<p> 本記事は<strong>Geminiの出力をプロンプト工学で整理した業務ドラフト（未検証）</strong>です。</p> <h1 class="wp-block-heading">Microsoft 365 環境向け高度な監視とアラート設定のアーキテクチャ</h1> <p>Microsoft 365（M365）は、現代のビジネスにおいて不可欠なコラボレーションおよび生産性ツール群を提供しますが、その広範な機能は同時に複雑な監視とセキュリティの課題も生み出します。この文書では、M365環境における高度な監視とアラート設定のための包括的なアーキテクチャ、具体的な手順、運用、セキュリティ、コスト最適化、および潜在的な落とし穴について解説します。</p> <h2 class="wp-block-heading">1. アーキテクチャの概要</h2> <p>M365環境の包括的な監視を実現するためには、M365サービスから生成される多様なログデータを一元的に収集・分析し、適切なアラートを発報する仕組みを構築することが不可欠です。主要なコンポーネントとしては、Microsoft 365の統一監査ログ、Microsoft 365 Defenderスイート、Microsoft Purview、Microsoft Entra ID（旧 Azure Active Directory）、そしてAzure Monitor（Log Analytics、アラートルール）が挙げられます。</p> <p>以下のフローチャートは、M365環境から監視データが収集され、分析、アラート生成、対応に至るまでの推奨アーキテクチャを示しています。</p> <div class="wp-block-merpress-mermaidjs diagram-source-mermaid"><pre class="mermaid"> graph TD subgraph "Microsoft 365 Services" A["Microsoft Entra ID"] -->|サインイン/監査ログ| B C["Exchange Online"] -->|監査ログ/メールフロー| B D["SharePoint Online/OneDrive"] -->|監査ログ/ファイルアクティビティ| B E["Microsoft Teams"] -->|監査ログ/通信アクティビティ| B F["Microsoft Purview (Compliance)"] -->|監査ログ/データライフサイクル| B end B("M365 統一監査ログ") -->|連携 (Diagnostic Settings/Connector)| G["Azure Log Analytics Workspace"] subgraph "Azure Monitoring & Security" G -->|KQLクエリ/分析| H["Azure Monitor"] H -->|アラートルール| I["アラートアクション (メール/Teams/Webhook)"] H -->|ダッシュボード/Workbook| J["可視化/レポート"] G -->|脅威検出/SOAR| K["Microsoft Sentinel"] L["Microsoft Entra ID Protection"] -->|リスクイベント| G M["Microsoft Defender for Cloud Apps"] -->|アプリ検出/異常| G end subgraph "Microsoft 365 Defender Portal" N["Defender for Endpoint"] --> O P["Defender for Office 365"] --> O Q["Defender for Identity"] --> O O("Microsoft 365 Defender 統合プラットフォーム") -->|カスタム検出/アラート| I O -->|高度なハンティング| J end I --> Z{"対応プロセス"} </pre></div> <p>[1] 上記のアーキテクチャでは、Microsoft 365の各サービスから出力される監査ログやセキュリティイベントは、M365統一監査ログを通じてAzure Log Analytics Workspaceに集約されます。Log Analyticsでは、Kusto Query Language (KQL) を用いてデータを分析し、Azure MonitorのアラートルールやMicrosoft Sentinelでの脅威検出に活用されます。また、Microsoft 365 Defenderポータルも独自の検出ルールや高度なハンティング機能を提供し、アラートアクションをトリガーします。</p> <h2 class="wp-block-heading">2. 監視設定とデプロイ手順</h2> <p>M365環境の監視は、主にM365ネイティブ機能とAzure Monitorの連携によって実現します。</p> <h3 class="wp-block-heading">2.1. Microsoft 365監査ログのAzure Log Analyticsへの連携</h3> <p>M365の監査ログをAzure Log Analyticsに連携することで、詳細な分析とカスタムアラートが可能になります。Microsoft Learnによると、Microsoft 365の監査ログをLog Analyticsに接続する方法が提供されています。これには、Log Analyticsワークスペース内のコネクタを使用するか、一部のサービスで利用可能な診断設定を利用する方法があります[2]。</p> <p>M365統一監査ログをAzure Log Analyticsへ連携するには、AzureポータルのLog Analyticsワークスペースから「レガシコネクタ」として「Microsoft 365 (Legacy)」を選択し、監査ログの収集設定を行います。