近年、セキュリティインシデントは内部不正や人的ミス、サイバー攻撃など多様化・複雑化しており、ログ管理をはじめとする「備え」がこれまで以上に重要になっています。
本記事では、インシデント対策にログ管理が有効な理由や、Microsoft Purview の監査ログ機能について解説します。
セキュリティインシデントは避けられない?その種類とは
セキュリティインシデントには大きく分けて「内部脅威」と「外部脅威」の 2 種類があり、それぞれに異なる原因や特徴があります。
はじめに、代表的なインシデントである内部不正・人的ミス・サイバー攻撃について、実例を交えながら詳しく見ていきましょう。
【内部脅威】内部不正
内部不正とは、従業員や関係者による悪意ある行動が原因で発生するセキュリティインシデントです。サイバー攻撃といった外部からの脅威に注目が集まりがちですが、実際には内部不正や人的ミスなど、内部起因のインシデントも少なくありません。
典型的な内部不正としては、以下のようなものが挙げられます。
- 許可されていない機密情報の持ち出し
- アクセス権限の悪用
- システムやデータの改ざん・破壊 など
【事例 1】
2013 年、教育関連の大手企業で約 2,900 万件の顧客情報が流出する事件が発生しました。原因は、業務委託先の派遣社員による不正な情報の持ち出しです。
事件後、株価の急落やブランドイメージの悪化を招き、対応に約 230 億円の費用が発生し、最終的な損失は数百億円規模といわれています。
【事例 2】
2023 年にも、通信業界大手の業務委託先に所属する派遣社員が、顧客情報約 596 万件を不正に持ち出す事件がありました。
幸いにもネットワーク監視により不正行為が早期に検知され、不正利用には至りませんでしたが、内部不正のリスクは依然として高いことを示しています。
【内部脅威】人的ミス
人的ミスは、悪意のない従業員のミスによって発生するセキュリティインシデントです。故意ではない判断ミスやケアレスミスによって、重要な情報が流出してしまうケースも多く見られます。
具体例としては、次のようなものが挙げられます。
- メールの誤送信
- アクセス権限の設定ミス
- ID・パスワードの誤った取り扱い
- パソコンや USB メモリの紛失 など
【事例 1】
2024 年、ある私立大学の教育センターにて、メールの誤送信が発生しています。
短期留学プログラムに参加する学生のリストを海外の協定校に送信する際、誤って大学に在籍する全学生の学生番号や所属学部・学科、学年、氏名、生年月日、国籍などの個人情報が含まれたマスターデータファイルを添付したまま協定校の担当者 3 名に送信してしまい、大きな問題となりました。メールには、計 13,949 名もの個人情報が添付されていたそう。
協定校にて、データはただちに削除されています。
【事例 2】
2023 年には、スマートフォン向けゲームアプリなどの開発を手がける企業が最大約 93 万人分の個人情報が漏えいした可能性があると発表しました。
原因は、クラウドサービスの閲覧設定の誤りです。2017 年から 6 年半もの間、URL さえ知っていれば誰でもアクセスできる状態が放置されていたことが発覚し、問題になりました。
【外部脅威】サイバー攻撃
サイバー攻撃は、組織の外部から行われる悪意ある攻撃によって発生するセキュリティインシデントです。近年では攻撃手法の多様化が進み、企業にとってより深刻な脅威となっています。
代表的な攻撃手法には、以下のようなものがあります。
- ランサムウェア
- 標的型攻撃
- サプライチェーン攻撃
- フィッシング詐欺 など
【事例 1】
2020 年、大手自動車メーカーがランサムウェア攻撃の被害を受け、国内外の複数の工場が一時稼働停止となりました。
ランサムウェアは、データを暗号化して復元のために身代金を要求するマルウェアの一種です。情報流出はなかったとされていますが、生産ライン停止による損害は甚大でした。
【事例 2】
2014 年には、航空業界の大手企業が標的型攻撃によってマルウェアに感染し、約 4,000 件の顧客情報が流出しました。
標的型攻撃とは特定の個人や組織を対象に攻撃する手法で、本件では不審なメールの添付ファイルを開封したことが感染経路となった典型的なケースです。
ログ管理はセキュリティインシデントになぜ有効?
