top of page
検索

「ログはあるのに出せない」を終わらせる:Microsoft 365 / Azure / Entra ID の“監査に耐える証跡”設計(情シス向け)

※本記事は一般的な情報提供を目的としており、個別案件の法的助言(弁護士法上の業務)を行うものではありません。個別の契約判断・紛争対応等は、内容に応じて弁護士等の専門家と連携して検討してください。

監査・取引先照会で刺さる質問は、いつも同じ

情シスが詰まるのは「ログを取っていない」からではありません。監査・取引先のセキュリティチェックシートで刺さるのは、だいたい次の3点です。

  • 保持期間は要件に合っているか(半年?1年?7年?)

  • 事故時に“削除停止”できるか/真正性(改ざんされていない)を説明できるか

  • 誰が、何営業日以内に、どの形式で提出するか(主語が割れないか)

山崎行政書士事務所のクラウド法務では、まさにこの「ログ・権限・監査に耐える形へ」「“証跡の所在”を明記し、“提出の再現性”をつくる」整理を重視しています。

まずは“事実”として押さえる:Microsoft系ログのデフォルト保持は短い

「Microsoft 365を入れてるから、過去のログは出せるはず」と思いがちですが、何もしないと短期で消えるログが混ざっています。

1) Entra ID(サインイン/監査)…ポータル上は最大30日が基本

Microsoft Entra のアクティビティレポートは、Audit logs / Sign-ins が Free で7日、P1/P2でも30日が目安です。 → 取引先が「過去6か月分のログ提出」と言ってきた瞬間に、設計が必要になります。

2) Azure Activity Log(コントロールプレーン)…90日で削除

Azure Monitor の Activity Log は 90日保持され、その後削除。長期保持するには診断設定で別の保存先にルーティングが必要です。

3) Microsoft Purview Audit(M365の監査ログ)…180日/1年/10年がライセンスで分岐

Microsoft Purview の監査は、既定で180日保持がベース。Audit (Premium) では、Exchange/SharePoint/OneDrive/Microsoft Entra の監査レコードを1年保持する既定ポリシーがあり、さらに保持ポリシーで最長10年まで伸ばせます(要件とライセンス条件あり)。 また、Audit (Standard) の既定保持は 2023年10月17日以降の生成分から90日→180日に変更されています。

“提出できる証跡”にする最短ルート:ログを「集約・長期化・改ざん耐性」に寄せる

情シスが取りたいゴールはシンプルです。

「監査・取引先要求に“出せる形”」= 体制×証跡×手順 を、いつでも再現できる状態 

そのための実装は、Microsoft公式の推奨ルートが明確です。

ステップ1:Entraのログは“診断設定”で Azure Monitor(Log Analytics)へ送る

Microsoftは、Entra の診断設定で Azure Monitor に統合し、サインインや監査のトレイルを他のAzureデータと相関分析できる形にする手順を示しています。 さらに、Entraログの Azure Monitor 統合は Microsoft Sentinel の Entra データコネクタを自動的に有効化します。

監査対応の実務で効くのは、**「特定ユーザーのサインイン」+「その直後の権限変更」+「Azure側の操作」**を同じタイムラインで説明できることです。

ステップ2:30日を超えるなら“ストレージアーカイブ”も併用

Entra のアクティビティログは、既定保持より長く必要ならストレージアカウントへアーカイブできます(診断設定で「Archive to a storage account」)。

ここで重要な落とし穴が1つあります。

  • 診断設定のストレージ保持(Retention days)機能は廃止その保持機能は 2025年9月30日に全環境で無効化されています。今後は Azure Storage のライフサイクル管理で保持を設計する必要があります。

ステップ3:Azure Activity Logも“診断設定→保存先”で長期化

Azure Activity Logs は90日で消えるため、長期保管が必要なら診断設定で Log Analytics / Event Hubs / Azure Storage 等に転送し、必要に応じて Storage 側のライフサイクル管理で保持を設定します。

ステップ4:改ざん耐性(“原本性”)を説明したいなら「不変ストレージ(WORM)」

「ログはあるが、当時の原本と言い切れるか?」が問われる局面では、**WORM(Write Once, Read Many)**の考え方が強いです。Azure Blob の不変ストレージは、指定期間中 変更や削除をできなくする(管理者権限でも)設計が可能で、法的ホールド(Legal hold)的な使い方にも触れられています。

“技術だけ”では足りない:抜けがちな3点(情シスが詰むポイント)