</p> <h3 class="wp-block-heading">2.2. Azure Monitorによるカスタムアラート設定</h3> <p>Log Analyticsに収集されたM365のログデータに対し、Azure Monitorを使用してカスタムアラートルールを設定できます。これにより、特定のセキュリティイベントや異常なユーザーアクティビティを迅速に検知し、対応することが可能になります。</p> <p>以下は、Azure CLIを使用して、Log Analyticsに記録されたM365監査ログから「高重要度ファイル削除」イベントを検出するアラートルールを作成する例です。</p> <div class="codehilite"> <pre data-enlighter-language="generic"># Azure CLI を使用したLog Analyticsログアラートの作成例 # このスクリプトは、Log AnalyticsワークスペースにM365監査ログが既に連携されていることを前提とします。 # ログデータから特定のイベントパターンを検出し、アラートを発報します。 # 前提条件: # - Azure CLI がインストールされ、Azure サブスクリプションにログイン済み # - Log Analytics ワークスペースが存在し、M365監査ログが取り込まれている # - アラート通知先のアクショングループ (例: ag-m365-critical) が事前に作成済みであること # 1. 変数の設定 # リソースグループ名 (Log Analyticsワークスペースが存在するリソースグループ) RESOURCE_GROUP="rg-m365-monitoring" # Log Analyticsワークスペース名 LOG_ANALYTICS_WORKSPACE_NAME="la-m365-audit" # 作成するアラートルールの名前 ALERT_NAME="HighSeverityFileDeletionAlert" # アラートルールの説明 ALERT_DESCRIPTION="SharePoint Onlineで高重要度ファイル削除イベントを検出" # 現在のサブスクリプションIDを取得 SUBSCRIPTION_ID=$(az account show --query id --output tsv) # Log AnalyticsワークスペースのリソースIDを取得 WORKSPACE_ID=$(az monitor log-analytics workspace show \ --resource-group "$RESOURCE_GROUP" \ --workspace-name "$LOG_ANALYYTICS_WORKSPACE_NAME" \ --query id --output tsv) # 2. KQLクエリの定義 # M365監査ログからSharePoint Onlineの「FileDeleted」操作で、かつ重要度が「High」のイベントを検索 # クエリの計算量: データ量に比例。O(N) (Nはクエリ対象ログイベント数) # メモリ条件: Log Analyticsサービス側で処理されるため、クライアント側のメモリ消費は小さい。 KQL_QUERY="M365UnifiedAuditLogs | where Operation =~ 'FileDeleted' and Workload =~ 'SharePoint' and Severity =~ 'High'" # 3. アラートルールの作成 # --action-groups には、事前に作成されたアクショングループのリソースIDを指定します。 # 例: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/microsoft.insights/actiongroups/ag-m365-critical" # --condition でログ検索条件を定義: 過去5分間でクエリ結果のイベント数が0より大きい場合 az monitor scheduled-query create \ --name "$ALERT_NAME" \ --resource-group "$RESOURCE_GROUP" \ --location "japaneast" \ --action-groups "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/microsoft.insights/actiongroups/ag-m365-critical" \ --condition "LogAnalytics '$KQL_QUERY' has a count of events greater than 0 in the last 5 minutes" \ --evaluation-frequency "PT5M" \ --window-size "PT5M" \ --severity 1 \ --enabled true \ --description "$ALERT_DESCRIPTION" \ --workspace "$WORKSPACE_ID" echo "アラートルール '$ALERT_NAME' が正常に作成されました。監視開始: 2024年7月26日" </pre> </div> <p>[3]</p> <h3 class="wp-block-heading">2.3. Microsoft 365 Defenderポータルでのアラート設定</h3> <p>Microsoft 365 Defender（M365 Defender）は、エンドポイント、ID、メール、アプリ全体にわたる脅威保護を提供する統合セキュリティプラットフォームです。M365 Defenderポータルでは、高度なハンティングクエリ（KQL）を使用してカスタム検出ルールを作成し、特定のアクティビティや挙動に基づいてアラートを生成することが可能です[4]。