【Microsoft Purviewを活用しよう！】Microsoft 365 における監査ソリューションの紹介

はじめに

みなさんこんにちは。DXソリューション営業本部 青木です。

昨今、Microsoft 365 Apps (旧Office 365)をはじめ、Exchange Online や Sharepoint Online、Teams等、様々な Microsoft 365 サービスを利用されている企業が増えてきていますが、サービス利用に伴うデータセキュリティやコンプライアンス、ガバナンスといった管理運用面をどうすべきかお悩みの方も多いのではないでしょうか。

Microsoft 365は「オフィスで利用するアプリケーション(Officeアプリ、メール、ファイル共有、コミュニケーション等)を提供するサブスクリプションサービス」というイメージが強いかもしれませんが、それだけではなく「各サービスを"効率的"かつ"安全"に利用するためのツール」として Microsoft Purview という機能も提供されています。

今回は Microsoft Purviewを利用した監査ソリューションについてご紹介したいと思います。

Microsoft Purviewとは

Microsoft Purviewについて、Microsoft社のドキュメント上では以下のように説明されています。

Microsoft Purview は、データの保存場所にかかわらず、組織によるデータのガバナンス、管理、保護に役立つ包括的なソリューション セットです。 Microsoft Purview ソリューションは統合されたカバレッジを提供し、組織全体のデータの断片化、データの保護とガバナンスを妨げる可視性の欠如、従来の IT 管理の役割のあいまいさに対処します。

少しイメージがしにくい説明ですが、簡単に言い換えると「企業が "データガバナンス" "コンプライアンス" "データセキュリティ・リスク管理" を効率的に実施するための統合ソリューション」という位置づけになります。(これもいまいち抽象的な表現ではありますが、、)

今回は、Microsoft Purviewにおけるコンプライアンス管理の観点から、"監査ログ" および "電子情報開示(eDiscovery)"についてご紹介したいと思います。

Microsoft Purview 監査ログ

Microsoft Purview 監査ログは、Microsoft 365 環境内でのユーザーおよび管理者のアクティビティを詳細に記録する機能です。
本機能を利用することで、以下のような各種アクティビティログを収集することが可能です。

• ユーザーアクティビティの追跡：ユーザーのログイン日時、ファイルのアクセスや変更、メールアイテムの作成・送信など、さまざまなユーザーアクティビティ
• 管理者アクティビティの追跡：M365 各種サービスの管理操作(設定変更やポリシー追加・変更、エクスポート等)

※収集可能なログの種別一覧についてはこちらのURLを参照ください。

【監査ログ検索画面】


【ユーザーのサインインについて検索を行ったときの出力画面】

上記の各種アクティビティログは、任意の条件を設定して検索を行うことができ、csv形式でのエクスポートを行うことも可能です。

ライセンスによる機能差異

こちらの監査ログはライセンスの違い(Microsoft 365 E3 / E5)によって利用可能となるサービス(機能)が異なります。

• Microsoft 365 E3：監査ログ Standard
• Microsoft 365 E5：監査ログ Premium

StandardとPremiumにはいくつかの違いがありますが、大きく異なる点は"監査ログの最大保管期間"です。

監査ログはライセンスによって最大保管期間が定められており、以下の通りとなっています。

• Microsoft 365 E3 (監査ログ Standard)：最大180日間
• Microsoft 365 E5 (監査ログ Premium)：最大1年間
• (Microsoft 365 E5 (監査ログ Premium) + 監査ログ追加ライセンス：最大10年間)

Microsoft Purview 電子情報開示 (eDiscovery)

Microsoft Purview 電子情報開示 (eDiscovery)は、法的な調査やコンプライアンス調査のために必要な情報を効率的に検索、保持、分析するためのツールです。
主な機能は以下の通りです。

