OneDriveの同期監査を過大評価するべからず
「細かすぎるほどのログが出るんです。ともかく逐一の記録が全部取れているので、まずは安心なんですよ。詳しくはテクニカルサポートへ」
…などどいうザックリしたトークで、中小企業担当者への売り込みは大丈夫と思っている(らしき)営業諸兄の多いこと、多いこと。
でもまぁ本当なら正式に使い倒してやんよと思って、新しくなったOffice365 管理センターから OneDrive for Businessまわりの「監査ログ」(管理者とユーザーのアクティビティ)を真面目に見てみたわけです。
欲しいログについて考えてみる
OneDriveへのアクセス経路は主に2種類あります。
- Office365のブラウザ画面から、「メニュー→OneDrive」と進むもの。
ここへは、ドラッグ&ドロップでアップロードしたり、ブラウザ上でファイルを共有・改廃したりします。 - PCに同期フォルダを作成し、PC上で行う改廃をOneDriveへ常に同期させておくもの。
情報漏洩を気にする側としては、どちらも相当嬉しくない機能ですが、今回主に書くのは後者のほう。OneDrive for Business 同期フォルダのあるPCで、あるファイルを改廃するとします。
「監査ログを取る」といって管理者が思い浮かべるのは、こんな感じじゃないかな。
yyyymmdd | 新規作成 | 報告書テンプレート.xlsx |
yyyymmdd | リネーム | ●月●日報告書.xlsx from 報告書テンプレート.xlsx |
yyyymmdd | ファイルを開く | ●月●日報告書.xlsx |
yyyymmdd | 上書き保存 | ●月●日報告書.xlsx |
yyyymmdd | 上書き保存 | ●月●日報告書.xlsx |
yyyymmdd | ファイルを閉じる | ●月●日報告書.xlsx |
yyyymmdd | 削除 | ●月●日報告書.xlsx |
実際に取れる内容
実際に同期フォルダで操作を行い、Office365セキュリティパネル「ファイルとフォルダーのアクティビティ」「同期アクティビティ」を検索すると、こんな感じに取れます。括弧内の文言はログをダウンロードした際のオペレーション名。
(画面上は日本語/日本時刻でも、ファイルでダウンロードすると英語/太平洋標準時になるんだよな…orz)
yyyymmdd | アップロード(FileSyncUploadedFull) | 報告書テンプレート.xlsx |
yyyymmdd | リネーム(FileRenamed) | ●月●日報告書.xlsx from 報告書テンプレート.xlsx |
yyyymmdd | アップロード(FileSyncUploadedFull) | ●月●日報告書.xlsx |
yyyymmdd | 削除(FileDeleted) | ●月●日報告書.xlsx |
ん? 少なくね?
具体的には、「開く」「閉じる」と「上書き保存」が足りなくね?
そう、少ないです。これはOffice365の監査内容選択画面でも確認できます。
現在、同期に関して取れるログのバリエーションは下記に限られます。
蛇足ですが、同期クライアントが古いとログそのものが出なかったりします。
これに対し、もう1つのアクセス経路、Webブラウザからのアクセスの場合はもう少し細かいバリエーションがあります。
まあこれだけ取れていれば、冒頭の営業ご担当のトークは間違っていない。
ただし、当てはまるのはブラウザ経由で改廃したときだけなんだな。
PC上で改廃して同期する場合と、ブラウザへログインして改廃した場合とで、取れるログが違う。記録のタイミングも違う。このことには注意する必要があります。
OneDrive同期フォルダ上で行う改廃を監査したい時の注意点をまとめるとこんな感じ
- 上書き保存は(オンラインで実行されていても)ログに出ない。
ファイルを閉じてはじめて、「FileSyncUploadedFull」の発生が記録される。 - PCがオフラインであれば、ファイルを閉じても当然アップロードされないので、その時点ではログに出ない。
PCのタスクバー通知領域にある同期クライアントのアイコンをよく見ると、確かにファイルの編集中はずっと「同期中マーク」が出ており、アップロードされていないことがわかります。
そのログは正しいのか?
さて、ここで問題…。
- 上書き保存をしてからしばらく放置し、そしてファイルを閉じた場合、
ログの更新日時はいつになるのか? - このPCがオフラインで改廃したファイルは、いつの、どんな改廃として記録されているのか?
1も2も、記録されるのは「FileSyncUploadedFull」の発生日時、それだけです。
つまり、実際にユーザーが改廃・保存した日時ではない。
しかも、起動しっぱなしのPCでファイルを開きっぱなしだと、いつまでもログが上がってこない。
さんざん改廃したファイルのはずが、「最後にアップロードされた日時」という、たった1件のログになるわけです。もう一度書くけど、「閉じられた後に、ファイルが壊れていなければ、オンラインになった後で」という条件つきで。
「細けえことはいいんだよ」って言えるだろうか?
すわ、なんらかの事故が起きた。 ユーザーAの勤務状況と、受付端末の改廃履歴を突き合わせたくなった。
彼がその場で真面目に勤務していれば、間断なく報告書が更新されているはずだ。報告書はOneDrive同期フォルダを経由して、クラウドへ逐次アップロードされているから安心。
そんな風に思って、取り寄せてみた受付端末のログは、そして最新であるはずのクラウド上のファイルは……。
………。
ってなことになるんですけど。
今のところ、「強力な監査ログ」なーんて宣伝されても、あまり都合のいい想像をしないほうが良いですわよ奥様。
監査ログをうたうものが現れたら、それが何を監査するのか、自分の期待値と合っているのか、よくよく確認するこってす。合っているならハッピーです。
そして、ある日に失望したとしても、はたまたホッと安心したとしても、この手のサービスは勝手にバージョンアップしやがるので、折に触れて確認を怠らないこってす。
めんどくさい!
スポンサー