これにより、複雑な多段階攻撃や内部脅威を検知できます。</p> <h2 class="wp-block-heading">3. 運用監視と可観測性</h2> <p>効果的な監視運用には、データの可視化、サービス稼働状況の把握、および適切なデータ管理が不可欠です。</p> <ul class="wp-block-list"> <li><p><strong>ダッシュボードと可視化</strong>: Azure MonitorのWorkbooksやLog Analyticsのダッシュボードを活用し、M365の運用状況、セキュリティイベント、ユーザーアクティビティなどを視覚的に把握します。カスタムクエリと豊富なグラフオプションにより、主要なメトリクスを一目で確認できるダッシュボードを構築できます。</p></li> <li><p><strong>M365 Service Health Dashboard</strong>: Microsoft 365管理センター内のサービス正常性ダッシュボードは、M365サービスの障害情報や計画メンテナンス情報を提供する一次情報源です。SLAに影響する可能性のある事象をタイムリーに把握するために定期的に確認します。</p></li> <li><p><strong>ログ保持ポリシーとデータ管理</strong>: Azure Log Analyticsでのログ保持期間は、コンプライアンス要件とコスト考慮に基づき設定します。M365の標準監査ログは通常90日間、E5ライセンスでは1年間保存されますが、長期的なフォレンジック分析やコンプライアンス対応のためにはLog Analyticsでの長期保持を検討します。</p></li> <li><p><strong>バックアップ/DR</strong>: M365のデータはMicrosoftが管理する責任範囲（Shared Responsibility Model）ですが、特定のアプリケーションデータや構成については、Microsoft TeamsやSharePoint Onlineの復元機能、またはサードパーティ製バックアップソリューションを検討することもあります。</p></li> </ul> <h2 class="wp-block-heading">4. セキュリティとコンプライアンス</h2> <p>M365監視は、セキュリティ態勢の強化とコンプライアンスの維持に直結します。</p> <h3 class="wp-block-heading">4.1. アイデンティティと権限境界</h3> <ul class="wp-block-list"> <li><p><strong>Microsoft Entra ID Protection</strong>: Microsoft Entra ID Protection (P2ライセンス必須) は、危険なサインインやユーザーの振る舞いを自動的に検出・修復する機能を提供します[5]。これらのリスクイベントはLog Analyticsに連携され、監視・アラートの強化に役立ちます。</p></li> <li><p><strong>条件付きアクセス (CA)</strong>: Entra ID Protectionからのリスク信号と組み合わせて、ユーザー、デバイス、場所などに基づいたアクセス制御ポリシーを適用します。監視システムが異常を検知した場合、CAポリシーを動的に調整することで、セキュリティリスクを低減できます。</p></li> <li><p><strong>Microsoft Defender for Cloud Apps (MDCA)</strong>: シャドーITの検出、クラウドアプリの使用状況監視、データ損失防止（DLP）機能を提供し、M365環境内および外部クラウドサービスへのセキュリティを強化します。MDCAのアラートもLog Analyticsに連携可能です。</p></li> </ul> <h3 class="wp-block-heading">4.2. ロールベースのアクセス制御 (RBAC)</h3> <p>監視システム自体へのアクセスも厳格に管理する必要があります。</p> <ul class="wp-block-list"> <li><p><strong>Azure RBAC</strong>: Azure MonitorおよびLog Analyticsワークスペースへのアクセスは、最小特権の原則に基づきAzure RBACで制御します。例えば、<code>監視閲覧者</code> ロールはログデータの閲覧のみを許可し、<code>Log Analytics共同作成者</code> はデータ収集設定の管理を許可します。</p></li> <li><p><strong>M365 RBAC</strong>: M365管理センターやセキュリティ/コンプライアンスセンターでの監視関連機能へのアクセスは、M365の組み込みロール（例: <code>セキュリティ閲覧者</code>、<code>監査ログ閲覧者</code>）またはカスタムロールで管理します。</p></li> </ul> <h2 class="wp-block-heading">5. コスト最適化</h2> <p>M365監視のコストは主にAzure Log Analyticsのデータ取り込みと保持、およびAzure Monitorのアラートルールによって発生します。</p> <ul class="wp-block-list"> <li><p><strong>Log Analyticsのデータ取り込み量と保持期間</strong>: 不必要なログデータの収集を停止し、必要なログのみを収集するよう診断設定を最適化します。コンプライアンス要件を満たしつつ、最も費用対効果の高いデータ保持期間を設定します[6]。</p></li> <li><p><strong>アラートルールの最適化</strong>: 不要なアラートルールを無効化し、過度に頻繁に評価されるルールを見直します。アラートの数が増えるほどコストも増加するため、本当に必要なアラートに絞り込みます。