PowerShellでOffice 365の認証ログを取得し、不審ログインを検知する方法

Office 365を利用する企業や組織では、認証ログを適切に管理することがセキュリティ強化に直結します。不審ログインや異常な活動を早期に検知することで、情報漏洩やシステム侵害のリスクを軽減できます。本記事では、PowerShellを使用してOffice 365認証ログを取得する方法と、不審ログインを検知する具体的な運用手法を詳しく解説します。初めてPowerShellを触る方にも理解しやすいよう、手順を段階的に説明し、セキュリティ管理を強化するための実践的な方法を提供します。

PowerShellとOffice 365管理の概要

PowerShellとは

PowerShellは、Windows環境で利用される強力なスクリプト言語およびコマンドラインツールです。Windows環境の管理を効率化するために設計されており、Office 365のようなクラウドサービスとの連携も可能です。

Office 365におけるPowerShellの役割

Office 365は、クラウド上で提供されるMicrosoftの統合サービスです。この環境では、ユーザー管理やセキュリティ設定、認証ログの取得といった操作を管理ポータルから行うことができますが、PowerShellを利用することで、以下のような利点があります：

• 効率的な管理：コマンドやスクリプトを使用して、繰り返しの操作を自動化できます。
• 高度な操作：GUIではアクセスできない詳細な情報や設定にアクセスできます。
• 一括操作：複数のアカウントや設定を一括で操作可能です。

認証ログ管理におけるPowerShellの重要性

認証ログには、ユーザーがどのようにOffice 365サービスにアクセスしているかの情報が記録されています。これらのログをPowerShellで取得することで、不審なログインの検知や、ログイン元のIPアドレスの分析が可能になります。特に以下の場合に有用です：

• 異常な地理的場所からのログインの検知
• 通常のログインパターンから外れるアクセスの特定
• 特定ユーザーの活動履歴の追跡

このように、PowerShellを使用することで、Office 365環境のセキュリティ管理が効率化され、潜在的な脅威を早期に特定できるようになります。

Office 365環境でのPowerShellセットアップ手順

必要な準備

PowerShellを使用してOffice 365環境に接続するためには、必要なモジュールのインストールと適切なアクセス権限の設定が必要です。以下に、セットアップ手順を詳しく説明します。

1. PowerShellモジュールのインストール

Office 365の管理に使用する主なモジュールは「Microsoft.Graph」および「AzureAD」です。それぞれをインストールする手順は以下の通りです：

• PowerShell 7.x のインストール（推奨）
  最新のPowerShellを使用するために、PowerShell公式サイトからインストールしてください。
• Microsoft.Graph モジュールのインストール
  Microsoft Graph APIを操作するためのモジュールをインストールします。以下のコマンドを実行してください：

Install-Module -Name Microsoft.Graph -Scope CurrentUser

• AzureAD モジュールのインストール
  Azure Active Directoryの操作に必要なモジュールをインストールします。以下を実行します：

Install-Module -Name AzureAD -Scope CurrentUser

2. 接続設定

必要なモジュールをインストールしたら、Office 365環境への接続を設定します。

• Microsoft Graph に接続
  以下のコマンドで接続を確立します：

Connect-MgGraph

認証画面が表示されるので、管理者アカウントでサインインしてください。

• Azure AD に接続
  Azure ADを操作する場合は、以下を実行します：

Connect-AzureAD

こちらも管理者アカウントでの認証が必要です。

3. アクセス権限の確認

PowerShellで操作を行うには、適切なアクセス権限が必要です。以下の権限を確認してください：

• Microsoft Graph API権限
  特に「AuditLog.Read.All」権限が必要です。Microsoft Entra ID（旧Azure AD）ポータルで確認し、必要に応じて付与してください。
• Azure AD権限
  ユーザー管理やログイン履歴の取得には「Global Administrator」または「Security Administrator」ロールが必要です。

セットアップ完了の確認

最後に、以下のコマンドを実行して接続が正常に行われているか確認します：

Get-MgUser -Top 1

または

Get-AzureADUser -Top 1

これらが正常に実行されればセットアップは完了です。

認証ログの取得方法

PowerShellを使用した認証ログの取得

Office 365の認証ログを取得するには、Microsoft Graph APIを利用するのが推奨される方法です。以下に、具体的な手順とサンプルスクリプトを示します。

