「Microsoft 365のセキュリティ機能は十分なものか」
そんな方に当記事では、Microsoft 365のセキュリティ機能について解説します。Microsoft 365にはデフォルトで、組織のデータやコンプライアンスを守るセキュリティ機能が備わっています。機能を上手く利用することで、安全な業務環境の整備が可能です。
当記事でセキュリティ機能を理解し、十分に活用するための利用方法を解説します。
Microsoft 365の概要や特長を分かりやすく解説
Microsoft 365のセキュリティ機能を解説する前にどのようなサービスなのか、導入実績が多い理由も含めて解説します。
Microsoft 365の概要
Microsoft 365は、Microsoft社が提供するグループウェアサービスです。従来の買い切り版とは異なるクラウドサービスで、ソフトウェアのアップデートはMicrosoft側がしてくれます。
Microsoft 365にはWordやExcel、TeamsやOutlookなどお馴染みのMicrosoftアプリが含まれており、ユーザーは多くのデータを保存します。セキュリティ対策をしなければ、攻撃者の理想的なターゲットになってしまうため、対策が必要です。
Microsoft 365が多くの企業で導入されている理由
Microsoft 365が多くの企業で導入されている理由として以下があります。
- 多くのアプリを利用できる
- 導入のハードルが低い
- デフォルトのセキュリティ対策が強力
Microsoft 365はWord、Excel、Outlookなど、業務に活用できる多くのアプリが含まれています。業務に必要不可欠なアプリが多く、利用経験があるユーザーも多いことが導入される理由の1つです。
導入のハードルが低いことも魅力です。Microsoft 365は初期費用がなく、月額料金を支払うことで利用できます。アップデートや保守運用もMicrosoftの管轄のため、月額料金以外のコストがかからないことが普及の要因です。
またセキュリティが強力で安心して利用できることも、多くの企業が導入する理由になっています。
Microsoft 365のセキュリティ機能
Microsoft 365で使えるセキュリティ機能を1つずつ解説していきます。
機能1. 多要素認証による不正アクセス防止
クラウドサービスを対象としたサイバー攻撃として注意すべきは、不正アクセスです。サイバー犯罪者はあの手この手でユーザーIDとパスワードを入手し、不正ログインを試みます。不正アクセスを防止する一般的な手段が「IDとパスワードによる認証」ですが、これだけでは不安に思う方も多いでしょう。
Microsoft 365では、電話、SMS、モバイルアプリのいずれかで2つ目の認証をユーザーへ要求できます。IDとパスワードだけでアカウントを管理するよりもずっと安心です。
機能2. データ転送時の暗号化
Microsoft 365は、データの保存時に暗号化を実施してサーバ上のデータを保護します。さらに、SSL/TLSによる転送時の暗号化でユーザーとMicrosoft 365間で送信されるデータを保護しているため、安心して利用できます。
機能3. 組み込み型のマルウェア対策
サイバー攻撃の基本となるのが、マルウェア(ウイルス)です。これを自動的に検出するセキュリティ対策が備わっていれば、サイバー攻撃を高確率で防ぐことができます。この機能を果たすのがEOP(Exchange Online Protection)です。Microsoft 365で使用するEメールは全てEOPによって保護されており、ランサムウェアやスパイウェアも見逃しません。
またMicrosoft 365では、SharePoint Onlineにもマルウェア検知機能が備わっています。ユーザーがマルウェアに感染したファイルをアップロードしてしまっても、スキャンによって自動的にマルウェアを検知します。
企業がランサムウェアの被害に遭っても、Microsoft 365では回復策を用意しているので、安心して使用できます。
機能4. アクセス制限による不正防止
Microsoft 365の管理者は、アプリケーション・ユーザー・グループといった単位でアクセス制限をかけることが可能です。管理者は必要なユーザーだけを必要なときにアクセスを許可できるので、不正防止に役立ちます。また、Exchange OnlineにはグローバルIPで接続制限がかけられるようになっているので、社員の自宅のグローバルIPアドレスからのみ接続を許可するよう設定すれば、社員のアクセスだけ通すことも可能です。
機能5. DLP