</p></li> <li><p><strong>M365ライセンスの活用</strong>: Microsoft 365 E5ライセンスには、Microsoft Entra ID Protection、Microsoft 365 Defenderスイート、高度な監査機能など、多くのセキュリティおよび監視機能が含まれています。これらのライセンス機能を最大限に活用することで、追加の監視ツールへの投資を削減できる場合があります。</p></li> </ul> <h2 class="wp-block-heading">6. よくある落とし穴と対策</h2> <p>M365監視の設定と運用には、いくつかの一般的な課題があります。</p> <ul class="wp-block-list"> <li><p><strong>アラート疲労</strong>: 大量のアラートは担当者の疲労を引き起こし、重要なアラートの見落としにつながります。</p> <ul> <li><strong>対策</strong>: アラートの閾値を適切に設定し、誤検知を減らす。相関関係のあるイベントを統合する。アクション可能なアラートに絞り込む。</li> </ul></li> <li><p><strong>ログ量の急増とコスト増</strong>: 予期せぬログ量の増加は、Log Analyticsのコストを急激に押し上げる可能性があります。</p> <ul> <li><strong>対策</strong>: 定期的にログの使用量を監視し、異常な増加がないか確認する。不要なログ収集を無効化し、データ保持期間を見直す。</li> </ul></li> <li><p><strong>権限の過剰付与</strong>: 監視システムの管理やデータへのアクセスに過度な権限を付与することは、新たなセキュリティリスクを生み出します。</p> <ul> <li><strong>対策</strong>: 最小特権の原則に基づき、Azure RBACとM365 RBACを厳格に適用する。定期的にアクセスレビューを実施する。</li> </ul></li> <li><p><strong>一元化されていない監視</strong>: 各M365サービスやAzureサービスが個別に監視されている場合、全体像の把握が困難になります。</p> <ul> <li><strong>対策</strong>: Azure Log AnalyticsやMicrosoft SentinelといったSIEM (Security Information and Event Management) ソリューションにログを一元化し、統合的な分析と相関付けを行う。</li> </ul></li> </ul> <h2 class="wp-block-heading">7. まとめ</h2> <p>Microsoft 365環境の高度な監視とアラート設定は、セキュリティリスクの早期発見、運用効率の向上、およびコンプライアンス要件の遵守に不可欠です。本記事で示したアーキテクチャ、具体的な設定手順、運用プラクティス、セキュリティ考慮事項、およびコスト最適化戦略を導入することで、組織はM365環境をより安全かつ効率的に管理できるでしょう。継続的な監視と改善を通じて、変化する脅威ランドスケープに対応し、M365の潜在能力を最大限に引き出すことが重要です。</p> <hr/> <p><strong>参照元</strong> [1] Microsoft Learn: 「Microsoft 365 のアクティビティログを Azure Monitor に接続する」, Microsoft, 2024年3月18日更新, <code>https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-collect-microsoft-365-logs</code> [2] Microsoft Learn: 「Microsoft 365 のアクティビティログを Azure Monitor に接続する」, Microsoft, 2024年3月18日更新, <code>https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-collect-microsoft-365-logs</code> [3] Microsoft Learn: 「Azure Monitor でアラートを作成、表示、管理する」, Microsoft, 2024年7月17日更新, <code>https://learn.microsoft.com/ja-jp/azure/azure-monitor/alerts/alerts-overview</code> [4] Microsoft Learn: 「Microsoft 365 Defender のカスタム検出ルールとアラート」, Microsoft, 2024年4月23日更新, <code>https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/custom-detection-rules</code> [5] Microsoft Learn: 「Microsoft Entra ID Protection とは」, Microsoft, 2024年7月15日更新, <code>https://learn.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview-identity-protection</code> [6] Microsoft Learn: 「Azure Monitor のコストの管理」, Microsoft, 2024年7月19日更新, <code>https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/cost-management</code></p>

