【Teams】監査ログ分析～セキュリティ対策やガバナンスの実現～

2023.09.28

市川

Teamsログ分析のメリット
- Teams監査ログから取得可能な情報
- Teams監査ログを分析する
Teams監査ログ分析方法
- Teams監査ログ設定方法
- Teams監査ログ分析ツール
まとめ

いつも弊社のブログをご愛読いただき、ありがとうございます。
MS開発部の市川蓮です。

前回のブログでは、SharePointの監査ログについてご紹介致しました。
本ブログではTeamsの監査ログについてご紹介致します。

Teams監査ログは、
Microsoft Teamsで行われた活動とイベントに関する情報を記録する重要なツールです。

チームメンバーや管理者は、Teams監査ログを通じて、
チャットメッセージ、ファイルの共有、会議の開始や終了など、
チーム内での様々なアクティビティを追跡することができます。

本ブログでは、
Teamsのログを分析するメリットおよび
実際に分析するための方法についての簡単なご紹介をさせていただきます。

最後までお付き合いいただければ幸いです。

また補足ではありますが、
弊社ではMicrosoft 365のアクセスログおよび監査ログを収集し、
分析するサービス「BizLog」の提供を開始しました。

BizLogは、Microsoft 365の標準機能と比較して、
ログの保存期間の制限がなく、より細かい単位での高度な分析が可能です。
組織内のログを活用することで、最適な情報発信や共有の仕組みを作成することができます。

詳細については、以下のページをご確認ください。
BizLogサービスページ：
https://deepcom.co.jp/bizlog/
BizLog PRTIMES：
https://prtimes.jp/main/html/rd/p/000000010.000078236.html

Teamsログ分析のメリット

Teams監査ログから取得可能な情報

Teams監査ログ分析は、さまざまな情報を得ることができます。
以下に、その主な情報を紹介します。

ユーザーアクティビティの追跡

Teams監査ログ分析では、
ユーザーがチームで何を行っているのかを詳細に把握することができます。
チャットの送受信、ファイル共有、会議への参加など、
ユーザーがTeams上で行うさまざまなアクションがログに残ります。

チームのコラボレーションパターンの洞察

Teams監査ログ分析によって、
チームメンバーがどのようにコラボレーションしているのかを把握することができます。
どのチャンネルが最も活発なのか、どのファイルが最も共有されているのかなど、
チーム全体のコミュニケーションと共同作業の傾向を把握することができます。

セキュリティに関する情報

Teams監査ログ分析は、潜在的なセキュリティリスクを特定するための重要な手段です。
不正アクセスの試行やセキュリティポリシーの違反などの
異常なアクティビティを検出することができます。
セキュリティ対策を強化し、機密情報の漏洩や不正行為を未然に防ぐことができます。

法的コンプライアンスのための証拠

Teams監査ログは、特定の業界や地域の法的要件を満たすための証拠として役立ちます。
Teamsのアクティビティログは、
必要な情報を提供し、規制当局や監査人からの監査や報告のための重要な資料となります。

Teams監査ログ分析によって得られる情報は、
チームの効率向上やセキュリティ強化、法的コンプライアンスの要件を満たすために貴重なものです。

詳しくは以下公式ドキュメントにてご確認ください。
Microsoft Teams でイベントのTeams監査ログを検索する。 – Microsoft Purview (compliance)

Teams監査ログを分析する

Teamsの監査ログを活用することによって、さまざまな具体的なメリットが得られます。

Teams監査ログは、
組織のデータセキュリティとコンプライアンスの向上に寄与する重要な情報源となります。

不正活動の早期発見

監査ログを分析することで、不正な活動や異常なアクションを早期に発見することができます。
例えば、認証されていないユーザーによるアクセス試行や、
機密情報への不正なアクセスなどがログに記録されるため、
これらのアクティビティを監視することでセキュリティリスクを軽減することができます。

