TeamsやSharePointなど、企業や組織に所属する人々のコミュニケーションを円滑にし、業務効率化・生産性の向上を目指すグループウェアとして、Microsoft 365は高い人気を誇っています。
しかし、導入を検討する際に、Microsoft 365のデメリットとしてのセキュリティリスクやセキュリティ対策の内容が気になる方は多いのではないでしょうか。
本記事では、Microsoft 365のセキュリティリスクや具体的なセキュリティ対策を解説します。
Microsoft 365にはどのようなセキュリティ機能が備わっているのかも一覧でまとめていますので、ぜひお役立てください。
Microsoft 365のセキュリティリスク
まずは、Microsoft 365(旧:office 365)を使うときに、どのようなセキュリティリスクがあるのかをご紹介します。
Microsoft 365に限らずインターネット環境を利用する際に起こりやすいリスクであるため、あらかじめ確認しておきましょう。
不正アクセス
不正アクセスとは、悪意ある攻撃者がサイバー攻撃やスパムメールを通じ、本来アクセス権限はないものの、情報システムやサーバー内部への侵入を試みる悪質な行為です。不正アクセスの代表的な手口は、下記の通りです。
- パスワード・IDの不正利用や総当たり攻撃
- フィッシング行為(偽装したURLをクリックさせて個人情報を盗む行為)
- アプリケーションやサーバーのぜい弱性を狙う
- 不正なプログラムをダウンロードさせてしまう
- 本人になりすまして不正アクセスを試みる
Microsoft 365における不正アクセスがあった場合、機密情報の流出やコンピュータウイルスへの感染、Webサイトの悪質な改ざんなどの被害が起こる可能性があります。
不正アクセスやウイルス感染の関連記事をご用意しております。ぜひご覧ください。
▼不正アクセスを防ぐには? 手口や被害事例、対策を徹底解説!
▼マルウェアの被害を防ぐには? 対策方法と感染時の対処法を解説
▼ランサムウェアの感染経路は? 感染被害や対策方法を徹底解説!
データの漏えいや改ざん
Microsoft 365で扱っている社内の機密情報や個人情報などのデータ漏えいや改ざんは、下記のような原因で起こることが多くなっています。
- コンピュータウイルスへの感染や不正アクセス
- 機密情報の誤送信
- ハードディスクやPCの盗難・紛失
内部不正やハードディスク・PCなどの盗難は、社内での管理やルール化により予防ができる部分です。
しかし、コンピュータウイルスへの感染や不正アクセスなどの外的要因は、セキュリティ対策が求められます。万が一、機密情報や個人情報の漏えいが起きると、会社のイメージダウンや株価の下落につながる可能性があります。
Microsoft 365のセキュリティ対策
前章で紹介した不正アクセスや情報漏えいなどのセキュリティリスクを抑えるために、Microsoft 365は複数のセキュリティ対策を備えています。
ここでは、標準機能として備わっているMicrosoft 365のセキュリティ対策をご紹介します。どのようにセキュリティを強化しているのか理解できるため、参考にしてみてください。
データセンターでデータを管理している
マイクロソフト社では世界各国にデータセンターを設置し、厳格なセキュリティを維持しています。日本では国内2か所にデータセンターがあり、データの管理やバックアップを行っています。
データセンターとは、サーバーやデータ通信用の装置などを保管、運用するための施設です。データセンターには下記のようなメリットがあるため、重要度や機密性の高いデータを安心して扱えるようになります。
- 24時間365日体制で監視されている
- 災害対策を完備している
- 自社の負担を増やすことなく強固なセキュリティを維持できる
マイクロソフト社では、データ障害や膨大なデータ量に耐えられる設備面と、外部からの侵入や内部不正を予防する物理的なセキュリティ対策の2つの視点からデータセンターのセキュリティを高めています。
データと通信の暗号化をしている
Microsoft 365では、ファイルや電子メール、予定表などの個人情報を暗号化しています。
| データの保存時 | BitLocker (保存中の顧客データなどディスクドライブ内のデータを暗号化する) |
| データの送受信時 | IPsec・TLS (サーバー間やデータセンター間の通信を暗号化する) |
データの暗号化とは、第三者にデータの内容を盗み見されることを防止する、セキュリティ強化を目的とした対策です。暗号化して送受信すると、送受信中のデータはIPsec(Security Architecture for Internet Protocol)などの暗号化規格によって暗号文のようになり、盗み見や改ざんができないようになります。
ISO 27001/ゴールドマークを取得している
Microsoft 365は、国際標準化機構の情報セキュリティ管理基準に準じてデータ管理を行っています。その証しとして、「ISO 27001」を取得しています。
ISO 27001とは、情報セキュリティマネジメントシステムに関する国際規格で「情報の機密性」「完全性」「可用性」という、実際の運用に適した3つの項目をバランスよくマネジメントできていることを証明するものです。
Microsoft 365はISO 27001の基準を満たしており、厳格な情報セキュリティを保持したうえで運用しているといえます。
クラウドセキュリティ(CS)ゴールドマークとは、一定の情報セキュリティ基準を満たす場合に付与されるマークです。シルバーマークとゴールドマークの2種類があり、Microsoft 365は外部監査による評価が必要となるゴールドマークを取得しています。
