2020年4月、新型コロナウィルス(COVID-19)の拡大によって、緊急事態宣言が発令されました。行政機関からの休業要請によって、リモートワークを実施せざるを得ない企業が急増しています。
リモートワークといっても、多様な形態があります。いわゆる「在宅勤務」はリモートワークの一部に過ぎません。1980年代から日本で導入が始まった「サテライトオフィス」は、本社機能の一部を遠隔地で行うリモートワークです。スタートアップ企業では、固定費を抑える目的からオフィスビルのレンタル共有スペースを借りて、リモートワークを行うスタイルが一般的です。
リモートワークでICTを活用する目的は「生産性の向上と効率化」であり、課題となるのは「セキュリティ」つまり安全な運用基盤の構築といえるでしょう。
Office 365は、WordやExcel、PowerPointなどアプリケーションを最新の状態に維持し、インターネットからクラウドに接続して情報を共有できる便利なツールです。Office 365自体がセキュアな環境を提供しますが、リモートワークの場合は、さらにセキュリティを強化する必要があります。特に自宅のPCからOffice 365を利用する場合は、セキュリティをあらゆる側面から見直すことが必須になります。
ここでは、Office 365 Business Premium/E1/E3/E5を利用している企業を対象に、リモートワーク環境の構築が不十分で、セキリュティの視点から不安がある場合のOffice 365の安全な活用について解説します。
Office 365 Business Premiumとは
Office 365 Business Premium/E1/E3/E5は、一般法人向けに提供されているオフィスワーカーの業務効率化と生産性向上のためのソリューションです。あらためてそのメリットを整理します。
まず、Word、Excel、PowerPointなどOfficeのアプリケーションを、WindowsやMac OSのPC、さまざまなモバイル端末で利用できます。クラウド上にユーザーひとりあたり50GBのメールボックス、1TBのオンラインストレージを提供します。
Officeのアプリケーションを個別の利用端末にインストールする場合と比べて、共同作業やコミュニケーションの活性化を支援していることが特長です。
ドキュメントはクラウドを使って共有し、共同作業が可能になります。Microsoft Teamsを利用して、チャットによるコミュニケーション、オンライン会議などチームの業務効率化が可能です。SharePointによるイントラネット構築、Power Automateによる自動化ワークフローなどのソリューションも備えています。
![[マイグレーション]令和のサーバー移行支援キャンペーン SBテクノロジー](https://www.cloud-for-all.com/hubfs/images/cta/middle/hub_generated/93d0278c-98ea-4ecf-853b-27916918a228.png "[マイグレーション]令和のサーバー移行支援キャンペーン SBテクノロジー")
Office 365を安全に活用するための3つのポイント
Office 365 Business Premium/E1/E3/E5でセキュリティを強化してリモートワークを安全に活用するためには、前提としてEnterprise Mobility+Security E3、Microsoft Cloud App Security、Microsoft Defender ATPを準備する必要があります。
そして、以下の3つのポイントからセキュアな環境を構築します。
1. Office 365からダウンロードを禁止し、自宅PCに機密情報を残さないようにする
自宅のPCで作業をした後、そのまま重要な社外秘の情報をPCから削除しなかった場合、後日ウィルスに感染して情報が漏えいするかもしれません。あるいは、社員が機密情報を自分の利益のために利用する可能性も考えられます。
したがって、安全な活用の第1のポイントは、機密情報を含むファイルはダウンロードを禁止し、自宅のPCに残せない制限をかけることです。
「Microsoft Cloud App Security」で、Office 365からデータのダウンロードを禁止することができます。また、画面のカットやコピー&ペースト、印刷ができないようにブロックして機密情報の漏えいを防ぎます。
2. アクセス可能な端末を、管理下にある端末に限定する
会社で利用しているノートPCを自宅に持ち帰ってリモートワークを行う場合、利用を許可した端末にアクセスを制限することが効果的です。
第1のポイントはクラウドの情報にアクセスを制限する方法でしたが、第2のポイントでは端末自体の利用を制限します。
「Azure Active Directory P1」は、管理された端末のアクセスだけを許可するAzureのIDとアクセス管理のソリューションです。Azure Active Directoryには、基本的なFreeとOffice 365アプリを対象としたライセンスのほか、Premium P1、Premium P2があります。
Azure Active Directory のFreeとOffice 365アプリではユーザー数に制限がありますが、Premiumではシングルサインオン(SSO)が無制限になります。また、パスワード保護などアクセス制御の強化に加えて、ハイブリッドIDなどセキュリティが強化されています。P1よりP2ではID保護やリスクレポートなどのサービスが追加されます。厳しいセキュリティポリシーやセキュアな環境を重視する企業ではP2を選択します。
