OAuth 同意（アプリ同意・権限付与）は、攻撃者にとって「最も静かに権限が増える入口」です。だからこそ、理想は 自動検知→自動隔離→証跡生成まで寄せたい。

ただし、ここでやりがちなのが“自動化しすぎて正当業務を止める”、あるいは“自動化したのに監査で説明できない” という事故です。

山崎行政書士事務所のクラウド法務の観点では、重要なのは次の2点です。

• 自動化の境界線は「技術」ではなく 責任（誰が止め、誰が戻すか）で引く

• 自動化の価値は「速さ」ではなく 説明可能性（証跡） で決まる

この記事では、同意を自動処理に寄せるときの 安全境界線（ここまでは自動／ここからは人間） を、実務の型としてまとめます。

1) まず結論：安全境界線は「可逆性」で引く

同意対応の自動化を、3段階で分けます。

レベル1：自動検知（通知・チケット化）

• 可逆性：100%

• 誤検知しても被害なし

• 監査にも強い（検知ログが残る）

レベル2：自動隔離（可逆な止血）

• 可逆性：高い（戻せる）

• “止める” が目的（原因究明は後）

• 重要：ロールバック手順が台帳で紐づいていること

レベル3：自動根絶（削除・恒久変更）

• 可逆性：低い（戻せない／戻すのが重い）

• ここは原則 人間の承認 が必要

• 自動でやるなら「強い条件」と「二重の安全弁」が必須

2) “自動隔離”で許される行為／許されない行為

自動でやってよい（原則OK）

目的は「止血」。戻せる前提があるもの。

• 対象アプリの 一時無効化（Disable）

• 対象ユーザーの セッション失効（強制サインアウト）

• 同意の 一時停止（承認キューへ回す／新規同意を止める）

• “隔離グループ”への移動（条件付きアクセスでブロックする設計）

共通条件：

1. ロールバックが台帳にある

2. 影響連絡先（業務オーナー）が台帳にある

3. 証跡が自動生成される

自動でやるべきではない（原則NG）

やると「戻せない」「監査で説明不能」「業務が破壊」になりやすいもの。

• Service Principal や Enterprise App の 削除

• 広範囲な権限の 恒久剥奪（影響が読めない状態での実施）

• ユーザー無効化・ライセンス剥奪など 人事領域に踏み込む措置

• 例外台帳の外で、勝手に “許可/禁止の恒久変更” を入れる

3) 自動化の判断軸は「確度 × 影響度」

自動隔離を安全にするコツは、確度（Confidence） と 影響度（Impact） を分けることです。

確度（Confidence）の例

• 高：

  • 同意直後に海外・異常ASNからのサインイン

  • Publisher 不明＋権限が強い＋ユーザーが「覚えがない」

  • 既知の悪性パターン（Device Code 誘導、短時間多発）

• 中：

  • 権限が中程度だが、部門で未承認のアプリ

• 低：

  • 低権限で、業務アプリの可能性もある

影響度（Impact）の例

• 高：Mail.Read 系、Files.Read 系、Directory.* 系など “横展開”しうる権限

• 中：特定機能へのアクセス

• 低：プロフィール参照程度

運用の型（おすすめ）

• 確度：高 ＆ 影響：高 → 自動隔離（即）

• 確度：中 ＆ 影響：高 → 隔離はするが、戻せる形で（Disable＋セッション失効止まり）

• 確度：低 ＆ 影響：高 → 自動検知＋人手レビュー

• 影響：低 → 自動検知で十分（過剰反応を避ける）

4) “自動検知→自動隔離→証跡生成”の標準パイプライン

ステップA：自動検知（Trigger）

トリガは「同意そのもの」か「同意の結果（不審サインイン）」のどちらかです。

• 監査ログで “同意・権限付与” イベントを拾う

• サインインログで “Device Code / 不審ロケーション / 異常クライアント” を拾う

• Defender / Sentinel のアラートを拾う（最も実務的）

ステップB：自動隔離（Quarantine）

ここは 可逆アクションに限定します。

• 対象 Enterprise Application：Disable

• 対象ユーザー：セッション失効（必要なら隔離グループへ移動）

• 同意の追加発生を抑える（ユーザー同意の制限・承認フローへ誘導）

ステップC：証跡生成（Evidence Pack）

ここが“クラウド法務”の差別化ポイントです。止めるだけでは弱い。説明できる証拠が必要です。

証跡生成で最低限やること：

• 監査ログ（同意イベント）を JSON/CSVで保存

