Microsoft EMS とは？ クラウドセキュリティ対策を解説

EMS とは、マイクロソフト社が提供するクラウドセキュリティソリューションであり、クラウドのセキュリティ強化やデバイス・ID管理機能を備えています。
まさに EMS は、リモートワーク時代のデバイスアクセスを強化し、働き方改革やDX推進によりクラウドベースとなっているビジネスの在り方に最適なセキュリティ対策だといえます。

多くの組織が様々なクラウドサービスやデバイス端末を活用しているため、情報の管理・保護などセキュリティ面に課題を抱えているようです。
以前はデバイス端末や環境に合わせて個別にセキュリティ対策を打つことが一般的でしたが、リモートワークが当たり前になった現在、総合的なセキュリティ対策サービスが求められています。
この総合的なセキュリティ対策を実現するのが、複数のソリューションで成り立っている EMS です。

多様なモバイル端末を含めたデバイス管理とID管理、セキュリティ管理を実現するサービスです。このため、Microsoft 製品への信頼性と、クラウドで提供される Microsoft 365 との親和性から、クラウドを安心・安全に利用できるセキュリティ対策として、多くのビジネスユーザーに支持されています。

では、具体的に EMS 導入のメリットを紹介します。以下の3つのことが挙げられます。

• セキュリティリスクから大きな組織を守る
• 様々なシステム環境に順応
• 業務用アプリを最適に管理

企業情報や社員の個人情報など重要な情報が社外に漏えいすることは、たった一度のセキュリティインシデントだったとしても企業は信用・信頼を失い、重大な損失につながるでしょう。これを防ぐため、情報管理を整備し、セキュリティ対策を打つことは企業にとって重要度の高い業務といえます。

企業規模の大きな組織で導入が進んでいる EMS は、クラウドベースのIDとアクセスを管理し、アクセス制限、多要素認証、シングルサインオン（SSO）などのセキュリティ機能により、様々な脅威から高度レベルで組織を守ります。
SSO とは、一度ID認証するだけで複数のアプリやデバイス端末へシームレスにサインインできる機能です。
IDを一元管理し、各ユーザーに対して権限レベルを設定することで、アクセス保護の強化を実現します。

クラウドサービスのため、オンプレミスと異なりシステム環境の変化に柔軟に対応できることが EMS のメリットです。
刷新や規模拡大などによりシステム環境に変更が生じる場合、オンプレミス型のセキュリティ対策はサーバーやネットワーク類の増設は欠かせず、イニシャルコストとランニングコストがかかります。
一方 EMS はクラウドサービスのため、同様にシステム環境の仕様が変わることがあっても、変更に伴う運用負担は発生せず順応性が高いといえます。

働き方改革や企業のDX推進などにより、クラウドベースな働き方に移行している組織も多く、組織にとって EMS の導入は様々なシステム環境に対応できるため、スムーズな移行を発揮するでしょう。

マイクロソフト社が提供する EMS は、Word・Excel・PowerPoint など Office 系業務用アプリとの連携し、セキュリティを高めることが可能です。個別では難しいセキュリティ管理が、EMS により高度なセキュリティ対策が可能になりました。

現在、Office 365 は Microsoft 365 に統合されており、Microsoft 365 は一部プランを除けば、EMS を標準で備えています。

しかし、Office 365 には EMS を備えていないため、Office 365 は Microsoft 365 と比較するとセキュリティ管理に劣ります。EMSを導入することで、Office 365 のセキュリティ強化につながるでしょう。

次に EMS が備える主なセキュリティ機能を紹介します。

EMS は、攻撃検知・データ保護・認証統合・デバイスやアプリケーションの管理などセキュリティに関する機能を提供し、様々なサイバー攻撃の検知が可能です。ここからは、以下の主なセキュリティ機能と製品を紹介します。

• クラウドのIDアクセスを管理：Azure Active Director
• デバイスとアプリの一元管理：Microsoft Endpoint Manager
• システム設定やサーバー管理を自動化：Windows Management Framework
• Office 365 以外のクラウドサービスとの接続を制御：Cloud App Security
• データやメールなどの情報を保護：Microsoft Information Protection
• 行動分析によりAIが脅威を検出：Advanced Threat Analytics

