Microsoft 365の監査ログ完全ガイド ― 確認方法・保持期間・長期保管のソリューションまで
「退職者が辞める前に大量のファイルをダウンロードしていたらしい。ログで確認したいが、もう消えていた」——これは、中小企業のIT管理者から実際に寄せられた相談です。
Microsoft 365には「監査ログ」と呼ばれる強力な機能が搭載されています。誰がいつどのファイルを開いたか、管理者がどの設定を変更したか、不審なサインインはなかったか——こうした情報を記録し、いざという時の調査に活用できます。
しかし、多くの中小企業が利用しているBusiness BasicやE3プランでは、監査ログの保持期間はわずか180日です。半年前のインシデントを調査しようとしても、ログはすでに消えています。
この記事では、Microsoft 365の監査ログの基本から、保持期間を延長するための具体的なソリューションまで、中小企業のIT担当者が知っておくべきことを網羅的に解説します。
監査ログとは何か
記録される情報
Microsoft 365の監査ログ(統合監査ログ)は、テナント内で行われたほぼすべてのユーザー操作・管理者操作を記録する仕組みです。Microsoft Purview(旧Microsoft 365コンプライアンスセンター)から確認できます。
記録される主なアクティビティは多岐にわたります。
- ファイル操作: SharePoint Online・OneDrive上でのファイルの閲覧・編集・ダウンロード・削除・共有
- メール操作: Exchange Onlineでのメール送受信・転送・メールボックスへのアクセス
- 認証関連: Microsoft Entra ID(旧Azure AD)でのサインイン成功・失敗・多要素認証(MFA)の使用状況
- 管理者操作: ユーザーの作成・削除・ライセンス割り当て・ポリシー変更
- Teams操作: チャネルの作成・メッセージの削除・会議の開始
- Power Platform: Power Automate・Power Appsの操作
なぜ監査ログが重要なのか
監査ログが必要になるのは、主に以下の場面です。
セキュリティインシデントの調査: 不正アクセスやフィッシング被害が発生した際、「いつ、誰が、どのIPアドレスから、何をしたのか」を特定するための唯一の証拠となります。ログが残っていなければ、被害範囲の特定すらできません。
内部不正の検知・調査: 退職前の従業員による大量のファイルダウンロード、機密情報への不審なアクセスなど、内部不正の兆候を発見し、証拠を保全するために必要です。
コンプライアンス対応: J-SOX(内部統制報告制度)やISMS、Pマークなどの認証ではIT統制の証跡を求められることがあり、監査ログはその根拠資料となります。2026年度末に開始予定のSCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)の★3・★4でもログ取得・保管が要求事項に含まれる見込みです。
トラブルシューティング: 「昨日まで動いていた設定が変わっている」「共有リンクが勝手に作成されている」といった問題の原因特定にも活用できます。
監査ログの有効化 ― Businessプランは要注意
エンタープライズプランの場合
Microsoft 365 E3・E5などのエンタープライズプランでは、監査ログは既定で有効になっています。特別な設定は不要で、すぐに利用できます。
Business Basic / Standard / Premium の場合
中小企業向けのBusinessプランでは、監査ログが既定で無効になっています。 これは非常に見落としやすいポイントです。
有効化するには、Microsoft Purview コンプライアンスポータルにグローバル管理者でサインインし、左メニューから「監査」を選択して、「ユーザーと管理者のアクティビティの記録を開始する」をクリックするだけです。
有効化する前の操作はログに記録されません。 本記事を読んで「まだ有効にしていなかった」と気づいた方は、今すぐ有効化してください。1分で終わります。
監査ログの確認方法
Microsoft Purviewポータルでの検索
最も一般的な方法は、Microsoft Purviewポータルの管理画面を使った検索です。
- Microsoft Purview ポータルにサインイン
- 左メニューから「監査」→「検索」を選択
- 検索条件を設定(日時範囲、アクティビティの種類、対象ユーザーなど)
- 「検索」を実行
- 結果一覧が表示され、CSVでエクスポートも可能
たとえば「特定のユーザーが過去1ヶ月にダウンロードしたファイル」を調べたい場合は、アクティビティに「ファイルをダウンロードしました」、ユーザーに対象者のメールアドレスを指定して検索します。
PowerShellでの検索
大量のログを検索する場合や、検索を定期的に自動化したい場合は、Exchange Online PowerShellの Search-UnifiedAuditLog コマンドレットが便利です。日時範囲やアクティビティの種類、ユーザーを指定して検索し、結果をCSVにエクスポートできます。
ただし、1回の実行で取得できるのは最大5,000件までという制限があるため、大量のログがある場合はページング処理が必要です。
