まずは簡単にお答えできるところから回答します。監査ログの容量は概ね1件あたり2KB程度で各ユーザのメールボックス内に格納されます。監査が必要なイベントのみ記録する形になりますので、通常時は記録されません。デフォルトは90日間保存されますが、この日数は変更可能です。
したがって、あまり容量のこと自体は気にしなくて良いと思いますが、Exchangeのメールボックス内に単一フォルダとして格納されますので、あまり大量に(100万件超など)保存し続けると、検索や読み出しが極端に遅くなったりタイムアウトするようになってしまいます。
さて、管理者権限を持った人間が悪意を持って…という点ですが、Exchangeの管理権限を悪意を持って利用している人に対して、Exchangeの機能を使ってそれを防御・監査しようというのは絶対無理とは言いませんが、少し対策法としては筋が悪いと思います。
例えば、kojikoji37さんのおっしゃった形で監査機能を実装したとして、ExchangeやActive Directoryの管理権限を持っている人間は理論上様々なアプローチを使ってそれをくぐり抜けることが可能です。いくつか例を書きますね。
①メールをのぞき見する直前に見る先のメールボックスのメールボックス監査ログを無効化し、読んだあとに戻す
②メールボックス監査ログを消す(保持期限設定を短くしてパージさせた後、元に戻す)
③管理権限を利用するのではなく、そのユーザーの認証情報自体を取得/利用して「そのユーザー自身として」メールボックスにアクセスする
④監査用のSearch-Mailboxコマンドなどを利用してまとめて他のメールボックスにコピーして読む
⑤メールボックスデータベースの.edbファイルをコピーして(もしくはバックアップやハードディスクから)直接中身を見る
⑥トランスポートルールやジャーナルルールなどで自分のメールボックスにコピーを配信する
⑦SMTPのトランスポートのトランザクションログからメールの内容を再生する
Active Directory環境であればユーザー側の端末からのアプローチも可能でしょうし、色々な方法があると思います。
対策ですが、個々のアプローチ方法に対して対策を取ることは可能ですが、どの方法を使っても完璧という物はありません。悪意のある管理者から守るためには、別のアプローチでの防御を組み合わせる方が有効だと思います。いくつか例を挙げますと
・管理者権限を付与する人間のバックグラウンドチェックをきちんと行い、悪用時(悪用された場合含む)の刑事訴追など含めた誓約書などをきちんと取る
・管理者権限を通常時は誰にも振らず、作業の前に付与して貰い(作業者と付与者を分ける)、作業後に戻す
(アカウントを無効化しておいて有効化するという方式でもよい)
・管理権限での作業実施を特定の場所からのみの利用に制限してその作業端末の作業内容自体をレコーディングする、もしくは監視カメラで録画
・Exchange管理者とActive Directoryの管理者を分ける
・データセンタでのサーバの物理的な作業者とExchange管理者を分ける
そう考えると、クラウドサービスであるExchange Onlineを使うと考慮が必要な項目がかなり減りますね。