リスクの特定と軽減策の立案

監査ログの分析によって、特定のチームやユーザーの行動パターンや傾向が明らかになります。
これにより、潜在的なリスク要素を特定し、適切な対策を講じることができます。
例えば、特定のチームがセンシティブな情報を不正に共有している場合、
アクセス制限や追加のトレーニングを導入することでリスクを軽減することができます。

法的コンプライアンスの遵守

監査ログは、特定の業界や法的要件に準拠するための重要な要素です。
監査ログを正確に管理し、分析することで、
法的コンプライアンスの要件を満たすことができます。
データ保持期間の要件に基づいてログを保持し、必要な場合には監査や報告に使用できます。

チームの生産性の向上

監査ログの分析によって、
チームのコラボレーションやコミュニケーションのパターンを把握することができます。
これにより、チームの効率性や生産性を向上させるための改善策を見つけることができます。
特定の時間帯にチャットや会議が集中している場合、スケジュールの調整や
コミュニケーションツールの最適化などを検討することで、生産性を向上させることができます。

監査ログを活用することで、セキュリティリスクの軽減、法的コンプライアンスの遵守、
チームの生産性向上など、さまざまな具体的なメリットを得ることができます。

Teams監査ログ分析方法

以下では実際にTeams監査ログ機能を使用するための設定方法をご説明します。

Teams監査ログ設定方法

作業前提

Microsoft Teamsの管理者権限を持っている。
設定を行う前に、Microsoft Teamsのセキュリティ設定やコンプライアンス要件を確認しておく。
Microsoft 365コンプライアンスセンターでTeams監査ログ検索のライセンスを有効にする。

設定手順

監査を有効化

Exchange Online PowerShellに接続します。
PowerShellを使用して、監査を有効にします。

PowerShell：
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

PowerShell Exchange Onlineで
UnifiedAuditLogIngestionEnabledプロパティがtrueになっていれば、監査が有効になっています。

監査が有効になっている

監査を無効化

Exchange Online PowerShellに接続します。
PowerShellを使用して、監査を無効にします。

PowerShell：
Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

PowerShell Exchange Onlineで
UnifiedAuditLogIngestionEnabledプロパティがfalseになっていれば、監査が無効になっています。

PowerShellでの無効の確認

取得手順

Teams監査ログを取得する際には、
コンプライアンスポータル(Microsoft Purview)に移動します。
サイドバーから監査を選択し、監査ツールに移動します。

監査　ホーム画面

新しい検索を選択します。
さまざまな検索条件を使用して、検索を実行します。
新しい検索では、以前の検索に比べ機能がアップグレードされました。
- 最大10個の検索結果を同時に表示できるようになりました。
- 完了した検索結果は30日間保存され、顧客は監査履歴検索を参照できるようになりました。

監査　新しい検索

検索結果を選択すると詳細画面になります。
エクスポートをすると、CSV形式でローカルに保存することができます。
※実際のデータを使用する場合、
重要な情報が含まれるため、各企業の運用ルールに従い厳重に保管するようにしてください。

検索結果の詳細画面

Teams監査ログ分析ツール

Teamsの監査ログを分析するためのツールや手法について紹介します。

Power BI

Teamsの監査ログデータをビジュアル化し、洞察を得るための強力なツールです。
Teams監査ログデータをPower BIに取り込み、
カスタマイズ可能なダッシュボードやレポートを作成し、
組織内のトレンドやパターンを視覚化することができます。
さらに、Power BIは自動化されたアラートや通知を設定することもできます。

クエリ言語（KQL）

Teamsの監査ログデータを分析する際には、
クエリ言語（KQL）を使用することができます。
KQLを使用すると、
特定のアクティビティやイベントをフィルタリングし、
必要なデータを抽出することができます。
例えば、「特定のユーザーが特定のチャネルでのメッセージを削除した」
といったアクションを特定するために、KQLクエリを使用することができます。