SharePointで誰がいつどのファイルにアクセスしたかを把握したい、退職予定者による大量ダウンロードを早期に検知したい。こうした課題を抱える情報システム部門やセキュリティ担当者は少なくありません。内部不正による情報漏えいは、IPAの「情報セキュリティ10大脅威 2024」において組織における脅威の第3位にランクインしており、ログ管理の重要性はますます高まっています。
SharePoint Onlineには標準で監査ログ機能が備わっており、ファイルの閲覧・ダウンロード・削除といった操作を自動的に記録できます。しかし、Microsoft Purviewコンプライアンスポータルの操作に不慣れだと、どこからログを確認すればよいか迷ってしまうケースも多いでしょう。
本記事では、SharePoint監査ログの有効化手順から、具体的な検索方法、実務で頻出するトラブルシナリオ別の調査手順、そしてライセンスごとの保存期間の違いまで、実践的な情報を網羅的に解説します。
目次
SharePointの監査ログとは?記録される操作と活用シーンについて
SharePoint監査ログは、ユーザーがSharePoint上で行った操作を時系列で記録する機能です。ファイルの作成・表示・更新・削除といった基本操作から、共有設定の変更、権限の付与・削除まで、幅広いアクティビティが自動的に記録されます。この章では、監査ログで記録される操作の種類と、実務でログが役立つ具体的なシーンを整理します。
監査ログによる追跡は「事後対応」として不可欠ですが、同時に「事前対策」として情報の属人化を防ぐことも重要です。NotePMのようなナレッジ共有ツールを活用し、「誰でも必要な情報をすぐに見つけられる」環境を構築することで、ファイルの紛失や散逸そのものを防ぐ効果も期待できます。
SharePoint監査ログで記録される操作の種類一覧
1. ファイル・フォルダ操作
ファイルの作成、表示、更新、削除、ダウンロードといった主要な操作はすべて時系列で記録されます。ファイル名、操作を行ったユーザー、操作日時、操作が行われたサイトやライブラリの情報が含まれます。
2. 共有設定の変更
外部ユーザーへの共有リンクの作成、匿名リンクの生成、共有権限の変更など、情報漏洩リスクに直結する操作も記録対象です。特に「AnonymousLinkCreated」や「SharingSet」といったイベントは、意図しない情報公開を早期発見するために重要な監視ポイントとなります。
3. サイト権限の管理
サイトへのユーザー追加・削除、権限レベルの変更、グループメンバーシップの変更など、アクセス制御に関わる操作も記録されます。これにより、誰がいつ誰に権限を付与したかを追跡できます。
監査ログが役立つ実務シーン
監査ログは、セキュリティインシデントの早期発見や原因究明、コンプライアンス対応など、さまざまな実務シーンで活用できます。
1. 情報漏洩の早期発見
退職予定者による大量ダウンロードや、不適切な外部共有設定を検知し、被害を最小限に抑えられます。定期的にログを確認することで、業務外の時間帯における不自然なファイルアクセスや、短時間での大量ダウンロードといった異常な挙動を発見できます。
2. ファイル紛失時の原因特定
重要なファイルが見当たらない場合、監査ログを検索することで、誰がいつ削除または移動したかを特定できます。誤操作なのか意図的な削除なのかを判断する材料となり、復旧作業や再発防止策の検討に役立ちます。
3. 外部監査・ISMS対応
ISMS(情報セキュリティマネジメントシステム)認証の取得・維持や、内部監査において、アクセス制御の実効性を証明する客観的な証跡として監査ログが求められるケースがあります。適切にログを保存・管理することで、監査対応をスムーズに進められます。
SharePointの監査ログを有効化する方法
SharePoint監査ログを利用するには、事前に有効化設定を行う必要があります。この章では、Microsoft Purviewコンプライアンスポータルへのアクセス方法、有効化に必要な管理者権限とライセンス要件、そして有効化後のトラブルシューティングについて順に解説します。
Microsoft Purview コンプライアンスポータルへのアクセス方法
監査ログの有効化は、Microsoft Purviewコンプライアンスポータルから行います。
1. Microsoft 365管理センターからのアクセス
Microsoft 365管理センター(admin.microsoft.com)にサインインし、左側のメニューから「コンプライアンス」を選択すると、Microsoft Purviewコンプライアンスポータルへ遷移できます。初回アクセス時は画面の読み込みに数秒かかる場合があります。
2. 直接URLからのアクセス
compliance.microsoft.com に直接アクセスすることも可能です。ブラウザのブックマークに登録しておくと、次回以降の作業がスムーズになります。
監査ログ有効化に必要な権限とライセンス要件
監査ログの有効化には、適切な管理者権限とライセンスが必要です。
1. 必要な管理者権限
監査ログの有効化には、グローバル管理者またはコンプライアンス管理者の権限が必要です。セキュリティ管理者権限では閲覧はできますが、有効化設定の変更はできない点に注意してください。
2. ライセンス要件
