「Microsoft 365のログ、どこで見ればいいかわかりますか?」——Teams・Exchange・SharePointを使っている組織でインシデントが起きたとき、クラウド側の証跡を追えなければ調査が半分で終わります。
オンプレミスのWindowsイベントログは調査できても、M365側の操作ログをどこで確認するか知らないエンジニアは多くいます。「誰がいつどのファイルにアクセスしたか」「不審なメール転送ルールが設定されていないか」「管理者権限がいつ付与されたか」——これらはすべてM365の監査ログに記録されています。
この記事では、Microsoft Purviewの監査ログ機能を使ったインシデント調査の実務手順を解説します。有効化の設定から検索方法・調査で使える主な操作ログまで、現場で使える形でまとめます。
インシデント対応の全体フローについては「セキュリティインシデント対応入門」を、Windowsイベントログの調査手順については「Windowsイベントログ調査入門|インシデント発生時の初動調査」も合わせてご覧ください。
なぜM365の監査ログが必要なのか
多くの組織がMicrosoft 365を業務の中心に使っています。メール・ファイル共有・チャット・会議——これらすべての操作はクラウド上で行われており、その証跡もクラウド上にあります。
オンプレのWindowsイベントログではM365上のクラウド操作は記録されません。ファイルサーバへのアクセスやADのグループ変更はオンプレのログで確認できますが、SharePoint・OneDrive・Exchange Onlineなどクラウド上の操作はM365の監査ログでしか追えません。
- 退職者が退職直前に大量のファイルをダウンロードした
- 攻撃者がメールボックスに不審な転送ルールを設定した
- 管理者権限が承認なしで付与された
- 共有ドライブのファイルが外部ユーザーに公開された
Microsoft Purview(マイクロソフト パービュー) Microsoftが提供するコンプライアンス・情報保護・ガバナンスの統合プラットフォーム。旧称「Microsoft 365コンプライアンスセンター」。監査ログ・電子情報開示・インサイダーリスク管理などの機能を含む。
M365のセキュリティ設計の基礎については「MFAとは?多要素認証の仕組みと実務での導入・運用ガイド」や「PIMとは?Azure特権アクセス管理の実務ガイド」も参照してください。
参考:Microsoft Purview 監査の概要 | Microsoft Learn
Microsoft Purviewとは何か——コンプライアンスポータルとの関係を整理する
Microsoft Purviewコンプライアンスポータル Microsoft 365のコンプライアンス・セキュリティ管理機能にアクセスするためのWebポータル。
compliance.microsoft.comからアクセスする。監査ログの検索・設定はここから行う。
Purviewの監査機能は大きく2種類に分かれています。
| 機能 | 対象ライセンス | 記録期間 | 主な用途 |
|---|---|---|---|
| 監査(標準) | Microsoft 365 E3・Business Premium等 | 180日 | 一般的なインシデント調査 |
| 監査(Premium) | Microsoft 365 E5・E5コンプライアンス等 | 1年(一部10年) | 詳細な法的調査・長期保全 |
監査(Premium) Microsoft 365 E5ライセンスで利用可能な高度な監査機能。標準監査より長い保持期間・より詳細なメールアクセスログ(MailItemsAccessed)・帯域幅の優先処理が利用できる。
まず自組織のライセンスを確認し、どちらの監査機能が使えるかを把握しておくことが重要です。
監査ログを有効にする——まず設定から始める
監査ログの有効化手順
M365の監査ログはデフォルトで有効になっている場合がほとんどですが、確認と有効化の手順を知っておくことが重要です。
ポータルからの確認・有効化手順
1. https://purview.microsoft.com にアクセス
2. 左メニュー「ソリューション」ー「監査」をクリック
3. 「ユーザーと管理者のアクティビティの記録を開始する」
が表示されている場合は無効状態 → クリックして有効化
4. バナーが消えて検索画面が表示されれば有効
PowerShellでの確認・有効化
# Exchange Online PowerShellに接続
Connect-ExchangeOnline
# 監査ログの有効化状態を確認
Get-AdminAuditLogConfig | Select-Object UnifiedAuditLogIngestionEnabled
