【Copilot】Copilot監査証跡をISO27001対応で管理する手順とセキュリティ設計

Microsoft 365 Copilotの利用状況を監査証跡として管理することは、ISO27001認証取得・維持において重要です。

Copilotの監査証跡は、誰がいつどのような操作を行ったかを記録します。

本記事では、ISO27001の要求事項を満たすためのCopilot監査証跡の管理手順と、セキュリティ設計のポイントを解説します。

Copilot監査証跡の概要とISO27001での位置づけ

Copilotの監査証跡は、Microsoft 365の監査ログ機能を通じて取得されます。

具体的には、Copilotの利用(プロンプト入力、生成されたコンテンツなど)に関するイベントが記録されます。

ISO27001では、情報資産の利用状況を把握し、不正行為や誤操作を検知・追跡するために、監査証跡の取得と適切な管理を要求しています。

Copilotの監査証跡を管理することで、コンプライアンス遵守、セキュリティインシデント対応、および利用状況の可視化が可能になります。

Copilot監査証跡の管理手順

Copilotの監査証跡は、Microsoft Purview コンプライアンスポータルで管理します。

管理者権限を持つユーザーが、以下の手順で証跡の検索、保持期間の設定、およびアクセス権限の管理を行います。

監査証跡の検索と確認手順

Copilotの利用に関する監査証跡を検索・確認する手順を説明します。

1. Microsoft Purview コンプライアンスポータルにサインインする
   Webブラウザで Microsoft Purview コンプライアンスポータル にアクセスし、管理者アカウントでサインインします。
2. 監査機能に移動する
   左側のナビゲーションペインから「監査」を選択します。
3. 検索条件を設定する
   「監査」画面で、以下の条件を設定します。
   • 日付範囲: 検索したい期間を指定します。
   • アクティビティ: 「Copilot」に関連するアクティビティを選択します。「Copilot」と入力して検索すると、関連するアクティビティが表示されます。例えば、「Copilotプロンプトの表示」「Copilot生成コンテンツの表示」などが該当します。
   • ユーザー: 特定のユーザーのアクティビティを検索する場合は、ユーザー名を入力します。
   • ファイル、フォルダー、またはサイト: 特定のファイルやコンテンツに関連するアクティビティを検索する場合は、パスを入力します。
4. 検索を実行する
   設定した条件で「検索」ボタンをクリックします。
5. 検索結果を確認する
   検索結果が表示されたら、各イベントの詳細を確認できます。イベントをクリックすると、アクティビティ、実行者、日時、IPアドレスなどの情報が表示されます。

監査ログの保持期間設定

ISO27001の要求事項に基づき、監査ログの保持期間を設定・確認することは必須です。

Microsoft 365の保持ポリシーを設定することで、監査ログを一定期間保存できます。

1. Microsoft Purview コンプライアンスポータルにサインインする
   管理者アカウントでサインインします。
2. 保持ポリシーに移動する
   左側のナビゲーションペインから「ソリューション」>「データライフサイクル管理」>「保持ポリシー」を選択します。
3. 保持ポリシーを作成または編集する
   「保持ポリシー」画面で、「新規ポリシーの作成」をクリックするか、既存のポリシーを編集します。
4. ポリシーの適用範囲を設定する
   「場所」または「コンテンツの種類」で、「監査ログ」を選択します。
5. 保持期間を設定する
   「保持期間」で、ISO27001で要求される期間(例: 3年、5年など)を設定します。Microsoft 365の監査ログは、デフォルトで90日間保持されますが、保持ポリシーにより延長可能です。
6. ポリシーを保存する
   設定内容を確認し、ポリシーを保存します。

組織のISO27001認証機関やコンサルタントと相談し、適切な保持期間を決定してください。

Copilot監査証跡へのアクセス権限管理

監査証跡へのアクセス権限は、最小権限の原則に基づき、必要最小限の担当者にのみ付与することが重要です。

これにより、証跡の改ざんや不正な閲覧を防ぎます。

1. Microsoft Entra ID(旧Azure AD)でロールを管理する
   監査ログの閲覧権限は、「コンプライアンス管理者」「セキュリティ管理者」などのMicrosoft 365ロールによって制御されます。
2. 必要なロールを割り当てる
   監査証跡の確認・管理を必要とする担当者に、適切なロールを割り当てます。
3. ロールの割り当てを確認する
   定期的にロールの割り当て状況を確認し、不要になった権限を削除します。

