SCS評価制度★3 証跡・監査ログ実装ガイド ― Microsoft 365 / Google Workspace で具体的にどう取るか【2026年版】
SCS評価制度(サプライチェーン強化に向けたセキュリティ対策評価制度)★3の自己宣言書では、「対策している」だけでは不十分で、**証跡(スクリーンショット・ログ・設定エクスポート)**との紐付けが審査・差し戻し対応で問われます。
中小企業の多くは Microsoft 365 / Google Workspace を業務基盤としており、これらのプラットフォームには SCS 評価項目の証跡として使える機能が標準で備わっています。本記事では、SCS★3の評価項目領域別に、M365 / GWS で具体的に何を設定し、どこからログを取得し、どう保管するかを整理します。
なお、SCS の評価項目体系はSCS評価制度★3・★4セルフチェックリストを、文書化テンプレートはSCS★3 文書化テンプレート集を参照してください。
証跡として求められる7つの領域
SCS★3で求められる証跡は、大きく以下の7領域に分類できます。
| 領域 | 評価観点 | 主な証跡 |
|---|---|---|
| 1. アクセス制御・認証 | MFA、条件付きアクセス、特権分離 | Entra ID / Google 認証ログ・設定 |
| 2. エンドポイント保護 | EDR/MDM 配信、コンプライアンス | Defender / Intune / Jamf |
| 3. データ保護・DLP | 機密データの分類・暗号化 | Purview / DLP |
| 4. メール・通信 | SPF/DKIM/DMARC、フィッシング対策 | Defender for Office 365 / Gmail |
| 5. 監査ログ・脅威検知 | 改ざん防止、保管期間、レビュー | Purview Audit / Google Audit |
| 6. バックアップ・事業継続 | バックアップ取得、復旧テスト | M365 / GWS バックアップ |
| 7. 委託先・サプライチェーン | アカウント管理、アクセス権棚卸し | Entra ID Access Reviews 等 |
それぞれの領域で「どの管理コンソールから、何を、どう取得するか」を以降で解説します。
領域1|アクセス制御・認証
1-1. Microsoft 365(Entra ID)の場合
設定すべき項目:
- 全ユーザーの多要素認証(MFA)必須化
- 条件付きアクセス(地理的制限、リスクサインイン対応)
- 特権アカウントの FIDO2 必須化
- パスワードポリシー(最小長、複雑性、有効期限)
- セルフサービスパスワードリセット(SSPR)
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| MFA有効化状況 | Entra ID 管理コンソール → ユーザー → 認証方法 | スクリーンショット |
| 条件付きアクセスポリシー一覧 | Entra ID → セキュリティ → 条件付きアクセス | エクスポート(JSON) |
| サインインログ | Entra ID → モニタリング → サインインログ | CSV エクスポート(30日分) |
| 特権ロール割り当て | Entra ID → ロールと管理者 | スクリーンショット |
M365 Business Premium 以上であれば、上記のすべてが標準で利用可能です。
1-2. Google Workspace の場合
設定すべき項目:
- 全ユーザーの2段階認証プロセス必須化
- コンテキストアウェアアクセス
- 管理者ロールの分離
- パスワードポリシー
- セッションコントロール
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| 2段階認証プロセス有効化状況 | Admin Console → セキュリティ → 2段階認証プロセス | レポートエクスポート |
| ログイン監査ログ | Admin Console → レポート → 監査と調査 → ログイン | CSV エクスポート |
| コンテキストアウェアアクセス設定 | Admin Console → セキュリティ → コンテキストアウェアアクセス | スクリーンショット |
| 管理者ロール一覧 | Admin Console → 管理者ロール | スクリーンショット |
1-3. 共通:アクセス権の年次棚卸し
★3評価項目では、アクセス権の定期的な棚卸しが求められます。
| 環境 | 機能 | 推奨頻度 |
|---|---|---|
| Entra ID | Entra ID Access Reviews(P2必要) | 四半期 |
| Entra ID | グループメンバーシップレビュー | 四半期 |
| Google Workspace | グループ管理レビュー | 四半期 |