Microsoft 365 E3以上のライセンスであれば、標準的な監査ログ機能を利用可能です。E1やBusiness Basicなどの下位ライセンスでは、監査ログ機能が制限されるか利用できない場合があります。E5ライセンスでは、より詳細な監査機能や長期保存オプションが利用できます。
有効化後の確認とよくあるトラブル対処法
監査ログを有効化した後は、実際にログが記録されているかを確認することが重要です。
1. 有効化からログ記録までの待機時間
有効化設定を行ってから実際にログが検索可能になるまで、最大で24時間のタイムラグが発生する場合があります。設定直後に検索してログが表示されなくても、数時間待ってから再度確認してみてください。
2. ログが記録されない場合のチェックポイント
有効化後もログが記録されない場合は、以下を確認してください。まず、設定を行ったアカウントに適切な権限があるか再確認します。次に、ライセンスが監査ログ機能をサポートしているか確認します。また、組織のセキュリティポリシーで監査ログ機能が無効化されていないかも確認が必要です。
SharePoint監査ログの検索方法とフィルタリング条件の指定
監査ログを有効化したら、次は実際にログを検索して必要な情報を抽出する方法を習得しましょう。この章では、基本的な検索操作、フィルタリング条件の指定方法、検索結果の見方、そしてExcelでの分析手順を順に解説します。
監査ログ検索の基本操作とフィルタリング条件
監査ログの検索は、「いつ」「誰が」「どのファイルに」「何をしたか」の4軸で条件を指定するのが基本です。
1. 検索画面へのアクセス
Microsoft Purviewコンプライアンスポータルにアクセスし、左側メニューから「監査」を選択します。「監査ログの検索」画面が表示されたら、検索条件の入力を開始できます。
2. 日時範囲の指定
まず、調査対象の期間を指定します。開始日時と終了日時を入力することで、その期間内のログのみを抽出できます。期間を広く取りすぎると検索結果が膨大になるため、インシデント発生日時の前後数日に絞るのが効率的です。
3. ユーザーの指定
特定ユーザーの操作履歴を調査する場合は、「ユーザー」フィールドにメールアドレスまたはユーザー名を入力します。複数ユーザーを指定する場合は、カンマ区切りで入力します。空欄のまま検索すると、全ユーザーの操作が対象となります。
4. アクティビティの指定
「アクティビティ」ドロップダウンから、調査したい操作の種類を選択します。例えば、ファイル削除を調査する場合は「FileDeleted」、ダウンロードを調査する場合は「FileDownloaded」を選択します。ワイルドカードを使用して特定のサイト配下や、特定の拡張子を持つファイル操作のみを抽出することも可能です。
5. ファイル・フォルダ・サイトの指定
「ファイル、フォルダ、またはサイト」フィールドに、調査対象のファイル名やフォルダパス、サイトURLの一部を入力することで、特定のリソースに対する操作のみを抽出できます。部分一致で検索できるため、ファイル名の一部だけを入力しても結果が得られます。
検索結果の見方と詳細情報の確認
検索を実行すると、条件に一致するログが一覧表示されます。各ログには、日時、ユーザー、アクティビティ、アイテム名などの基本情報が含まれています。
1. 一覧表示される項目
検索結果の一覧には、操作日時、ユーザー名、操作の種類(アクティビティ)、対象となったファイルやフォルダの名前が表示されます。この一覧をざっと眺めることで、不審な操作や異常なパターンを発見できる場合があります。
2. 詳細パネルの表示
一覧から特定のログをクリックすると、右側に詳細パネルが表示されます。ここには、操作を行ったユーザーのIPアドレス、使用したクライアントアプリケーション(ブラウザやモバイルアプリ等)、操作の詳細な内容が含まれます。詳細情報に含まれるJSON形式のデータを解析することで、操作のより深いコンテキストを把握できます。
監査ログのエクスポートとExcel分析
検索結果をCSV形式でエクスポートすることで、Excelを使った詳細な集計・分析が可能になります。
1. エクスポート手順
検索結果画面の上部にある「エクスポート」ボタンをクリックすると、CSV形式でログをダウンロードできます。大量のログがある場合は、エクスポート処理に数分かかることがあります。処理が完了すると、ダウンロードリンクが表示されます。
2. Excelでの分析例
エクスポートしたCSVファイルをExcelで開き、ピボットテーブルやフィルタ機能を使うことで、ユーザー別の操作回数集計、時間帯別の操作分布、特定ファイルへのアクセス頻度など、さまざまな切り口で分析できます。例えば、深夜や休日に集中してダウンロード操作が行われているユーザーを抽出し、不正の兆候を早期に発見することが可能です。
こうしたログ分析は重要ですが、専門知識が必要で手間もかかります。「あのファイルどこだっけ?」といった日常的な調査であれば、ファイルの中身まで全文検索できるNotePMのようなツールを導入することで、ログを遡る手間自体を大幅に削減できます。ITツールが苦手な担当者でも直感的に使えるため、調査の負担軽減に繋がります。
実務で使える!SharePointの監査ログ検索の流れ
監査ログの基本的な検索方法を習得したら、次は実務で頻出するトラブルシナリオごとの具体的な調査手順を理解しましょう。この章では、ファイル削除・移動の犯人特定、機密情報ダウンロード・外部共有の監視、特定ユーザーの操作履歴の全件確認という3つのシナリオを取り上げます。
ファイル削除・移動者の特定と復旧支援