ゴールドマーク取得の要件には、クラウド情報セキュリティ管理基準を満たす実装・運用がされているなど、具体的な施策が求められます。客観的な視点で安全性と信頼性を高いレベルで担保できている証しだといえるでしょう。
ISO 27001とゴールドマークの双方を取得していることで、幅広い審査項目を満たし、より安全性に考慮した情報セキュリティマネジメントを実施していることになります。
多要素認証で不正アクセスを予防できる
Microsoft 365は、多要素認証に対応しています。多要素認証とは、知識情報と所持情報、生体情報のうち2つ以上を活用して認証する手法です。
| 知識情報 | パスワードやIDなどの情報 |
| 所持情報 | スマホ やICカードなど持ち物を使った認証 |
| 生体情報 | 指紋認証や顔認証など生体を使った認証 |
パスワードなどの知識認証だけでは第三者が繰り返し不正アクセスを試みてハッキングされる可能性がありますが、他の認証方法を組み合わせることで、ログイン時のセキュリティレベルを高められます。
Microsoft 365では、知識認証に追加して下記のような認証を利用できます。
- SMS(Short Message Service)に入力コードを送信する
- 登録した電話番号に発信をする
- 指定のモバイルアプリを活用する
それぞれ設定をする必要はありますが、多要素認証を活用することで不正アクセスの防御を期待できます。
Microsoft 365のセキュリティ対策機能
ここからは、一部のMicrosoft 365のプラン、またはオプションで利用できるセキュリティ対策機能をご紹介します。
セキュリティ対策に特化した機能を活用することで、セキュリティを強化したりセキュリティ対策の運用を効率化したりできます。具体的にはどのような機能があるのか、チェックしてみてください。
Microsoft Defender
「Microsoft Defender」は、アプリケーションやデータ、ID、デバイスを脅威から守るためのソリューションです。
- 未知の脅威への対策
- 標的型メール攻撃への対策
- IDのリスク管理
- 不審なアクセスへの対策
など、様々な脅威への対策を行える点が特徴です。使いやすい管理画面で現状を把握できるだけでなく、悪質な攻撃を発見し自動的に阻止できます。
Microsoft Defender for Business
「Microsoft Defender for Business」は、従業員数300人までの中小規模のビジネスのニーズに合わせて設計されたエンドポイント(PCやスマホなど末端の機器のこと)セキュリティソリューションです。
主に下記の機能を備えており、脅威から守るだけでなく集中管理機能が追加されています。
- 標的型メールからの保護
- スパムやマルウェア対策と保護
- 未知の攻撃からの保護
- エンドポイントの保護
- 自動調査やぜい弱性の管理
- 一元的なレポートの作成
- API連携(カスタムアプリなどとの連携)
シンプルで使いやすいダッシュボード型のインターフェースとなっており、レポートの作成やセキュリティ対策の運用がしやすくなっています。
Microsoft Defender for Endpoint
「Microsoft Defender for Endpoint」は、ワンランク上のエンドポイント向けのセキュリティソリューションです。
多様な働き方によりエンドポイントのセキュリティリスクが高まり、強固なセキュリティ対策が重要視されています。
従来の主流であったゲートウェイセキュリティ(不正な通信をゲートウェイ通過の段階で検知し、遮断する)対策とは異なり、エンドポイントを保護し安全性を高められるところが特長です。
Microsoft Defender for EndpointはPlan1とPlan2に分かれていますが、両者に共通する主な機能の概要は下記の通りです。
- マルウェアやウイルス対策を含む次世代の保護
- 攻撃面の減少
- 集中管理とセキュリティレポート
- 手動応答アクション
- API連携
- デバイスベースでの制御
Plan2では上記の機能に加えて、下記の機能も利用できます。
- デバイスの検出
- 脅威とぜい弱性の管理
- 自動調査および対応
- 高度な追及
- エンドポイントでの検出と対応
Microsoft Defender for Cloud Apps
「Microsoft Defender for Cloud Apps」はクラウドとユーザーの間に立ち、セキュリティを強化するソリューションです。
昨今は様々なクラウドサービスがあり、複数のクラウドサービスを導入し業務を進めている企業も多くあります。クラウド全体のセキュリティを強化することで、様々なセキュリティリスクを抑えられる点が特長です。
主な機能としては、シャドーITの検出やクラウド全体の機密情報の保護などが挙げられます。クラウドの機密情報の保護では、クラウド内の機密情報を把握・分類し、独自のプロセスで様々な脅威から保護します。
Azure Active Directory Identity Protection
「Azure Active Directory Identity Protection」はビッグデータとAI(人工知能)を使いユーザーのサインインをリスク分析し、最先端の入口対策ができるソリューションです。
サインインとエンドポイントの2か所を監視し、いち早くリスクを検出し、対策を取ることが可能です。また、強固なセキュリティ対策の自動化や監視を行い、常にセキュリティ状態を確認できます。
Microsoft 365を安全に利用するには?