| 業務SaaS | 各SaaSの管理者画面 | 半期 |
棚卸し記録(誰が、いつ、何を確認したか)の議事録を残します。
領域2|エンドポイント保護
2-1. Microsoft 365 の場合
設定すべき項目:
- Microsoft Defender for Business(EDR)の全端末展開
- Intune による端末管理(コンプライアンスポリシー)
- BitLocker 暗号化
- Windows Update for Business
- アプリケーション制御(AppLocker / WDAC)
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| Defender 配信状況 | Microsoft Defender ポータル → デバイス | スクリーンショット(カバレッジ率) |
| Defender 検知履歴 | Microsoft Defender ポータル → インシデント | CSV エクスポート |
| Intune コンプライアンス | Intune 管理センター → デバイス → コンプライアンス | レポートエクスポート |
| BitLocker 状態 | Intune → エンドポイントセキュリティ → ディスク暗号化 | レポート |
| Windows Update 状況 | Intune → レポート → Windows Update | レポート |
2-2. Google Workspace の場合
設定すべき項目:
- ChromeOS / Chrome Enterprise の集中管理
- BeyondCorp Enterprise(必要に応じて)
- 端末管理(モバイル管理機能)
- セーフブラウジング有効化
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| ChromeOS 管理状況 | Admin Console → デバイス → Chrome | スクリーンショット |
| モバイル管理状況 | Admin Console → デバイス → モバイル | レポート |
| セキュリティ調査ツール検知 | Security Center → 調査ツール | クエリ結果エクスポート |
ChromeOS 以外(Mac/Windows)の場合は、別途 EDR(Defender / CrowdStrike等)と組み合わせます。
領域3|データ保護・DLP
3-1. Microsoft 365 の場合
設定すべき項目:
- Microsoft Purview Information Protection(旧 AIP)でのラベル付与
- DLP ポリシー(個人情報、機密文書の検知・ブロック)
- 暗号化(Office 文書、メール)
- 共有制御(外部共有制限)
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| ラベル定義 | Purview ポータル → 情報保護 → ラベル | スクリーンショット |
| DLP ポリシー一覧 | Purview ポータル → DLP → ポリシー | エクスポート |
| DLP 検知イベント | Purview ポータル → アラート | レポート |
| SharePoint / OneDrive 外部共有設定 | SharePoint 管理センター → ポリシー → 共有 | スクリーンショット |
3-2. Google Workspace の場合
設定すべき項目:
- DLP(Workspace 管理コンソールの DLP ルール)
- ドライブの共有設定(組織外共有制限)
- ラベル機能(Drive ラベル)
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| DLP ルール一覧 | Admin Console → セキュリティ → DLP → ルール | エクスポート |
| DLP 検知ログ | Admin Console → セキュリティ → アラートセンター | レポート |
| Drive 共有設定 | Admin Console → アプリ → Drive とドキュメント → 共有設定 | スクリーンショット |
領域4|メール・通信のセキュリティ
4-1. SPF/DKIM/DMARC(共通)
ドメインのなりすまし防止は、M365 / GWS いずれでも DNS 設定で実装します。
設定確認方法:
# SPF レコード確認
dig +short TXT example.com | grep spf
# DKIM レコード確認(M365 の例:selector1._domainkey.example.com)
dig +short TXT selector1._domainkey.example.com
# DMARC レコード確認
dig +short TXT _dmarc.example.com証跡:
- DNS 設定のエクスポート
