Office 365のセキュリティやアクセス制御のポイントは?

 2018.11.01  Office365編集部

Office 365には組織内外のコミュケーションを促進するための多彩なメリットがあります。

主要なメリットだけでもこのようなものがあるでしょう。

  • 外出先からでも同じ環境にアクセスできる
  • アクセスする端末を選ばない
  • クラウドストレージでファイル共有を強化
  • Web会議で気軽にミーティング
  • 社内ポータルサイトを情報掲示板として使用する
  • チームコミュニケーションを強力に

Etc…

こうしたメリットの多くは、Office 365がクラウドサービスであることに起因しています。クラウドサービスとはブラウザ経由で提供されるサービスの総称であり、ユーザーは社内インフラを構築しなくでもシステムを利用できるため、初期投資を抑え、かつ運用負担も軽減したシステム環境を構築と利用ができます。

無数にあるクラウドサービスの中でもOffice 365は高いシェアを獲得しており、米国のフォーチュン500社※のうち70%がコミュニケーション基盤としてOffice 365を採用しています。

導入することで多数のメリットを享受できるOffice 365ですが、同時にクラウドサービスであることにより発生するセキュリティリスクを忘れてはいけません。今回はOffice 365のセキュリティやアクセス制御のポイントについてご紹介します。

Office 365のセキュリティリスク

Office 365に限った話ではなく、クラウドサービス全般に言えることなのですが、どこからでもインターネットにつながりさえすれば利用できる環境であるということで、利便性と引き換えに様々なリスクが発生します。では社内ネットワーク上だけでシステムを使用していた環境(オンプレミス)とは違い、どのようなリスクが発生するのでしょうか?

第三者による不正アクセス

Office 365を使用するにはアカウントIDとパスワードの入力が必要です。アクセスするためのインターネット環境や端末を選ばないというメリットがありますが、言い換えるとIDとパスワードさえあれば本人でなくともOffice 365にアクセスできてしまいます。不正アクセスを目的として、IDとパスワードを搾取するためのサイバー攻撃もあります。

オンプレミスではウイルス感染などの攻撃を受けない限り不正アクセスには繋がりにくいので、これはクラウドサービス特有のリスクと言えます。

私用端末の利用

最近では従業員の私用端末のビジネス利用を許可するBYOD(Bring Your Own Device)というワークスタイルが浸透しています。従業員が普段から使い慣れた端末をビジネスで使用させることで、生産性を上げようというのが狙いです。ただし、企業によってはセキュリティポリシーに反するためBYODを取り入れないところも多いでしょう。

そうした企業が注意すべきリスクが私用端末を利用したOffice 365の使用です。前述のように、Office 365にアクセスする際はIDとパスワードさえあればよいので、どんな端末を利用するかは問いません。そのため、従業員が「私用端末でOffice 365を使用する方が便利だ」と思ってしまうと、そこから無断で私用端末を利用するいわゆる“シャドーIT”が横行してしまいます。

私用端末はセキュリティ対策が十分でない場合も多く、顧客情報やその他の機密情報が外部漏えいするリスクが増大します。

安直なパスワードの設定

オンプレミスでは社用端末のデスクトップにログインすれば、後はシステム画面を呼び出すだけで様々な機能を使用して業務を遂行します。しかしOffice 365はちょっと違います。デスクトップにログインした後に、ブラウザを起動してログイン画面にてIDとパスワードを入力しシステムにアクセスします。

そのため何度もログインしなければいけないという煩わしさから、Office 365で使用するパスワードを安直なものにしてしまうユーザーがいます。

たとえば6桁の簡単なパスワードを設定した場合、それは1秒以内で解析されてしまいます。8桁ですらわずか1分での解析が可能です。パスワードが解析されてしまえば、不正アクセスはいとも簡単におき、管理者もそれに気づくことは難しいでしょう。

Office 365のセキュリティを強化するには?

Office 365を安全に運用するために、まずできることはセキュリティ意識の強化、私用端末利用の禁止、パスワードの複雑化の3つです。

セキュリティ意識の強化

Office 365はクラウドサービスであり、特有のセキュリティリスクがあることを管理者はもちろんユーザーも理解することが大切です。クラウドに限ったことではありませんが、サービスまでに到達しやすい環境であるクラウドサービスでは、一層気を付ける必要があるでしょう。

私用端末利用の禁止

特別なセキュリティポリシーが無くとも、私用端末の利用は一定の制限を行うのが得策です。前述のように私用端末はセキュリティが甘い傾向にあるため、そこから顧客情報やその他の機密情報が漏えいする可能性が高くなります。しかし、一定の要件を満たしている場合に限るものに限るなどとしても、クラウドサービスで厳密に管理するのは難しいでしょう。

多要素認証の利用

IDとパスワードだけでの認証ではどうしてもリスクが伴います。そのため、ワンタイムパスワードや電話を使用したコードを組み合わせるなど、別の認証手段を組み合わせることで、認証のセキュリティレベルは大幅に向上します。ユーザーの利便性とのバランスを取る必要がありますが、一般的な手段であれば大きな抵抗はないでしょう。

しかし、これらの対策を講じても場合によっては追加のセキュリティ対策を検討する必要がある場合もあるでしょう。

Office 365のセキュリティ強化、アクセス制御を実現するITソリューション

Office 365は世界中で導入されているクラウドサービスです。そのため多数の機能拡張ソリューションが提供されています。Office 365の標準的な機能だけでセキュリティ強化やアクセス制御が難しいのなら、それを実現するITソリューションを組み合わせることも検討しましょう。

たとえば、“シングルサインオン(SSO)”や“アクセス制御”をOffice 365に実装するものです。

ユーザーが利用するのはOffice 365だけではないでしょう。SSOとは複数のシステムやクラウドサービスにまたがってIDとパスワードを一元管理し、1度のログインで該当するすべてのシステムとクラウドサービスにアクセスできます。システムやクラウドサービスごとに個別のパスワードが設定されていますが、それを一元的に管理しかつ一つのパスワードを設定することで、セキュリティと利便性を同時に向上します。

SSOがあれば第三者による不正アクセスを防いだり、ユーザーの利便性が向上することでパスワードの高度化や私用端末利用禁止を現実的にできます。

アクセス制御とはIPアドレスでOffice 365にアクセスする端末を特定し、許可していない端末をブロックするためのITソリューションです。第三者による不正アクセスをブロックすると同時に、IPアドレスごとにアクセス権を付与することで私用端末の不正利用を確実に防ぐことができます。

パートナーに相談するのも有効な解決策

Office 365とそのセキュリティをどのように考えるのかは、個別の組織によって異なる部分があります。扱う情報の種類や、ユーザーのワークスタイルに応じて、現実的かつ有効なセキュリティ対策を行わなくてはならないからです。

そこで、自社の要件をもとに、なにをもって「安全」とするのかを含めて専門家に相談するのも非常に有効な解決策になります。ぜひパートナーの経験や知見を含めて検討し、適切なセキュリティ対策をおこなってOffice 365を安心してフルに活用していただければと思います。

※「70% of Fortune 500s have purchased O365 in the last year…why?

Microsoft OfficeユーザーのためのOffice 365 まるわかりガイドをダウンロード

RECENT POST「Office 365」の最新記事


この記事が気に入ったらいいねしよう!
Office 365 最新サービス体験型学習講座
Microsoft OfficeユーザーのためのOffice 365 まるわかりガイド

RANKING人気資料ランキング

ブログ購読のお申込み

RECENT POST 最新記事

RANKING人気記事ランキング