• サインインログ（前後30分～数時間）を JSON/CSVで保存

• 対象アプリの識別子（AppId / SP ObjectId）と権限一覧を 保存

• 実施した隔離アクション（Disable / セッション失効）の実行記録を 保存

• 台帳（例外・承認状況）と 紐づけID（ExceptionID/IncidentID） を保存

監査に強い保全のコツ

• 保存先は “後から改ざんしにくい場所”（少なくともアクセス制御＋保持期間固定）

• Evidence には 一意ID を振り、通知・チケット・台帳と同じIDでつなぐ

• “誰が見ても追える” 形（Evidenceフォルダ構造の固定化）にする

5) 自動化しないと危ない例：Device Code 誘導は「止血速度」が勝負

Device Code 型の誘導は、ユーザーが正規画面で承認してしまうため、“気づいた時にはトークンで覗かれている” になりがちです。

このタイプは、検知→隔離の自動化が刺さります。

• 同意イベント検知

• 即セッション失効

• 即アプリDisable（業務影響が読めない場合は“一時”で止める）

• Evidence Pack を自動生成

• 人手レビューに回す（戻す／根絶する判断）

6) “自動隔離”が許されるための3つの安全弁

自動隔離は正しいですが、誤検知で業務停止を起こすと組織が自動化を嫌います。安全弁は3つです。

安全弁①：除外（Allowlist/Exception）を台帳で管理

• “このアプリは正当” を台帳の ExceptionID で管理

• 自動化は台帳参照し、例外は隔離しない（または軽い対応に落とす）

安全弁②：隔離は「段階式」にする

• まずセッション失効だけ

• 次にアプリDisable

• それでも悪性が濃いときに同意取り消し

安全弁③：ロールバックの所有者を決める

• “戻してよいか”は技術者判断ではなく 業務オーナー＋セキュリティ責任者

• 台帳に「戻す人」「連絡先」「戻し方」が書けない隔離はしない

7) 山崎行政書士事務所のクラウド法務としての結論

同意対応の自動化で、組織が守るべき軸は「速さ」ではなく 責任の設計です。

• 自動化でやる：検知 → 可逆隔離 → 証跡生成

• 人がやる：根絶（削除・恒久変更）と、例外継続の意思決定

そして最終的に、監査・取引先にこう答えられることが価値です。

• いつ検知し

• 何を止め

• 何を保存し

• 誰が判断し

• どう再発防止したか

“自動化したこと”ではなく、説明できる統制になっていることが勝ちです。

参照リンク集

https://learn.microsoft.com/en-us/entra/identity/monitoring-health/reference-audit-activitieshttps://learn.microsoft.com/en-us/entra/identity/monitoring-health/concept-sign-inshttps://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-user-consenthttps://learn.microsoft.com/en-us/entra/identity/enterprise-apps/configure-admin-consent-workflowhttps://learn.microsoft.com/en-us/entra/identity/conditional-access/policy-block-authentication-flowshttps://learn.microsoft.com/en-us/entra/identity/conditional-access/concept-authentication-flowshttps://learn.microsoft.com/en-us/graph/api/oauth2permissiongrant-delete?view=graph-rest-1.0https://learn.microsoft.com/en-us/graph/api/user-revokesigninsessions?view=graph-rest-1.0https://www.proofpoint.com/us/blog/threat-insight/access-granted-phishing-device-code-authorization-account-takeoverhttps://www.shizuoka-yamazaki-jimusho.com/