- DMARC レポート(p=quarantine または p=reject 設定)
- DKIM 署名済み送信メールのヘッダ
4-2. Microsoft Defender for Office 365
設定すべき項目:
- フィッシング対策ポリシー(Anti-phishing policy)
- 安全な添付ファイル(Safe Attachments)
- 安全なリンク(Safe Links)
- メールフロールール
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| Anti-phishing 設定 | Defender ポータル → メール&コラボレーション → ポリシー | エクスポート |
| 検疫メールログ | Defender ポータル → 検疫 | CSV エクスポート |
| 攻撃シミュレーション結果 | Defender ポータル → 攻撃シミュレーショントレーニング | レポート |
4-3. Gmail(Google Workspace)
設定すべき項目:
- Gmail 高度な保護機能
- 不審メールの隔離設定
- セキュアな転送設定(外部転送制限)
証跡取得方法:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| Gmail セキュリティ設定 | Admin Console → アプリ → Google Workspace → Gmail → セキュリティ | スクリーンショット |
| メールセキュリティアラート | Admin Console → セキュリティ → アラートセンター | レポート |
領域5|監査ログ・脅威検知
5-1. 監査ログの保管期間と要件
★3 では、監査ログの1年以上の保管が求められるのが標準です。
| プラットフォーム | 標準保管 | 拡張保管 |
|---|---|---|
| Microsoft 365 (E3/Business Premium) | 90日 | Purview Audit Premium で1〜10年 |
| Microsoft 365 (E5) | 1年 | Purview Audit Premium で最大10年 |
| Google Workspace Business Standard | 6ヶ月 | – |
| Google Workspace Business Plus | 6ヶ月 | エクスポートして別保管 |
| Google Workspace Enterprise | 6ヶ月〜 | – |
中小企業向け Business プランの場合、標準保管期間が短いため、定期的なエクスポートと別保管が必要です。
5-2. Microsoft 365 監査ログ
取得すべきログ:
- Unified Audit Log(Exchange、SharePoint、OneDrive、Teams、Entra ID 横断)
- Entra ID サインインログ
- Defender 検知ログ
- Purview DLP 検知ログ
取得方法:
# PowerShell での Unified Audit Log 取得例
Connect-ExchangeOnline
$startDate = (Get-Date).AddDays(-30)
$endDate = Get-Date
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -ResultSize 5000 |
Export-Csv -Path "audit-log-$(Get-Date -Format yyyyMMdd).csv" -NoTypeInformation証跡保管:
- 月次でログをエクスポート
- 別ストレージ(OneDrive 専用フォルダ or 別 SaaS)に格納
- アクセス権限を限定(情シス責任者・専門家のみ)
5-3. Google Workspace 監査ログ
取得すべきログ:
- ログイン監査
- 管理者監査
- Drive 監査
- メール監査
- グループ監査
取得方法:
| ログ | 取得元 |
|---|---|
| 各監査ログ | Admin Console → レポート → 監査と調査 |
| BigQuery エクスポート | Admin Console → アカウント → アカウント設定 → BigQuery エクスポート |
| API 経由 | Reports API |
長期保管が必要な場合、BigQuery エクスポートで BigQuery に永続化するのが推奨です。
5-4. SIEM への集約(任意)
SCS★3 では SIEM の導入は必須ではありませんが、★4・★5へのステップアップを視野に入れる場合、SIEM 統合を検討します。
| SIEM | 特徴 | 月額目安 |
|---|---|---|
| Microsoft Sentinel | M365 統合、KQL | データ量課金 |
