LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」 | ScanNetSecurity
2024.04.26(金)

LogStareのSOCの窓 第8回「Microsoft 365の監査ログを絶対に取っておくべき理由」

今回は M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

製品・サービス・業界動向 業界動向
facebookLINE
今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない
今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない 全 1 枚 拡大写真

 株式会社LogStare は「ログを見つめる(Stare)」というその名の通り、お客様のネットワーク環境に設置されたセキュリティ機器から出されるログを収集分析し、検知やアラートを行なうセキュリティ運用プラットフォーム「LogStare」を開発・提供しています。

 セキュリティ製品を販売するセキュリティ企業と、そのエンドユーザー企業の間に入って監視業務を行なう製品を開発していると、そこからしか見えない様々な出来事があります。

 それら多様な事象から、単にログ分析にとどまらず、セキュリティの運用や管理一般にも通じるトピックを厳選して、「LogStareのSOCの窓」として連載でお届けします。実務やセキュリティ計画策定、セキュリティ投資の判断の一助となれば幸いです。

●Microsoft 365 は便利だけど、いざトラブルになると…

 コロナ禍によるテレワーク環境の拡大や DX の普及によって、今や企業や学校で一般的に使われるクラウドサービスとなった Microsoft 365(旧Office 365。以下、M365 と表記)。

 Excel や PowerPoint などお馴染みの Officeアプリケーションに加え Teams や SharePoint のような便利なサービスも利用でき、インターネットがあればどこからでも自由に使える M365 は、利用者にとってはメリットばかりの一方で、セキュリティ、トラブル対応、重要データの扱い方など、クラウドならではの新たな課題が IT担当者の悩みの種となっています。

 誰もが簡単に使えるが故に、技術に詳しくない方が本来の業務と兼任で管理者を任されることもあり、安定して使えている時は良いが、トラブルが起きると何をどうしていいか分からない…と言ったケースも見受けられます。

 今回はこうした M365管理者に向けて、トラブル発生時に何から手を付ければいいのか? そもそもトラブルを起こさないためには? をお伝えします。

●M365 のよく聞くトラブル

 導入当初は様々な制限やセキュリティ対策を講じていても、ビジネス要件の変更やユーザーからの要望による制限緩和などを繰り返した結果、気づかないうちにセキュリティが弱くなっていることがよくあります。

・気がついたら全世界の誰でも見える場所に重要ファイルが置かれていた
・退職者がいつまでも社内のファイルを閲覧できる状態になっていた

ことがある日発覚し、いつからこの状態なの? 持ち出されたファイルはあるの?と社内が騒然となるケースはよく耳にします。

 また、

・突然ファイルが参照できなくなった
・送ったはずのメールが届かない

 などのトラブルは、単純に操作ミスなのか、システム側に問題があったのかを切り分ける必要がありますが、システムが複雑であるほど切り分けが難しくなります。

 クラウドサービスの内部構造はブラックボックス。何を調べたらいいのか、サポート窓口はどこなのか、オンプレ以上に解決に時間がかかることがほとんどです。

 このような時、手慣れた IT担当者なら「そうだ、ログを見よう!」となることでしょう。

 しかし M365 の監査ログはデフォルトでは無効状態です。誰かが設定しなければ出力されません。

 そしてすでに起きた事象は、遡ってログを発生させることはできません。

 手慣れた IT担当者も無いものは分析のしようがなく、手掛かりが何もない状態になってしまいます。

 ひょっとして、あなたの会社でも、Microsoft 365 の監査ログが無効になっていませんか?

●クラウドだからこそ、ログが無いと何もわからない

 クラウドサービスは、もちろん事業者側も大規模な災害やサイバー攻撃などに備えたセキュリティ対策を講じています。

 しかしそれよりも頻発するのは、重要データを見失うことや消失してしまうこと。アクセス権を間違えてしまうこと。そしてそのことに気づかないままになっていることです。

 誰かの誤操作によって重要データが失われてしまうことは、クラウド、オンプレを問わずままあります。

 もしそのことに気づかずに数週間が経過したとしたら、仮に定期的にバックアップを取っていたとしても、昨日のバックアップからは復旧できません。

 その重要データがいつから無いのか分からないので復旧作業は困難を極め、バックアップが既にない場合は取り返しがつかなくなります。

 普段より監査ログからサービスの利用状況、ファイルの利用状況を把握しておかなければ、いざとなった時に管理者として「知らなかった」では済まされない状況に陥る可能性もあります。

 忙しい中でも普段から監査ログを収集し、利用状況を簡単に把握できる仕組みを持っておくことが重要です。そうすることで初めて管理者として「我が社の M365 は問題ない状態である」と言うことができるでしょう。

 M365 の監査ログの出力方法は? 保管期間は? ダウンロードできるの? ちゃんと検索できる? 等々の疑問点は、LogStare を含むセキュアヴェイルグループが運営する、ネットワーク・ログ監視の技術情報メディア「ナレッジステア」にて解説しています。ぜひご覧ください。

Microsoft 365 監査ログの取得方法|絶対に取っておくべき理由や保存期間も解説
https://www.secuavail.com/kb/microsoft-365/audit-log/

今回の教訓:何か起きてから監査ログを取っても、その「何か」は解明できない

《株式会社LogStare》

この記事の写真

/

特集

関連リンク

関連記事

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  3. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  5. TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

    TvRock にサービス運用妨害(DoS)と CSRF の脆弱性

ランキングをもっと見る
PageTop
ホーム 製品・サービス・業界動向 業界動向 記事
TOP