企業がデジタルツールを活用して業務を進めるなかで、セキュリティインシデントの発生を完全に防ぐのは難しいのが現実です。むしろ、ゼロトラストの侵害など、ある程度のリスクを前提と捉えた設計や事前の備えが求められています。
インシデントへの備えや対策に有効な手段のひとつが、「ログ管理」です。インシデント発生後の対応を迅速かつ的確に行うためにも、ログの取得と活用は欠かせません。
ここでは、ログ管理の重要性について詳しく見ていきましょう。
迅速な復旧を行得る
ログ管理の最も重要な役割のひとつは、セキュリティインシデント発生時における「原因の追跡」と「影響範囲の把握」です。
たとえば、マルウェア感染や不正アクセスが発生した場合でも、ログを確認することで「いつ・誰が・どのような操作を行ったのか」を特定できます。
これにより、インシデントへの初動対応が迅速になるだけでなく、復旧作業や再発防止策の立案にも役立ちます。サイバー攻撃が多発する現代において、適切なログの記録と保管は不可欠です。
不正を抑制できる
操作ログやアクセスログの取得・管理を社内に周知しておくと、内部不正の抑止力としての効果も期待できます。「自分の行動が記録されている」という認識があるだけで、従業員の情報リテラシーやコンプライアンス意識が高まりやすくなるでしょう。
このように、ログ管理は「万が一のための備え」であると同時に、「インシデントを未然に防ぐための手段」でもあるのです。
法的要件を満たすことができる
2022 年の個人情報保護法改正により、個人情報が漏洩した場合には個人情報保護委員会への報告が義務付けられました。漏洩の内容や原因、影響範囲などを正確に報告するためには、適切に取得・保管されたログが不可欠です。
さらに、日本セキュリティ監査協会が発行する「サイバーセキュリティ対策マネジメントガイドライン」では、ログの保存期間は 1 年以上が望ましいとされています。企業の信頼性を維持・向上させるためにも、計画的かつ継続的なログ管理体制の構築が必要です。
ログ管理には Microsoft Purview の監査ログが使える
Microsoft 365 環境におけるログ管理には、Microsoft Purview の監査ログ機能が役立ちます。
ここでは、Microsoft Purview の監査ログで取得可能な情報や有効化の手順などについて詳しく解説します。
Microsoft Purview の監査ログって何?どんな情報が取れる?
Microsoft Purview の監査ログは、Microsoft 365 環境内でのユーザーや管理者のアクティビティを記録・管理する機能です。サービスの利用状況を細かく調査できるため、セキュリティ対策やコンプライアンス対応に役立ちます。
監査ログでは、おもに以下のような情報を取得可能です。
- タイムスタンプ
- ユーザー名
- IP アドレス
- 利用されたサービス
- 具体的な操作内容
Microsoft Purview の監査ログはライセンスによって保存期間が違う!
Microsoft Purview の監査ログの保存期間は、以下のように利用している Microsoft 365 のライセンスによって異なる点に注意しましょう。
- Microsoft 365 E3:最大 180 日間
- Microsoft 365 E5:最大 1 年間
- Microsoft 365 E5 + 監査ログ追加ライセンス:最大 10 年間
たとえば、ログを 1 年以上保管したい場合には、Microsoft 365 E3 のライセンスでは対応できません。保存期間を延ばすには、E5 ライセンスへの切り替えや外部ソリューションのログ管理ツールの活用といった対応が必要になります。
Microsoft Purview の監査ログはどう有効化する?
Microsoft Purview の監査ログ機能は通常、デフォルトでの有効化が必要です。
新しい Microsoft 365 organization を設定する際などには、監査ログが有効化されているかを確認する必要があります。
監査ログを有効化する手順は、以下のとおりです。
- Microsoft Purview ポータルにサインインする
- 「監査ソリューション」カードを選択する
- 監査ログが有効になっていない場合、アクティビティの記録の開始を求めるバナーが表示される
- 「ユーザーと管理者のアクティビティの記録を開始する」バナーを選択する
なお、変更が有効になるまでに最大で 60 分程度かかる場合があります。
デフォルト機能でカバーできない場合は外部ソリューションも検討して
Microsoft 365 を利用している企業であれば、Microsoft Purview の監査ログ機能を活用することで基本的なログ取得や監査はカバーできます。
ただし、標準機能では「ログの保存期間が短い」「必要な情報の抽出や分析が難しい」といった課題もあり、インシデント発生時に業務が滞ってしまうリスクもあるため、必要に応じて外部ソリューションの導入も検討してみましょう。
たとえば、AvePoint が提供するソリューションはログを無期限に保管できるだけでなく、監査ログを自動で整形し、直感的にフィルタリングして必要な情報を簡単に特定できます。
こうした外部ツールも活用しながら、自社に最適なログ管理体制を構築していきましょう。セキュリティインシデントに備えるログ管理の方法については下記の eBook でも詳しく紹介していますので、ぜひご活用ください。
