【Teams】Teamsのアクティビティログから不審な操作を検出する監査設定手順

Microsoft Teamsの利用が拡大するにつれ、組織内のセキュリティ対策は不可欠です。しかし、Teams上でどのような操作が行われているのか、把握しきれていないという課題を抱えていませんか。

特に、不正アクセスや情報漏洩のリスクを考えると、不審なアクティビティを早期に発見し、対応できる体制が必要です。そこで本記事では、Microsoft 365の監査ログ機能を利用して、Teams上の不審な操作を検出するための設定手順を詳しく解説します。

この記事を読めば、Teamsの監査ログ設定方法を理解し、組織のセキュリティレベルを向上させるための具体的な一歩を踏み出せます。

Microsoft 365監査ログの概要とTeamsでの重要性

Microsoft 365監査ログは、組織内のMicrosoft 365サービス全体で行われた様々な操作を記録する機能です。ファイルへのアクセス、共有、削除、ユーザーアカウントの変更、メールの送受信など、多岐にわたるアクティビティが記録されます。

Teamsにおいては、チャットメッセージの送受信、ファイル共有、会議の作成・参加、アプリの追加・削除といった操作が監査ログに記録されます。これらのログを分析することで、誰がいつ、どのような操作を行ったかを追跡できるため、不正行為や誤操作の発見、インシデント発生時の原因究明に役立ちます。

特に、機密情報の漏洩、不正なアクセス、ポリシー違反などのリスクを低減するためには、Teamsのアクティビティを正確に把握し、不審な兆候を見逃さないことが極めて重要です。

監査ログの有効化とTeamsアクティビティの監査設定手順

Teamsのアクティビティを監査するには、まずMicrosoft 365の監査ログ機能が有効になっている必要があります。多くの場合、既定で有効になっていますが、組織の設定によっては無効になっている可能性もあります。また、Teams固有のアクティビティを監査対象として明示的に設定することが推奨されます。

前提条件と管理者権限について

この設定を行うには、Microsoft 365のグローバル管理者またはセキュリティ管理者、コンプライアンス管理者のいずれかの権限が必要です。一般ユーザーは監査ログの設定を変更できません。

また、監査ログ機能はMicrosoft 365のサブスクリプションに含まれていますが、一部のプランでは保持期間などの機能に制限がある場合があります。通常、Teamsでの監査には十分な機能が提供されています。

監査ログの有効化手順

監査ログが有効になっているかを確認し、必要であれば有効化します。

1. Microsoft 365コンプライアンスセンターへのアクセス
   Webブラウザを開き、Microsoft 365コンプライアンスセンター(compliance.microsoft.com)にアクセスします。
2. 監査メニューの選択
   左側のナビゲーションメニューから「監査」を選択します。
3. 監査ログ設定の確認
   監査ページの上部にある「監査ログの設定」または「監査 (Premium)」といったリンクをクリックします。
4. 監査ログの有効化
   「監査ログをオンにする」という表示がある場合、それをクリックして有効化します。既に有効な場合は、その旨が表示されます。設定変更には数分から数時間かかることがあります。

Teamsアクティビティの監査設定

Teams固有のアクティビティを監査対象として設定します。これにより、より詳細なTeamsの操作ログを取得できるようになります。

1. Microsoft 365コンプライアンスセンターへのアクセス
   再度、Microsoft 365コンプライアンスセンター(compliance.microsoft.com)にアクセスします。
2. 監査メニューの選択
   左側のナビゲーションメニューから「監査」を選択します。
3. アクティビティの選択
   「アクティビティ」のドロップダウンリストを開きます。
4. Teams関連アクティビティの検索と選択
   検索ボックスに「Teams」と入力し、表示されるTeams関連のアクティビティ(例:「チャットメッセージの作成」「ファイル共有」「会議の作成」「チャネルの作成」など)を必要に応じて選択します。不審な操作を検出したい項目を重点的に選ぶと良いでしょう。
5. 監査対象の確認
   選択したアクティビティが監査対象として設定されていることを確認します。通常、アクティビティを選択するだけで監査が開始されます。
6. 検索の実行
   設定が完了したら、「日付の範囲」や「ユーザー」などを指定して「検索」ボタンをクリックし、実際にログが記録されているか確認します。

