なぜ「出入り記録(ログ)」のチェックが重要なの?
Entra IDが残す「出入り記録」は、専門用語で「ログ」と言います。これは、ITシステムにおける「いつ、誰が、何をしたか」の全てが書き留められた操作履歴のことです。
このログをチェックすることが、なぜ重要なのでしょうか。お店に設置された「防犯カメラの映像」に例えて考えてみましょう。
1."事件"が起きた時に、犯人や原因をすぐに見つけるため(証拠)
万が一、サイバー攻撃や情報漏えいといった"事件"が起きてしまった場合、このログ(防犯カメラの映像)がなければ、何が起きたのかさっぱり分かりません。
・不正アクセスの発見: 「怪しい人物(不正なアクセス)が、いつ、どの入口から侵入したか」が分かります。
・被害範囲の特定: 「その人物が、店の中(社内システム)をどう動き回り、何を盗んだか(どの情報に触れたか)」を追跡できます。
・原因の究明: 「そもそも、なぜ侵入を許してしまったのか(セキュリティの弱点はどこか)」を突き止め、次の対策を立てることができます。
迅速な対応ができなければ、被害はどんどん広がってしまいます。ログは、事件解決の最も重要な手がかりなのです。
2."警察や保険会社"への報告のため(管理している証明)
多くの業界では、「ログを一定期間、きちんと保管する」というルール(コンプライアンス)が定められています。これは、何かあった時に、「ちゃんと管理していましたよ」、と証明するためのものです。ログをしっかり保管しておくことは、会社の信頼を守ることにも繋がります。
3.そもそも"事件"が起きにくい環境を作るため(予防)
防犯カメラは、事件が起きた後だけに見るものではありませんよね。平常時から「お店の中で怪しい動きをしている人はいないか」をチェックすることで、万引きなどの犯罪を未然に防ぐことができます。 ログも同じで、普段からチェックすることで「このアカウントの動き、なんだかいつもと違うな...」といった危険の芽を早期に発見し、先回りして対策を打てます。
Entra ID標準の「記録帳」だけでは、ちょっと心配な理由
「Entra IDにも、ログを見る機能くらいあるでしょう?」 その通りです。しかし、標準機能の"記録帳"だけでは、本格的なセキュリティ対策を考えると、心配な点が2つあります。
心配な点①:記録を無限に取っておけない
Entra IDの標準プランでは、ログを保管してくれる期間がわずか30日間しかありません。巧妙なサイバー攻撃は、数ヶ月間も静かに潜んでいることがあります。いざ事件に気づいたときには、「一番大事な数ヶ月前の記録が、もう消えていた...」なんてことになりかねません。
心配な点②:大量の記録から探すのが大変
会社の規模によっては、1日のログは何万、何百万行にもなります。この膨大な記録の中から、「あの日の、あの人の、あの操作」といった特定の情報を探し出すのは、まるで砂漠で米粒を探すような作業です。また、「パソコンの操作記録」と「入退室の記録」を突き合わせて分析するような、複数の記録をまたいだ調査も簡単にはできません。
Sumo Logicで解決!「巨大な倉庫」と「優秀な警備員」
そこで登場するのが、「Sumo Logic(スモーロジック)」です。 Sumo Logicは、Entra IDをはじめ、社内のあらゆるIT機器から出るログ(出入り記録)を、すべて一箇所に集めて、安全に保管・分析してくれるクラウドサービスです。
Sumo Logicには、大きく分けて2つのプランがあります。会社の状況に合わせて選べるのがポイントです。
基本プラン (CIP):『高性能な検索エンジン付きの巨大な倉庫』
上位プラン (Cloud SIEM):『24時間働く、超優秀な警備員』
それぞれのプランで何ができるのか、詳しく見ていきましょう。
まずは基本プラン(CIP)から!これだけでも会社の安全は格段にアップします
多くの場合、まずはこの基本プランを導入するだけで、セキュリティの悩みは大きく改善されます。このプランは、ログ活用のための『高性能な検索エンジン付きの巨大な倉庫』だとイメージしてください。
メリット①:記録を好きなだけ、安全に保管できる「巨大な倉庫」
Entra IDの標準機能では30日で消えてしまったログも、Sumo Logicなら1年、3年と、必要な期間だけずっと保管できます。これで、数ヶ月前に遡った調査も安心です。クラウド上の巨大な倉庫なので、自社で保管場所を用意する必要もなく、コストも抑えられます。
メリット②:見たい記録がすぐに見つかる「高性能な検索エンジン」
「不正アクセスがあったかもしれない期間の、海外からのアクセスだけ見たい」と思ったら、膨大なログの中から短時間で関連する記録を見つけ出してくれます。いざという時の調査時間が劇的に短縮できます。
メリット③:一目でわかる「まとめレポート(ダッシュボード)」
専門家でなくてもログの状態が分かるように、「今月のログイン失敗トップ10」「どの国からのアクセスが多いか」といった情報を、グラフなどで自動的にまとめてくれるダッシュボード機能が最初から用意されています。これを眺めるだけでも、会社のセキュリティ状態をざっくりと把握できます。
この基本プラン(CIP)を導入するだけでも、「いざという時に、ちゃんと調査できる体制」をしっかりと作ることができます。まずはここから始めるのが、最も現実的で効果の高い一歩と言えるでしょう。
さらに安心を!上位プラン(Cloud SIEM)は「超優秀な警備員」
基本プランで「記録を保管し、探せる倉庫」を準備した上で、さらにセキュリティを自動化・強化したい場合に選ぶのが、上位プランの「Cloud SIEM(クラウドシーム)」です。
これは、一言でいうと『24時間365日、倉庫の記録を監視してくれる超優秀な警備員』です。
この警備員(Cloud SIEM)は、脅威検出に必要なルール膨大に搭載しており、倉庫に保管された膨大なログに常に目を光らせています。そして、「これはいつもと違う、怪しいぞ!」という動きを自動で見つけ出し、即座に私たちに知らせてくれます。
例えば、
「東京で働いているはずのAさんのアカウントが、深夜に海外からログインしようとしている」
「明らかに普段とログイン試行回数が多い」
といった、人間が見ていても気づきにくいような「些細な異変」を検知してくれます。
もちろん、優秀な警備員を雇うわけですから、その分費用は基本プランより高額になります。しかし、セキュリティ専門の担当者が少ない会社にとっては、人間の何倍もの働きをしてくれる、非常に心強い味方となってくれるでしょう。
まとめ:会社の安全を守るための、かしこい第一歩
働き方が多様化し、サイバー攻撃が巧妙になる中で、会社の"門番"であるMicrosoft Entra IDの重要性はますます高まっています。
そして、その門番を本当に機能させるためには、「出入り記録(ログ)」をきちんと活用できる体制を作ることが不可欠です。
- まずは、Sumo Logicの基本プラン(CIP)を導入する。 これだけで、「ログを長期間保管し、いざという時に高速で探せる」という、セキュリティの土台ができます。会社の安全性はこれだけでも格段に向上します。
- 予算や体制に応じて、上位プラン(Cloud SIEM)を検討する。 「24時間働く警備員」を雇うことで、脅威の自動検知が可能になり、より盤石な体制を築けます。
難しいセキュリティ対策も、このようにステップを分けて考えれば、決してハードルは高くありません。会社の未来を守るためにも、まずは「出入り記録の活用」という、かしこい一歩を踏み出してみてはいかがでしょうか。