DLP(Data Loss Prevention、データ損失防止)は、予期せぬトラブルによってデータの損失・漏えいを防止するための機能です。これを使用することで、クレジットカード番号やマイナンバー情報などの機密情報を特定・管理し、誤って共有されないように設定できます。
また、デスクトップアプリのExcel、PowerPoint、Word内の機密情報の監視と保護を行い、不適切な情報共有などを検知します。
機能6. Microsoft Defender for Office 365
Microsoft Defender for Office 365は、ランサムウェアなどの各種マルウェアや有害なリンクなどを保護する、クラウドベースのメールフィルタリングサービスです。悪意のあるメールやファイルなどから、ユーザーを保護します。
また、高度な添付ファイルスキャンとAIを組み合わせたソリューションにより危険なメールを検出して破棄します。Eメールでのリンクは自動的にチェックが行われ、安全でないWebサイトへのアクセスはブロックされます。
機能7. Microsoft Intune
Microsoft Intuneは、統合的なエンドポイント管理プラットフォームです。企業が従業員に貸与している端末、それと従業員がBYOD(Bring Your Own Device/私用端末持ち込み)によって使用している端末を確実に管理し、常にセキュリティを最新の状態に保ちます。
iOS、Android、Windows、macOSといった異なるOSのデバイスを一元的に管理でき、展開、プロビジョニング、ポリシー管理、アプリ配信、更新を効率化し、自動化します。例えば、紛失、または盗難された端末を製造元の規定設定にリセットしたり、企業関連データとビジネスアプリケーションだけを削除したりと、企業が端末を貸与しなくても、BYODを安全に運営することが可能です。
機能8.物理的なデータセンターの保護
機能とは異なりますが、Microsoftではデータセンターにも厳重なセキュリティ対策がされています。
データセンター施設の物理的管理においても堅牢で、データセンターを取り囲む高いフェンスには無数のカメラが設置され、セキュリティチームが常にビデオを監視しています。
また、データセンター内部は移動を続けるために生体認証による2段階認証を通過する必要があります。IDが検証済みになるとデータセンターへの入館が承認された部分のみに入ることができ、承認された時間帯にしかその場に滞在することはできません。他にも、外観からはデータセンターだと分からないように工夫して、攻撃対象にされにくくする工夫もされています。
インターネット上でどんなに厳重なセキュリティ対策がされていても、物理的に破壊されてしまえば元も子もありません。Microsoftのデータセンターは、物理的な破壊にも強力な対策をしています。
Microsoft 365で起こり得るセキュリティのリスク
Microsoft 365には、多数のセキュリティ機能が備えられています。しかし、それでもセキュリティリスクは防ぎきれません。起こり得るセキュリティリスクとしては、以下があります。
- 外部から不正アクセスされる
- データや機密情報が漏えいする
- マルウェアやランサムウェアに感染する
外部から不正アクセスされる
クラウドサービスを利用すると、外部から不正アクセスをされるセキュリティリスクがあります。
Microsoft社では、外部からの不正アクセスに十分な対策が実施されています。しかし、ユーザー側のセキュリティ対策はユーザーに委ねられている部分があり、悪意がある攻撃者は、そこを狙ってくるのです。
不正アクセスとしてよくあるパターンは、パスワードの漏えいです。パスワードを盗み見られた場合や、単純なパスワードの場合、パスワードを突破され、不正アクセスをされてしまいます。対策としては、多要素認証の導入やパスワードポリシーの強化が求められるでしょう。
データや機密情報が漏えいする
Microsoft 365の利用で、データや機密情報が漏えいするセキュリティリスクがあります。
前項でお伝えしたように不正アクセスを受けた場合、攻撃者は組織のデータや機密情報の取得や漏えいを目的としています。また、内部の人間によるデータ漏えいの可能性もあるでしょう。例えばメールの送信先を誤ってしまう場合や、適切でない権限を持ったユーザーによるデータ参照などです。
対策としては、メール送信先の限定や、アクセス権の適切な管理をすることです。特にアクセス権は適材適所となるよう、常に見直しをしましょう。
マルウェアやランサムウェアに感染する
Microsoft 365には、マルウェアやランサムウェアに感染してしまうセキュリティリスクがあります。
