Microsoft 365の監査ログを定期的に確認しよう！

こんにちは、あっきーです。

SaaS形体のサービスが年々増えてきていますが、それに伴ってそのようなサービスへの不正アクセスも増えています。これは、それらがインターネットから直接アクセス可能であること、不正アクセスを防ぐ為の基本の対策である簡単なパスワードにしない、パスワードに加えてMFA（Multi-Factor Authentication）による認証が行われていないなどが要因として挙げられます。

セキュリティインシデントが発生した場合、調査に欠かせない材料として監査ログとうものがあります。監査ログは、簡単に言えば「いつ」、「誰が」、「何をしたか」を記録している操作ログのことです。これは、不正アクセスに限らず、社内に起因する情報漏洩が発生した場合の調査やユーザが正しい使い方をしているか等を確認する為にも使われるログです。

インシデントが発生した場合、監査ログに記録されている情報を基にどのIPアドレスからどのアカウントでログインされ、どのように操作されたのかを確認します。したがって、セキュリティインシデントが増えている昨今、監査ログは益々重要な存在となっています。

今回は、Microsoft 365（旧Office 365）における監査ログについてお話したいと思います。前述の通りインシデントが発生した場合に備えてMicrosoft 365の監査ログについて理解しておくことは重要です。監査ログには以下のようなものがあります。

ちなみにメールボックスに関する操作に関しては、Exchange mailbox activitiesです。

監査ログの項目、各パラメータの説明等は以下を参照ください。

https://docs.microsoft.com/en-us/microsoft-365/compliance/search-the-audit-log-in-security-and-compliance?view=o365-worldwide

それでは、Microsoft365の管理画面から監査ログをどのように調べるのかを見ていきましょう。監査ログには、現在のところ2つユーザインタフェースが存在します。

・「Microsoft 365 admin center」→ 「Compliance 」→「Audit」

・「Office 365 admin center」 → 「Security & Compliance」→ 「Search」→「Audit log search」

こちらは古い画面なので、Microsoft365 admin centerからたどり着くことができないかもしれませんが、https://protection.office.com/に直接アクセスすると本記事を執筆中の4/29/2021時点では、まだアクセス可能です。（こちらのほうが検索項目が見やすく検索しやすいのですが、いつ使えなくなるかわからいので新しいほうを利用することをお勧めします。）

上記の2つのインタフェースは、どちらも同じ情報を出力します。

検索結果として画面上には、Date, IP Address, User, Activity, Item, Detailという項目が表示され、「いつ」、「どのユーザ」が「どのようなアイテム」に「どのようなことを」行ったかということがわかります。

しかしながら、管理画面で全てを確認するのはなかなか難しい作業ですので、通常は検索結果をCSVファイルにExportして確認していきます。ExportしたCSVファイルは、以下のように「CreationDate」、「UserIds」、「Operations」、「AuditData」という項目があります。

このCSV形式もAuditDataの部分が一つの情報の塊となっているため、見にくい状態ですのでExcelで整形すると見やすくなりなります。CSV形式のExportしたデータをExcelによみこみTransformの機能を使うことで実現できます。

このようにすれば、Excel上で項目ごとにフィルタをかけたりすることができる為、情報の確認がしやすくなると思います。CSVでのExportの方法、Excelでの整形については、以下に紹介されていますので是非参考にしてみてください。

https://docs.microsoft.com/en-us/microsoft-365/compliance/export-view-audit-log-records?view=o365-worldwide

最後にいくつかMicrsoft365の監査ログの注意事項についてご紹介します。

・上記で説明した監査ログの取得と検索機能は、通常はデフォルトで有効になっています。しかしながら、Office 365 Plan1を使用している場合、有効化されていない場合があることを確認しています。まずは、監査ログの取得と検索機能が有効になっているか確認してください。

https://docs.microsoft.com/en-us/microsoft-365/compliance/turn-audit-log-search-on-or-off?view=o365-worldwide

これが有効になっていない場合、有効にしたとしてもその時点からさかのぼってログを取得することはできませんが、Exchange mailbox activitiesに関しては、2019年1月以降作成されたメールボックスについてはデフォルトで監査ログの取得が有効となっていますので、確認することは可能です。

https://docs.microsoft.com/en-us/microsoft-365/compliance/enable-mailbox-auditing?view=o365-worldwide

・監査ログのデフォルトの保存期間は、E5ライセンスが割り当てられているユーザは1年、それ以外は90日です。もし、90日以上、1年以上の保存を必要とする場合は、保存期間の延長が必要です。以下をご参照ください。

https://docs.microsoft.com/en-us/microsoft-365/compliance/audit-log-retention-policies?view=o365-worldwide#more-information

Microsoft 365 admin centerのインタフェースや仕様等については、適宜変更されますので最新情報をご確認ください。

まとめ

今回は、少々手間はかかりますが、ご自身で監査ログを確認する方法をご紹介しました。残念ながら不正アクセスに数か月間全く気付かなかったということもあります。それは、攻撃者も様々な工作を行っており、例えばメールボックスにルールを追加するなど、あるメールを実際は受け取っているのにユーザには気づかれないように削除してしまったりするようなこともあるからです。ユーザは気づけない場合があることを前提とし、不正アクセス、不正操作を見つけるために監査ログを定期的に確認することをお勧めします。

IIJ America Incでは、サイバーセキュリティに関するサービスも提供しています。お電話での無料相談も受け付けておりますので、まずはお気軽にWebフォームにてお問い合わせください。