LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」 | ScanNetSecurity
2022.12.08(木)

LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」

今回は M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

製品・サービス・業界動向
今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない
  • 今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない

 株式会社LogStare は「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

●Microsoft 365 は便利だけど、いざトラブルになると…

 コロナ禍によるテレワーク環境の拡大や DX の普及によって、今や企業や学校で一般的に使われるクラウドサービスとなった Microsoft 365(旧Office 365。以下、M365 と表記)。

 Excel や PowerPoint などお馴染みの Officeアプリケーションに加え Teams や SharePoint のような便利なサービスも利用でき、インターネットがあればどこからでも自由に使える M365 は、利用者にとってはメリットばかりの一方で、セキュリティ、トラブル対応、重要データの扱い方など、クラウドならではの新たな課題が IT担当者の悩みの種となっています。

 誰もが簡単に使えるが故に、技術に詳しくない方が本来の業務と兼任で管理者を任されることもあり、安定して使えている時は良いが、トラブルが起きると何をどうしていいか分からない…と言ったケースも見受けられます。

 今回はこうした M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

●M365 のよく聞くトラブル

 導入当初は様々な制限やセキュリティ対策を講じていても、ビジネス要件の変更やユーザーからの要望による制限緩和などを繰り返した結果、気づかないうちにセキュリティが弱くなっていることがよくあります。

・気がついたら全世界の誰でも見える場所に重要ファイルが置かれていた
・退職者がいつまでも社内のファイルを閲覧できる状態になっていた

ことがある日発覚し、いつからこの状態なの? 持ち出されたファイルはあるの?と社内が騒然となるケースはよく耳にします。

 また、

・突然ファイルが参照できなくなった
・送ったはずのメールが届かない

 などのトラブルは、単純に操作ミスなのか、システム側に問題があったのかを切り分ける必要がありますが、システムが複雑であるほど切り分けが難しくなります。

 クラウドサービスの内部構造はブラックボックス。何を調べたらいいのか、サポート窓口はどこなのか、オンプレ以上に解決に時間がかかることがほとんどです。

 このような時、手慣れた IT担当者なら「そうだ、ログを見よう!」となることでしょう。

 しかし M365 の監査ログはデフォルトでは無効状態です。誰かが設定しなければ出力されません。

 そしてすでに起きた事象は、遡ってログを発生させることはできません。

 手慣れた IT担当者も無いものは分析のしようがなく、手掛かりが何もない状態になってしまいます。

 ひょっとして、あなたの会社でも、Microsoft 365 の監査ログが無効になっていませんか?

●クラウドだからこそ、ログが無いと何もわからない

 クラウドサービスは、もちろん事業者側も大規模な災害やサイバー攻撃などに備えたセキュリティ対策を講じています。

 しかしそれよりも頻発するのは、重要データを見失うことや消失してしまうこと。アクセス権を間違えてしまうこと。そしてそのことに気づかないままになっていることです。

 誰かの誤操作によって重要データが失われてしまうことは、クラウド、オンプレを問わずままあります。

 もしそのことに気づかずに数週間が経過したとしたら、仮に定期的にバックアップを取っていたとしても、昨日のバックアップからは復旧できません。

 その重要データがいつから無いのか分からないので復旧作業は困難を極め、バックアップが既にない場合は取り返しがつかなくなります。

 普段より監査ログからサービスの利用状況、ファイルの利用状況を把握しておかなければ、いざとなった時に管理者として「知らなかった」では済まされない状況に陥る可能性もあります。

 忙しい中でも普段から監査ログを収集し、利用状況を簡単に把握できる仕組みを持っておくことが重要です。そうすることで初めて管理者として「我が社の M365 は問題ない状態である」と言うことができるでしょう。

 M365 の監査ログの出力方法は? 保管期間は? ダウンロードできるの? ちゃんと検索できる? 等々の疑問点は、LogStare を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」にて解説しています。ぜひご覧ください。

Microsoft 365 監査ログの取得方法|絶対に取っておくべき理由や保存期間も解説
https://www.secuavail.com/kb/microsoft-365/audit-log/

今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない

《株式会社LogStare》

編集部おすすめの記事

特集

製品・サービス・業界動向 アクセスランキング

  1. 「i-FILTER@Cloud」にフィッシングサイトへのクレデンシャル送信ブロック機能

    「i-FILTER@Cloud」にフィッシングサイトへのクレデンシャル送信ブロック機能

  2. 文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室の事務補佐員募集

    文部科学省大臣官房政策課サイバーセキュリティ・情報化推進室の事務補佐員募集

  3. 複数企業が関与する不正、機械学習活用したリスク評価モデルを共同開発

    複数企業が関与する不正、機械学習活用したリスク評価モデルを共同開発

  4. 自社やベンダーのセキュリティレベルを採点し改善策も示す Sling社のサイバー防衛スコアリング

  5. 警察庁、サイバー攻撃被害の潜在化防止に向け検討会開催

  6. 2022年の日本人の優しさを調査した社会実験、セキュリティ管理プラットフォーム S4 プロジェクト中間報告

  7. GMOサイバーセキュリティ byイエラエがクレジットカード情報漏えい事故調査機関「PFI」に認定

  8. 次世代 SIEM ベンダ Exabeam 光山 慶が一掃したい「SIEM で一番心が折れるところ」~セキュリティエンジニアがもっと世界を救うために

  9. Twitterの青い「認証マーク」を本人確認なしで購入可能に、なりすましは厳罰化

  10. クラウド設定項目と設定不備だった場合のリスク一覧 ~ 総務省ガイドライン公開

アクセスランキングをもっと見る

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×