードページ】
https://www.manageengine.jp/products/ADAudit_Plus/download.html



▼▼ 過去記事はこちら ▼▼

第10回 クラウドサービスへのアクセス制御(2)【MicrosoftのMVP解説!Azure ADの虎の巻】
第11回 クラウドサービスへのアクセス制御(3)【MicrosoftのMVP解説!Azure ADの虎の巻】

▼▼ 別シリーズのブログ記事もチェック! ▼▼
【MicrosoftのMVP解説!Active Directoryのハウツー読本】第1回 Active Directoryの必要性


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。