監査ログの検索と不審な操作の検出

監査ログが有効になり、Teamsアクティビティが監査対象となったら、次にこれらのログを検索して不審な操作を検出します。Microsoft 365コンプライアンスセンターの監査機能で、柔軟な検索が可能です。

監査ログ検索画面の操作

監査ログ検索画面で、特定の期間やユーザー、アクティビティの種類を指定してログを絞り込みます。

1. Microsoft 365コンプライアンスセンターへのアクセス
   compliance.microsoft.com にアクセスします。
2. 監査メニューの選択
   左側のナビゲーションメニューから「監査」を選択します。
3. 検索条件の設定
   「日付の範囲」で検索したい期間を設定します。ここでは、直近の不審な操作を検出するために、短めの期間(例: 過去7日間)から設定するのが効果的です。
   • 「ユーザー」フィールドに、特定のユーザーの操作を調査したい場合にそのユーザー名を入力します。
   • 「アクティビティ」フィールドに、「Teams」などと入力してTeams関連のアクティビティを絞り込みます。特定の不審な操作(例:「外部ユーザーとのファイル共有」「機密チャネルへのアクセス」など)をピンポイントで探したい場合は、そのアクティビティ名を入力します。
4. 検索の実行
   条件を設定したら、「検索」ボタンをクリックします。

不審な操作の兆候と確認ポイント

検索結果から、以下のような不審な操作の兆候がないかを確認します。

外部ユーザーとの異常なファイル共有

通常業務では関わりのない外部ユーザーとの間で、大量のファイル共有や機密性の高いファイルが共有されていないかを確認します。監査ログで「共有」アクティビティを検索し、共有相手が社外ユーザーになっていないか、共有されたファイルが機密情報に該当しないかなどをチェックします。

頻繁なアクセス権限の変更

特定のユーザーが、チームやチャネルのアクセス権限を頻繁に変更していないかを確認します。これは、不正なアクセスを試みる前触れである可能性があります。「チームのメンバーシップの更新」や「チャネルの権限変更」などのアクティビティログを監視します。

削除またはアーカイブされたチャネルやチーム

本来削除されるはずのないチャネルやチームが、短期間に複数削除されていないかを確認します。これは、証拠隠滅の可能性を示唆します。「チームの削除」や「チャネルの削除」アクティビティを注視します。

不審な会議の作成・参加

業務時間外や、関係のないメンバーが参加している会議が不自然に作成されていないかを確認します。外部からの不正な招待や、情報漏洩を目的とした会議の可能性も考えられます。「会議の作成」や「会議への参加」アクティビティを調査します。

機密情報への不自然なアクセス

通常アクセスしないはずの機密性の高いチャネルやファイルへのアクセスログがないかを確認します。これは、情報窃取の試みである可能性があります。「ファイルへのアクセス」や「チャネルへのアクセス」ログを注意深く確認します。

監査ログの保持と監視体制の構築

監査ログは、セキュリティインシデント対応やコンプライアンス遵守のために非常に重要な証跡となります。そのため、適切な期間ログを保持し、定期的な監視体制を構築することが不可欠です。

監査ログの保持期間について

Microsoft 365の監査ログの保持期間は、サブスクリプションプランによって異なります。一般的に、Standardプランでは90日間、Premiumプランでは1年間またはそれ以上の保持が可能です。組織のコンプライアンス要件やリスク管理ポリシーに基づき、適切な保持期間が設定されているか確認してください。

保持期間を超えたログは自動的に削除されるため、長期的な調査が必要な場合は、ログのエクスポートや、より長期の保持が可能なソリューションの検討が必要になることもあります。

監視体制の構築とアラート設定

手動でのログ検索は限界があるため、自動化された監視体制を構築することが推奨されます。Microsoft 365コンプライアンスセンターでは、「監査」機能の検索結果を基に、特定の条件に合致した場合にアラートを送信する「監査ポリシー」や「電子情報開示 (eDiscovery)」機能を利用できます。