重要なファイルが突然見当たらなくなった場合、監査ログを使って誰がいつ削除または移動したかを特定できます。
1. 削除操作の検索手順
トラブル発生時の初動として、対象ファイル名と「FileDeleted」アクティビティでの検索を推奨します。まず、日時範囲をファイルが最後に確認できた日時から現在までに設定します。
次に、「アクティビティ」フィールドで「FileDeleted」を選択し、「ファイル、フォルダ、またはサイト」フィールドに削除されたファイル名の一部を入力して検索を実行します。
2. 移動操作の検索手順
削除ログが見つからない場合は、ファイルが別の場所に移動された可能性があります。「FileMoved」アクティビティで検索することで、移動先を特定できます。検索結果の詳細情報には、移動元と移動先のパスが含まれているため、現在の保存場所を把握できます。
3. 復旧支援のポイント
削除されたファイルは、SharePointのごみ箱から復元できる場合があります。ごみ箱の保持期間(通常93日間)内であれば、サイト管理者が復元操作を実行できます。監査ログで削除日時を特定することで、復元可能かどうかを迅速に判断できます。
誤操作によるファイル消失を防ぐには、重要なマニュアルや社内規定をNotePMのような専用ツールで管理するのも有効です。変更履歴が自動的に保存されるため、万が一削除や上書きが発生しても、過去のバージョンから簡単に復元できます。
機密情報ダウンロード・外部共有の監視
機密情報の持ち出しや意図しない外部公開を早期に発見するための監視手順を解説します。
1. ダウンロード操作の監視
特定のフォルダ配下にある機密ファイルのダウンロードを監視する場合は、「FileDownloaded」アクティビティと対象フォルダパスを組み合わせて検索します。定期的に検索を実行し、業務外の時間帯や短時間での大量ダウンロードがないかを確認します。
2. 外部共有設定の監視
「AnonymousLinkCreated」等のイベントを定期確認することで、意図しない情報の公開を早期発見できます。匿名リンクは誰でもアクセス可能なため、機密情報が含まれるファイルに対して作成された場合は重大なリスクとなります。また、「SharingSet」や「AddedToSecureLink」といったイベントも、外部ユーザーへの共有を示すため、定期的な監視対象に含めるべきです。
3. 監視の自動化
Microsoft 365 E5ライセンスを保有している場合は、アラートポリシーを設定することで、特定のアクティビティが発生した際に自動的に通知を受け取ることができます。例えば、機密フォルダ配下のファイルに匿名リンクが作成された場合に、セキュリティ担当者にメール通知を送るといった設定が可能です。
特定ユーザーの操作履歴の全件確認
退職予定者や不審な挙動を示すユーザーの全操作を時系列で追跡し、不正の有無を客観的に判断する方法を解説します。
1. 全アクティビティの抽出
ユーザーIDをキーに全アクティビティを抽出することで、業務外の不自然なファイルアクセスを特定できます。「ユーザー」フィールドに対象ユーザーのメールアドレスを入力し、「アクティビティ」は空欄のまま(すべてのアクティビティを対象)にして検索を実行します。
2. 時系列での分析
エクスポートしたCSVファイルをExcelで開き、日時順にソートすることで、ユーザーの行動パターンを時系列で把握できます。例えば、退職予定日の数日前から急激にダウンロード回数が増加している、通常アクセスしないフォルダに頻繁にアクセスしている、といった異常なパターンを発見できます。
3. 客観的な証跡の確保
監査ログのエクスポート結果は、不正調査や懲戒処分の客観的な証拠として活用できます。ログには操作日時、IPアドレス、使用したデバイス情報などが含まれるため、本人が操作を否定した場合でも、技術的な証跡として提示できます。ただし、個人情報保護やプライバシーへの配慮も必要なため、調査目的や範囲を明確にし、必要最小限の情報のみを取り扱うことが重要です。
SharePoint監査ログの保存期間はどれくらい?ライセンス別の違い
監査ログを活用する上で、保存期間の理解は極めて重要です。過去のインシデントを遡って調査するためには、十分な期間ログが保持されている必要があります。この章では、ライセンスごとの保存期間の違い、保存期間を延長する方法、そして監査ログ運用のベストプラクティスを順に解説します。
ライセンス別の監査ログ保存期間と機能比較
Microsoft 365のライセンスプランによって、監査ログの保存期間と利用できる機能が異なります。
1. E3ライセンスの保存期間
Microsoft 365 E3ライセンスでは、標準で90日間の監査ログ保持が可能です。90日を超えたログは自動的に削除されるため、それ以前のインシデントを調査することはできません。ただし、後述する保持ポリシーを設定することで、保存期間を延長できます。
2. E5ライセンスの保存期間
E5ライセンスでは、標準で1年間のログ保持が可能であり、長期間の遡及調査に対応できます。さらに、詳細監査機能が利用でき、より細かい粒度でのログ記録や、高度な検索・分析機能が提供されます。
3. 下位ライセンスの制約
E1やBusiness Basicなどの下位ライセンスでは、監査ログ機能が制限されるか、利用できない場合があります。組織のセキュリティ要件に応じて、適切なライセンスを選定することが重要です。
監査ログ保存期間の延長設定をするには?