| Splunk | エンタープライズ実績 | 高 |
| Datadog Cloud SIEM | クラウドネイティブ | 中 |
| Elastic Security | OSS 自社運用可 | 自社運用次第 |
中小企業の段階では、監査ログを月次エクスポートして OneDrive / Drive で保管するシンプルな運用で十分です。
領域6|バックアップ・事業継続
6-1. Microsoft 365 のバックアップ
M365 標準機能では、SCS★3 が求める「3-2-1ルール」を満たすバックアップが不十分です。第三者バックアップを推奨します。
選択肢:
- Microsoft 365 Backup(Microsoft 公式、2024年GA)
- AvePoint Cloud Backup
- Veeam Backup for Microsoft 365
- Acronis Cyber Protect Cloud
- Backupify
証跡取得:
| 証跡 | 取得元 | 保管 |
|---|---|---|
| バックアップ取得状況 | 各製品の管理コンソール | レポート |
| バックアップ対象範囲 | 設定エクスポート | スクリーンショット |
| 復旧テスト結果 | 自社で記録 | 議事録 |
6-2. Google Workspace のバックアップ
GWS も同様に第三者バックアップが推奨されます。
選択肢:
- Spanning Backup for Google Workspace
- Backupify
- Acronis Cyber Protect Cloud
- Datto
6-3. 復旧テストの実施
★3 では「バックアップを取っている」だけでなく、「復旧できることを確認している」ことが評価項目です。
実施方法:
四半期に1回、以下を実施:
1. 任意のユーザーのメールを過去30日前から復旧
2. 任意のSharePoint / Drive ファイルを過去30日前から復旧
3. 所要時間を計測
4. 復旧結果を議事録化議事録には、実施日・実施者・対象データ・所要時間・成否・課題を記録します。
領域7|委託先・サプライチェーン
7-1. 委託先のアクセス管理
委託先・派遣スタッフへの M365 / GWS アカウント発行は、ゲストアカウントとして管理することが推奨されます。
Entra ID の場合:
- B2B Collaboration(ゲストユーザー)
- アクセスレビュー(Access Reviews)
- 期限付きアクセス(PIM、Entitlement Management)
Google Workspace の場合:
- 組織外ユーザーへの一時的な共有
- グループへの追加・削除の監査
- アクセス期限の設定
7-2. 委託先アクセスの年次棚卸し
年次棚卸し項目:
- アクティブなゲストアカウントの一覧化
- 委託先別のアクセス権限
- 不要アカウントの削除
- 委託契約終了後のアクセス剥奪確認棚卸し記録は、SharePoint Online / Drive のセキュリティフォルダに保管します。
7-3. 委託先管理規程との紐付け
SCS評価制度の「委託先管理」実装ガイドで扱う委託先管理規程と、技術的な実装証跡(Entra ID / GWS 設定)を紐付けます。
証跡保管のベストプラクティス
証跡の取得方法を整理したら、保管・運用ルールを確立します。
保管場所の標準化
すべての証跡を同じフォルダ構成で保管します。
SharePoint Online / Google Drive
└── SCS 証跡(限定アクセス)
├── 01_アクセス制御_認証
│ ├── 2026Q1
│ ├── 2026Q2
│ └── ...
├── 02_エンドポイント保護
├── 03_データ保護_DLP
├── 04_メール_通信
├── 05_監査ログ
├── 06_バックアップ_BCP
└── 07_委託先管理アクセス権限の制御
- 情シス責任者:フルアクセス
- セキュリティ責任者:フルアクセス
- 専門家(外部):閲覧のみ
- 経営層:閲覧のみ
- その他:アクセスなし
改ざん防止策
- SharePoint バージョン履歴有効化
- 削除制限(保持ラベル)
- 監査ログ自体の保管場所を別系統に置く
取得頻度の標準化
| 証跡種別 | 取得頻度 |
|---|---|
| 設定スクリーンショット | 半年 or 設定変更時 |
| 監査ログ | 月次エクスポート |
| 棚卸し議事録 | 四半期 |
| 復旧テスト記録 | 四半期 |
| 専門家レビュー記録 | 年次 |
取得・保管の自動化
中小企業でも、以下の自動化で運用負荷を下げられます。
Microsoft 365 の自動化例
PowerShell スクリプトの定期実行:
# 月次 Unified Audit Log エクスポート(Azure Automation等で実行)
Connect-ExchangeOnline
