SharePointサイトで権限が変更されたが、誰がいつどのような操作を行ったのか分からず困った経験はないでしょうか。セキュリティ監査や内部統制の観点から、権限変更の記録を確認する必要があるケースは少なくありません。Microsoft 365の監査ログを活用すれば、権限変更の操作者や変更内容を特定できます。しかし、監査ログには多くの情報が含まれているため、効率的に調査するためには確認範囲を正しく設定することが重要です。本記事では、SharePointの監査ログから権限変更を調査する際に、どの範囲で検索すべきか、具体的な手順と注意点を解説します。
【要点】この記事で確認すること
- 最初に見る場所: Microsoft 365 Purviewコンプライアンスポータルの監査ログ検索。アクティビティで「権限の追加または削除」などを指定。
- 切り分けの軸: サイトコレクション単位かサイト単位か、または特定のユーザーに絞るか。変更の種類(直接追加、グループ経由、管理者ポータル経由)も考慮。
- 注意点: 監査ログの保存期間は最大180日(サブスクリプションによる)。会社PCで勝手にログ保存を変更せず、管理者に確認が必要。また、ゲストユーザーの操作も記録されるが、一部の操作は記録されない場合がある。
ADVERTISEMENT
目次
1. 監査ログで権限変更を特定するための基本
SharePointの権限変更を調査するには、まずMicrosoft 365の統合監査ログを理解する必要があります。監査ログには、SharePoint Onlineのサイトコレクションやサイトに対する操作が記録されます。権限変更に関連する主なイベントとしては、「権限の追加」「権限の削除」「サイトコレクション管理者の変更」「アクセス許可レベルの変更」などがあります。これらのイベントは、ユーザーがSharePointのUI上で権限を変更したときだけでなく、SharePoint管理者センターやPowerShellを使って変更した場合も記録されます。
監査ログとは何か
Microsoft 365の監査ログは、Azure Active Directory、Exchange Online、SharePoint Onlineなど様々なサービスにおけるユーザー操作や管理者操作を統一的に記録する機能です。監査ログはPurviewコンプライアンスポータルから検索でき、検索結果はCSVファイルとしてエクスポートすることも可能です。SharePoint Onlineの監査ログは、サイトコレクション単位で有効化されているわけではなく、テナント全体で一元的に記録されます。そのため、特定のサイトの権限変更を調べる場合でも、テナント全体のログから絞り込む必要があります。
権限変更に関連する監査イベントの種類
監査ログを検索する際に指定するアクティビティには、以下のような種類があります。
- 権限の追加: サイトまたはアイテムに対してユーザーやグループにアクセス許可を追加した操作。
- 権限の削除: 既存のアクセス許可を削除した操作。
- サイトコレクション管理者の変更: サイトコレクションの管理者権限(プライマリ/セカンダリ管理者)を追加または削除した操作。
- アクセス許可レベルの変更: 既存のアクセス許可レベル(読み取り、編集、フルコントロールなど)を編集した操作。
- 共有の招待: 外部ユーザーとのサイト共有操作(厳密には権限変更の一種)。
これらのイベントを適切に組み合わせて検索することで、目的の権限変更を特定できます。
2. 権限変更の確認範囲:サイトコレクション単位かサイト単位か
監査ログを検索する際、確認範囲をどこに設定するかが効率的な調査の鍵です。SharePointの階層構造では、サイトコレクション(最上位のサイト)とその配下のサイトやサブサイトがあります。権限変更はそれぞれのレベルで行われ得るため、調査目的に応じて検索範囲を絞り込む必要があります。
サイトコレクションレベルでの監査
サイトコレクションの権限変更は、主に管理者権限の設定やアクセス許可の継承に関わる操作です。例えば、サイトコレクションの管理者を追加した場合、その変更はサイトコレクション単位で記録されます。また、親サイトの権限を子サイトが継承している場合、親サイトで権限変更を行うと子サイトにも影響します。そのため、広範囲な影響を調査するにはサイトコレクションレベルのログを確認する必要があります。