# 無効の場合は有効化
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true統合監査ログ(Unified Audit Log) Exchange・SharePoint・Teams・Azure ADなどM365の複数サービスの操作ログを一元的に記録する仕組み。Purviewの監査機能はこのログを参照する。
ライセンスによる記録期間の違い
記録期間はライセンスによって異なります。インシデント調査で「3ヶ月前のログが必要」という状況になってから気づいても手遅れです。自組織のライセンスで何日分のログが保持されるかを事前に確認しておいてください。
| ライセンス | 保持期間 |
|---|---|
| Microsoft 365 Business Basic / Standard | 90日 |
| Microsoft 365 Business Premium / E3 | 180日 |
| Microsoft 365 E5 / E5コンプライアンス | 1年〜10年 |
参考:監査ログの保持ポリシー | Microsoft Learn
監査ログの検索——何をどう絞り込むか
ポータルからの検索手順
1. https://purview.microsoft.com → 「ソリューション」ー「監査」
2. 以下の条件を設定して「検索」をクリック:
- 開始日・終了日(調査したい期間)
- アクティビティ(操作の種類)
- ユーザー(特定ユーザーに絞る場合)
- ファイル・フォルダ・サイト(特定リソースに絞る場合)
3. 検索結果をCSVでエクスポートして分析検索結果はCSVでエクスポートできます。件数が多い場合はExcelやPowerShellでフィルタリングして分析します。
PowerShell(Exchange Online)を使った検索
大量のログを効率的に処理したい場合や、条件を細かく指定したい場合はPowerShellが有効です。
# 特定ユーザーの過去7日間のログを取得 Search-UnifiedAuditLog ` -StartDate (Get-Date).AddDays(-7) ` -EndDate (Get-Date) ` -UserIds "user@example.com" ` -ResultSize 1000 | Select-Object CreationDate, UserIds, Operations, AuditData | Export-Csv -Path "audit_log.csv" -NoTypeInformation -Encoding UTF8 # 特定の操作(ファイルダウンロード)に絞る Search-UnifiedAuditLog ` -StartDate (Get-Date).AddDays(-30) ` -EndDate (Get-Date) ` -Operations "FileDownloaded" ` -ResultSize 5000 | Export-Csv -Path "file_download.csv" -NoTypeInformation -Encoding UTF8
Search-UnifiedAuditLog Exchange Online PowerShellのコマンドレット。統合監査ログを条件指定して検索する。ResultSizeの上限は5000件のため、大量データは期間を分割して取得する必要がある。
インシデント調査で使える主な操作ログ
ユーザーログオン・サインイン系
| アクティビティ – 操作名 | 内容 | 注目すべきポイント |
|---|---|---|
UserLoggedIn |
ユーザーのサインイン成功 | 普段と異なる国・IPからのサインイン |
UserLoginFailed |
サインイン失敗 | 短時間の連続失敗はブルートフォースの疑い |
Add member to role |
ロール(権限)の付与 | 承認なしのグローバル管理者付与 |
Entra ID(Azure AD)のサインインログと合わせて確認することで、M365へのアクセス経路をより詳細に把握できます。Entra IDとオンプレADの連携については「Entra IDとオンプレAD連携|ハイブリッド構成の設計と注意点」を参照してください。
ファイル操作系(SharePoint・OneDrive)
| アクティビティ – 操作名 | 内容 | 注目すべきポイント |
|---|---|---|
FileDownloaded |
ファイルのダウンロード | 大量ダウンロードは情報持ち出しの疑い |
FileAccessed |
ファイルへのアクセス | 通常アクセスしないファイルへのアクセス |
SharingInvitationCreated |
外部共有の作成 | 承認なしの外部ユーザーへの共有 |
AnonymousLinkCreated |
匿名リンクの作成 | 不審な匿名リンクの生成 |
