Microsoft 365を安全に運用するためには、ユーザーや管理者の操作を記録し、後から確認できる「監査機能(Audit)」が欠かせません。
この機能を使うことで、誰が、いつ、どんな操作をしたかを追跡でき、不正や誤操作があった場合に原因を調査できます。また、コンプライアンス(法令遵守)や内部監査にも対応できるため、企業のセキュリティ対策の基盤となります。
本記事では、Microsoft Purviewの監査機能について、StandardとPremiumの違いや活用方法、Security Copilotとの連携を初心者にもわかりやすく解説します。
Microsoft Purview監査とは?
Microsoft Purviewの監査機能は、Microsoft 365環境で発生するユーザーや管理者の操作を記録し、検索・分析できる仕組みです。
これにより、組織はセキュリティイベントやコンプライアンス対応、フォレンジック調査を効率的に行えます。
監査ログには、Exchange Online、SharePoint、OneDriveなど、Microsoft 365の主要サービスで発生した操作が記録されます。
監査機能を使うと、次のようなことが可能になります。
- 誰が、いつ、どの操作を行ったかを確認
- 不正アクセスや情報漏えいの調査
- 法令遵守や内部監査への対応
Microsoft Purviewには、監査(Standard)と監査(Premium)の2種類があります。
監査(Standard)の特徴
監査(Standard)は、Microsoft 365のほとんどのサブスクリプションで既定で有効になっています。
ユーザーや管理者が操作を行うと、その記録が監査ログに保存され、最大180日間保持されます。
監査ログの検索方法は以下の通りです。
- Microsoft Purviewポータルの監査ログ検索ツール
- Exchange Online PowerShellの
Search-UnifiedAuditLogコマンドレット - Office 365管理アクティビティAPI
検索結果はCSV形式でエクスポートでき、ExcelやPower Queryでさらに分析することも可能です。
監査(Premium)の特徴
監査(Premium)は、Standardの機能に加えて、より高度な監査機能を提供します。
主な特徴は次の通りです。
- 保持期間の延長
既定で1年間保持。さらに、アドオンライセンスを利用すれば最大10年間保持可能。 - 重要イベントの詳細記録
メールの閲覧、返信、転送、検索履歴など、フォレンジック調査に役立つ情報を記録。 - APIの高帯域アクセス
Office 365管理アクティビティAPIへのアクセス速度が向上し、大量データの取得が可能。
Premiumは、法的調査や長期保持が必要な組織に最適です。
Security Copilotとの連携
Microsoft Security Copilotを利用している場合、その操作や応答も監査ログに記録されます。
Purviewを使えば、Copilotのデータも含めて一元管理が可能です。
新しいMicrosoft 365組織を設定する際は、監査機能が有効になっているか確認しましょう。
まとめ
Microsoft Purviewの監査機能は、Microsoft 365環境で発生する操作を記録し、検索・分析できる重要な仕組みです。
これにより、セキュリティインシデントの調査やコンプライアンス対応が効率化され、組織全体のリスク管理を強化できます。
Standardでは基本的な監査機能を提供し、Premiumでは長期保持や詳細なイベント記録など、より高度なニーズに対応します。
さらに、Security Copilotとの連携により、AIを活用したセキュリティ運用も監査対象に含めることが可能です。
Microsoft 365を安全に運用するためには、監査機能を正しく理解し、組織のポリシーに合わせて活用することが不可欠です。
参考サイト
https://www.microsoft.com/ja-jp/security/business/microsoft-purview
https://www.microsoft.com/ja-jp/microsoft-365/compliance
https://www.microsoft.com/ja-jp/security/business/microsoft-security-copilot