Microsoft EMS で講じるセキュリティ対策

Microsoftブログを紹介する女性

リモートワークが普及し、オフィス外から社内データへアクセスする機会も増えました。
こうした背景から組織のセキュリティリスクに対する関心が高まり、その対策として注目されているのがマイクロソフト社の「Enterprise Mobility + Security」(以下、EMS)です。

そこで、Microsoft 365(旧:Office 365)セキュリティ強化サービスである EMS がなぜ注目されているのか、特徴や機能について、本記事でご紹介します。

EMS について概要と求められる理由

EMS とは、マイクロソフト社が提供するクラウドセキュリティソリューションであり、クラウドのセキュリティ強化やデバイス・ID管理機能を備えています。
まさに EMS は、リモートワーク時代のデバイスアクセスを強化し、働き方改革やDX推進によりクラウドベースとなっているビジネスの在り方に最適なセキュリティ対策だといえます。

EMS がなぜ求められているのか?

多くの組織が様々なクラウドサービスやデバイス端末を活用しているため、情報の管理・保護などセキュリティ面に課題を抱えているようです。
以前はデバイス端末や環境に合わせて個別にセキュリティ対策を打つことが一般的でしたが、リモートワークが当たり前になった現在、総合的なセキュリティ対策サービスが求められています。
この総合的なセキュリティ対策を実現するのが、複数のソリューションで成り立っている EMS です。

多様なモバイル端末を含めたデバイス管理とID管理、セキュリティ管理を実現するサービスです。このため、Microsoft 製品への信頼性と、クラウドで提供される Microsoft 365 との親和性から、クラウドを安心・安全に利用できるセキュリティ対策として、多くのビジネスユーザーに支持されています。

EMS を導入するメリット

では、具体的に EMS 導入のメリットを紹介します。以下の3つのことが挙げられます。

  • セキュリティリスクから大きな組織を守る
  • 様々なシステム環境に順応
  • 業務用アプリを最適に管理

セキュリティリスクから大きな組織を守る

企業情報や社員の個人情報など重要な情報が社外に漏えいすることは、たった一度のセキュリティインシデントだったとしても企業は信用・信頼を失い、重大な損失につながるでしょう。これを防ぐため、情報管理を整備し、セキュリティ対策を打つことは企業にとって重要度の高い業務といえます。

企業規模の大きな組織で導入が進んでいる EMS は、クラウドベースのIDとアクセスを管理し、アクセス制限、多要素認証、シングルサインオン(SSO)などのセキュリティ機能により、様々な脅威から高度レベルで組織を守ります。
SSO とは、一度ID認証するだけで複数のアプリやデバイス端末へシームレスにサインインできる機能です。
IDを一元管理し、各ユーザーに対して権限レベルを設定することで、アクセス保護の強化を実現します。

様々なシステム環境に順応

クラウドサービスのため、オンプレミスと異なりシステム環境の変化に柔軟に対応できることが EMS のメリットです。
刷新や規模拡大などによりシステム環境に変更が生じる場合、オンプレミス型のセキュリティ対策はサーバーやネットワーク類の増設は欠かせず、イニシャルコストとランニングコストがかかります。
一方 EMS はクラウドサービスのため、同様にシステム環境の仕様が変わることがあっても、変更に伴う運用負担は発生せず順応性が高いといえます。

働き方改革や企業のDX推進などにより、クラウドベースな働き方に移行している組織も多く、組織にとって EMS の導入は様々なシステム環境に対応できるため、スムーズな移行を発揮するでしょう。

サーバーの増設は不要

業務用アプリを最適に管理

マイクロソフト社が提供する EMS は、Word・Excel・PowerPoint など Office 系業務用アプリとの連携し、セキュリティを高めることが可能です。個別では難しいセキュリティ管理が、EMS により高度なセキュリティ対策が可能になりました。

現在、Office 365 は Microsoft 365 に統合されており、Microsoft 365 は一部プランを除けば、EMS を標準で備えています。

しかし、Office 365 には EMS を備えていないため、Office 365 は Microsoft 365 と比較するとセキュリティ管理に劣ります。EMSを導入することで、Office 365 のセキュリティ強化につながるでしょう。

EMS のセキュリティ対策に欠かせない機能

次に EMS が備える主なセキュリティ機能を紹介します。

EMS は、攻撃検知・データ保護・認証統合・デバイスやアプリケーションの管理などセキュリティに関する機能を提供し、様々なサイバー攻撃の検知が可能です。ここからは、以下の主なセキュリティ機能と製品を紹介します。