退職直前の大量ダウンロードは内部不正の典型的なパターンです。FileDownloaded を対象ユーザー・期間で絞り込み、通常業務では発生しない大量操作がないかを確認します。最小権限の設計でアクセス範囲を絞ることも重要です。詳しくは「最小権限の原則とは?実務での考え方と設計例」を参照してください。
メール操作系(Exchange)
| アクティビティ – 操作名 | 内容 | 注目すべきポイント |
|---|---|---|
New-InboxRule |
受信トレイルールの作成 | 外部への自動転送ルールは攻撃の典型手口 |
Set-Mailbox |
メールボックスの設定変更 | 転送設定の変更 |
MailItemsAccessed |
メールアイテムへのアクセス | E5のみ。不審なIPからのメール閲覧 |
Send |
メール送信 | 大量送信・不審な添付ファイル |
メールボックスへの不審な転送ルール設定(New-InboxRule)は、アカウント侵害後に攻撃者がメールを盗み見るために行う典型的な操作です。定期的に全ユーザーの転送ルールを確認する運用を推奨します。
管理者操作系
| アクティビティ – 操作名 | 内容 | 注目すべきポイント |
|---|---|---|
Add member to role |
管理者ロールの付与 | グローバル管理者の不審な追加 |
Remove member from role |
管理者ロールの削除 | セキュリティ担当者の権限剥奪 |
Set-AdminAuditLogConfig |
監査設定の変更 | 監査ログの無効化は攻撃者の隠蔽工作 |
特に「監査ログの無効化」操作が記録されている場合は即座に調査が必要です。攻撃者が痕跡を消すために監査ログを無効化することがあります。
参考:監査ログで検索できるアクティビティ | Microsoft Learn
よくある失敗パターン
① 監査ログが有効になっていなかった
インシデント発生後に調査しようとして、監査ログが有効化されていなかったことに気づくケースがあります。有効化した時点より前のログは取得できません。今すぐ Get-AdminAuditLogConfig で確認してください。
② ログの保持期間を把握していなかった
E3ライセンスの180日を超えた期間のログが必要になるケースがあります。保持期間は後から延長できません。重要なインシデントのログはCSVエクスポートして外部に保存しておくことを推奨します。
③ 検索結果の上限(5000件)に気づかずに調査を終えた
Search-UnifiedAuditLog の取得上限は1回5000件です。上限に達していても警告は表示されません。件数が多い場合は期間を分割して複数回取得し、結合して分析する必要があります。
④ ポータルの検索だけで終わらせた
ポータルからの検索は直感的ですが、条件の組み合わせに限界があります。複数条件・大量データの分析はPowerShellとExcelの組み合わせの方が効率的です。
監査ログ活用チェックリスト
事前設定
- 統合監査ログが有効になっているか確認した(
Get-AdminAuditLogConfig) - 自組織のライセンスと監査ログの保持期間を確認した
- Purviewコンプライアンスポータルへのアクセス権限を確認した
インシデント調査時
- 調査対象ユーザー・期間・操作の種類を特定して検索した
- 検索結果をCSVエクスポートして保存した
- ファイルの大量ダウンロード(FileDownloaded)を確認した
- 不審なメール転送ルール(New-InboxRule)を確認した
- 管理者ロールの不審な付与(Add member to role)を確認した
- 監査ログの無効化操作(Set-AdminAuditLogConfig)を確認した
定期運用
- 重要インシデントのログをCSVで外部保存している
- 転送ルールの定期確認をスケジュール化している
- 管理者ロール変更の定期レビューをスケジュール化している
まとめ——クラウドの証跡はクラウドで追う
M365環境でのインシデント調査において、Purviewの監査ログはWindowsイベントログと並ぶ重要な証跡源です。オンプレの証跡だけを追っていても、クラウド側で何が起きたかは見えません。
設計の原則は1つです。「操作が起きる場所に証跡を残す」。M365で業務が行われているなら、M365の監査ログを取得・保全する仕組みが必要です。
今日確認すべきことは1つです。Get-AdminAuditLogConfig を実行して、統合監査ログが有効になっているか確認してください。無効であれば今すぐ有効化してください。インシデントが起きてからでは遅いです。
このカテゴリーの記事はこれで一通り揃いました。インシデント対応の全体像から証跡保全・Windowsイベントログ調査・M365ログ調査まで、現場で必要な知識を体系的にカバーしています。次のステップはクラウドセキュリティの全体設計です。
あわせてご覧ください
コメント