1. Microsoft Graph APIを使用したログ取得

Microsoft Graph APIを活用すると、詳細な認証ログ（Sign-in logs）を取得できます。以下のコマンドを実行してください。

# Microsoft Graphに接続
Connect-MgGraph -Scopes "AuditLog.Read.All"

# サインインログを取得
$signInLogs = Get-MgAuditLogSignIn -Top 100

# 結果を表示
$signInLogs | Format-Table UserPrincipalName,IPAddress,AppDisplayName,Status

このスクリプトでは、以下の情報が取得できます：

• UserPrincipalName：ログインしたユーザー名
• IPAddress：ログイン元IPアドレス
• AppDisplayName：アクセスされたアプリケーション名
• Status：認証の結果（成功または失敗）

2. Azure AD モジュールを使用したログ取得

Azure ADを使用して認証ログを取得する場合は、以下のようにAzureAD.SignInsを利用します。

# Azure ADに接続
Connect-AzureAD

# サインインログを取得
$signInLogs = Get-AzureADAuditSignInLogs -Top 100

# 結果を表示
$signInLogs | Select-Object UserPrincipalName,IPAddress,ResourceDisplayName,Status | Format-Table

この方法でも同様に、ユーザーやログイン情報を取得できますが、Microsoft Graphを使用するほうが新しい機能に対応しています。

3. フィルタリングと条件指定

大量のログが出力される場合、条件を指定して特定の情報を絞り込むことが可能です。以下は、特定のユーザーや日付範囲でログを取得する例です：

• 特定のユーザーのログを取得

$signInLogs = Get-MgAuditLogSignIn -Filter "UserPrincipalName eq 'user@example.com'" -Top 50

• 特定の期間のログを取得

$signInLogs = Get-MgAuditLogSignIn -Filter "createdDateTime ge 2025-01-01 and createdDateTime le 2025-01-15" -Top 50

4. ログのエクスポート

取得したログをCSV形式で保存することで、後で分析がしやすくなります。以下のようにエクスポートを行います：

$signInLogs | Export-Csv -Path "SignInLogs.csv" -NoTypeInformation -Encoding UTF8

5. ログ取得の確認

正確なログが取得できているか、CSVやPowerShell内でデータの一部を確認してください。特に、IPアドレスやログイン結果の情報はセキュリティ管理で重要なポイントです。

これで、Office 365の認証ログをPowerShellで取得する準備が整い、不審ログインの検知に活用できるデータが収集できます。

不審なログインの検知条件と実装例

不審ログインを定義する条件

不審なログインを検知するには、以下のような条件を設定することが一般的です：

1. 地理的な異常：通常利用されない国や地域からのアクセス。
2. ログイン失敗の多発：短期間に多くのログイン失敗が発生している場合。
3. 異常なログイン時間：通常勤務時間外や未設定の業務時間帯でのログイン。
4. 未知のデバイスやIPアドレス：過去に利用履歴がないデバイスまたはIPアドレス。

PowerShellスクリプトでの検知の実装例

これらの条件をPowerShellで実現する具体的なスクリプト例を以下に示します。

1. 地理的異常の検知

特定の国以外からのアクセスを検知するスクリプトです：

# Microsoft Graphからログを取得
$signInLogs = Get-MgAuditLogSignIn -Top 1000

# 許可された国のリスト
$allowedCountries = @("Japan", "United States")

# 許可外の国からのアクセスをフィルタリング
$abnormalLogins = $signInLogs | Where-Object {
    -not ($allowedCountries -contains $_.Location.CountryOrRegion)
}

# 結果を表示
$abnormalLogins | Select-Object UserPrincipalName,IPAddress,Location.CountryOrRegion,CreatedDateTime | Format-Table