$startDate = (Get-Date).AddMonths(-1)
$endDate = Get-Date
$filename = "audit-log-$($startDate.ToString('yyyyMM')).csv"
Search-UnifiedAuditLog -StartDate $startDate -EndDate $endDate -ResultSize 5000 |
Export-Csv -Path $filename -NoTypeInformation
# SharePoint へアップロード
$ctx = New-Object Microsoft.SharePoint.Client.ClientContext($url)
# (略:認証とアップロード処理)Google Workspace の自動化例
Apps Script + Reports API:
function exportAuditLogs() {
const today = new Date();
const oneMonthAgo = new Date(today.getFullYear(), today.getMonth() - 1, 1);
// Reports API でログ取得
const reports = AdminReports.Activities.list('all', 'login', {
startTime: oneMonthAgo.toISOString(),
endTime: today.toISOString()
});
// CSV化して Drive 保存
const csv = convertToCsv(reports.items);
const folder = DriveApp.getFolderById('SCS-EVIDENCE-FOLDER-ID');
folder.createFile(`login-log-${oneMonthAgo.toISOString().slice(0,7)}.csv`, csv);
}毎月1日に自動実行するスケジュールを設定します。
専門家レビュー時の証跡提示
★3 自己宣言の専門家レビュー時、専門家から「具体的な証跡を見せてほしい」と求められます。準備のポイント:
- 各評価項目についてどのフォルダの・どのファイルが証跡かを明示
- 専門家が独立にアクセスできる権限を準備
- 直近6ヶ月分の証跡を即座に提示できる状態を維持
- 「設定スクリーンショット」「ログサンプル」「議事録」の3点セットで揃える
チェックリスト ― 7領域の証跡完備度
最後に、自社の証跡完備度を確認できるチェックリストを示します。
領域1:アクセス制御・認証
- 全ユーザー MFA / 2段階認証必須化設定のスクリーンショット
- 条件付きアクセス / コンテキストアウェアアクセスのポリシーエクスポート
- サインインログ(30日以上)
- アクセス権棚卸し議事録(四半期)
領域2:エンドポイント保護
- EDR 配信カバレッジレポート
- EDR 検知履歴
- 端末コンプライアンスレポート
- BitLocker / 暗号化状況レポート
領域3:データ保護・DLP
- ラベル定義スクリーンショット
- DLP ポリシーエクスポート
- DLP 検知イベントレポート
- 外部共有設定スクリーンショット
領域4:メール・通信
- SPF/DKIM/DMARC DNS設定
- DMARC レポート
- Anti-phishing 設定エクスポート
- フィッシング演習結果
領域5:監査ログ・脅威検知
- 月次監査ログエクスポート(過去12ヶ月)
- ログ保管場所のアクセス権設定
- ログレビュー議事録
領域6:バックアップ・事業継続
- バックアップ取得状況レポート
- 復旧テスト議事録(四半期)
- バックアップ対象範囲文書
領域7:委託先・サプライチェーン
- ゲストアカウント一覧
- 委託先アクセス権棚卸し議事録(年次)
- 委託契約終了後のアクセス剥奪記録
6領域以上で証跡完備なら、★3 自己宣言の差し戻しリスクが大きく下がります。
まとめ
SCS★3 の証跡実装は、Microsoft 365 / Google Workspace の標準機能で多くがカバーできます。
- 7領域で証跡を体系化する(認証/エンドポイント/データ/メール/監査ログ/BCP/委託先)
- M365 と GWS で機能名は異なるが、評価観点は同じ
- 監査ログは1年以上の保管が求められる(標準保管が短いプランは別保管が必要)
- 証跡フォルダの標準化で運用負荷を下げる
- 自動化で取得・保管を継続化する
★3 取得時の証跡実装が固まれば、★4・★5へのステップアップ、インシデント発生時の対応、年次更新もスムーズに進みます。
関連記事:SCS評価制度★3 取得後の維持・年次更新ガイド / インシデント発生時のSCS評価への影響と対応 / SCS評価制度★3 文書化テンプレート集 / SCS評価制度★3・★4セルフチェックリスト