ログ基盤が整っている会社ほど、逆にここを落とします。山崎行政書士事務所の整理フレームでも、次の3点が「必ず抜けている」典型として整理されています。

抜け① 提出設計:誰が・いつまでに・どの形式で出すか

「SOCに確認します」「委託先に抽出依頼します」…で提出が遅れ、回答が割れるやつです。提出期限・形式・対象範囲・承認者を、先に決める。

抜け② 保全設計:削除停止/抽出者記録/真正性

事故後に「ログはあるけど原本と言い切れない」状態にならないように、削除停止・抽出者記録・保管場所とアクセス制限を“手順”として持っておく。

抜け③ 主語の固定:RACI+契約(SOW等)で責任を割らない

委託・再委託・海外SOCが絡むと、最終的に「誰も提出責任主体にならない」が起きます。レイヤー図ではなく、タスク別RACIで「主語」を固定し、委託先に“提出・保全協力”を義務として通す。

すぐ使える:情シス向けチェックリスト(監査・取引先照会に耐える最低ライン)

以下、社内で自己点検しやすい形にまとめます(Yesが揃わないなら“説明責任”が弱いサインです)。

  • □ ログの対象範囲を説明できる(認証/管理操作/NW変更など)

  • □ 保持期間が監査・取引先要件と整合している

  • □ Entra(サインイン/監査)の“30日壁”を越える仕組みがある(Azure Monitor/Storageへの転送)

  • □ Azure Activity Log(90日)を長期化する診断設定がある

  • □ Purview Audit の保持(日数・対象ユーザー・ライセンス条件)を説明できる

  • □ 提出期限(何営業日以内)と提出形式が決まっている

  • □ 提出担当者と承認者が決まっている(主語が割れない)

  • □ 事故時の保全(削除停止・隔離・抽出者記録)の手順がある

  • □ 抽出ログの真正性(いつ誰がどう取得したか)を説明できる

  • □ 診断設定の「ストレージ保持」廃止(2025/9/30無効化)を踏まえて、Storageライフサイクルで保持が設計されている

  • □ SOC/委託先が絡む場合、提出・保全協力が委託仕様(SOW等)で担保されている

  • □ 契約終了時の出口(ログ返還・削除・削除証明・引継ぎ)が決まっている

山崎行政書士事務所が“情シスに刺さる形”で支援できること(行政書士として)

技術実装(構築代行・運用代行)ではなく、**「責任と説明の設計」**に寄せて、以下の“成果物”として残る形に整理します。

  • アクセス権限マトリクス(役割×RBAC):スコープ別付与方針、特権(昇格)運用、例外・緊急時アクセスまで明記

  • ログ設計メモ(収集・保持・閲覧・保全方針):「証跡の所在」「保持根拠」「閲覧統制」「保全責任者・承認ルート」

  • 運用証跡チェックリスト(変更管理・承認・監査対応):チケットとクラウド操作ログを“一本の線”でつなぐ考え方

  • 監査・説明用の1枚資料(体制・証跡・手順):経営・監査・取引先へ“技術用語を使わない”説明軸

  • 責任分界表(RACI):監視・権限付与・変更・監査対応・障害/インシデント等のタスク別に「主語」を固定

※訴訟対応など弁護士法上の業務に該当する可能性があるものは、内容に応じて弁護士と連携して進める旨を明記しています。

相談の入口(情シス向け)

「これは技術の話か、法務の話か分からない」と感じた時点で、すでに責任と説明の設計が必要になっていることが多いです。まずは現状整理から、オンライン(全国対応)で相談可能です。

  • 連絡先:info@shizuoka-yamazaki-jimusho.com 

  • あるとスムーズな情報:利用範囲(Azure/M365/Entra)、監査・取引先要求の有無、運用体制(SOC/委託先)、困りごと(ログ/権限/変更管理/委託先/越境)

参考(Microsoft公式)

  • Microsoft Entra のデータ保持(ポータル上の Audit/Sign-in の保持日数)

  • EntraログをAzure Monitor(Log Analytics)に統合(診断設定/Sentinel自動有効化)

  • Entraログのストレージアーカイブ(診断設定)

  • Azure Activity Log の90日保持と長期化(診断設定)

  • Purview Audit の保持(180日/1年/保持ポリシー/最大10年・ライセンス条件)

  • 診断設定ストレージ保持の廃止(2025/9/30無効化)と Storage ライフサイクル移行

  • Azure Blob 不変ストレージ(WORM/改ざん耐性/Legal hold)

※Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。

 
 
 

コメント

Instagram​​

x

note

You Tube

info@shizuoka-yamazaki-jimusho.com

Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。
本ページは一般的な情報提供を目的とし、個別案件は状況に応じて整理手順が異なります。

※本ページに登場するイラストはイメージです。
Microsoft および Azure 公式キャラクターではありません。

Microsoft, Azure, and Microsoft 365 are trademarks of Microsoft Corporation.
We are an independent service provider.

​所在地:静岡市

©2024 山崎行政書士事務所。Wix.com で作成されました。

bottom of page