監査ログの保持期間 ― ここが最重要
ここが本記事で最もお伝えしたいポイントです。Microsoft 365の監査ログには保持期間の上限があり、期間を過ぎるとログは自動的かつ不可逆的に削除されます。
ライセンス別の保持期間
| ライセンス | 保持期間 | 監査機能 |
|---|---|---|
| Business Basic / Standard / Premium / E3 など | 180日 | 監査(Standard) |
| E5 / E5 Compliance / E5 eDiscovery and Audit | 1年間(Entra ID・Exchange・OneDrive・SharePoint) | 監査(Premium) |
| E5 + 10年間監査ログ保持アドオン | 最大10年間 | 監査(Premium)+長期保持 |
※ 2023年10月17日以前は監査(Standard)の保持期間は90日でしたが、現在は180日に延長されています。
180日では足りないケース
多くの中小企業はBusiness BasicやE3を利用しているため、保持期間は180日です。しかし、以下のようなケースでは180日では不十分です。
- 内部不正の発覚が遅れた場合: 退職から半年以上経ってから不正が発覚することは珍しくありません
- J-SOX対応: 内部統制の証跡として、通常1年以上の保管が求められます
- フォレンジック調査: サイバー攻撃の初期侵入から検知までの平均日数(滞留時間)は、業種によっては200日を超えることもあります
- SCS評価制度対応: 2026年度末に開始予定のセキュリティ対策評価制度では、ログの適切な保管が求められる見込みです
では、保持期間を延長するにはどうすればよいでしょうか。
保持期間を延長する5つのソリューション
ソリューション1:E5ライセンスへのアップグレード
最もシンプルな方法は、ライセンスをE5系にアップグレードすることです。
設定は不要で、ライセンスを割り当てるだけで保持期間が自動的に1年に延長されます。監査(Premium)の高度な検索機能(メールアイテムへのアクセスログ、検索クエリのログなど)も利用できるようになります。
ただし、コストの問題は無視できません。 Microsoft 365 E5は1ユーザーあたり月額約7,130円(年契約)で、Business Basic(約899円)やE3(約4,500円)と比較すると大幅な増額になります。
コストを抑えるポイント: 全ユーザーをE5にする必要はありません。経営層、情シス管理者、機密情報にアクセスする担当者など重要ユーザーのみにE5ライセンスを割り当てるという運用が現実的です。また、フルE5が不要であれば、E3に「Microsoft 365 E5 eDiscovery and Audit」アドオン(月額約1,500円/ユーザー)を追加する方法もあります。
ソリューション2:PowerShellで定期エクスポート
ライセンスを変更せずに、監査ログを定期的にCSVファイルとしてエクスポートし、外部に保存する方法です。
Exchange Online PowerShellのコマンドを使って、日次や週次で前日分・前週分のログを取得し、ローカルストレージやクラウドストレージ(Azure Blob Storage、SharePointドキュメントライブラリなど)に保存します。Windowsタスクスケジューラーで定期実行すれば自動化も可能です。
メリット: 追加ライセンス費用がかかりません。保存先や保存期間を自由にコントロールできます。
デメリット: スクリプトの作成・保守が必要です。エクスポートしたCSVは生データのため検索・分析には手間がかかります。エクスポート処理が失敗した場合にログが欠落するリスクもあります。
おすすめの企業: IT担当者がPowerShellの基本操作に慣れていて、追加コストを最小限に抑えたい小規模企業。
ソリューション3:Microsoft Sentinelへの取り込み(おすすめ)
Microsoft Sentinelは、Microsoftが提供するクラウドネイティブのSIEM(Security Information and Event Management)です。Microsoft 365の監査ログをSentinelに取り込み、長期保存と高度なセキュリティ分析を同時に実現できます。
SentinelにはMicrosoft 365用のデータコネクタが標準搭載されており、管理画面から数クリックでログの取り込みを開始できます。取り込んだログはAzure上に保管され、KQL(Kusto Query Language)という検索言語で柔軟に検索・分析が可能です。
最大の魅力はコストの安さです。 Microsoft 365の監査ログのデータ取り込み(インジェスト)は無料枠に含まれています。費用が発生するのはログの保存(リテンション)だけで、1GBあたり約17円/月です。
200ユーザー規模の企業で、1日あたり約26MBの監査ログが生成されるケースを想定すると、1年間の保存コストは約161円/年という試算になります。E5ライセンスの年間コスト(1ユーザーでも約85,000円)と比較すると桁違いの安さです。
メリット: 低コストで長期保存が可能。リアルタイムの脅威検知・アラート機能も活用でき、将来のセキュリティ基盤としても有用です。
