Microsoft 365で使えるセキュリティ機能をおさらい

新型コロナウイルス感染症の流行は一服しましたが、コロナ禍をきっかけに、リモートワークやハイブリッドワークを推進する企業が増えてきました。これらの新しい勤務形態に向けては、クラウドによるコミュニケーション基盤が必要です。クラウドサービスは今や、ビジネスの生命線とも言えるでしょう。

その際に注視すべきなのがセキュリティ対策です。一口にクラウドサービスと言っても製品ごとに特徴は異なり、特にセキュリティに関してはベンダーごとで対応内容が大きく違います。

Microsoft Digital Trust Security ソリューション一覧

Microsoft 365で起こり得るセキュリティのリスク

Microsoft 365には、多数のセキュリティ機能が備えられています。しかし、それでもセキュリティリスクは防ぎきれません。起こり得るセキュリティリスクとしては、以下があります。

外部から不正アクセスされる
データや機密情報が漏えいする
マルウェアやランサムウェアに感染する

外部から不正アクセスされる

クラウドサービスを利用すると、外部から不正アクセスをされるセキュリティリスクがあります。

Microsoft社では、外部からの不正アクセスに十分な対策が実施されています。しかし、ユーザー側のセキュリティ対策はユーザーに委ねられている部分があり、悪意がある攻撃者は、そこを狙ってくるのです。

不正アクセスとしてよくあるパターンは、パスワードの漏えいです。パスワードを盗み見られた場合や、単純なパスワードの場合、パスワードを突破され、不正アクセスをされてしまいます。対策としては、多要素認証の導入やパスワードポリシーの強化が求められるでしょう。

データや機密情報が漏えいする

Microsoft 365の利用で、データや機密情報が漏えいするセキュリティリスクがあります。

前項でお伝えしたように不正アクセスを受けた場合、攻撃者は組織のデータや機密情報の取得や漏えいを目的としています。また、内部の人間によるデータ漏えいの可能性もあるでしょう。例えばメールの送信先を誤ってしまう場合や、適切でない権限を持ったユーザーによるデータ参照などです。

対策としては、メール送信先の限定や、アクセス権の適切な管理をすることです。特にアクセス権は適材適所となるよう、常に見直しをしましょう。

マルウェアやランサムウェアに感染する

Microsoft 365には、マルウェアやランサムウェアに感染してしまうセキュリティリスクがあります。

このサービスではセキュリティとして、マルウェアやランサムウェアの監視や検出が可能です。またMicrosoft Defenderが含まれているプランであれば、自動的に怪しいメールからの保護など、さらに強力なセキュリティ対策が実施されます。

Microsoft Defenderについて解説した記事もありますので、併せてご覧ください。
Microsoft 365 Defenderとは？機能や設定方法などを徹底解説

しかし、マルウェアやランサムウェアに感染してしまうリスクをゼロにはできません。悪意のあるリンクのクリックやソフトウェアのインストールなど、ユーザーの操作に伴って感染してしまう可能性があるためです。

怪しいリンクやソフトウェアダウンロードには十分注意するよう、社内教育を実施しましょう。

Microsoft 365のセキュリティ機能

Microsoft 365で使えるセキュリティ機能を1つずつ解説していきます。

機能1. 多要素認証による不正アクセス防止

クラウドサービスを対象としたサイバー攻撃として注意すべきは、不正アクセスです。サイバー犯罪者はあの手この手でユーザーIDとパスワードを入手し、不正ログインを試みます。不正アクセスを防止する一般的な手段が「IDとパスワードによる認証」ですが、これだけでは不安に思う方も多いでしょう。
Microsoft 365では、電話、SMS、モバイルアプリのいずれかで2つ目の認証をユーザーへ要求できます。IDとパスワードだけでアカウントを管理するよりもずっと安心です。

機能2. データ転送時の暗号化

Microsoft 365は、データの保存時に暗号化を実施してサーバー上のデータを保護します。さらに、SSL/TLSによる転送時の暗号化でユーザーとMicrosoft 365間で送信されるデータを保護しているため、安心して利用できます。