3. AIによる端末のマルウェア感染の検知と除去
マルウェア(Malware)は悪質な目的で作られたコードやソフトウェアの総称であり、ウィルスやトロイの木馬などから、パソコンの内部情報を外部に送信する「スパイウェア」、パスワードなどのキーボード操作を外部に送信する「キーロガー」などがあります。特定の組織やユーザーに絞り込んだ「標的型攻撃」が増加して、サイバー攻撃は複雑化しつつあり、新たな攻撃が次々に出現しています。
第1、第2のポイントでは、ユーザーのアクセスや行動を制限し、人為的なミスや悪意による情報漏えいを防ぐことが目的でした。第3のポイントでは、AIでマルウェアの感染を監視して、感染を検知した場合は迅速に除去します。
「Azure Defender ATP(Advanced Threat Protection)」は、AIを活用して24時間365日、サイバー攻撃による脅威の検知と除去を行うソリューションです。管理者はダッシュボードからユーザーの端末がマルウェアなどに感染していないか確認できます。
Office 365を安全に活用するための推奨プラン
Office 365を安全に活用する3つのポイントを踏まえた上で、具体的にどうすればいいのか推奨プランを提示します。推奨プランでは、ダウンロードの禁止、画面のカットやコピー&ペースト、印刷のブロック、アクセス制限、端末保護を目的としています。Azureのライセンスを取得していることが前提です。
それぞれの設定手順は以下になります。
1. Azure ADの条件付きアクセスを設定、セッション制御を有効にする
Azureで、すべてのサービス>Contso>セキュリティ>条件付きアクセス・ポリシーで「新規」を選択して次の2つの設定をします。
1-1. 「割り当て」
Exchange OnlineとShare Point Onlineに対するアプリケーションのアクセスを管理下にある端末に限定します。「クラウドアプリまたは操作」からクラウドアプリの対象を選択し、「条件」からクライアントアプリ(プレビュー)の構成を「はい」に切り替えます。
1-2. 「アクセス制御」
Exchange OnlineとShare Point Onlineに対するアクセス時に、Cloud App Securityへのカスタムセッションを制御します。「セッション」から「アプリの条件付きアクセス制御を行う」のチェックボタンをチェックして有効にした後、デバイスの状態(プレビュー)から対象外の構成を選択して「はい」に切り替えます。
2. Microsoft Cloud App Securityでセッション制御の有効を確認する
Microsoft Cloud App Securityの管理ポータルから、「調査」メニューの「接続アプリ」を選択します。表示された画面の「アプリの条件付きアクセス制御 アプリ」のタブで、セッション制御を設定したアプリが「接続済み」であることを確認します。
3. Microsoft Cloud App Securityでセッションポリシーを設定する
Microsoft Cloud App Securityの管理ポータルから、最初にファイルのダウンロードをブロックするポリシーを設定します。「セッションポリシーの作成」から該当するテンプレートを適用します。そして「検査方法」のプルダウンメニューで「なし」を選択します。
次に、画面のカットおよびコピー&ペースト、印刷をブロックするポリシーを設定します。「セッションポリシーの作成」から該当するテンプレートを適用します。「アクティビティの種類」のメニューで「Print」を追加で選択、「コンテンツ検査」のチェックボックスをチェックして完了です。
4. Microsoft Defender ATPを設定してセンサーを起動する
最後にMicrosoft Defender ATPを設定しますが、このとき以下の権限が必要になります。
- Global Administrator
- Security Administrator
- Security Reader
設定はまず「Settings」のメニューから「Onboardings」を選択して、展開方法に合わせたパッケージを適用します。その後、「Download Package」からスクリプトのファイルをダウンロードして、利用する端末のサービスに追加してタスクを有効にします。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
リモートワークでOffice 365を安全に活用するには、社員の教育はもちろん「あらゆるリスクの可能性があり、信頼できない」というゼロトラストの考え方を基盤に設計するとよいでしょう。そして、ユーザーの行動や権限を制限し、AIによるマルウェア感染の検知と除去を行うことが重要です。
![[Azure]最新事例から学ぶ社内DX「Azure OpenAI Service ソリューションセミナー」](https://www.cloud-for-all.com/hubfs/images/cta/cta-footer-azure-openai-service-solution-1.png "[Azure]最新事例から学ぶ社内DX「Azure OpenAI Service ソリューションセミナー」")
