SharePointで大量削除されたら気づけますか? Purview監査ログ+Power Automateで検知する方法

063月 2026 投稿者: 株式会社テクノスイッチ ITコーディネータ / 中島竜郎

ある日突然、ファイルが消えていた

「昨日まであったはずのフォルダが丸ごとなくなっている」「共有ドライブのファイルが大量に書き換えられている」。

こうした事態は、決して珍しいことではありません。原因はさまざまです。操作ミスによる誤削除、ランサムウェアによる暗号化・改ざん、あるいは退職前の社員による意図的なデータ持ち出しや削除。SharePointやOneDriveを業務で使っている企業なら、どれも他人事ではないリスクです。

問題は「何かが起きた」こと自体ではなく、気づいたときにはすでに被害が広がっていたという状況です。SharePointはバージョン履歴やごみ箱の機能でリカバリは可能ですが、大量の操作が発生した後に一つひとつ元に戻すのは現実的ではありません。早期発見が、被害を最小限に抑える唯一の手段です。

SharePointの操作は、実はログに残っている

Microsoft 365には、Microsoft Purview という管理機能が標準で含まれており、その中に「監査ログ」の機能があります。

SharePoint上で行われた操作。例えばファイルの閲覧、ダウンロード、削除、コピー、移動、共有リンクの作成などは、すべてこの監査ログに記録されています。「誰が」「いつ」「どのファイルに対して」「何をしたか」が時系列で確認できるため、インシデント発生後の調査には非常に役立ちます。

特に重要なのは、大量削除や大量コピーといった異常な操作パターンも記録されている点です。ランサムウェアに感染した端末は、短時間に大量のファイルを暗号化・上書き・削除する動きをとります。その痕跡は、監査ログに必ず残ります。

ログは「見なければ」意味がない

ところが、多くの企業が見落としている盲点があります。監査ログは存在する。でも誰も見ていないのです。

IT担当者が毎日手動でログを確認するのは現実的ではありません。何万行もある操作履歴の中から異常を見つけるのは、人の目では限界があります。そして「ログを見よう」と思ったときには、すでに事態が深刻化していることが多いのです。必要なのは、異常が起きた瞬間に自動で気づける仕組みです。

解決策:Purview監査ログ × Power Automateで自動通知を作る

Microsoft 365の標準機能を組み合わせることで、少ない追加費用で通知の仕組みを構築できます。使うのは2つだけです。

  • Microsoft Purview:操作ログの収集・検索
  • Power Automate:条件判定と通知の自動化 (弊社では Power Automate Premiumを使用しています)

仕組みの流れ

SharePointでファイル操作が発生→Microsoft Purviewの監査ログに記録される→Power Automateが定期的にログを取得・件数を確認→一定件数を超えた場合(例:60分以内に50件以上の削除)→管理者へメールでアラート通知

実装のポイント

① 監査ログの取得

Power AutomateからMicrosoft 365のManagement APIを呼び出すか、Purviewの「アラートポリシー」機能(E3以上のライセンスで利用可能)を活用します。アラートポリシーは、GUIで条件を設定するだけで監査ログへの監視ルールを設定でき、技術的なハードルが低い方法です。

② 条件の設定

優先的にチェックしたい操作の種類は以下のとおりです。

  • FileRecycled(ファイル削除)
  • FileMoved / FileCopied/FileSyncDownloadedFull(移動・コピー)
  • SiteCollectionAdminAdded(管理者権限の付与)
  • SharingInvitationCreated(外部共有の作成)

これらのイベントが「短時間に大量発生」した場合をトリガーにします。閾値は業務量に応じて調整が必要ですが、まずは「10分間に20件以上の削除」などシンプルな条件から始めるとよいでしょう。

③ Power Automateによる通知

条件を満たした場合、Power AutomateのTeamsコネクタやOutlookコネクタを使って管理者へ通知します。通知内容には「発生時刻」「操作ユーザー」「対象ファイルパス」「件数」を含めると、初動対応がスムーズです。

この仕組みが役立つ場面

  • 誤操作による大量削除
    新入社員や操作不慣れなユーザーによるうっかりミスを即座に検知
  • ランサムウェアの初期兆候
    感染端末が大量暗号化を始めた瞬間にアラート
  • 内部不正・データ持ち出し
    退職前の大量ダウンロードや外部共有リンクの作成を検知
  • 権限の不正変更
    管理者権限の無断付与などセキュリティ上の重大操作を監視

まとめ:Microsoft 365は「導入して終わり」ではない

Microsoft 365はクラウドサービスなので、インフラの管理はMicrosoftが担ってくれます。しかし、「誰が何をしているか」を監視し、異常に気づく仕組みを整えるのは、あくまでも利用企業側の責任です。監査ログの活用はIT運用の基本中の基本。特別な製品を追加購入しなくても、すでに手元にある機能を組み合わせるだけで、実用的なセキュリティ監視の仕組みは作れます。

「うちはまだそこまでやっていない」という企業ほど、一度現状を見直してみることをお勧めします。気づいたときに手が打てる状態を作ることが、IT運用の第一歩です。

株式会社テクノスイッチでは、Microsoft 365の運用設計・セキュリティ監視の仕組みづくりをご支援しています。「自社の環境で実装できるか確認したい」という場合はお気軽にご相談ください。

Toggle Dark Mode