【Outlook】Outlookのメールボックスに不正アクセスがないか監査ログで確認する手順

Outlookのメールボックスに、身に覚えのないアクセスがないか心配ですか?

誰かが勝手にメールを読んだり、情報を盗んだりしていないか、不安に感じているかもしれません。

この記事では、Microsoft 365の監査ログ機能を使って、Outlookメールボックスへの不正アクセスを検出する具体的な手順を解説します。

専門的な知識がなくても、管理者権限があれば誰でも監査ログを確認できます。

この記事を読めば、メールボックスの安全性を確認し、万が一の事態に迅速に対応できるようになります。

Outlookメールボックスへのアクセス監査の重要性

Microsoft Outlookのメールボックスは、ビジネス上の重要な情報が集まる場所です。

そのため、不正アクセスや情報漏洩のリスクに常に晒されています。

誰かがあなたのメールボックスにアクセスし、機密情報を盗み見たり、悪意のある操作を行ったりしていないかを確認することは、非常に重要です。

Microsoft 365では、Exchange Onlineの監査ログ機能を利用することで、メールボックスへのアクセス履歴を詳細に追跡できます。

このログを定期的に、あるいは疑わしい活動があった際に確認することで、不正アクセスの兆候を早期に発見し、被害を最小限に抑えることが可能です。

監査ログ検索に必要な管理者権限

Outlookメールボックスの監査ログを検索するには、特定の管理者権限が必要です。

一般ユーザーは自身のメールボックスの監査ログを直接確認できません。

監査ログの検索とレポート機能は、Microsoft 365のコンプライアンスセンター(またはコンプライアンスポータル)からアクセスします。

この機能を利用するには、少なくとも「監査者」または「セキュリティオペレーター」といった、コンプライアンス関連のロールが付与されている必要があります。

組織によっては、これらの権限はIT管理者やセキュリティ担当者に限定されている場合があります。

もし自身に監査ログを検索する権限がない場合は、IT部門の管理者に相談してください。

組織のポリシーによっては、監査ログの保持期間や検索できる情報が制限されている場合もあります。これも管理者に確認しておくと良いでしょう。

Exchange Online監査ログ検索の手順

Outlookメールボックスへのアクセス履歴を確認するには、Microsoft 365コンプライアンスセンターで監査ログ検索を実行します。

この手順は、管理者権限を持つユーザーが対象となります。

最新のインターフェースでは、「コンプライアンスポータル」や「Microsoft Purview コンプライアンスポータル」と呼ばれることもあります。

1. Microsoft 365コンプライアンスセンターへサインイン
   Webブラウザを開き、Microsoft 365にサインインしているアカウントで、Microsoft Purview コンプライアンスポータル (https://compliance.microsoft.com/) にアクセスします。
2. 「監査」メニューを選択
   左側のナビゲーションペインから「監査」を選択します。
3. 監査ログ検索画面を開く
   「監査」メニュー内の「監査」タブ(または「監査ログ検索」)を選択し、検索画面を開きます。
4. 検索条件を設定
   ここで、確認したいメールボックスへのアクセスに関する条件を設定します。
   • 日付/期間の選択: 確認したい期間を指定します。不正アクセスが疑われる期間や、直近の期間などを指定してください。
   • アクティビティの選択: 「すべてのアクティビティ」から、メールボックスに関連するアクティビティに絞り込みます。
     • メールボックスへのアクセスに関連するアクティビティの例:
       • MailboxLogin (メールボックスへのログイン)
       • MailboxOpened (メールボックスが開かれた)
       • CreateItem (アイテムの作成)
       • UpdateItem (アイテムの更新)
       • DeleteItem (アイテムの削除)
       • MoveItem (アイテムの移動)
       • SearchQueryInitiated (検索クエリの実行)
       • FolderBind (フォルダへのアクセス)
     • 特定のユーザーのアクティビティを確認したい場合: 「ユーザー」フィールドに、確認したいメールボックスの所有者名を入力します。
     • 特定のメールボックスのアクティビティを確認したい場合: 「ファイル、フォルダー、またはアイテム」フィールドに、確認したいメールボックスのメールアドレスを入力します。これは、Exchange Onlineの監査ログ検索で、特定のメールボックスを対象にするための重要な設定です。
5. 検索の実行
   条件を設定したら、「検索」ボタンをクリックします。
6. 検索結果の確認
   検索が完了すると、指定した条件に合致するアクティビティのリストが表示されます。
7. 詳細情報の確認
   リスト内の各アクティビティをクリックすると、詳細情報が表示されます。
   • 誰が (User): 操作を実行したユーザー
   • いつ (Date): 操作を実行した日時
   • どのアイテムに対して (Item): 操作対象のメールやフォルダ
   • どのIPアドレスから (ClientIP): 操作を実行したクライアントのIPアドレス
   • どのような操作か (Operation): 実行されたアクティビティの種類
8. 不正アクセスの兆候の特定
   詳細情報を確認し、以下のような疑わしい活動がないか注意深く調べます。
   • 身に覚えのないログイン
   • 通常と異なる時間帯でのアクセス
   • 大量のメール削除や移動
   • 身に覚えのない検索クエリの実行
   • 見慣れないIPアドレスからのアクセス
9. 結果のエクスポート(必要に応じて)
   検索結果を後で分析したり、関係者に共有したりするために、「結果のエクスポート」機能を使用してCSVファイルなどで保存できます。

