ログ管理の重要性
M365のログはセキュリティインシデントの調査、内部不正の検知、コンプライアンス対応に不可欠です。「ログを取っていなかった」ためにインシデントの原因究明ができないケースは珍しくありません。
ログの種類
| ログの種類 | 内容 | 確認場所 |
|---|---|---|
| 統合監査ログ | M365全体の操作ログ(ファイルアクセス、権限変更、メール送受信等) | Microsoft Purview |
| サインインログ | ユーザーの認証ログ(成功/失敗、IP、デバイス、場所、MFA結果) | Entra ID |
| メールトレースログ | メールの送受信経路、配信状態、フィルタリング結果 | Exchange管理センター |
| Defenderアラートログ | マルウェア検知、フィッシング検知、不審なアクティビティ | Microsoft Defender |
| Intune監査ログ | デバイスのコンプライアンス状態、ポリシー適用結果 | Intune管理センター |
| SharePoint監査ログ | ファイルのアクセス、共有、ダウンロード、削除の記録 | Microsoft Purview |
保存期間
| ログの種類 | E3/Business Premium | E5 |
|---|---|---|
| 統合監査ログ | 180日 | 365日(+10年保持オプション) |
| サインインログ | 30日 | 30日(Azure Monitor連携で延長可) |
| メールトレースログ | 90日 | 90日 |
サインインログの保存期間が30日と短いため、Azure MonitorやSIEM(Microsoft Sentinel等)にエクスポートして長期保存することを推奨します。
セキュリティ監視での活用
- 不審なサインインの検知:海外からのアクセス、深夜帯のアクセス、新しいデバイスからの初回アクセス
- 不審なファイル操作の検知:短時間での大量ダウンロード、機密フォルダへのアクセス
- 外部共有の監視:外部ユーザーへのファイル共有イベントを監視
- 管理者操作の監視:管理者による権限変更、ポリシー変更を監視
SCS評価制度との関係
SCS評価制度の★3ではログの取得・保管が要求事項に含まれています。M365の統合監査ログの有効化と、サインインログの長期保存は★3準拠の前提条件です。
まとめ
M365のログ管理は統合監査ログの有効化から始めましょう。サインインログは30日で消えるため、長期保存の仕組み(Azure Monitor/SIEM連携)を検討してください。SCS評価制度対応にもログ管理は必須です。