サイトレベルでの監査
特定のサイトだけに影響する権限変更を調べる場合は、サイト単位でログをフィルタリングします。SharePointの監査ログには「SiteURL」という項目があり、操作が行われたサイトのURLが記録されます。このフィールドを使って、特定のサイトURLで絞り込むことが可能です。また、アイテム単位の権限変更(個別ドキュメントへのアクセス許可設定など)も記録されるため、その場合は対象アイテムのURLを指定します。
比較表:サイトコレクションとサイトの確認範囲
| 確認ポイント | サイトコレクション単位 | サイト単位 |
|---|---|---|
| 対象となる操作 | サイトコレクション管理者の変更、トップレベルのアクセス許可変更 | サイト固有の権限追加/削除、アクセス許可レベルの編集 |
| 影響範囲 | 全子サイトに影響する可能性あり | そのサイトおよびサブサイト(継承による) |
| 監査ログのフィルター方法 | SiteURLにサイトコレクションのルートURLを指定 | SiteURLに目的のサイトURLを指定 |
| 調査の優先度 | 全社的な権限変更調査の場合に最初に確認 | 特定の部門サイトのみの問題の場合に確認 |
3. 監査ログを検索する具体的な手順
ここでは、SharePointの権限変更を監査ログから確認するための手順を解説します。以下の手順は、グローバル管理者または監査ログビューアーの権限を持つユーザーで実行可能です。
- ブラウザでMicrosoft 365 Purviewコンプライアンスポータルにアクセスし、適切な管理者アカウントでサインインします。
- 左側のナビゲーションで「監査」をクリックします。監査ログ検索画面が開きます。
- 「日付の範囲」に調査対象期間を設定します。デフォルトは7日前からですが、必要に応じて最大180日前まで指定可能です。
- 「アクティビティ」ドロップダウンからSharePoint Onlineに関連する権限操作を選択します。例えば「権限の追加または削除」を選択すると、権限追加と削除の両方が表示されます。さらに絞り込む場合は「権限の追加」など個別の活動を選びます。
- 「ユーザー」フィールドに、疑わしいユーザーのメールアドレスを入力します。誰が操作したか特定したい場合は、この入力を省略して全ユーザーのログを表示しても構いませんが、結果が多い場合は後でフィルターします。
- 「ファイル、フォルダー、またはサイト」フィールドに、権限変更が行われたと想定されるサイトURLを入力します。完全なURLまたは一部(例:https://contoso.sharepoint.com/sites/project-a)を指定します。これにより結果が大幅に絞り込まれます。
- 「検索」ボタンをクリックします。検索結果がリスト形式で表示されます。必要に応じて「列の追加」から「SiteURL」「操作」「アクティビティ」などの列を追加して見やすくします。
- 結果をエクスポートするには「結果のエクスポート」をクリックし、CSVファイルをダウンロードします。CSVファイルにはすべての操作が記録されているため、Excelでデータ分析を行うことができます。
以上の手順で、権限変更の操作者や日時、変更内容を特定できます。ただし、結果が大量になる場合は「フィルター」機能を使ってさらに絞り込んでください。
ADVERTISEMENT
4. 権限変更を特定する際の失敗パターンと対策
監査ログを使った調査では、いくつかの落とし穴があります。代表的な失敗パターンとその対策を紹介します。
ログの保存期間を超えている
Microsoft 365の監査ログの既定の保存期間は、組織のサブスクリプションによって異なります。通常は90日または180日です。もし調査対象期間がそれよりも古い場合、ログは既に削除されているため確認できません。このような場合は、事前にログの保存設定を変更できるか管理者に確認する必要があります。また、サードパーティのバックアップやSIEMツールにログを転送している場合は、そちらを参照することも検討します。
権限変更が複数の方法で行われた
SharePointの権限変更は、以下のように複数の経路で実行されます。
- サイトの設定画面から直接追加
- Microsoft 365グループ(Teams関連のグループ)経由