本記事はGeminiの出力をプロンプト工学で整理した業務ドラフト（未検証）です。

Microsoft 365 環境向け高度な監視とアラート設定のアーキテクチャ

Microsoft 365（M365）は、現代のビジネスにおいて不可欠なコラボレーションおよび生産性ツール群を提供しますが、その広範な機能は同時に複雑な監視とセキュリティの課題も生み出します。この文書では、M365環境における高度な監視とアラート設定のための包括的なアーキテクチャ、具体的な手順、運用、セキュリティ、コスト最適化、および潜在的な落とし穴について解説します。

1. アーキテクチャの概要
2. 監視設定とデプロイ手順
3. 運用監視と可観測性
4. セキュリティとコンプライアンス
1. 4.1. アイデンティティと権限境界
2. 4.2. ロールベースのアクセス制御 (RBAC)
5. コスト最適化
6. よくある落とし穴と対策
7. まとめ
1. 共有:
2. いいね:

1. アーキテクチャの概要

M365環境の包括的な監視を実現するためには、M365サービスから生成される多様なログデータを一元的に収集・分析し、適切なアラートを発報する仕組みを構築することが不可欠です。主要なコンポーネントとしては、Microsoft 365の統一監査ログ、Microsoft 365 Defenderスイート、Microsoft Purview、Microsoft Entra ID（旧 Azure Active Directory）、そしてAzure Monitor（Log Analytics、アラートルール）が挙げられます。

以下のフローチャートは、M365環境から監視データが収集され、分析、アラート生成、対応に至るまでの推奨アーキテクチャを示しています。

graph TD
    subgraph "Microsoft 365 Services"
        A["Microsoft Entra ID"] -->|サインイン/監査ログ| B
        C["Exchange Online"] -->|監査ログ/メールフロー| B
        D["SharePoint Online/OneDrive"] -->|監査ログ/ファイルアクティビティ| B
        E["Microsoft Teams"] -->|監査ログ/通信アクティビティ| B
        F["Microsoft Purview (Compliance)"] -->|監査ログ/データライフサイクル| B
    end

    B("M365 統一監査ログ") -->|連携 (Diagnostic Settings/Connector)| G["Azure Log Analytics Workspace"]

    subgraph "Azure Monitoring & Security"
        G -->|KQLクエリ/分析| H["Azure Monitor"]
        H -->|アラートルール| I["アラートアクション (メール/Teams/Webhook)"]
        H -->|ダッシュボード/Workbook| J["可視化/レポート"]
        G -->|脅威検出/SOAR| K["Microsoft Sentinel"]
        L["Microsoft Entra ID Protection"] -->|リスクイベント| G
        M["Microsoft Defender for Cloud Apps"] -->|アプリ検出/異常| G
    end

    subgraph "Microsoft 365 Defender Portal"
        N["Defender for Endpoint"] --> O
        P["Defender for Office 365"] --> O
        Q["Defender for Identity"] --> O
        O("Microsoft 365 Defender 統合プラットフォーム") -->|カスタム検出/アラート| I
        O -->|高度なハンティング| J
    end

    I --> Z{"対応プロセス"}

[1] 上記のアーキテクチャでは、Microsoft 365の各サービスから出力される監査ログやセキュリティイベントは、M365統一監査ログを通じてAzure Log Analytics Workspaceに集約されます。Log Analyticsでは、Kusto Query Language (KQL) を用いてデータを分析し、Azure MonitorのアラートルールやMicrosoft Sentinelでの脅威検出に活用されます。また、Microsoft 365 Defenderポータルも独自の検出ルールや高度なハンティング機能を提供し、アラートアクションをトリガーします。

