【Copilot】Copilot監査ログをSIEMに連携する手順とセキュリティ運用統合

Microsoft 365 Copilotの利用状況を把握するには、監査ログの確認が不可欠です。

これらのログをセキュリティ情報イベント管理(SIEM)システムに集約することで、より高度な分析と監視が可能になります。

本記事では、Copilotの監査ログをSIEMに連携する具体的な手順を解説します。

Copilot監査ログの概要とSIEM連携の目的

Microsoft 365 Copilotは、Word、Excel、PowerPoint、Outlook、Teamsなどのアプリケーションで利用され、ユーザーの生産性向上に貢献します。

Copilotの利用状況、実行された操作、生成されたコンテンツに関する情報は、Microsoft 365の監査ログに記録されます。

これらのログをSIEMシステムに集約する目的は、セキュリティインシデントの検出、コンプライアンス遵守の確認、不正利用の監視、利用状況の分析など多岐にわたります。

SIEMツールは、様々なソースからのログデータを一元管理し、相関分析やアラート生成を行うためのプラットフォームです。

Copilot監査ログを検索・エクスポートする手順

Copilotの監査ログは、Microsoft 365コンプライアンスセンターからアクセスできます。

1. Microsoft 365コンプライアンスセンターにアクセスする
   Webブラウザで「compliance.microsoft.com」にアクセスし、管理者アカウントでサインインします。
2. 監査を選択する
   左側のナビゲーションペインから「監査」を選択します。
3. 検索条件を設定する
   「日付範囲」でログを検索したい期間を指定します。
4. アクティビティを絞り込む
   「アクティビティ」ドロップダウンリストで「Copilot」または関連するアクティビティ(例: `SearchQueryExecuted`、`ContentGenerated` など)を選択します。
5. ユーザーを絞り込む(任意)
   特定のユーザーのログを確認したい場合は、「ユーザー」フィールドにユーザー名を入力します。
6. 検索を実行する
   「検索」ボタンをクリックしてログを検索します。
7. 結果を確認する
   検索結果が表示されたら、内容を確認します。
8. ログをエクスポートする
   検索結果画面の上部にある「エクスポート」ボタンをクリックし、「すべての結果をエクスポート」を選択してCSVファイルとして保存します。

エクスポートされたCSVファイルには、Copilotの利用に関する詳細な情報が含まれています。

SIEMツールへのログインポート手順

SIEMツールの種類によってインポート方法は異なりますが、一般的な手順は以下の通りです。

ここでは、一般的なCSVインポートの手順を例に説明します。

1. SIEMツールの管理画面にアクセスする
   利用しているSIEMツールの管理インターフェースにサインインします。
2. データインポート機能を見つける
   「データソース」「インジェスト」「コネクタ」などのメニューから、ログファイルのインポート機能を探します。
3. ファイルを選択する
   「アップロード」または「ファイル選択」ボタンをクリックし、先ほどエクスポートしたCopilot監査ログのCSVファイルを選択します。
4. マッピングを設定する
   SIEMツールがCSVファイルの各列(タイムスタンプ、ユーザー名、アクティビティなど)を正しく認識できるように、フィールドのマッピングを行います。
5. インポートを実行する
   設定が完了したら、インポート処理を開始します。
6. 取り込みを確認する
   インポートが正常に完了したか、SIEMツール上でログデータが利用可能になったかを確認します。

多くのSIEMツールでは、定期的にログファイルを自動で取り込む設定も可能です。

Microsoft Graph Security APIを活用した自動連携

手動でのエクスポート・インポートは、頻繁な更新が必要な場合に手間がかかります。

より効率的かつリアルタイムに近い連携を実現するには、Microsoft Graph Security APIの利用が推奨されます。

Graph Security APIは、Microsoft 365のセキュリティ関連データをプログラムで取得するためのインターフェースです。

このAPIを利用することで、Copilotの監査ログを直接SIEMツールにストリーミングしたり、定期的に自動取得したりすることが可能になります。

API連携には、開発者によるスクリプト作成や、SIEMツールがGraph APIに対応している必要があります。

API連携の詳細については、Microsoft Graphのドキュメントを参照してください。

Copilot監査ログ連携における注意点

ログの保持期間とエクスポート制限

Microsoft 365の監査ログは、ライセンスの種類によって保持期間が異なります。

一般的に、標準的なライセンスでは90日間、高度なコンプライアンス機能を持つライセンスでは1年間保持されます。

また、一度にエクスポートできるログの件数にも制限がある場合があります。大量のログをエクスポートする際は、複数回に分けて実行する必要があるかもしれません。

必要な権限

監査ログの検索とエクスポートを行うには、Microsoft 365テナント内で適切な権限が必要です。

通常、「コンプライアンス管理者」や「セキュリティ管理者」などのロールを持つユーザーのみがこれらの操作を実行できます。

権限がない場合は、組織のIT管理者またはセキュリティ管理者に依頼してください。

SIEMツールの設定とチューニング

SIEMツールへの取り込み後、Copilot関連のイベントを効果的に監視・分析するためには、適切な検索クエリやアラートルールを設定する必要があります。

Copilotの利用状況を正確に把握するためには、ログのフィールド(アクティビティ名、ユーザー、タイムスタンプなど)を理解し、SIEMツール側で正しく解析できるようにチューニングすることが重要です。

プライバシーと機密情報

Copilotの監査ログには、ユーザーの操作内容や生成されたコンテンツに関する情報が含まれる可能性があります。

これらのログをSIEMシステムに連携・保管する際には、組織のプライバシーポリシーおよびデータ保護規制を遵守する必要があります。

機密情報が含まれる可能性があるため、アクセス権限の管理を厳格に行い、不正アクセスや情報漏洩のリスクを最小限に抑える対策を講じてください。

Copilot ProとMicrosoft 365 Copilotのログ連携の違い

Copilot Proは個人向けのサブスクリプションであり、その利用ログはMicrosoftアカウントに関連付けられます。

Microsoft 365 Copilotは、法人向けのMicrosoft 365ライセンスに紐づき、組織のテナント内で管理される監査ログとして記録されます。

Copilot ProのログをSIEMに連携する場合、Microsoft Graph Security APIや、利用しているSIEMツールが提供する個人向けアカウント連携機能を利用することになります。

一方、Microsoft 365 Copilotのログは、前述の通りMicrosoft 365コンプライアンスセンターからアクセスし、組織のSIEMシステムへ連携するのが一般的です。

個人利用と法人利用では、ログの管理主体、アクセス方法、連携方法に違いがあることを理解しておく必要があります。

まとめ

Copilotの監査ログをSIEMに連携することで、組織全体のCopilot利用状況を可視化し、セキュリティ監視体制を強化できます。

本記事では、Microsoft 365コンプライアンスセンターでのログ検索・エクスポート、SIEMツールへのインポート手順、およびGraph Security APIを活用した自動連携について解説しました。

まずは手動でのログ連携から始め、組織のニーズに応じてGraph Security APIによる自動化を検討してください。