【Microsoft 365】Microsoft 365で監査ログの時刻が日本時間とずれる時の解決策

Microsoft 365の監査ログは、セキュリティ監査やコンプライアンス対応において重要な役割を果たします。しかし、監査ログの時刻が日本時間と異なって表示されるケースがあり、原因の特定に困ることがあります。この記事では、監査ログの時刻がずれる原因とその確認手順を解説します。また、実際に遭遇しやすい失敗パターンや管理者に確認すべき設定についても触れますので、トラブルシューティングの参考にしてください。

1. 監査ログの時刻表示の仕組み

UTCと日本時間の関係

監査ログのタイムスタンプはUTC(協定世界時)で記録されます。日本時間はUTCに9時間を加えた時間です。ログを閲覧する際、多くのツールはブラウザのタイムゾーン設定に基づいて日本時間に変換して表示します。しかし、元データはUTCのままなので、エクスポートしたCSVやAPIで取得したデータはUTCのままです。この変換が適切に行われないと時刻ずれが発生します。例えば、ブラウザのタイムゾーンがUTCに設定されている場合、日本時間で期待される時刻よりも9時間遅れて表示されることになります。

監査ログに記録される時刻の基準

各サービス(Exchange Online、SharePoint Online、Azure ADなど)から送られる監査イベントのCreationTimeプロパティはUTCで記録されます。監査ログを検索する際に指定する期間もUTCであることに注意が必要です。検索画面で日本時間を指定しても内部的にUTCに変換されて検索されます。そのため、検索結果の時刻が期待と異なる場合、検索条件の期間も考慮する必要があります。たとえば、日本時間の2025年4月1日9時から10時までのログを取得したい場合、検索条件はUTCで2025年3月31日0時から1時として指定する必要があります。

2. 時刻ずれの主な原因

ブラウザのタイムゾーン設定

監査ログをWebブラウザで表示する場合、表示される時刻はブラウザが認識しているタイムゾーンに依存します。ブラウザのタイムゾーンが日本時間(UTC+9)以外に設定されていると、時刻がずれて表示されます。特に、リモートワークで海外のタイムゾーンを使用している場合や、ブラウザの設定がUTCのままになっている場合に起こりやすいです。例えば、ブラウザのタイムゾーンを「アメリカ合衆国(東部時間)」に設定していると、日本時間から14時間ずれた時刻が表示されます。

検索画面の表示仕様

Microsoft 365 Purviewコンプライアンスポータルでの監査ログ検索画面には、表示時刻のタイムゾーンを明示的に選択するドロップダウンなどは用意されていません。表示はブラウザのタイムゾーン設定に完全に依存します。そのため、ブラウザのタイムゾーン設定を変更しない限り、日本時間で表示することはできません。また、検索画面で日付範囲を指定する際のカレンダーもブラウザのタイムゾーンに基づいて表示されるため、入力時点で注意が必要です。

データソースやツールの違い

一部のサードパーティ製アプリケーションやカスタムスクリプトが監査ログに送信する際、独自のタイムスタンプ形式を使用することがあります。また、PowerShellやGraph APIで監査ログを取得する場合、タイムゾーンパラメータを正しく指定しないとUTCで出力されます。たとえば、PowerShellのSearch-UnifiedAuditLogで取得したデータのCreationTimeはUTCです。さらに、組織が複数の監査統合ツールを使用している場合、ツールごとにタイムゾーン変換の挙動が異なることがあります。

3. 時刻ずれを確認する手順

事前確認

以下の手順を実施する前に、自身のPCのOSのタイムゾーン設定が日本時間(UTC+9)になっていることを確認してください。Windowsの場合は「設定」→「時刻と言語」→「日付と時刻」で確認できます。ただし、会社PCではグループポリシーで強制されている場合があるため、勝手に変更せずに管理者に問い合わせてください。

1. ブラウザのタイムゾーン設定を確認します。Google Chromeの場合は、アドレスバーに「chrome://settings/languages」と入力し、「タイムゾーン」が「日本標準時」になっているか確認します。Microsoft Edgeの場合は「edge://settings/languages」で同様に確認します。必要に応じて修正します。
2. Microsoft 365 Purviewコンプライアンスポータル(https://compliance.microsoft.com)にアクセスし、左メニューの「監査」をクリックします。
3. 検索条件を指定して「検索」を実行します。例えば、直近24時間のすべてのアクティビティを検索します。
4. 検索結果の「日付」列に表示されている時刻をメモします。この時刻がブラウザのタイムゾーンで変換された時刻です。
5. 検索結果をCSVにエクスポートします。画面上の「エクスポート」ボタンをクリックし、「すべての結果をダウンロード」を選択します。
6. ダウンロードしたCSVファイルをExcelで開き、「CreationTime」列の値を確認します。この値はUTCで記録されています。
7. CSVの時刻に9時間を加算して日本時間に換算し、手順4で確認した表示時刻と一致するか比較します。一致すればブラウザのタイムゾーンは正しく設定されています。一致しない場合は、ブラウザのタイムゾーン設定が原因ではない可能性があります。その場合は管理者に問い合わせてください。

補足として、エクスポートしたCSVの時刻をExcelで簡単に変換するには、新しい列に「=C2+TIME(9,0,0)」と入力します(C2がCreationTimeのセル)。また、Power Queryを使用してタイムゾーン変換を行う方法もあります。

4. よくある失敗パターン

ここでは、実際に発生しやすい失敗例をいくつか紹介します。これらのパターンを理解しておくことで、トラブルシューティングの時間を短縮できます。

パターン1: ブラウザのタイムゾーンがUTCのまま

海外出張などでブラウザのタイムゾーンを現地時間に変更した後、元に戻し忘れるケースです。監査ログの表示時刻が9時間ずれて見えるため、すぐに気づくことができますが、原因に気づかず管理者への問い合わせが発生することがあります。

