Microsoft 365 ログの保護と保持についの詳細
Microsoft 365 は、さまざまなシステム コンポーネントを含んだ動的で巨大なクラウドです。 Microsoft の環境からのログ データを効率的に処理してログを変更から保護するために、Microsoft ではセキュリティで保護された集中処理およびストレージ サービスを使用してログの収集と分析を行っています。
ログの集計
各システムには、システム ベースラインの一部としてインストールされるカスタム ログ エージェント Office Data Loader (ODL) が含まれています。 ODL は、Microsoft 365 セキュリティ チームによって定義された中央ログ ポリシーを適用し、ログ データを処理とストレージの一元化されたサービスにアップロードする責任を負います。 ODL は、すべてのエンド ユーザー情報を自動的にスクラブし、数分ごとにイベントをバッチでアップロードするように構成され、顧客データを含むフィールドを削除してハッシュ値に置き換えます。 すべてのログ データ転送は、承認されたポートとプロトコルで FIPS 140-2 で検証された TLS 暗号化接続を介して行われ、転送中のログ データを保護します。 監査レコードの内容と時間順序に対する永続的または元に戻せない変更は、前に説明したスクラブとは別に禁止されています。 ログ データは、ほぼリアルタイムの分析のために独自のセキュリティ監視ソリューションにアップロードされ、潜在的なセキュリティ イベントとパフォーマンス インジケーターのログを確認します。 ログは、長期的なストレージのためにビッグ データ コンピューティング サービス (Azure Data Lake) にもアップロードされます。 中央ストレージ サービスは監査ログに監査ストレージ領域を動的に割り当て、ストレージ領域がないためにデータが失われなくなります。 監査処理エラーが報告され、必要に応じて Microsoft 365 セキュリティにエスカレートされます。
ログの保持
Microsoft 365 では、セキュリティのベスト プラクティスおよび遵守規則に従って監査ログ データを保持します。 ほとんどの種類の監査ログ データは、インシデント調査および遵守要件に対応するために、最低でも 90 日間保持されます。 サービス チームは、それぞれのアプリケーションのニーズに対応するために、特定の種類のログ データ用に異なる保持期間を選択することができます。
さらに、Microsoft 365 では、セキュリティ インシデントの調査と規制保持要件を満たすために、内部データ ストレージおよびコンピューティング サービスに、少なくとも 1 年間は、多くの種類の監査レコードを保持します。 このログ データへのアクセスは、少人数のセキュリティ チームの担当者に限定されています。 Microsoft 365 のログの保持とバックアップに関する ポリシーにより、インシデント調査、コンプライアンス報告、およびその他の事業上の要求にいつでも対応できるようにログ データが維持されます。
アクセス制御
Microsoft は、Microsoft 365 内で発生するすべての委任、特権、操作の広範な監視と監査を実行します。 Azure Data Lake に格納されている Microsoft 365 ログ データへのアクセスは、承認された担当者に制限され、セキュリティ イベント分析のためにすべてのアクセス制御要求と承認がキャプチャされます。 Microsoft は、ビジネス上の正当な理由を承認し、適格性要件を満たすユーザーのみがシステムにアクセスできることを確認するために、アクセス レベルを確認します。 許可されているすべてのアクセスは、一意のユーザーに対してトレース可能です。 監査ログの管理は、永続的な管理アクセス権を持たない監査機能を担当するセキュリティ チーム メンバーの限られたサブセットに制限されます。