• データの検索と保持：メール、ドキュメント、チャット履歴など、Microsoft 365 内のさまざまなデータを迅速に検索し、必要に応じて保持することが可能
• ケース管理：特定の調査案件ごとにデータを整理し、関連する情報を一元管理が可能
• データの分析：高度なフィルタリングや分析機能を使用して、必要な情報を効率的に抽出することが可能

【eDiscovery検索設定画面】

検索対象とする場所について指定が可能。
検索とは別に、「保留」を実施している場合には保留されているデータのみを検索対象とすることも出来る。

【Microsoft Purview管理センターから見たサンプルレビュー画面】

メールの内容や、Teamsチャットの内容、いつだれがどのファイルに操作したか等を閲覧が可能。

【検索結果をpstファイルとしてエクスポートし、Outlookでインポートした際のイメージ】

pstファイルをインポートすることで、メールやTeamsチャットのやり取りについてはOutlookから閲覧が可能になる。
また、SPO上のファイル等もエクスポートすることでファイルの実体を確認することも可能。

ライセンスによる機能差異

こちらのeDiscoveryもライセンスによって利用可能なサービス(機能)が異なります。

• Microsoft 365 E3：eDiscovery Standard
• Microsoft 365 E5：eDiscovery Premium

Microsoft 365 E5で利用可能になるeDiscovery Premiumですが、一例として以下のような機能が利用可能になります。

• データソースの設定："カストディアン"としてケースに関連するユーザーのデータソース(メールボックス、OneDrive for Business等)を細かく指定が可能
  ※カストディアン設定にて、以下のようにユーザーを指定し、関連するデータソースの場所を指定することが可能です。
  
  
  
  
• インテリジェント分析：機械学習を活用した高度なフィルタリング、メールスレッドの解析、重複データの検出などが可能
• インサイダーリスク管理との統合：インサイダーリスク管理機能と連携し、リスクの高いユーザー アクティビティに対して追加の法的レビューが必要な場合に、Microsoft Purview eDiscovery (Premium) の新しいケースにエスカレートすることが可能

※eDiscovery Premium機能の詳細についてはMicrosot社のドキュメントを参照ください。

監査ログと電子情報開示 (eDiscovery)の差異

監査ログと電子情報開示(eDiscovery)は、どちらもMicrosoft 365 のセキュリティとコンプライアンスを支える重要な機能ですが、目的と使用方法には明確な違いがあります。

• 目的：

  • 監査ログ：日常的なアクティビティの追跡とセキュリティの強化を目的としています
  • eDiscovery：法的調査やコンプライアンス調査のために必要な情報を収集、保持、分析することを目的としています

• 使用シナリオ：

  • 監査ログ：不正アクセスの検出、ユーザー行動の監視、コンプライアンス監査などに使用されます
  • eDiscovery：訴訟対応、内部調査、規制当局への報告などに使用されます

• 機能：

  • 監査ログ：リアルタイムのアクティビティ追跡、アラート設定、詳細なログのエクスポートなど
  • eDiscovery：データの検索と保持、ケース管理、データのフィルタリングと分析など

機能としては類似するもののため、混同してしまうことも多い両機能ですが、目的とシナリオにあった機能を選定するようにしましょう。

最後に

如何でしたでしょうか？
今回はMicrosoft 365の管理画面や公式ドキュメントだけではなかなかイメージがつかみにくいMicrosoft Purviewでの監査ソリューションについてご紹介させて頂きました。

弊社では、監査ソリューションを含めたMicrosoft 365におけるデータセキュリティ、コンプライアンス等の導入支援を実施しておりますので、気になる方はぜひお問合せページからご連絡下さい。
問い合わせフォーム

また、弊社ではゼロトラストセキュリティの導入支援も行っております。
そちらも気になる方はぜひご連絡お待ちしております。
ゼロトラスト・セキュリティ 導入支援(Microsoft Intune【デバイス管理】

※このブログで参照されている、Microsoft、Windows、Microsoft Azure、その他のマイクロソフト製品およびサービスは、米国およびその他の国におけるマイクロソフトの商標または登録商標です。