例えば、「外部ユーザーとの機密ファイル共有」や「管理者権限の不審な変更」といった条件でアラートを設定することで、異常を早期に検知し、迅速な対応が可能になります。これらのアラートをSOC(Security Operations Center)やセキュリティ担当者に通知する仕組みを整えることが重要です。

新しいTeams (v2)と従来Teamsの監査ログの違い

新しいTeams (v2)のインターフェースや一部機能の変更は、監査ログの記録内容や表示に直接的な大きな影響を与えるものではありません。Teamsの基盤となるMicrosoft 365の監査ログ機能は、Teamsのバージョンに関わらず一貫して動作します。

ただし、新しいTeamsで追加された機能や変更された操作については、監査ログに新しいアクティビティ名が記録される可能性があります。そのため、常に最新の監査アクティビティリストを確認し、組織で利用している機能に対応するアクティビティが適切に監査されているかを確認することが推奨されます。監査ログ検索画面でアクティビティ名を検索する際に、新しい機能名が表示されるかを確認すると良いでしょう。

新しいOutlookと従来Outlookの監査ログの違い

新しいOutlookも、Teamsと同様にMicrosoft 365の監査ログ機能によって操作が記録されます。新しいOutlookのリリースによって、監査ログの基本的な仕組みや記録される情報に大きな変更はありません。

しかし、新しいOutlookで追加された機能(例: 新しい会議スケジューラ、リマインダー機能の強化など)や、UIの変更に伴ってアクティビティ名が更新される可能性があります。例えば、「メールの送信」や「会議の作成」といった基本的なアクティビティは引き続き記録されますが、新しい機能に関連する詳細なアクティビティ名が追加されることが考えられます。

監査ログを検索する際は、新しいOutlookで利用している機能に対応するアクティビティ名が監査ログに存在するかを確認することが重要です。Microsoft 365コンプライアンスセンターの監査ログ検索画面で、アクティビティ名を確認・検索してみてください。基本的には、従来Outlookで記録されていたアクティビティは新しいOutlookでも記録されると考えられます。

macOS版・モバイル版・Web版Teams/Outlookの監査

Microsoft TeamsおよびMicrosoft Outlookの監査ログは、利用しているプラットフォーム(Windows、macOS、Webブラウザ、モバイルアプリ)に関わらず、Microsoft 365のバックエンドで一元的に記録されます。したがって、どのプラットフォームから操作が行われたとしても、監査ログにはそのアクティビティが記録されます。

例えば、macOS版Teamsでファイルが共有された場合も、Windows版Teamsでファイルが共有された場合も、監査ログ上では「ファイル共有」アクティビティとして記録され、操作したユーザー、日時、共有されたファイルなどの情報が確認できます。

モバイル版Teams/Outlookからの操作も同様に記録されます。ただし、モバイルアプリ特有の機能(例: 特定のプッシュ通知設定など)については、対応するアクティビティ名が監査ログに記録されるか、Microsoftのドキュメントで確認することが推奨されます。

Web版Teams/Outlookについても、ブラウザ経由での操作はすべて監査ログに記録されます。プラットフォームによる監査ログの記録内容に根本的な違いはありませんが、各プラットフォームでのUIや機能の細かな違いが、アクティビティ名の表記に若干影響する可能性はあります。しかし、主要な操作は一貫して記録されるため、プラットフォームを意識せずに監査ログの監視・調査を行うことができます。

まとめ

本記事では、Microsoft Teamsのアクティビティログから不審な操作を検出するための監査設定手順を解説しました。Microsoft 365コンプライアンスセンターを活用することで、組織内のTeams利用状況を可視化し、セキュリティリスクを低減できます。

まずは監査ログの有効化とTeamsアクティビティの監査設定を行い、定期的なログ検索とアラート設定による監視体制を構築しましょう。これにより、不審な操作を早期に発見し、迅速な対応が可能になります。

さらに、監査ログの保持期間や、新しいTeams・Outlook、各種プラットフォームでの監査についても理解を深めることで、より包括的なセキュリティ対策を実現できます。組織のセキュリティポリシーに合わせて、これらの設定と運用を継続的に見直していくことが重要です。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。