2. 監視設定とデプロイ手順

M365環境の監視は、主にM365ネイティブ機能とAzure Monitorの連携によって実現します。

2.1. Microsoft 365監査ログのAzure Log Analyticsへの連携

M365の監査ログをAzure Log Analyticsに連携することで、詳細な分析とカスタムアラートが可能になります。Microsoft Learnによると、Microsoft 365の監査ログをLog Analyticsに接続する方法が提供されています。これには、Log Analyticsワークスペース内のコネクタを使用するか、一部のサービスで利用可能な診断設定を利用する方法があります[2]。

M365統一監査ログをAzure Log Analyticsへ連携するには、AzureポータルのLog Analyticsワークスペースから「レガシコネクタ」として「Microsoft 365 (Legacy)」を選択し、監査ログの収集設定を行います。

2.2. Azure Monitorによるカスタムアラート設定

Log Analyticsに収集されたM365のログデータに対し、Azure Monitorを使用してカスタムアラートルールを設定できます。これにより、特定のセキュリティイベントや異常なユーザーアクティビティを迅速に検知し、対応することが可能になります。

以下は、Azure CLIを使用して、Log Analyticsに記録されたM365監査ログから「高重要度ファイル削除」イベントを検出するアラートルールを作成する例です。

# Azure CLI を使用したLog Analyticsログアラートの作成例


# このスクリプトは、Log AnalyticsワークスペースにM365監査ログが既に連携されていることを前提とします。


# ログデータから特定のイベントパターンを検出し、アラートを発報します。

# 前提条件:


#   - Azure CLI がインストールされ、Azure サブスクリプションにログイン済み


#   - Log Analytics ワークスペースが存在し、M365監査ログが取り込まれている


#   - アラート通知先のアクショングループ (例: ag-m365-critical) が事前に作成済みであること

# 1. 変数の設定


# リソースグループ名 (Log Analyticsワークスペースが存在するリソースグループ)

RESOURCE_GROUP="rg-m365-monitoring"

# Log Analyticsワークスペース名

LOG_ANALYTICS_WORKSPACE_NAME="la-m365-audit"

# 作成するアラートルールの名前

ALERT_NAME="HighSeverityFileDeletionAlert"

# アラートルールの説明

ALERT_DESCRIPTION="SharePoint Onlineで高重要度ファイル削除イベントを検出"

# 現在のサブスクリプションIDを取得

SUBSCRIPTION_ID=$(az account show --query id --output tsv)

# Log AnalyticsワークスペースのリソースIDを取得

WORKSPACE_ID=$(az monitor log-analytics workspace show \
    --resource-group "$RESOURCE_GROUP" \
    --workspace-name "$LOG_ANALYYTICS_WORKSPACE_NAME" \
    --query id --output tsv)

# 2. KQLクエリの定義


# M365監査ログからSharePoint Onlineの「FileDeleted」操作で、かつ重要度が「High」のイベントを検索


# クエリの計算量: データ量に比例。O(N) (Nはクエリ対象ログイベント数)


# メモリ条件: Log Analyticsサービス側で処理されるため、クライアント側のメモリ消費は小さい。

KQL_QUERY="M365UnifiedAuditLogs | where Operation =~ 'FileDeleted' and Workload =~ 'SharePoint' and Severity =~ 'High'"

# 3. アラートルールの作成


# --action-groups には、事前に作成されたアクショングループのリソースIDを指定します。


# 例: "/subscriptions/{subscriptionId}/resourceGroups/{resourceGroup}/providers/microsoft.insights/actiongroups/ag-m365-critical"


# --condition でログ検索条件を定義: 過去5分間でクエリ結果のイベント数が0より大きい場合

az monitor scheduled-query create \
    --name "$ALERT_NAME" \
    --resource-group "$RESOURCE_GROUP" \
    --location "japaneast" \
    --action-groups "/subscriptions/$SUBSCRIPTION_ID/resourceGroups/$RESOURCE_GROUP/providers/microsoft.insights/actiongroups/ag-m365-critical" \
    --condition "LogAnalytics '$KQL_QUERY' has a count of events greater than 0 in the last 5 minutes" \
    --evaluation-frequency "PT5M" \
    --window-size "PT5M" \
    --severity 1 \
    --enabled true \
    --description "$ALERT_DESCRIPTION" \
    --workspace "$WORKSPACE_ID"

echo "アラートルール '$ALERT_NAME' が正常に作成されました。監視開始: 2024年7月26日"