機能3. 組み込み型のマルウェア対策

サイバー攻撃の基本となるのが、マルウェア（ウイルス）です。これを自動的に検出するセキュリティ対策が備わっていれば、サイバー攻撃を高確率で防ぐことができます。この機能を果たすのがEOP（Exchange Online Protection）です。Microsoft 365で使用するEメールは全てEOPによって保護されており、ランサムウェアやスパイウェアも見逃しません。
またMicrosoft 365では、SharePoint Onlineにもマルウェア検知機能が備わっています。ユーザーがマルウェアに感染したファイルをアップロードしてしまっても、スキャンによって自動的にマルウェアを検知します。
企業がランサムウェアの被害に遭っても、Microsoft 365では回復策を用意しているので、安心して使用できます。

機能4. アクセス制限による不正防止

Microsoft 365の管理者は、アプリケーション・ユーザー・グループといった単位でアクセス制限をかけることが可能です。管理者は必要なユーザーだけを必要な時にアクセスを許可できるので、不正防止に役立ちます。また、Exchange OnlineにはグローバルIPで接続制限がかけられるようになっているので、社員の自宅のグローバルIPアドレスからのみ接続を許可するよう設定すれば、社員のアクセスだけ通すことも可能です。

機能5. DLP

DLP（Data Loss Prevention、データ損失防止）は、予期せぬトラブルによってデータの損失・漏えいを防止するための機能です。これを使用することで、クレジットカード番号やマイナンバー情報などの機密情報を特定・管理し、誤って共有されないように設定できます。

また、デスクトップアプリのExcel、PowerPoint、Word内の機密情報の監視と保護を行い、不適切な情報共有などを検知します。

機能6. Microsoft Defender for Office 365

Microsoft Defender for Office 365は、ランサムウェアなどの各種マルウェアや有害なリンクなどを保護する、クラウドベースのメールフィルタリングサービスです。悪意にあるメールやファイルなどから、ユーザーを保護します。
また、高度な添付ファイルスキャンとAIを組み合わせたソリューションにより危険なメールを検出して破棄します。Eメールでのリンクは自動的にチェックが行われ、安全でないWebサイトへのアクセスはブロックされます。

機能7. Microsoft Intune

Microsoft Intuneは、統合的なエンドポイント管理プラットフォームです。企業が従業員に貸与している端末、それと従業員がBYOD（Bring Your Own Device/私用端末持ち込み）によって使用している端末を確実に管理し、常にセキュリティを最新の状態に保ちます。
iOS、Android、Windows、macOSといった異なるOSのデバイスを一元的に管理でき、展開、プロビジョニング、ポリシー管理、アプリ配信、更新を効率化し、自動化します。例えば、紛失、または盗難された端末を製造元の規定設定にリセットしたり、企業関連データとビジネスアプリケーションだけを削除したりと、企業が端末を貸与しなくても、BYODを安全に運営することが可能です。

機能8.物理的なデータセンターの保護

機能とは異なりますが、Microsoftではデータセンターにも厳重なセキュリティ対策がされています。

データセンター施設の物理的管理においても堅牢で、データセンターを取り囲む高いフェンスには無数のカメラが設置され、セキュリティチームが常にビデオを監視しています。

また、データセンター内部は移動を続けるために生体認証による2段階認証を通過する必要があります。IDが検証済みになるとデータセンターへの入館が承認された部分のみに入ることができ、承認された時間帯にしかその場に滞在することはできません。他にも、外観からはデータセンターだと分からないように工夫して、攻撃対象にされにくくする工夫もされています。

インターネット上でどんなに厳重なセキュリティ対策がされていても、物理的に破壊されてしまえば元も子もありません。Microsoftのデータセンターは、物理的な破壊にも強力な対策をしています。

Microsoft 365のセキュリティをさらに高めるには

Microsoft365のセキュリティをさらに高めるためにできる対策として、以下があります。

アクセス権限をコントロールする
ファイル共有の際にはアラートを通知する
定期的に監査ログや安全性を確認する
Microsoftのサポートを利用する
セキュリティサービスを利用する