2. ログイン失敗の多発を検知

連続したログイン失敗を検出するスクリプト：

# ログ取得
$failedLogins = $signInLogs | Where-Object { $_.Status.ErrorCode -ne 0 }

# 特定の回数以上の失敗を集計
$failedAttempts = $failedLogins | Group-Object UserPrincipalName | Where-Object { $_.Count -gt 5 }

# 結果を表示
$failedAttempts | Select-Object Name,Count | Format-Table

3. 未知のデバイスやIPアドレスからのログイン検知

過去に使用されていないデバイスまたはIPアドレスを検出します：

# 既知のIPアドレスリスト（例としてCSVから読み込み）
$knownIPs = Import-Csv -Path "KnownIPs.csv" | Select-Object -ExpandProperty IPAddress

# 新規IPアドレスをフィルタリング
$newIPs = $signInLogs | Where-Object {
    -not ($knownIPs -contains $_.IPAddress)
}

# 結果を表示
$newIPs | Select-Object UserPrincipalName,IPAddress,AppDisplayName,CreatedDateTime | Format-Table

スクリプトの応用

これらのスクリプトは単体でも利用可能ですが、条件を組み合わせることでさらに効果的な不審ログインの検知が可能です。また、定期的にスクリプトを実行することで、リアルタイムな監視を実現できます。

アラート機能の追加

検知結果を管理者にメール通知する機能を追加することで、迅速な対応が可能です：

# メール送信の設定
Send-MailMessage -From "alert@example.com" -To "admin@example.com" -Subject "Suspicious Login Detected" -Body "Check the logs for details." -SmtpServer "smtp.example.com"

これらの手法を組み合わせることで、不審なログインを効率的に検知し、セキュリティ対策を強化できます。

ログの分析方法と可視化のヒント

ログ分析の目的

認証ログを収集しただけでは十分ではありません。ログを分析することで、以下のような重要な情報を得ることができます：

1. アクセスの傾向：利用者のアクセスパターンや時間帯。
2. 異常の特定：異常なIPアドレスやデバイスからのアクセス。
3. セキュリティ強化の指針：潜在的な脅威を特定して対策を講じる。

PowerShellを使ったログ分析の例

以下に、ログデータを効果的に分析するためのサンプルコードと解説を示します。

1. ログイン成功と失敗の割合を分析

認証ログにおける成功率と失敗率を確認します：

# 成功と失敗のログを分類
$successLogs = $signInLogs | Where-Object { $_.Status.ErrorCode -eq 0 }
$failedLogs = $signInLogs | Where-Object { $_.Status.ErrorCode -ne 0 }

# 統計情報を表示
Write-Output "成功: $($successLogs.Count), 失敗: $($failedLogs.Count)"

2. IPアドレスごとのアクセス頻度を集計

どのIPアドレスが頻繁にアクセスしているかを特定します：

# IPアドレス別のアクセス回数を集計
$ipStats = $signInLogs | Group-Object IPAddress | Sort-Object Count -Descending

# 結果を表示
$ipStats | Select-Object Name,Count | Format-Table -AutoSize

3. 時間帯ごとのログインパターンを可視化

ログインが集中する時間帯を分析します：

# 時間帯を抽出
$timeStats = $signInLogs | Group-Object { $_.CreatedDateTime.Hour } | Sort-Object Name

# 結果を表示
$timeStats | Select-Object Name,Count | Format-Table -AutoSize

データの可視化

分析結果を視覚的に理解するために、グラフやダッシュボードを活用することが効果的です。

1. PowerShellでの簡易グラフ表示

棒グラフを作成する方法：

# Windowsフォームを使用した簡易グラフ
Add-Type -AssemblyName System.Windows.Forms.DataVisualization
$chart = New-Object System.Windows.Forms.DataVisualization.Charting.Chart
$chart.Series.Add("LoginAttempts")
$chart.Series["LoginAttempts"].Points.DataBindXY($timeStats.Name, $timeStats.Count)
$chart.Show()

2. Power BIの活用

ログデータをCSVファイルとしてエクスポートし、Power BIで視覚化する手順：

1. CSVファイルにエクスポートします：

   $signInLogs | Export-Csv -Path "SignInLogs.csv" -NoTypeInformation -Encoding UTF8

2. Power BIにインポートし、カスタムダッシュボードを作成します。

• 時系列グラフで時間ごとのログイン傾向を表示。
• 地図上でIPアドレスの位置をプロット。

外部ツールの活用

• ELKスタック（Elasticsearch, Logstash, Kibana）：大規模なログデータの保存・分析・可視化に適しています。
• Splunk：リアルタイムのデータ分析に強力なツールです。