最後に、Microsoft 365を安全に利用するためのポイントをご紹介します。すぐに実践できる方法ばかりなため、セキュリティを強化するために検討してみてください。
セキュリティスコアを確認して現状を把握する
セキュリティスコアとは、組織のセキュリティ内容を数値化・可視化したものです。Microsoft 365 Defender 内の機能で、現在のセキュリティスコアや改善に必要な処置などが表示されます。
履歴資料を閲覧することもできるため、過去と比較してセキュリティスコアが低下していないか、一定のセキュリティ水準を維持できているかを簡単に確認できます。
また、セキュリティに問題がある場合やセキュリティが低下した項目がある場合は、具体的な改善策を提示してくれる点もポイントです。セキュリティ向上のため、自社のセキュリティ内容がどのレベルなのか分析を行いたい場合は、活用を検討してみるといいでしょう。
アクセス権限・アクセス制限を設定する
Microsoft 365では「グローバル管理者」や「ライセンス管理者」など、使用できるデータや機能によってアカウントの権限を割り振ることができます。全員が同じ権限を持ち、あらゆるデータや機能を使用できる状態では、不正な情報の利用や外部への持ち出しが起こりやすくなります。
情報漏えいを防ぐためにも、Microsoft 365を使用する人の立場や関連するグループなどに応じて細かく権限を設定し、データのアクセス制御を用いたり不必要な利用はあらかじめ防止したりしておくことが大切です。
また、Microsoft 365ではIPアドレスによる「アクセス制限」ができます。あらかじめ使用できるIPアドレスを設定しておけば、未許可のIPアドレスではMicrosoft 365にアクセスできなくなります。
例えば、下記のようなIPアドレスのみを条件とした制限を設定することで、不正アクセスのリスクを軽減できるでしょう。
- 社内で使用しているPCやタブレット端末
- 持ち出し許可をしているPCやタブレット端末
アクセス制限をするには社員への周知や運用方法の策定が必要となるため、計画的に進めてみましょう。
ログの管理や監査を行う
ログの管理とは、PCやサービスを利用した履歴を収集し管理することです。ログには Microsoft 365を操作した履歴やログインをした履歴などが残ります。つまり、ログの管理や監視ができていれば、Microsoft 365の利用状況が常に把握できるのです。
また、万が一、情報漏えいや不正アクセスなどのトラブルが発生したとしても、ログを辿ることで原因を追求できる可能性があります。ログがないと利用状況やログイン情報など何も残らなくなるため、しっかりと監視や管理を行えるようにしておきましょう。
テクバンのセキュリティサポート
Microsoft 365は社内だけでなく、社外でも利用できます。
例えば、働き方改革が進んだことで、出張先からのモバイル利用やリモートワークによる自宅から接続など、場所を選ばない活用が見られるようになりました。
使用環境が変化したときには、Microsoft 365に備わっている機能だけでは十分なセキュリティを担保できません。そこで、あらゆる環境で一定のセキュリティを維持できるように複数のセキュリティ対策を組み合わせることがおすすめです。
テクバンでは、最新かつ快適な運用にかなうセキュリティ環境を構築できる製品やサービスを提供しています。
セキュアなインターネットアクセス環境を構築するSWG(セキュアWebゲートウェイ)や、マルウェアなどの感染を検知・対応するEDR(Endpoint Detection and Response)、社内外問わずアクセスを制御するZTNA(ゼロトラストネットワークアクセス)など、次世代セキュリティ対策のご提案が可能です。
Microsoft 365の機能のみでは防げない高度な脅威にも対応できますので、お気軽にお問い合わせください。テクバンはマイクロソフト社認定パートナーでもあるため、安心してお任せいただけます。
テクバンのSWGサービスについて詳細はこちらから。
テクバンのEDRサービスについて詳細はこちらから。
テクバンのZTNAサービスについて詳細はこちらから。
次世代セキュリティ対策についての詳しい資料はこちらの資料をご参考にしてください。
Microsoft 365のセキュリティを強化
Microsoft 365には、標準でも一定のセキュリティ機能が備わっています。目的や使い方に応じて適切なセキュリティ機能を追加することで、よりセキュリティの高い環境を構築できます。
テクバンでは次世代のセキュリティ技術を取り入れながら、お客様に快適に運用いただけるセキュリティ対策を幅広く提供しています。セキュリティ対策に課題を感じている場合は、お気軽にお問い合わせください。
テクバンに相談する
