【Outlook】Outlookのメール送信ログを監査ログから抽出する手順

Outlookで送信したメールの記録を確認したい場合、一般的な送信済みアイテムフォルダの履歴では不十分なことがあります。特に、特定のユーザーがいつ、誰に、どのようなメールを送信したかを詳細に調査する必要がある場面では、Microsoft 365の監査ログが役立ちます。この記事では、Outlookのメール送信ログを監査ログから抽出する具体的な手順を解説します。

メール送信ログの抽出が必要となる背景

監査ログは、Microsoft 365内のユーザー操作を記録する機能です。Outlookのメール送信ログは、ユーザーが送信したメールの履歴を追跡するために利用されます。例えば、不審なメール送信が発生した場合、監査ログを確認することで誰がいつ送信したかを特定できます。また、コンプライアンス要件に対応するために、一定期間のメール送信記録を保持する必要がある場合も、監査ログが活用されます。

具体的な事例として、従業員が顧客の個人情報を誤って外部に送信したケースがあります。このとき、監査ログから送信日時、送信先アドレス、件名を抽出すれば、影響範囲を迅速に把握できます。さらに、管理者は定期的に監査ログをレビューし、不正なメール送信パターンを検出することも可能です。監査ログはMicrosoft 365 DefenderやExchange Online PowerShellから検索できます。

監査ログからメール送信ログを抽出する手順

以下の手順では、Microsoft 365 Defenderポータルを使用した操作方法を説明します。PowerShellを使用する方法は後述のFAQで補足します。

1. Microsoft 365 Defenderポータルにサインインします。
   ブラウザで https://security.microsoft.com にアクセスし、グローバル管理者または監査ログの表示権限を持つアカウントでサインインします。
2. 監査ログ検索画面を開きます。
   左側のナビゲーションメニューから「監査」を選択します。表示されない場合は「すべて表示」をクリックしてから選択します。
3. アクティビティフィルターを設定します。
   「アクティビティ」ドロップダウンリストから「送信済みメッセージ」を選択します。英語版の場合は「Sent message」または「Send」を選びます。必要に応じて「メールの送信」など関連アクティビティも追加します。
4. 日付範囲とユーザーを指定します。
   「開始日」と「終了日」に調査対象の期間を入力します。特定のユーザーのみ抽出する場合は「ユーザー」フィールドにそのメールアドレスを入力します。複数ユーザーの場合はカンマ区切りで指定します。
5. 検索を実行します。
   「検索」ボタンをクリックします。結果が表示されるまで数秒から数分待ちます。大量のデータがある場合は処理に時間がかかることがあります。
6. 結果を確認しエクスポートします。
   検索結果が一覧で表示されます。各レコードには日時、ユーザー、アクティビティ、アイテムなどの詳細が含まれます。必要に応じて「エクスポート」ボタンをクリックし、CSVファイルとしてダウンロードします。CSVファイルを開くと、さらにフィルターや並べ替えが可能です。
7. エクスポートしたデータを解析します。
   CSVファイルには、送信日時(CreationDate)、送信者(UserId)、受信者(Recipients)、件名(Subject)、メッセージID(MessageId)などの列が含まれます。これらをExcelなどで開き、目的の情報を抽出します。

よくある失敗とその対策

監査ログが有効になっていない場合

監査ログが無効だと、検索結果が空になります。対策として、Exchange OnlineまたはMicrosoft 365管理センターで監査ログを有効にします。具体的には、Exchange管理センター(https://admin.exchange.microsoft.com)にサインインし、「役割グループ」から「監査ログ」の設定を確認します。既定では有効ですが、一部のテナントで無効になっていることがあります。また、ユーザーごとに監査が有効かどうかも確認します。

検索結果が多すぎて目的のログが見つからない

監査ログには多数の操作が記録されるため、目的のメール送信ログだけを絞り込むにはアクティビティフィルターを正確に設定する必要があります。先述の手順で「送信済みメッセージ」のみを選択しても、大量の結果が返ることがあります。その場合は、ユーザーや日付範囲を狭めたり、追加のフィルター(例:件名の一部)を指定することで絞り込みます。また、検索結果をCSVにエクスポート後、Excelのフィルター機能を使用すると効率的です。

監査ログの保持期間を超えている場合

監査ログの既定の保持期間は90日です。それより古いログが必要な場合は、長期保存の仕組みを準備する必要があります。対策として、監査ログを定期的にエクスポートし、SharePointやOneDriveに保管します。また、Microsoft 365の保持ラベルやデータ保持ポリシーを利用して、監査ログを長期保存することも可能です。ただし、追加のライセンス(例:Microsoft 365 E5)が必要な場合があります。

よくある質問

Q1: PowerShellで監査ログを取得する方法は?

A: Exchange Online PowerShellに接続し、Search-UnifiedAuditLogコマンドレットを使用します。例えば、「Search-UnifiedAuditLog -StartDate (Get-Date).AddDays(-30) -EndDate (Get-Date) -Operations Send -UserIds user@contoso.com」のように実行します。結果は変数に格納し、Export-CsvでCSV出力できます。事前にSet-ExecutionPolicyの変更やモジュールのインストールが必要です。

Q2: 監査ログにはどのような情報が含まれますか?

A: 主に以下の項目が含まれます。CreationDate(送信日時)、UserId(送信者)、Operations(操作の種類)、Recipients(受信者)、Subject(件名)、MessageId(メッセージID)、ClientInfoString(クライアント情報)など。これらの情報を基に、誰がいつ誰に送信したかを特定できます。

Q3: 監査ログの保持期間を延ばすにはどうすればいいですか?

A: 監査ログの保持期間はライセンスによって異なります。Microsoft 365 E5やA5/G5の場合は最長1年間保存できます。それ以外のテナントでは標準で90日間です。延長するには、監査ログを定期的にエクスポートして外部ストレージに保存するか、保持ポリシーを適用して長期保存を設定します。また、サードパーティのバックアップツールを利用する方法もあります。

監査ログと他のログとの比較表

まとめ

この記事では、Outlookのメール送信ログを監査ログから抽出する手順を解説しました。監査ログはMicrosoft 365 Defenderポータルから簡単に検索でき、CSVにエクスポートすることで詳細な分析が可能です。ただし、監査ログの有効化や保持期間に注意が必要です。PowerShellを使った自動化や、保持ポリシーを活用した長期保存も検討すると良いでしょう。定期的に監査ログを確認することで、セキュリティインシデントの早期発見やコンプライアンス遵守に役立ててください。