このサービスではセキュリティとして、マルウェアやランサムウェアの監視や検出が可能です。またMicrosoft Defenderが含まれているプランであれば、自動的に怪しいメールからの保護など、さらに強力なセキュリティ対策が実施されます。
Microsoft Defenderについて解説した記事もありますので、併せてご覧ください。
Microsoft 365 Defenderとは?機能や設定方法などを徹底解説
しかし、マルウェアやランサムウェアに感染してしまうリスクをゼロにはできません。悪意のあるリンクのクリックやソフトウェアのインストールなど、ユーザーの操作に伴って感染してしまう可能性があるためです。
怪しいリンクやソフトウェアダウンロードには十分注意するよう、社内教育を実施しましょう。
Microsoft 365のセキュリティをさらに高める設定
Microsoft365のセキュリティをさらに高めるためにできる対策として、以下があります。
- 多要素認証を設定する
- アクセス権限をコントロールする
- ファイル共有の際にはアラートを通知する
- 定期的に監査ログや安全性を確認する
- Microsoftのサポートを利用する
- セキュリティサービスを利用する
多要素認証を設定する
多要素認証を設定することで、Microsoft 365サービスへの不正アクセスのリスクを低減できます。
認証がログインIDとパスワードのみだと、入力やパスワードのメモの盗み見から突破される可能性があります。パスワードのような記憶情報だけでなく、生体認証やワンタイムパスワードを組み合わせることで、より安全な多要素認証を利用しましょう。
Microsoft 365はMicrosoft Authenticatorという、ワンタイムパスワードを発行するアプリを利用できます。これにより多要素認証を実現可能です。
アクセス権限をコントロールする
セキュリティリスクを抑えるための対策として、アクセス権限のコントロールがあります。
適切なアクセス権限の付与は運用時のセキュリティにおいて非常に重要です。そうすることで、誤った操作や悪意がある操作を防ぎやすくなります。
例えば、請求や他のユーザー情報の管理は限られた権限のユーザーだけが実施できるよう設定すべきです。社内の全てのユーザーがこれらの情報にアクセスできてしまうと、監査の透明性確保が難しくなるデメリットがあります。透明性が失われると、誰がいつどの情報にアクセスしたのかが分かりません。結果として情報漏えいのリスクが高まることになります。
また、外部ユーザーに一時的にファイルアクセスを許可することもあるでしょう。その際には閲覧権限のみにして編集権限を与えない、期間限定にしておき、不要になったらすぐに権限を削除するなどの対策をしておきましょう。
各ユーザーに対してアクセス権を最小限にとどめることで、余計なセキュリティリスクを抑えられます。不要な権限を与えないように設定をしましょう。
ファイル共有の際にはアラートを通知する
ファイル共有をした際にアラートが通知されるよう設定しておくことも、セキュリティ対策として有効です。
不正なアクセスや挙動に早く気づくことで、被害を最小限にとどめられる可能性が高くなるでしょう。ファイル共有による主なセキュリティリスクは、情報漏えいです。情報漏えいが起こると、社外のユーザーへの共有や送信によって情報が漏れ、自社の信頼度を大きく下げることにつながります。
Microsoft 365では、ファイル共有を設定した際にアラートを通知するよう設定が可能です。アラートには共有先情報も確認できるため、怪しい共有先であればすぐに確認できるため、早く気付けるメリットがあります。
情報漏えいを発生させないことは大切ですが、もし発生してしまった場合に被害を小さくすることも同様に重要です。アラート通知の設定をして、セキュリティ対策をしましょう。
定期的に監査ログや安全性を確認する
定期的な監査ログの確認による安全性の担保も、セキュリティリスクを小さくする対策として有効です。
監査ログを定期的に確認し、第三者目線で監査をしてもらうことで、セキュリティリスクを低減できます。ポリシーにのっとった監査を受ければ、現時点では問題がなくても怪しい箇所への対策を実施できるため、より安全な運用が可能です。
また、第三者目線での監査も重要です。内部監査のみでは透明性の確保が難しく、不都合な情報が隠ぺいされる可能性があります。隠ぺいが起こってしまうと、セキュリティリスクが高いことはもちろん、企業のコンプライアンスにも影響するでしょう。第三者目線であれば、透明性を担保したプロセスでの監査が可能です。