[3]

2.3. Microsoft 365 Defenderポータルでのアラート設定

Microsoft 365 Defender（M365 Defender）は、エンドポイント、ID、メール、アプリ全体にわたる脅威保護を提供する統合セキュリティプラットフォームです。M365 Defenderポータルでは、高度なハンティングクエリ（KQL）を使用してカスタム検出ルールを作成し、特定のアクティビティや挙動に基づいてアラートを生成することが可能です[4]。これにより、複雑な多段階攻撃や内部脅威を検知できます。

3. 運用監視と可観測性

効果的な監視運用には、データの可視化、サービス稼働状況の把握、および適切なデータ管理が不可欠です。

ダッシュボードと可視化: Azure MonitorのWorkbooksやLog Analyticsのダッシュボードを活用し、M365の運用状況、セキュリティイベント、ユーザーアクティビティなどを視覚的に把握します。カスタムクエリと豊富なグラフオプションにより、主要なメトリクスを一目で確認できるダッシュボードを構築できます。
M365 Service Health Dashboard: Microsoft 365管理センター内のサービス正常性ダッシュボードは、M365サービスの障害情報や計画メンテナンス情報を提供する一次情報源です。SLAに影響する可能性のある事象をタイムリーに把握するために定期的に確認します。
ログ保持ポリシーとデータ管理: Azure Log Analyticsでのログ保持期間は、コンプライアンス要件とコスト考慮に基づき設定します。M365の標準監査ログは通常90日間、E5ライセンスでは1年間保存されますが、長期的なフォレンジック分析やコンプライアンス対応のためにはLog Analyticsでの長期保持を検討します。
バックアップ/DR: M365のデータはMicrosoftが管理する責任範囲（Shared Responsibility Model）ですが、特定のアプリケーションデータや構成については、Microsoft TeamsやSharePoint Onlineの復元機能、またはサードパーティ製バックアップソリューションを検討することもあります。

4. セキュリティとコンプライアンス

M365監視は、セキュリティ態勢の強化とコンプライアンスの維持に直結します。

4.1. アイデンティティと権限境界

Microsoft Entra ID Protection: Microsoft Entra ID Protection (P2ライセンス必須) は、危険なサインインやユーザーの振る舞いを自動的に検出・修復する機能を提供します[5]。これらのリスクイベントはLog Analyticsに連携され、監視・アラートの強化に役立ちます。
条件付きアクセス (CA): Entra ID Protectionからのリスク信号と組み合わせて、ユーザー、デバイス、場所などに基づいたアクセス制御ポリシーを適用します。監視システムが異常を検知した場合、CAポリシーを動的に調整することで、セキュリティリスクを低減できます。
Microsoft Defender for Cloud Apps (MDCA): シャドーITの検出、クラウドアプリの使用状況監視、データ損失防止（DLP）機能を提供し、M365環境内および外部クラウドサービスへのセキュリティを強化します。MDCAのアラートもLog Analyticsに連携可能です。

4.2. ロールベースのアクセス制御 (RBAC)

監視システム自体へのアクセスも厳格に管理する必要があります。

Azure RBAC: Azure MonitorおよびLog Analyticsワークスペースへのアクセスは、最小特権の原則に基づきAzure RBACで制御します。例えば、監視閲覧者 ロールはログデータの閲覧のみを許可し、Log Analytics共同作成者 はデータ収集設定の管理を許可します。
M365 RBAC: M365管理センターやセキュリティ/コンプライアンスセンターでの監視関連機能へのアクセスは、M365の組み込みロール（例: セキュリティ閲覧者、監査ログ閲覧者）またはカスタムロールで管理します。