アクセス権限をコントロールする

セキュリティリスクを抑えるための対策として、アクセス権限のコントロールがあります。

適切なアクセス権限の付与は運用時のセキュリティにおいて非常に重要です。そうすることで、誤った操作や悪意がある操作を防ぎやすくなります。

例えば、請求や他のユーザー情報の管理は限られた権限のユーザーだけが実施できるよう設定すべきです。社内の全てのユーザーがこれらの情報にアクセスできてしまうと、監査の透明性確保が難しくなるデメリットがあります。透明性が失われると、誰がいつどの情報にアクセスしたのかが分かりません。結果として情報漏えいのリスクが高まることになります。

また、外部ユーザーに一時的にファイルアクセスを許可することもあるでしょう。その際には閲覧権限のみにして編集権限を与えない、期間限定にしておき、不要になったらすぐに権限を削除するなどの対策をしておきましょう。

各ユーザーに対してアクセス権を最小限にとどめることで、余計なセキュリティリスクを抑えられます。不要な権限を与えないように設定をしましょう。

ファイル共有の際にはアラートを通知する

ファイル共有をした際にアラートが通知されるよう設定しておくことも、セキュリティ対策として有効です。

不正なアクセスや挙動に早く気づくことで、被害を最小限にとどめられる可能性が高くなるでしょう。ファイル共有による主なセキュリティリスクは、情報漏えいです。情報漏えいが起こると、社外のユーザーへの共有や送信によって情報が漏れ、自社の信頼度を大きく下げることにつながります。

Microsoft 365では、ファイル共有を設定した際にアラートを通知するよう設定が可能です。アラートには共有先情報も確認できるため、怪しい共有先であればすぐに確認できるため、早く気づけるメリットがあります。

情報漏えいを発生させないことは大切ですが、もし発生してしまった場合に被害を小さくすることも同様に重要です。アラート通知の設定をして、セキュリティ対策をしましょう。

定期的に監査ログや安全性を確認する

定期的な監査ログの確認による安全性の担保も、セキュリティリスクを小さくする対策として有効です。

監査ログを定期的に確認し、第三者目線で監査をしてもらうことで、セキュリティリスクを低減できます。ポリシーにのっとった監査を受ければ、現時点では問題がなくても怪しい箇所への対策を実施できるため、より安全な運用が可能です。

また、第三者目線での監査も重要です。内部監査のみでは透明性の確保が難しく、不都合な情報が隠ぺいされる可能性があります。隠ぺいが起こってしまうと、セキュリティリスクが高いことはもちろん、企業のコンプライアンスにも影響するでしょう。第三者目線であれば、透明性を担保したプロセスでの監査が可能です。

定期的に監査ログや安全性を確認して、セキュリティリスクを小さくしましょう。

Microsoftのサポートを利用する

Microsoftのサポートを利用し、セキュリティ対策のベストプラクティスを参考にすることで、セキュリティ強化につながります。

Microsoftの公式ページで、セキュリティ対策となるベストプラクティスが掲載されています。参考にして、セキュリティ対策の指針を策定しましょう。

また、Microsoft 365の管理センターやセキュリティポータルにアクセスすると、セキュリティ状況を確認できます。セキュリティリスクを抱えるポイントに対してアドバイスが表示されるので、対応すればセキュリティリスクを低減できるでしょう。

このサービスを利用するだけで、Microsoftのサポートを受けながらセキュリティ強化が可能となります。

セキュリティサービスを利用する

外部のセキュリティサービスを利用することも有効です。

このサービスには元々、セキュリティ対策できるサービスが備わっています。しかし、外部のセキュリティサービスを活用することで、さらなるセキュリティ強化が可能です。例えば怪しいメールのリンクを無効化するサービスや、シングルサインオンを導入して不正アクセスを防ぐサービスなどがあります。