定期的に監査ログや安全性を確認して、セキュリティリスクを小さくしましょう。
Microsoftのサポートを利用する
Microsoftのサポートを利用し、セキュリティ対策のベストプラクティスを参考にすることで、セキュリティ強化につながります。
Microsoftの公式ページで、セキュリティ対策となるベストプラクティスが掲載されています。参考にして、セキュリティ対策の指針を策定しましょう。
また、Microsoft 365の管理センターやセキュリティポータルにアクセスすると、セキュリティ状況を確認できます。セキュリティリスクを抱えるポイントに対してアドバイスが表示されるので、対応すればセキュリティリスクを低減できるでしょう。
このサービスを利用するだけで、Microsoftのサポートを受けながらセキュリティ強化が可能となります。
セキュリティサービスを利用する
外部のセキュリティサービスを利用することも有効です。
このサービスには元々、セキュリティ対策できるサービスが備わっています。しかし、外部のセキュリティサービスを活用することで、さらなるセキュリティ強化が可能です。例えば怪しいメールのリンクを無効化するサービスや、シングルサインオンを導入して不正アクセスを防ぐサービスなどがあります。
またMicrosoft 365は、代理店を経由して導入が可能です。導入時に、セキュリティサービスとセットで導入できるプランが用意されている代理店もあります。
より強固なセキュリティで当サービスを利用できるよう、外部サービスの利用も検討してください。
Microsoft 365で実際に起こってしまった情報漏えいの事例
国立大学のA大学は、2023年にTeamsのファイルアクセス権に設定不備があり、入試問題や学生の成績情報などが情報漏えいする可能性を指摘されました。
A大学では、Microsoft 365に含まれるTeams上にファイルを保存していました。保存したファイルの共有設定が限定されるべきところ、パブリックに設定されており、アクセスできれば誰でも見られる状態だったようです。幸い、不正や個人への影響はなかったと報告されています。
この事例からは、適切なアクセス権限の付与が大切であることが分かります。不必要に情報公開をすることがないよう、アカウントやファイルのアクセス権限を適切に実施しましょう。
Microsoft 365のセキュリティに関するQ&A
Microsoft 365のセキュリティに関するQ&Aとして以下の質問に回答します。
- 「検疫にメッセージがあります」と表示されたら?
- セキュリティセンターが表示されないときは?
「検疫にメッセージがあります」と表示されたら?
「検疫にメッセージがあります」は怪しいメールを受信した場合にExchange Onlineがチェックし、宛先メールアドレスへの配信を保留した際のメッセージです。
怪しいメールかどうかはMicrosoft Defenderが判別しています。中には本当に必要なメールが保留される可能性もあるので、すぐに削除しないよう注意してください。
検疫されたメッセージをブラウザで確認できるので、安全性を確認できたら解放することで、宛先アドレスにメールが届きます。
セキュリティセンターが表示されないときは?
セキュリティセンターが表示されないときは、以下の公式手順で表示できるか確認してみましょう。
- Microsoft 365の各アプリで「ファイル」の「オプション」をクリック
- 左ペインの「セキュリティセンター」をクリック
- 「セキュリティセンターの設定」をクリック
上記でセキュリティセンターの設定を開けるので、必要な操作、設定を実施してください。
Microsoft 365のセキュリティポリシーについて
Microsoftでは、セキュリティポリシーが定められています。
セキュリティポリシーとは、ユーザーが安心して利用できるサービスであるための指針です。クラウドサービスの利用を考える際にセキュリティの不安はつきものでしょう。その不安の1つとして「クラウド事業者の環境のデータを保存する」があります。Microsoftではこの不安に対して「お客様のデータを見られないよう暗号化をする」ことや、「仮にお客様のデータを統計などに利用する場合でも無断での利用はしない、必要な加工を施す」といった対応をしています。
このように、ユーザーが安心してMicrosoftのサービスを利用するためのセキュリティポリシーが設定されています。
Microsoft 365のセキュリティ強化におすすめなPSC マイクロソフトセキュリティサービス