5. コスト最適化

M365監視のコストは主にAzure Log Analyticsのデータ取り込みと保持、およびAzure Monitorのアラートルールによって発生します。

Log Analyticsのデータ取り込み量と保持期間: 不必要なログデータの収集を停止し、必要なログのみを収集するよう診断設定を最適化します。コンプライアンス要件を満たしつつ、最も費用対効果の高いデータ保持期間を設定します[6]。
アラートルールの最適化: 不要なアラートルールを無効化し、過度に頻繁に評価されるルールを見直します。アラートの数が増えるほどコストも増加するため、本当に必要なアラートに絞り込みます。
M365ライセンスの活用: Microsoft 365 E5ライセンスには、Microsoft Entra ID Protection、Microsoft 365 Defenderスイート、高度な監査機能など、多くのセキュリティおよび監視機能が含まれています。これらのライセンス機能を最大限に活用することで、追加の監視ツールへの投資を削減できる場合があります。

6. よくある落とし穴と対策

M365監視の設定と運用には、いくつかの一般的な課題があります。

アラート疲労: 大量のアラートは担当者の疲労を引き起こし、重要なアラートの見落としにつながります。
- 対策: アラートの閾値を適切に設定し、誤検知を減らす。相関関係のあるイベントを統合する。アクション可能なアラートに絞り込む。
ログ量の急増とコスト増: 予期せぬログ量の増加は、Log Analyticsのコストを急激に押し上げる可能性があります。
- 対策: 定期的にログの使用量を監視し、異常な増加がないか確認する。不要なログ収集を無効化し、データ保持期間を見直す。
権限の過剰付与: 監視システムの管理やデータへのアクセスに過度な権限を付与することは、新たなセキュリティリスクを生み出します。
- 対策: 最小特権の原則に基づき、Azure RBACとM365 RBACを厳格に適用する。定期的にアクセスレビューを実施する。
一元化されていない監視: 各M365サービスやAzureサービスが個別に監視されている場合、全体像の把握が困難になります。
- 対策: Azure Log AnalyticsやMicrosoft SentinelといったSIEM (Security Information and Event Management) ソリューションにログを一元化し、統合的な分析と相関付けを行う。

7. まとめ

Microsoft 365環境の高度な監視とアラート設定は、セキュリティリスクの早期発見、運用効率の向上、およびコンプライアンス要件の遵守に不可欠です。本記事で示したアーキテクチャ、具体的な設定手順、運用プラクティス、セキュリティ考慮事項、およびコスト最適化戦略を導入することで、組織はM365環境をより安全かつ効率的に管理できるでしょう。継続的な監視と改善を通じて、変化する脅威ランドスケープに対応し、M365の潜在能力を最大限に引き出すことが重要です。

参照元 [1] Microsoft Learn: 「Microsoft 365 のアクティビティログを Azure Monitor に接続する」, Microsoft, 2024年3月18日更新, https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-collect-microsoft-365-logs [2] Microsoft Learn: 「Microsoft 365 のアクティビティログを Azure Monitor に接続する」, Microsoft, 2024年3月18日更新, https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/log-analytics-collect-microsoft-365-logs [3] Microsoft Learn: 「Azure Monitor でアラートを作成、表示、管理する」, Microsoft, 2024年7月17日更新, https://learn.microsoft.com/ja-jp/azure/azure-monitor/alerts/alerts-overview [4] Microsoft Learn: 「Microsoft 365 Defender のカスタム検出ルールとアラート」, Microsoft, 2024年4月23日更新, https://learn.microsoft.com/ja-jp/microsoft-365/security/defender/custom-detection-rules [5] Microsoft Learn: 「Microsoft Entra ID Protection とは」, Microsoft, 2024年7月15日更新, https://learn.microsoft.com/ja-jp/azure/active-directory/identity-protection/overview-identity-protection [6] Microsoft Learn: 「Azure Monitor のコストの管理」, Microsoft, 2024年7月19日更新, https://learn.microsoft.com/ja-jp/azure/azure-monitor/logs/cost-management

ライセンス：本記事のテキスト/コードは特記なき限り CC BY 4.0 です。引用の際は出典URL（本ページ）を明記してください。
利用ポリシーもご参照ください。