標準の保存期間では不十分な場合、保持ポリシーの設定や外部へのエクスポートによって長期保管を実現できます。
1. 保持ポリシーの設定
Microsoft Purviewの保持ポリシーを設定することで、特定の法的要件に合わせた長期保存が可能になります。保持ポリシーは、Microsoft Purviewコンプライアンスポータルの「データライフサイクル管理」セクションから設定できます。
監査ログの保持期間を最大10年まで延長できるため、法令遵守や訴訟対応が必要な組織では積極的に活用すべき機能です。総務省のガイドライン等では、過去の調査を考慮し監査ログを1年以上保存することが望ましいとされています。
2. 外部ストレージへのエクスポート
定期的に監査ログをCSV形式でエクスポートし、Azure Blob Storageやオンプレミスのファイルサーバーなど、外部ストレージに保管する方法もあります。
この方法では、Microsoft 365の保持ポリシーに依存せず、組織独自の保管ルールに従って長期保存できます。ただし、エクスポートとアーカイブのプロセスを自動化するスクリプトやツールの導入が必要です。
監査ログ運用のベストプラクティス
監査ログを溜めるだけでなく、定期的なレビューやアラート設定を行うことで、セキュリティインシデントへの即応体制を整えられます。
1. 定期的なログレビュー
週次または月次で監査ログをレビューし、異常な操作パターンがないかを確認することを推奨します。特に、機密情報を扱うフォルダへのアクセス、外部共有設定の変更、大量ダウンロードなどは重点的にチェックすべき項目です。
2. 自動アラートの設定
高リスク操作に対する自動アラート通知を設定し、インシデントへの即応体制を整えるのが理想です。Microsoft 365 E5ライセンスでは、Microsoft Purviewのアラートポリシー機能を使って、特定のアクティビティ(例:匿名リンクの作成、大量ダウンロード)が発生した際に、セキュリティ担当者へ自動通知を送ることができます。
3. ログ管理体制の文書化
監査ログの確認頻度、レビュー担当者、インシデント発生時のエスカレーションフローなどを文書化し、組織内で共有することが重要です。これにより、担当者が不在の場合でも、他のメンバーが適切に対応できる体制を構築できます。
SharePointの監査ログ活用まとめ
SharePoint監査ログは、情報漏洩の早期発見、ファイル紛失時の原因特定、外部監査対応など、組織のセキュリティとコンプライアンスを支える重要な機能です。本記事では、監査ログの有効化手順から、具体的な検索方法、実務で頻出するトラブルシナリオ別の調査手順、そしてライセンスごとの保存期間の違いまでを解説してきました。
まずは自社の監査ログが有効化されているか確認し、テスト検索を行うことが運用の第一歩です。有効化されていない場合は、グローバル管理者またはコンプライアンス管理者の権限を持つユーザーが、Microsoft Purviewコンプライアンスポータルから設定を行ってください。
また、定期的なログレビューの体制を整え、高リスク操作に対するアラート設定を検討しましょう。ログを溜めるだけでなく、能動的に監視・分析することで、セキュリティインシデントの早期発見と被害の最小化が可能になります。
監査ログによる「守りの管理」を徹底しつつ、情報が迷子にならない仕組み作りとしてNotePMによる「攻めの管理」を並行することで、セキュアで効率的な組織運営を目指しましょう。