  • クラウドのIDアクセスを管理:Azure Active Director
  • デバイスとアプリの一元管理:Microsoft Endpoint Manager
  • システム設定やサーバー管理を自動化:Windows Management Framework
  • Office 365 以外のクラウドサービスとの接続を制御:Cloud App Security
  • データやメールなどの情報を保護:Microsoft Information Protection
  • 行動分析によりAIが脅威を検出:Advanced Threat Analytics

EMS のセキュリティ機能で様々なサイバー攻撃の検知が可能

クラウドのIDアクセスを管理

「Azure Active Directory」は、クラウドサービスで利用しているIDをひとつに集約して管理(SSO)するための機能です。「Azure AD」と呼ばれることもあります。

Azure AD は、Identity Management as a Service(IDaaS)であり、セキュリティ基盤です。クラウドベースのIDを一元管理し、アプリケーションへのアクセス要求に対して認証と認可を行います。

現在のセキュリティ概念として主流である「ゼロトラスト」を前提とする際、セキュリティ境界は「ID」であり、これを指定するユーザー以外に不正に使用させないことは極めて重要です。つまり、ゼロトラスト時代においては「認証」と「認可」はセキュリティ対策の根幹をなし、Azure ADはセキュリティ基盤といえるでしょう。

Azure AD により、ユーザーIDやパスワードなどの情報を一元的に管理し、それを社内の様々なシステムサービスに対して同期させ、管理業務を効率化します。

それに加え、SSO が可能であり、利用者が認証情報を入力し Azure AD へのサインインが成功すれば、その認証によって複数のアプリやシステムサービスへアクセスできます。職場で使用するアプリの認証を Azure AD で統合すれば、ログインの際にこれらの認証情報をそれぞれ入力する必要がなくなり、管理の煩雑さを解消してストレスフリーなID管理を期待できるでしょう。

デバイスとアプリの一元管理

「Microsoft Endpoint Manager」機能は、デバイス端末とアプリの一元管理を実現する総合ソリューションです。PCはもちろん、スマホやタブレットなどのデバイス端末とアプリを強力に管理し最適化します。

具体的には、Microsoft Intune と Configuration Manager を組み合わせ、エンドポイントセキュリティやデバイス管理などを、ひとつの管理プラットフォームに統合しています。
社内データへのアクセス操作の制限によりデータを保護、流出を防ぎ、社内と同じ使い慣れたセキュアな環境で作業が可能なため、マルチデバイスで業務を行う現場において最適なソリューションといえます。

デバイスの一元管理化

システム設定やサーバー管理を自動化

「Windows Management Framework」機能では、システム設定やサーバー管理を自動化します。
この機能は Windows に標準搭載されているCLI(コマンドラインインターフェイス)ツール「PowerShell」と連携させることで、日常業務や簡単な反復作業を自動化できます。また、データセンターの構成要素を適正化し、複数のサーバーを効率的に管理します。

Office 365 以外のクラウドサービスとの接続を制御

「Cloud App Security」は、Office 365 以外のクラウドサービスの使用状況を監視し、接続・利用を制御することで、企業がより安全に Microsoft 365 を利用できる環境を提供します。

また、ユーザーの利用しているクラウドアプリケーションのレポート機能もあるため、現在セキュリティ・デバイス管理において問題となっている「シャドウIT」の対策としても有効です。
また、Azure AD Premium と Microsoft Cloud App Security を連携させることで、Office 365 へのアクセスを「証明書導入済み端末のみ」に制限できる機能もあります。

データやメールなどの情報を保護

EMS の最大の特長ともいえる、セキュリティ管理・強化を担うのが「Microsoft Information Protection」機能です。
暗号化・アクセス制御・承認規定などの機能で、社内のPCやモバイルデバイス内のデータやファイル、メールを様々なセキュリティリスクから保護します。情報セキュリティを強化し、組織の機密情報の流出・漏えいリスクを回避し、また不正なアクセスから情報を守ります。

その他、機密情報を守るだけでなく、適切に情報を管理する仕組みをつくり、その実践も行うサービスです。

Microsoft Information Protection は不正リスクを検知して即座に対処するため、意図的な情報の不正利用に加え、過失による事故の予防も期待できます。内部不正による情報漏えいを未然に防ぎ、適切に機密情報を管理する環境を整えたい場合にも、Microsoft Information Protection の導入がおすすめです。

行動分析によりAIが脅威を検出

「Advanced Threat Analytics」機能は、独自のネットワーク解析エンジンを利用して、認証、承認、および情報収集を目的として複数のプロトコル(Kerberos、DNS、RPC、NTLM など)のネットワークトラフィックを収集および解析します。数種類の高度な標的型サイバー攻撃や内部脅威から企業を保護するのに役立つオンプレミスプラットフォームです。