デメリット: Azureサブスクリプションが必要で、初期設定にはAzureの基礎知識が求められます。
ソリューション4:Office 365 Management Activity API連携
Microsoft 365が提供するManagement Activity APIを使い、監査ログをプログラム的に取得して任意のストレージやSIEM(Splunk、Elastic Stackなど)に転送する方法です。
リアルタイムに近い形でログを取得できるため、既存のSIEM基盤がある企業には最適ですが、API連携の開発・保守が必要なため、小規模企業にはハードルが高いのが正直なところです。自社に開発リソースがある、またはSIEM運用をすでに行っている中堅〜大企業向けの選択肢です。
ソリューション5:サードパーティ製ログ管理サービス
Microsoft純正のソリューション以外にも、サードパーティ製のログ管理・監視サービスを利用する方法があります。
代表的なサービスとしては、LANSCOPE セキュリティオーディター(日本語UIで操作が簡単、監査ログの自動取得・長期保存・可視化が可能)、Veeam Backup for Microsoft 365(メール・ファイルのバックアップに加えログ保存にも対応)、Splunk / Elastic SIEM(大規模環境向けの本格SIEM)などがあります。
メリット: GUIが充実しており、専門知識がなくても運用しやすい製品が多いのが特徴です。日本語サポートが受けられるサービスもあります。
デメリット: サービス利用料が継続的に発生します。
おすすめの企業: IT担当者が1人しかいない(ひとり情シス)環境で、PowerShellやAzureに不慣れな場合。
ソリューション比較まとめ
| ソリューション | 保持期間 | コスト感 | 技術難易度 | おすすめ度 |
|---|---|---|---|---|
| E5ライセンス / Auditアドオン | 1年〜10年 | 高(1,500〜7,130円/user/月) | ★☆☆(設定不要) | 予算があれば◎ |
| PowerShellエクスポート | 無制限 | ほぼゼロ | ★★☆(スクリプト作成) | コスト最優先なら○ |
| Microsoft Sentinel | 無制限 | 極めて安価(年間数百円〜) | ★★☆(Azure初期設定) | コスパ最強 ◎ |
| Management Activity API | 無制限 | 連携先システムに依存 | ★★★(API開発) | 大規模向け △ |
| サードパーティサービス | サービスに依存 | 数百〜数千円/user/月 | ★☆☆(GUI操作) | 運用負荷最小 ○ |
中小企業へのおすすめ
企業の規模やIT体制によって最適解は異なりますが、中小企業向けの現実的な推奨は以下のとおりです。
コスト最優先なら: PowerShellスクリプトで日次エクスポートし、Azure Blob Storage(クール層:1GBあたり約1.3円/月)に保存する方法が最も低コストです。
バランス重視なら: Microsoft Sentinelがおすすめです。監査ログの長期保存だけでなく、不審なサインインの自動検知やアラート通知なども設定でき、「守りのIT」の基盤になります。200ユーザー規模なら年間数百円程度で1年間保存できるコスパの良さも魅力です。
運用負荷を最小化したいなら: 日本語対応のサードパーティサービス(LANSCOPE セキュリティオーディター等)が現実的です。GUIで操作が完結し、サポートも受けられます。
今すぐやるべき3つのこと
1. 監査ログが有効になっているか確認する
特にBusiness Basic / Standard / Premiumプランを利用している場合、既定で無効です。Microsoft Purviewポータルの「監査」画面を確認し、まだなら今すぐ有効化してください。
2. 保持期間が自社の要件を満たしているか確認する
自社のライセンスで監査ログが何日間保持されるのかを把握し、コンプライアンス要件や想定されるインシデント調査のニーズと照らし合わせましょう。180日(約6ヶ月)で十分でしょうか?
3. 不足するなら、長期保存の仕組みを導入する
180日では不十分と判断した場合は、本記事で紹介したソリューションから自社に合った方法を選び、できるだけ早く導入してください。ログは「有効化した時点」からしか記録されず、過去に遡って取得することは不可能です。
まとめ
Microsoft 365の監査ログは、セキュリティ・コンプライアンス・トラブルシューティングのすべてに不可欠な基盤です。しかし、その価値は**「必要な時にログが残っていること」**が前提です。
Business Basic・E3プランの180日間は、多くの企業にとって十分とは言えません。Microsoft Sentinel、E5ライセンス、PowerShellエクスポートなど、自社の予算とIT体制に合ったソリューションで保持期間を延長し、「いざという時にログがない」という事態を防ぎましょう。
監査ログの有効化・長期保管の設定でお困りの方は、情シス365にお気軽にご相談ください。現在のライセンス構成を確認した上で、最適なソリューションをご提案します。