LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」 | ScanNetSecurity
2024.05.20(月)
コンテンツ
注目検索ワード
ホーム 製品・サービス・業界動向 業界動向 記事

LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」

今回は M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

製品・サービス・業界動向
今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない

 株式会社LogStare は「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

●Microsoft 365 は便利だけど、いざトラブルになると…

 コロナ禍によるテレワーク環境の拡大や DX の普及によって、今や企業や学校で一般的に使われるクラウドサービスとなった Microsoft 365(旧Office 365。以下、M365 と表記)。

 Excel や PowerPoint などお馴染みの Officeアプリケーションに加え Teams や SharePoint のような便利なサービスも利用でき、インターネットがあればどこからでも自由に使える M365 は、利用者にとってはメリットばかりの一方で、セキュリティ、トラブル対応、重要データの扱い方など、クラウドならではの新たな課題が IT担当者の悩みの種となっています。

 誰もが簡単に使えるが故に、技術に詳しくない方が本来の業務と兼任で管理者を任されることもあり、安定して使えている時は良いが、トラブルが起きると何をどうしていいか分からない…と言ったケースも見受けられます。

 今回はこうした M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

●M365 のよく聞くトラブル

 導入当初は様々な制限やセキュリティ対策を講じていても、ビジネス要件の変更やユーザーからの要望による制限緩和などを繰り返した結果、気づかないうちにセキュリティが弱くなっていることがよくあります。

・気がついたら全世界の誰でも見える場所に重要ファイルが置かれていた
・退職者がいつまでも社内のファイルを閲覧できる状態になっていた

ことがある日発覚し、いつからこの状態なの? 持ち出されたファイルはあるの?と社内が騒然となるケースはよく耳にします。

 また、

・突然ファイルが参照できなくなった
・送ったはずのメールが届かない

 などのトラブルは、単純に操作ミスなのか、システム側に問題があったのかを切り分ける必要がありますが、システムが複雑であるほど切り分けが難しくなります。

 クラウドサービスの内部構造はブラックボックス。何を調べたらいいのか、サポート窓口はどこなのか、オンプレ以上に解決に時間がかかることがほとんどです。

 このような時、手慣れた IT担当者なら「そうだ、ログを見よう!」となることでしょう。

 しかし M365 の監査ログはデフォルトでは無効状態です。誰かが設定しなければ出力されません。

 そしてすでに起きた事象は、遡ってログを発生させることはできません。

 手慣れた IT担当者も無いものは分析のしようがなく、手掛かりが何もない状態になってしまいます。

 ひょっとして、あなたの会社でも、Microsoft 365 の監査ログが無効になっていませんか?

●クラウドだからこそ、ログが無いと何もわからない

 クラウドサービスは、もちろん事業者側も大規模な災害やサイバー攻撃などに備えたセキュリティ対策を講じています。

 しかしそれよりも頻発するのは、重要データを見失うことや消失してしまうこと。アクセス権を間違えてしまうこと。そしてそのことに気づかないままになっていることです。

 誰かの誤操作によって重要データが失われてしまうことは、クラウド、オンプレを問わずままあります。

 もしそのことに気づかずに数週間が経過したとしたら、仮に定期的にバックアップを取っていたとしても、昨日のバックアップからは復旧できません。

 その重要データがいつから無いのか分からないので復旧作業は困難を極め、バックアップが既にない場合は取り返しがつかなくなります。

 普段より監査ログからサービスの利用状況、ファイルの利用状況を把握しておかなければ、いざとなった時に管理者として「知らなかった」では済まされない状況に陥る可能性もあります。

 忙しい中でも普段から監査ログを収集し、利用状況を簡単に把握できる仕組みを持っておくことが重要です。そうすることで初めて管理者として「我が社の M365 は問題ない状態である」と言うことができるでしょう。

 M365 の監査ログの出力方法は? 保管期間は? ダウンロードできるの? ちゃんと検索できる? 等々の疑問点は、LogStare を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」にて解説しています。ぜひご覧ください。

Microsoft 365 監査ログの取得方法|絶対に取っておくべき理由や保存期間も解説
https://www.secuavail.com/kb/microsoft-365/audit-log/

今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない

《株式会社LogStare》

関連リンク

編集部おすすめの記事

特集

株式会社LogStare

SOC(セキュリティ オペレーション センター)

Microsoft/マイクロソフト

製品・サービス・業界動向 アクセスランキング

  1. バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

    バイナリファイルからSBOMを作成し脆弱性情報と照合「SBOMスキャナ」発売

  2. NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

    NRIセキュア 研修コンテンツ「セキュアEggs」基礎編オンデマンド提供、30日間アクセス可

  3. 「AWS Marketplace」でプルーフポイント Human-Centric セキュリティソリューション利用可能に

    「AWS Marketplace」でプルーフポイント Human-Centric セキュリティソリューション利用可能に

  4. インターポール捜査官に向け「Kaspersky Expert Training」5年連続で提供

  5. 認証とID管理にガバナンスを ~ NTTデータ先端技術「VANADIS」で実現する「IGA(Identity Governance and Administration)」とは

  6. 脆弱性管理クラウド「yamory」SBOM 機能に関する特許取得

  7. 「Cloudbase」が Oracle Cloud Infrastructure 対応

  8. 「セキュリティ・バイ・デザインの浸透を目的としたビジネス/リスクオーナー等実践研修の構築にかかる調査研究」募集

  9. ランサムウェア「LockBit」被疑者の資産を凍結し起訴

  10. 「Pマークポータルサイト」サービス開始、担当者にアカウント情報をメール送付

アクセスランキングをもっと見る

Page Top
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)
×