Microsoft 365は備わっている多くの機能を使うことでセキュリティ対策ができます。そして、さらなるセキュリティ対策に向けて、権限の調整や定期的な監視が必要なことを解説しました。その上でセキュリティサービスの利用によって、さらなるセキュリティ強化を検討すべきです。
当項ではおすすめのセキュリティサービスとして、PSC社の「脅威可視化サービス」について解説します。当サービスをおすすめする理由は以下の3点です。
- 予算や監視対象に合わせて3つのプランを選べる
- 充実した運用体制
- 幅広い対応実績
おすすめの理由1.予算や監視対象に合わせて3つのプランを選べる
脅威可視化サービスは監視対象や予算に合わせて以下3つのプランが用意されています。
- スタートアッププラン
- スタンダードプラン
- プロフェッショナルプラン
スタートアッププランはMicrosoft 365を使い始めた企業や、現在の利用状況を簡易的に可視化したい企業におすすめのプランです。監視対象にはメールやIDの認証、各Officeアプリの振る舞いがあります。メールに添付されているマルウェアや、不正アクセスに対する監視機能などが備わっており、既存のセキュリティ対策機能と相まって、安心してMicrosoft 365を利用できるようになります。
スタンダードプランはスタートアッププランの監視対象に加え、IDハッキングや標的型攻撃メールに対する検知もできるプランです。調査だけでなく、レポートによる対策の指示なども行ってくれます。悪意のある攻撃を段階的に対策したい企業におすすめです。
プロフェッショナルプランは最上位プランです。スタンダードプランの監視対象に加え、手動攻撃によるテストも実施し、脆弱性の診断を行います。隙がないセキュリティ体制を目指す企業におすすめなプランです。
おすすめの理由2.充実した運用体制
PSC社のセキュリティマネジメントセンターは24時間365日体制でセキュリティ監視やファイアウォールの運用を行っています。またアラート発生時には15分以内に連絡をする体制を構築しており、迅速な対応が可能です。
また上記とは別にセキュリティマネジメントオフィスを構えています。役割として、セキュリティマネジメントセンターの品質強化はもちろん、顧客のセキュリティコンサルを実施しており、ナレッジが蓄積されていることもPSC社の強みです。
セキュリティ監視ルームでは入館時の厳しいセキュリティチェックと、震度7の地震でも耐えられる設備設計となっています。洪水の対策や非常時の電源、空調設備も整っており、物理的にも安心して利用できるサービスです。
おすすめの理由3.幅広い対応実績
PSC社はセキュリティサービスについて幅広い対応実績を持つ企業です。
セキュリティサービスにおいて、担当者の経験値はサービス品質を左右する要素の一つになります。PSC社は多くの対応実績を持ち、経験豊富な担当者によるアドバイスを受けながらサービスの導入や利用が可能です。
例として、機器販売企業の事例では、セキュリティ運用が高負荷となっている課題に対しMicrosoft 365 E5の導入を実施しました。課題の洗い出しや導入計画の支援など、さまざまな形で課題解決へのアプローチをしたことで、セキュリティコスト削減を実現しています。
またメーカー企業の事例ではDefender for Endpoint(EDR製品)を導入しました。幅広い対応実績にもとづく専門的なアドバイスや先述した監視運用体制、そして対象企業のニーズに沿った計画策定などによって、適切なセキュリティシステムの運用が実現しています。
まとめ
Microsoft 365にはさまざまなセキュリティ機能が備わっていることから、機密情報や個人情報などを保護し、サイバー攻撃による漏えいなどを防ぎます。ただし、「セキュリティ機能は立派でもデータセンターは堅牢なの?」と疑問を持たれる方も多いでしょう。しかしこれまで紹介した通り、Microsoft 365はデータセンターでも安心・安全な運用を行っています。
国内では東日本と西日本に複数のデータセンターがあり、それぞれが冗長化されているのが特徴です。つまり、大規模な災害などによりいずれかのデータセンターがダウンしたとしても、別のデータセンターによって運用を継続でき、かつMicrosoft 365を利用しているユーザーのデータを損失することがありません。
セキュリティ対策には専門知識も必要ですが、Microsoft 365ではデフォルトで多くの対策がされており、特別なスキルがなくても安心して利用できるメリットがあります。また、脆弱性が見つかれば自動的に補修してくれる点もうれしいポイントです。安心して利用できるよう、当記事で解説した「セキュリティをさらに高める対策」を実施しましょう。