「監査ログ閲覧者」などのカスタムロールを作成し、より詳細な権限管理を行うことも可能です。

Copilot監査証跡のセキュリティ設計

ISO27001の要求事項を満たすためには、監査証跡のセキュリティ設計が不可欠です。

証跡の整合性の確保

監査証跡が改ざんされていないことを保証するための設計が必要です。

Microsoft 365の監査ログは、Microsoftによって管理されており、改ざん防止策が施されています。

しかし、アクセス権限の適切な管理や、証跡の定期的なバックアップ(エクスポート機能の利用など)も有効な手段となります。

不正アクセス・漏洩の防止

監査証跡への不正アクセスや、証跡情報の漏洩を防ぐための対策を講じます。

以下の対策が考えられます。

• 多要素認証(MFA)の必須化: 管理者アカウントへのアクセスにはMFAを必須とします。
• IPアドレス制限: 特定のIPアドレス範囲からのみアクセスを許可します。
• セキュアなネットワーク環境: 監査証跡を管理する端末は、セキュアなネットワーク環境に接続します。
• 証跡のエクスポートと安全な保管: 必要に応じて監査ログをエクスポートし、暗号化などの対策を施した上で安全な場所に保管します。

ログの監視と分析

異常なアクティビティやセキュリティイベントを早期に検知するために、ログの監視と分析体制を構築します。

Microsoft SentinelなどのSIEM(Security Information and Event Management)ソリューションと連携し、Copilotの監査証跡をリアルタイムで監視・分析することが推奨されます。

Copilot ProとMicrosoft 365 Copilotの監査証跡の違い

Copilot ProとMicrosoft 365 Copilotでは、監査証跡の取得範囲や管理方法に一部違いがあります。

項目	Microsoft 365 Copilot	Copilot Pro
監査証跡の取得元	Microsoft 365の監査ログ(Microsoft Purview)	Web版Copilotの利用履歴は一部記録されるが、Microsoft 365統合機能の監査は限定的
管理コンソール	Microsoft Purview コンプライアンスポータル	個人のCopilot利用履歴はWebインターフェースで確認可能
ISO27001対応	組織として監査証跡を管理・保管可能	個人利用が主であり、組織的な監査証跡管理には不向き
対象ユーザー	Microsoft 365ライセンスを持つ組織ユーザー	個人ユーザー(Microsoftアカウント)

ISO27001認証の取得・維持を目的とする場合、組織全体で管理可能なMicrosoft 365 Copilotの監査証跡管理が中心となります。

よくある質問と回答

Copilotの監査証跡はデフォルトでどのくらい保持されますか?

Microsoft 365の監査ログは、デフォルトで90日間保持されます。ISO27001の要求事項を満たすためには、保持ポリシーを設定して延長する必要があります。

Copilotの監査証跡で何が確認できますか?

Copilotの利用に関する様々なアクティビティが確認できます。具体的には、プロンプトの入力、生成されたコンテンツの表示、Copilot機能のオン/オフなどが記録されます。詳細なアクティビティリストはMicrosoftのドキュメントを参照してください。

Copilot監査証跡の管理に必要な権限は何ですか?

Copilot監査証跡の管理(検索、保持期間設定、アクセス権限管理)には、「コンプライアンス管理者」や「セキュリティ管理者」などのMicrosoft 365ロールが必要です。最小権限の原則に基づき、必要な担当者にのみ権限を付与してください。

Copilotの利用状況をリアルタイムで監視できますか?

Microsoft SentinelなどのSIEMソリューションと連携することで、Copilotの監査証跡をリアルタイムで監視・分析することが可能です。これにより、異常なアクティビティやセキュリティイベントの早期検知に役立ちます。