パターン2: PowerShellで取得したデータのタイムゾーン未指定

Search-UnifiedAuditLogコマンドレットを使用して監査ログを取得する際、-TimeZoneパラメータを指定しないとUTCで出力されます。例えば、「Get-UnifiedAuditLog -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date)」と実行すると、結果のCreationTimeはUTCになります。そのため、後で日本時間に変換する処理が必要になります。変換を忘れると、そのまま報告書にUTCの時刻を記載してしまうリスクがあります。

パターン3: 組織のポリシーによる強制設定

管理者がグループポリシーやMDMポリシーでブラウザのタイムゾーンを強制的にUTCに設定している場合、ユーザーがブラウザ設定を変更しても元に戻ってしまいます。この場合、個々のユーザーでは対応できず、管理者によるポリシーの変更が必要です。監査ログの時刻ずれが組織全体で発生している場合、このパターンを疑ってください。

パターン4: Excelの自動変換機能による誤認識

エクスポートしたCSVをExcelで開く際、Excelが自動的に時刻を認識して変換することがあります。特に、UTCの時刻を「2025-04-01 00:00:00」のように認識し、さらにタイムゾーン変換を行ってしまうケースです。CSVをテキストエディターで開いて生データを確認するか、Excelの「テキスト/CSV」インポート機能を使用して、データ型を指定することで防げます。

5. 管理者に確認すべき事項

以下の表に、管理者が確認すべき設定項目とその影響範囲をまとめました。トラブルシューティングの際に参考にしてください。

確認項目	必要な権限	設定場所	影響範囲
監査ログのタイムゾーンポリシー	全体管理者またはコンプライアンス管理者	Purview設定 > 監査ログ設定	全ユーザーの監査ログ表示
ブラウザのタイムゾーン強制設定(グループポリシー)	全体管理者	グループポリシー管理コンソールまたはMDMプロファイル	組織の全端末
サードパーティ監査ツールのタイムゾーン設定	各ツールの管理者	ツールの管理画面の設定	ツールを利用しているユーザー
カスタムスクリプトやAPIのタイムゾーン処理	開発者またはスクリプト管理者	スクリプト内のコード	自動収集データの利用者

管理者に問い合わせる際は、具体的に「組織全体で監査ログの時刻がずれている」または「特定のユーザーのみ時刻がずれている」という情報を伝えると、原因特定がスムーズになります。

6. よくある質問

Q1: 監査ログの時刻が9時間ずれています。これは正常ですか?

監査ログはUTCで記録されるため、日本時間に変換すると9時間進んだ時刻になります。画面表示がUTCのままになっている場合、日本時間より9時間遅れて見えます。まずはブラウザのタイムゾーン設定を確認し、日本時間(UTC+9)に設定してください。それでもずれが解消しない場合は、管理者に問い合わせてください。

Q2: ブラウザのタイムゾーンを変更してもすぐに反映されない場合は?

ブラウザのタイムゾーン設定を変更しても、既に開いているページには反映されないことがあります。監査ログのページをリロードするか、新しいタブで再度開き直してください。それでも反映されない場合は、ブラウザそのものを再起動してみてください。

Q3: エクスポートしたCSVの時刻を正しく日本時間に変換する方法を教えてください。

CSVのCreationTime列はUTCです。Excelで開いた場合、新しい列に「=A1+TIME(9,0,0)」と入力して9時間を加算してください(A1はUTC時刻のセル)。ただし、セルの書式が日付時刻として認識されている必要があります。テキスト形式の場合は、DATEVALUE関数とTIMEVALUE関数を使用して変換します。また、Power Queryを使用して「タイムゾーンを変換」する方法も便利です。「日付/時刻/タイムゾーン」列に変換後、「ローカルタイムゾーン」として「UTC+09:00」を指定します。

Q4: PowerShellのSearch-UnifiedAuditLogで正しい時刻を取得するにはどうすればよいですか?

Search-UnifiedAuditLogコマンドレットには、-TimeZoneパラメータがあります。例えば「Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-1) -EndDate (Get-Date) -TimeZone “Tokyo Standard Time”」と指定することで、結果のCreationTimeが日本時間で出力されます。ただし、-TimeZoneを指定しない場合はUTCで出力されますので、注意してください。また、結果のオブジェクトを後から変換する場合は、[TimeZoneInfo]::ConvertTimeBySystemTimeZoneId()メソッドを使用することもできます。

Q5: すべてのユーザーで時刻ずれが発生している場合、管理者は何を確認すればよいですか?

まず、Microsoft 365 Purviewコンプライアンスポータルの監査設定に「監査ログのタイムゾーン設定」がある場合はその値を確認します。次に、グループポリシーやMDMポリシーでブラウザのタイムゾーンが強制されていないかを確認します。また、サードパーティ製の監査ツールを使用している場合は、そのツールのタイムゾーン設定も確認してください。組織全体で一貫した時刻表示が必要な場合は、UTCで統一するポリシーも考慮しましょう。

7. まとめ

監査ログの時刻ずれは、多くの場合ブラウザのタイムゾーン設定が原因です。まずは自身のブラウザ設定を確認し、日本時間に設定することで解決することがほとんどです。それでもなおずれが解消しない場合は、管理者による組織設定やツールの設定を確認する必要があります。監査ログの時刻はUTCが基準であることを常に意識し、適切に変換することが重要です。本記事の手順と判断基準を活用して、迅速に原因を特定し、正しい時刻表示を実現してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。