セキュリティリスクをAIが行動分析によって感知し、自動的に検出・報告。外部からのリスクだけでなく、情報の改ざんや不正操作といった内部リスクにも対応します。

EMS の2つのプラン

EMS には下記の2つのブランがあり、基本的なサービス構成はほとんど同じですが、プランによって含まれる機能が異なります。

  • Enterprise Mobility+Security(EMS)E3
  • Enterprise Mobility+Security(EMS)E5

その違いについて解説します。

Enterprise Mobility+Security(EMS)E3 と E5 の違い

EMS の2つのプランのうち、上位プランが「Enterprise Mobility+Security E5」、E5のダウングレード版として「Enterprise Mobility+Security E3」があります。

EMS のE3とE5の違いは、セキュリティ機能の範囲の違いになります。以下、E3とE5の比較表です。

Enterprise Mobility+Security E3 Enterprise Mobility+Security E5
  • Azure Active Directory Premium P1
  • Microsoft Intune
  • Azure Information Protection P1
  • Microsoft Advanced Threat Analytics
  • Windows Server CAL

E3の機能に加え、

  • Microsoft Cloud App Security
  • Azure Active Directory[AD]Identity Protection
  • Azure AD Privileged Identity Management
  • Azure Information Protection

次項でE3とE5の細かな違いについて見ていきましょう。

IDとアクセスの管理

IDとアクセスの管理について、E3・E5の違いは以下の通りです。

Enterprise Mobility+Security E3 Enterprise Mobility+Security E5
簡素化されたアクセス管理とセキュリティ
多要素認証
条件付きアクセス
リスクベースの条件付きアクセス ×
詳細なセキュリティレポート
特権ID管理 ×
Windows Server クライアント アクセスライセンス(CAL)*

*Microsoft エンタープライズボリュームライセンス契約を通じて Windows Server CAL 契約、Microsoft Endpoint Configuration Manager、System Center Endpoint Protection、Microsoft Active Directory Rights Management サービス CAL を購入されたお客様は、Enterprise Mobility + Security アドオンプランを購入できます。

エンドポイント管理

エンドポイント管理について、E3とE5で違いはなく、どちらも十分な機能を備えています。

Enterprise Mobility+Security E3 Enterprise Mobility+Security E5
モバイルアプリケーション管理
Microsoft Office 365 の高度なデータ保護
統合されたPC管理
統合されたオンプレミス管理

情報の保護

情報の保護について、E3・E5の違いは以下の通りです。

Enterprise Mobility+Security E3 Enterprise Mobility+Security E5
永続的なデータ保護
インテリジェントなデータ分類とラベル付け ×
ドキュメントの追跡と失効
規制ニーズに従った暗号化キーの管理

ID中心のセキュリティ

ID中心のセキュリティについて、E3・E5の違いは以下の通りです。

Enterprise Mobility+Security E3 Enterprise Mobility+Security E5
Microsoft Advanced Threat Analytics*
Microsoft Defender for Cloud Apps ×
Microsoft Defender for Identity ×

*Microsoft Advanced Threat Analytics(ATA)のメインストリームサポートは、2021年1月12日に終了しています。延長サポートは2026年1月までとなります。

Enterprise Mobility+Security(EMS)E5とE3 の料金プラン

料金プランはサブスクリプション型の自動更新で、E3は1ユーザーあたり月間1,160円(税別)、E5は1ユーザーあたり月間1,790円(税別)です。

E3・E5月額プラン比較表

また、Enterprise Mobility + Security 90日間の無料試用版も用意されているため、まずは無料版を試してからE3・E5どちらのプランにするか決定するのもよいでしょう。
Enterprise Mobility + Security 無料試用版の登録はこちらから。

E3とE5について下記記事でさらに詳しく解説しています。ぜひ、こちらもご参考ください。
▼Microsoft EMS E3 の特徴や導入メリット! E5 との違いは?
▼Microsoft EMS E5 の機能と導入メリットを解説

img-light

EMS がクラウドセキュリティを支える

Microsoftのお役立ち情報を知って喜ぶ男女

今回は、EMS の機能やセキュリティに関してご紹介しました。
リモートワークの広がりでセキュリティリスクはさらに高まっています。情報漏洩や、誤操作によるミスといったトラブルやインシデントが発生する前に、高度なセキュリティ対策の実施を行うとともに、社員一人ひとりの意識を高く持つことも大切です。

安心できる業務環境を整え社員を守るためにも、会社の信用を失墜させないためにも、ぜひ EMS の導入を検討してみてはいかがでしょうか。

※本記事の内容は2022年4月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。

最適なセキュリティ環境で得られる安心感は、企業の成長、ビジネスの活性化、イノベーション創出につながります。包括的なセキュリティ強化を検討してみませんか。