新しいTeams (v2) と従来Teamsの監査ログ検索の違い

Microsoft Teamsの監査ログ検索機能は、新しいTeams (v2) のリリースに伴い、一部インターフェースや機能の変更が見られます。

しかし、Outlookメールボックスの監査ログ検索自体は、Exchange Onlineの機能に依存しています。

そのため、Teamsのインターフェースが新しくなっても、監査ログ検索の基本的な流れや確認できる情報は、従来と大きく変わりません。

重要なのは、Teamsの監査ログで「Exchange Online」のイベントを検索対象に含めることです。

新しいTeams (v2) では、Microsoft 365コンプライアンスセンターの監査ログ検索画面で、Teams関連のアクティビティだけでなく、Exchange Online、SharePoint Onlineなど、他のMicrosoft 365サービスのアクティビティも統合的に検索できるようになっています。

したがって、Outlookメールボックスの監査ログを確認したい場合は、Teamsの監査機能からではなく、直接Microsoft Purview コンプライアンスポータル(https://compliance.microsoft.com/)にアクセスするのが最も確実で効率的です。

Teamsの監査機能からアクセスした場合でも、最終的にはコンプライアンスポータルにリダイレクトされることがほとんどです。

新しいOutlook と従来Outlookの監査ログ検索の違い

新しいOutlook (プレビュー版、または一般提供版) は、従来のOutlookデスクトップアプリケーションとは異なるアーキテクチャを採用しています。

しかし、メールボックスの監査ログは、Exchange Onlineのバックエンドで管理されています。

そのため、新しいOutlookを使用しているか、従来のOutlookを使用しているかによって、監査ログの検索方法や確認できる内容に直接的な違いはありません。

監査ログの検索は、常にMicrosoft Purview コンプライアンスポータルを通じて行われます。

新しいOutlookでは、UIの変更や一部機能の追加・変更がありますが、メールボックスへのアクセスや操作に関する監査情報は、Exchange Onlineの監査ログに記録され続けます。

したがって、新しいOutlookを利用している場合でも、メールボックスの不正アクセスを監査ログで確認する手順は、従来と全く同じです。

重要なのは、操作を行うユーザーが「どのOutlookクライアントを使っているか」ではなく、「Exchange Onlineの監査ログがどのように記録されているか」という点です。

監査ログ検索でよくある落とし穴と対処法

監査ログ検索は強力なツールですが、いくつか注意すべき点があります。

これらの落とし穴を理解し、適切に対処することで、より正確にメールボックスの安全性を確認できます。

監査ログにアクティビティが記録されない

原因:

1. 監査ログが有効になっていない。

2. 検索条件が厳しすぎる、または間違っている。

3. ログの保持期間が過ぎている。

4. 検索対象のアクティビティが、監査ログに記録されない種類のもの。

対処法:

1. Exchange Onlineの監査ログが有効になっているか確認します。通常、Microsoft 365ではデフォルトで有効になっていますが、無効化されている可能性もゼロではありません。これはIT管理者が確認する必要があります。

2. 検索条件を広げて再検索します。期間を長くしたり、アクティビティの種類を増やしたりして、まずはデータが存在するか確認してください。

3. 組織の監査ログ保持ポリシーを確認します。一般的に、90日間または1年間保持されますが、設定によって異なります。

4. Microsoftのドキュメントで、記録されるアクティビティの種類を確認します。すべての操作が監査ログに記録されるわけではありません。

検索結果が多すぎて確認できない

原因:

1. 検索期間が長すぎる。

2. 検索条件で絞り込めていない。

3. 特定のユーザーやメールボックスを対象にしていない。

対処法:

1. 検索期間を短く設定します。例えば、不正アクセスが疑われる直近の数日間などに絞ります。

2. 「アクティビティの選択」で、より具体的な操作(例: MailboxLogin、CreateItemなど)に絞り込みます。

3. 「ユーザー」フィールドや「ファイル、フォルダー、またはアイテム」フィールドに、対象のユーザー名やメールアドレスを正確に入力します。これにより、検索結果を劇的に減らすことができます。

4. 検索結果をエクスポートし、Excelなどの表計算ソフトで並べ替えやフィルター機能を使って分析すると、効率的に確認できます。

疑わしいアクティビティは見つかったが、それが不正アクセスか判断できない

原因:

1. ログの情報だけでは、操作の意図を判断できない。

2. ユーザー自身が忘れている操作である可能性。

3. サービスアカウントや共有メールボックスの操作である可能性。

対処法:

1. 操作を実行したユーザー(User)に直接確認します。その時間に、その操作を行ったか、心当たりがあるかを聞き取ります。

2. 操作を実行したIPアドレス (ClientIP) を確認し、普段アクセスしている場所からのものか、あるいは既知の悪意のあるIPアドレスリストと照合します。

3. サービスアカウントや共有メールボックスからの操作でないかを確認します。これらのアカウントからの操作は、個々のユーザーの操作とは異なる場合があります。

4. 疑わしいアクティビティが継続的に発生する場合や、確実な不正アクセスと判断される場合は、速やかにIT管理者やセキュリティ担当者に報告し、パスワードのリセットやアカウントのロックなどの追加措置を依頼してください。

Mac版、モバイル版、Web版での違い

Outlookのメールボックス監査ログ検索は、どのクライアント(Mac版、モバイル版、Web版)を使用しているかに関わらず、基本的な確認方法は同じです。

監査ログは、Exchange Onlineというサーバー側のサービスで記録・管理されています。

そのため、ユーザーがOutlookデスクトップアプリ、Outlook for Mac、Outlook on the web (OWA)、あるいはOutlookモバイルアプリのどれからメールボックスにアクセスしたとしても、そのアクセス履歴はExchange Onlineの監査ログに記録されます。

監査ログを検索・確認する際には、これらのクライアントの違いは影響しません。

確認手順は、常にMicrosoft Purview コンプライアンスポータル (https://compliance.microsoft.com/) を通じて行われます。

ただし、組織のIT管理者によっては、特定のクライアントからのアクセスのみを監視対象とするポリシーを設定している場合もあります。その場合は、監査ログの検索結果で「Client」や「ClientIP」といった情報から、どのようなクライアントからのアクセスだったかを確認できることがあります。

まとめ

この記事では、Microsoft 365の監査ログ機能を利用して、Outlookメールボックスへの不正アクセスがないかを確認する手順を解説しました。

Microsoft Purview コンプライアンスポータルで監査ログを検索し、特定のアクティビティや期間で絞り込むことで、メールボックスの安全性を確認できます。

管理者権限があれば、誰でもこの機能を利用できるため、定期的なチェックや疑わしい活動があった際の迅速な対応が可能になります。

今後も、メールボックスのセキュリティ維持のために、監査ログの確認を習慣づけることをお勧めします。

もし不正アクセスの兆候が見られた場合は、速やかにIT管理者に報告し、パスワード変更などのセキュリティ対策を実施してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。