また当サービスは、代理店を経由して導入が可能です。導入時に、セキュリティサービスとセットで導入できるプランが用意されている代理店もあります。

より強固なセキュリティで当サービスを利用できるよう、外部サービスの利用も検討してください。

Microsoft 365で実際に起こってしまった情報漏えいの事例

ここまではセキュリティリスクに強いことや、さらなる強化対策について解説してきました。しかし、それでも情報漏えいが起こってしまった事例があります。以下の2例を紹介しましょう。

大手電機メーカーの事例
国立大学での事例

大手電機メーカーの事例

大手電機メーカーA社では、Microsoft 365を利用していましたが、2020年に受けた不正アクセスにより顧客情報が流出してしまいました。

A社では全社でこのサービスを利用し、データの共有などに利用していました。そのため、1つのアカウントにログインするだけで、多くの情報を盗むことができる状況だったと考えられます。

この事例からは、不正アクセスを防ぐための対策が重要なことが分かります。パスワードポリシーの強化や多要素認証の実施など対策することで、不正アクセスを防げる可能性が高いでしょう。

参考：日経クロステック

国立大学での事例

国立大学のB大学は、2023年にTeamsのファイルアクセス権に設定不備があり、入試問題や学生の成績情報などが情報漏えいする可能性を指摘されました。

B大学では、Microsoft 365に含まれるTeams上にファイルを保存していました。保存したファイルの共有設定が限定されるべきところ、パブリックに設定されており、アクセスできれば誰でも見られる状態だったようです。幸い、不正や個人への影響はなかったと報告されています。

この事例からは、適切なアクセス権限の付与が大切であることが分かります。不必要に情報公開をすることがないよう、アカウントやファイルのアクセス権限を適切に実施しましょう。

参考：ITmediaビジネス

Microsoft 365のセキュリティポリシーについて

Microsoftでは、セキュリティポリシーが定められています。

セキュリティポリシーとは、ユーザーが安心して利用できるサービスであるための指針です。クラウドサービスの利用を考える際にセキュリティの不安はつきものでしょう。その不安の1つとして「クラウド事業者の環境のデータを保存する」があります。Microsoftではこの不安に対して「お客様のデータを見られないよう暗号化をする」ことや、「仮にお客様のデータを統計などに利用する場合でも無断での利用はしない、必要な加工を施す」といった対応をしています。

このように、ユーザーが安心してMicrosoftのサービスを利用するためのセキュリティポリシーが設定されています。

Microsoft 365のセキュリティ強化におすすめなPSC マイクロソフトセキュリティサービス

Microsoft 365は備わっている多くの機能を使うことでセキュリティ対策ができます。そして、さらなるセキュリティ対策に向けて、権限の調整や定期的な監視が必要なことを解説しました。その上でセキュリティサービスの利用によって、さらなるセキュリティ強化を検討すべきです。

当項ではおすすめのセキュリティサービスとして、PSC社の「脅威可視化サービス」について解説します。当サービスをおすすめする理由は以下の3点です。

予算や監視対象に合わせて3つのプランを選べる
充実した運用体制
幅広い対応実績

まとめ

Microsoft 365にはさまざまなセキュリティ機能が備わっていることから、機密情報や個人情報などを保護し、サイバー攻撃による漏えいなどを防ぎます。ただし、「セキュリティ機能は立派でもデータセンターは堅牢なの？」と疑問を持たれる方も多いでしょう。しかしこれまで紹介した通り、Microsoft 365はデータセンターでも安心・安全な運用を行っています。

国内では東日本と西日本に複数のデータセンターがあり、それぞれが冗長化されているのが特徴です。つまり、大規模な災害などによりいずれかのデータセンターがダウンしたとしても、別のデータセンターによって運用を継続でき、かつMicrosoft 365を利用しているユーザーのデータを損失することがありません。

セキュリティ対策には専門知識も必要ですが、Microsoft 365ではデフォルトで多くの対策がされおり、特別なスキルがなくても安心して利用できるメリットがあります。また、脆弱性が見つかれば自動的に補修してくれる点もうれしいポイントです。安心して利用できるよう、当記事で解説した「セキュリティをさらに高める対策」を実施しましょう。

Microsoft 365で使えるセキュリティ機能をおさらい