Zoomの監査ログをSIEMシステムに転送したい管理者の方へ。監査ログをSIEMに統合することで、セキュリティイベントのリアルタイム監視や分析が可能になります。しかし設定方法が分からず困っている方も多いでしょう。この記事では、Zoom Admin PortalでSIEM統合を有効にし、ログを転送するまでの手順を詳しく解説します。手順に沿って設定すれば、数分で連携を開始できます。
【要点】Zoom監査ログのSIEM転送設定のポイント
- 管理者設定→詳細→SIEM統合: ここでSIEM統合を有効にし、転送先のエンドポイントURLと認証情報を設定します。
- イベントフィルタリング: 転送するイベントの種類を選択することで、必要なログだけをSIEMに送信できます。
- テスト送信と確認: 設定後はテストイベントを送信して、SIEM側で正しく受信できるか必ず確認します。
ADVERTISEMENT
目次
Zoom監査ログのSIEM転送の仕組み
Zoomの監査ログは、アカウント内で発生した管理者操作やユーザー活動を記録したデータです。例えば、ユーザーの作成・削除、ミーティングの設定変更、ファイルの共有などのイベントが含まれます。これらのログをSIEMに転送することで、セキュリティチームは異常な活動をリアルタイムに検知し、インシデント対応に活用できます。Zoomには標準のSIEMコネクタ機能が用意されており、設定を有効にするだけでクラウド上から直接SIEMへログをプッシュできます。転送方式はHTTPSを介したJSON形式のWebhookです。対応しているSIEM製品としては、Splunk、IBM QRadar、Microsoft Sentinelなどが挙げられます。
Zoomの監査ログは、イベントの発生から数分以内にSIEMに配信されます。転送されるデータはJSON構造で、イベントの種類、発生時刻、影響を受けたユーザー、IPアドレスなどの情報を含みます。この仕組みにより、お使いのSIEMプラットフォームで一元管理が可能になります。
Zoom Admin PortalでSIEM統合を設定する手順
ここでは、Zoom管理画面からSIEM統合を有効にする手順を紹介します。事前にアカウント管理者権限が必要です。また、SIEM側で受け取るためのWebhookエンドポイントURLと認証情報を用意してください。
- 管理者設定にログインする
Zoom Admin Portal(https://zoom.us/account)にサインインします。アカウント管理者の権限が必要です。 - 「詳細」メニューを開く
左側のメニューから「詳細」をクリックし、その中の「SIEM統合」を選択します。このオプションは、アカウントのタイプによって表示されない場合があります。必要な場合はZoomサポートに問い合わせてください。 - SIEM統合を有効にする
「SIEM統合」のトグルスイッチをクリックして有効にします。有効にすると、設定項目が表示されます。 - エンドポイントURLを入力する
「エンドポイントURL」フィールドに、SIEM側で発行されたWebhook受信用URLを貼り付けます。例:https://siem.example.com/webhook - 認証ヘッダーを設定する
「認証ヘッダー」フィールドに、SIEMが要求する認証情報を入力します。多くの場合、Authorization: Bearer <トークン>の形式です。 - 転送するイベントをフィルタリングする
「イベントフィルター」を開き、転送したいイベントカテゴリにチェックを入れます。例えば「ユーザー管理」「ミーティング管理」「アカウント設定」などから選択します。すべてのイベントを転送する場合は「すべてのイベント」を選択します。 - 保存してテスト送信する
「保存」ボタンをクリックして設定を保存します。その後、「テスト送信」ボタンをクリックして、テストイベントをSIEMに送信します。SIEM側でイベントが受信されたことを確認してください。
設定時の注意点とトラブルシューティング
SIEM側でログが受信できない場合
エンドポイントURLが誤っていないか、認証ヘッダーの値が正しいかを再確認します。また、ファイアウォールやネットワークポリシーがZoomからの送信をブロックしていないか確認してください。Zoomは送信元IPアドレスとして、173.255.241.0/24などの範囲を使用します。必要に応じて、これらのIPアドレスを許可リストに追加します。
テスト送信は成功するが、実際のイベントが転送されない
テスト送信は即座に行われますが、実際の監査ログの転送には最大で5分程度の遅延が生じることがあります。イベントが実際に発生しているか、該当の操作が行われたかを確認してください。また、イベントフィルターで選択したカテゴリのイベントのみが転送されるため、対象外のイベントは送信されません。
転送されるイベントが多すぎてノイズになる
すべてのイベントを転送すると、大量のログが送られて分析が困難になることがあります。必要最低限のイベントカテゴリのみを選択することで、ノイズを削減できます。イベントフィルターで不要なカテゴリのチェックを外してください。また、SIEM側でフィルタリングルールを追加することも検討します。
プライバシーに関する注意
監査ログにはメールアドレスやIPアドレスなどの個人情報が含まれる場合があります。SIEMに転送する前に、データの取り扱いに関する社内ポリシーや法規制を確認し、必要なマスキングや匿名化処理を実施してください。Zoomの監査ログはデフォルトで一部の情報をマスクすることも可能ですが、設定画面では対応していないため、SIEM側で処理する必要があります。
ADVERTISEMENT
標準SIEMコネクタとカスタムAPI連携の比較
| 項目 | 標準SIEMコネクタ | カスタムAPI連携(監査ログAPI) |
|---|---|---|
| 設定の手軽さ | 管理画面で数分で設定完了 | 開発と運用が必要で、初期構築に時間がかかる |
| 対応SIEM製品 | Splunk、QRadar、Sentinelなど主要製品に対応 | 任意のHTTPエンドポイントに送信可能で、汎用性が高い |
| カスタマイズ性 | イベントフィルターのみ | ペイロードの加工やフィルタリングを自由に実装できる |
| 維持コスト | Zoomライセンスに含まれる場合が多く、追加費用不要 | 開発リソースやサーバー運用コストが発生する |
| データの即時性 | リアルタイムに近い(最大5分遅延) | API呼び出しの頻度次第で即時取得可能 |
標準SIEMコネクタは手軽さが魅力ですが、細かいカスタマイズが必要な場合は監査ログAPIを使ったカスタム連携も検討しましょう。どちらを選ぶかは、組織の運用要件と技術リソースに応じて決定してください。
まとめ
この記事では、Zoomの監査ログをSIEMに転送するための設定手順を解説しました。管理者設定からSIEM統合を有効にし、エンドポイントと認証情報を設定すれば、主要なSIEM製品と簡単に連携できます。また、イベントフィルターやテスト送信を活用することで、期待通りにログが転送されているか確認できます。次のステップとして、実際にSplunkやQRadarの受信設定を行い、ダッシュボードで可視化してみることをお勧めします。適切に設定することで、Zoom環境のセキュリティ監視を強化できるでしょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Zoomの人気記事ランキング
- 【Zoom】Zoomデスクトップアプリのインストールと初期設定手順
- 【Zoom】Zoomの言語表示を日本語に切り替える方法
- 【Zoom】Zoomを最新バージョンに更新する手順と自動更新の設定
- 【Zoom】会議に参加できないときの原因と直し方!URLや認証エラーの対処
- 【Zoom】Outlook予定表とZoomを連携してワンクリックで会議作成
- 【Zoom】画面共有ができないときの権限確認と再接続手順
- 【Zoom】SSOでサインインできないときの設定確認と再試行手順
- 【Zoom】iPhoneやiPadの画面をZoomで共有する手順
- 【Zoom】ブレイクアウトを自動・手動・自由選択で割り当てる手順
- 【Zoom】チャット内容を保存する設定と保存先の確認方法