分析の結果を活用するためのポイント

• 定期的にログを監視し、不審なパターンを早期に検出する。
• 可視化ツールを用いることで、チーム内で共有しやすい形でセキュリティ情報を提供する。

これらの分析と可視化手法を活用することで、認証ログから有益な情報を引き出し、セキュリティ管理を一段と強化することが可能になります。

自動化による運用の効率化

ログ取得と分析の自動化の重要性

認証ログの取得や不審ログインの検知は、手動で行うと手間がかかります。運用の効率化と迅速な対応を実現するためには、これらのプロセスを自動化することが重要です。以下に、自動化の手法を具体的に説明します。

1. スクリプトのスケジューリング

定期的にログを取得し、分析結果を出力するために、Windowsタスクスケジューラを活用します。

タスクスケジューラの設定手順

1. スクリプトファイルの準備
   取得・分析スクリプトをPowerShellファイル（例：GetSignInLogs.ps1）として保存します。

   # 例: ログを取得してCSVに保存
   $signInLogs = Get-MgAuditLogSignIn -Top 1000
   $signInLogs | Export-Csv -Path "SignInLogs.csv" -NoTypeInformation -Encoding UTF8

2. タスクスケジューラを起動
   Windowsの検索バーで「タスクスケジューラ」と入力し起動します。
3. 新しいタスクの作成

• 「基本タスクの作成」をクリック。
• 名前を入力し、トリガー（実行頻度）を選択します。例：毎日午前1時。

2. アクションの設定

• 「プログラムの開始」を選択。
• powershell.exeを指定し、引数としてスクリプトのパスを入力します：
  -File "C:\Path\To\GetSignInLogs.ps1"

2. タスクを保存して有効化

2. 通知の自動化

不審なログインが検知された場合に、管理者へ通知する仕組みを追加します。

メール通知の設定

以下の例では、特定条件に一致するログイン情報を検知した場合にメールで通知します：

# 不審ログインのフィルタリング
$abnormalLogins = $signInLogs | Where-Object { $_.Location.CountryOrRegion -notin @("Japan", "United States") }

# 通知条件
if ($abnormalLogins.Count -gt 0) {
    $messageBody = $abnormalLogins | ConvertTo-Html -Fragment
    Send-MailMessage -From "alert@example.com" -To "admin@example.com" -Subject "Suspicious Logins Detected" -Body $messageBody -BodyAsHtml -SmtpServer "smtp.example.com"
}

3. ダッシュボードの更新を自動化

ログ分析結果を外部ツール（例：Power BIやKibana）に連携してダッシュボードを更新することで、常に最新の情報を確認できるようにします。

Power BIの更新手順

1. CSV形式でログデータをエクスポートします。

   $signInLogs | Export-Csv -Path "C:\Path\To\SignInLogs.csv" -NoTypeInformation -Encoding UTF8

2. Power BIでCSVファイルをデータソースとして設定します。
3. Power BIの自動更新スケジュールを設定し、定期的に新しいデータを反映します。

4. ログ監視のリアルタイム化

大規模な環境では、リアルタイムのログ監視が重要です。ELKスタックやSplunkなどのログ管理ツールを活用し、PowerShellスクリプトを連携することでリアルタイム監視を実現できます。

自動化のメリット

• 時間の節約：繰り返し作業の負担を軽減。
• 即時対応：不審ログインの検知から通知までを迅速化。
• 精度向上：手動操作によるミスを防ぎ、一貫した結果を得られる。

これらの方法を実施することで、ログ取得から分析、通知までのプロセスを効率化し、セキュリティ管理の品質を大幅に向上させることが可能です。

まとめ

本記事では、PowerShellを活用したOffice 365の認証ログ取得と不審ログイン検知の運用手法を詳しく解説しました。ログ取得の準備から分析、不審ログインの検知条件、さらに自動化による運用効率化まで、段階的に説明しました。これにより、セキュリティリスクを低減し、迅速な対応が可能となります。適切なログ管理と監視体制の構築が、Office 365環境におけるセキュリティ強化の鍵となります。