- SharePoint管理者センターから一括操作
- PowerShellスクリプトによる変更
これらの経路によって監査ログに記録されるアクティビティ名が異なる場合があります。例えば、Microsoft 365グループを通じて追加された場合、「グループへのメンバーの追加」というアクティビティとして記録されることがあります。そのため、権限変更が見つからない場合は、関連するアクティビティ(グループメンバーシップの変更など)もあわせて検索する必要があります。
委任された管理者による変更
ユーザーがサイトコレクション管理者やサイト所有者として権限を持っている場合、そのユーザー自身が権限変更を行えます。しかし、さらに上位の管理者(テナント管理者やSharePoint管理者)が委任された管理権限で操作した場合は、ログに「操作者」としてその管理者が記録されます。この場合、実際に権限変更を依頼したユーザーを見つけるには、別のログ(例えばTeamsのメッセージやメール)と突き合わせる必要があります。
5. 管理者へ伝えるべき情報
調査結果を管理者や関係部門に報告する際は、以下の情報をまとめておくとスムーズです。監査ログから抽出した証跡を基に、以下の内容を整理します。
- 発生日時: 権限変更が行われた正確な日時(UTCまたはローカルタイム)
- 操作者: 権限変更を実行したユーザーのユーザープリンシパル名(UPN)
- 対象サイトまたはアイテム: 権限変更の対象となったサイトURLまたはドキュメントURL
- 変更内容: 追加されたユーザー/グループとアクセス許可レベル、または削除されたユーザー/グループ
- 操作の種類: 権限追加、削除、変更などの区分
- その他関連情報: IPアドレス、使用されたデバイス、この操作に関連する他のイベント
これらの情報をレポートとしてまとめれば、管理者は迅速に是正措置を取ることができます。また、報告の際には監査ログのスクリーンショットやエクスポートしたCSVファイルの該当行を添付すると証拠能力が高まります。
6. よくある質問
監査ログに関するよくある質問とその回答をまとめました。
Q: 監査ログにはどのくらいの期間保存されますか?
A: 既定では、Microsoft 365 E5などのライセンスを持つ組織では180日間、その他のサブスクリプションでは90日間保存されます。ただし、組織の設定によって変更可能です。詳細はMicrosoft 365管理センターの「監査ログの保持ポリシー」で確認できます。
Q: ゲストユーザーによる権限変更は追跡できますか?
A: はい、ゲストユーザーがSharePointサイトで権限を変更した場合も、その操作は監査ログに記録されます。ただし、ゲストユーザーが自分のアカウント情報を変更する操作(パスワードリセットなど)はAzure ADの監査ログに記録されるため、SharePoint監査ログだけでは不十分な場合があります。
Q: 権限変更の調査に最適なアクティビティはどれですか?
A: 一般的な権限追加/削除であれば「権限の追加または削除」を使用します。サイトコレクション管理者の変更を調べる場合は「サイトコレクション管理者の変更」を選択します。また、グループ経由の変更には「グループへのメンバーの追加」なども検討します。
7. まとめ
SharePointの監査ログを活用して権限変更を調査するには、確認範囲を適切に設定することが重要です。サイトコレクションレベルかサイトレベルか、操作の種類や経路を考慮して検索条件を絞り込むことで、効率的に原因を特定できます。また、ログの保存期間や複数の操作経路に注意し、必要に応じて関連するアクティビティも併せて確認する必要があります。調査結果は管理者に報告しやすく整理し、迅速な対策につなげてください。監査ログはセキュリティ監査の強力な味方ですが、正しい手順で使うことが成果を最大化する鍵です。
ADVERTISEMENT
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Excel】文字がセルの枠からはみ出す・隠れる!「折り返して表示」と「縮小して全体を表示」の使い分け
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
- 【Outlook】メール本文が「文字化け」して読めない!エンコード設定の変更と修復手順