「Azure Active Directory」は、クラウドサービスで利用しているIDをひとつに集約して管理（SSO）するための機能です。「Azure AD」と呼ばれることもあります。

Azure AD は、Identity Management as a Service（IDaaS）であり、セキュリティ基盤です。クラウドベースのIDを一元管理し、アプリケーションへのアクセス要求に対して認証と認可を行います。

現在のセキュリティ概念として主流である「ゼロトラスト」を前提とする際、セキュリティ境界は「ID」であり、これを指定するユーザー以外に不正に使用させないことは極めて重要です。つまり、ゼロトラスト時代においては「認証」と「認可」はセキュリティ対策の根幹をなし、Azure ADはセキュリティ基盤といえるでしょう。

Azure AD により、ユーザーIDやパスワードなどの情報を一元的に管理し、それを社内の様々なシステムサービスに対して同期させ、管理業務を効率化します。

それに加え、SSO が可能であり、利用者が認証情報を入力し Azure AD へのサインインが成功すれば、その認証によって複数のアプリやシステムサービスへアクセスできます。職場で使用するアプリの認証を Azure AD で統合すれば、ログインの際にこれらの認証情報をそれぞれ入力する必要がなくなり、管理の煩雑さを解消してストレスフリーなID管理を期待できるでしょう。

「Microsoft Endpoint Manager」機能は、デバイス端末とアプリの一元管理を実現する総合ソリューションです。PCはもちろん、スマホやタブレットなどのデバイス端末とアプリを強力に管理し最適化します。

具体的には、Microsoft Intune と Configuration Manager を組み合わせ、エンドポイントセキュリティやデバイス管理などを、ひとつの管理プラットフォームに統合しています。
社内データへのアクセス操作の制限によりデータを保護、流出を防ぎ、社内と同じ使い慣れたセキュアな環境で作業が可能なため、マルチデバイスで業務を行う現場において最適なソリューションといえます。

「Windows Management Framework」機能では、システム設定やサーバー管理を自動化します。
この機能は Windows に標準搭載されているCLI（コマンドラインインターフェイス）ツール「PowerShell」と連携させることで、日常業務や簡単な反復作業を自動化できます。また、データセンターの構成要素を適正化し、複数のサーバーを効率的に管理します。

「Cloud App Security」は、Office 365 以外のクラウドサービスの使用状況を監視し、接続・利用を制御することで、企業がより安全に Microsoft 365 を利用できる環境を提供します。

また、ユーザーの利用しているクラウドアプリケーションのレポート機能もあるため、現在セキュリティ・デバイス管理において問題となっている「シャドウIT」の対策としても有効です。
また、Azure AD Premium と Microsoft Cloud App Security を連携させることで、Office 365 へのアクセスを「証明書導入済み端末のみ」に制限できる機能もあります。

EMS の最大の特長ともいえる、セキュリティ管理・強化を担うのが「Microsoft Information Protection」機能です。
暗号化・アクセス制御・承認規定などの機能で、社内のPCやモバイルデバイス内のデータやファイル、メールを様々なセキュリティリスクから保護します。情報セキュリティを強化し、組織の機密情報の流出・漏えいリスクを回避し、また不正なアクセスから情報を守ります。

その他、機密情報を守るだけでなく、適切に情報を管理する仕組みをつくり、その実践も行うサービスです。

Microsoft Information Protection は不正リスクを検知して即座に対処するため、意図的な情報の不正利用に加え、過失による事故の予防も期待できます。内部不正による情報漏えいを未然に防ぎ、適切に機密情報を管理する環境を整えたい場合にも、Microsoft Information Protection の導入がおすすめです。

「Advanced Threat Analytics」機能は、独自のネットワーク解析エンジンを利用して、認証、承認、および情報収集を目的として複数のプロトコル（Kerberos、DNS、RPC、NTLM など）のネットワークトラフィックを収集および解析します。数種類の高度な標的型サイバー攻撃や内部脅威から企業を保護するのに役立つオンプレミスプラットフォームです。

セキュリティリスクをAIが行動分析によって感知し、自動的に検出・報告。外部からのリスクだけでなく、情報の改ざんや不正操作といった内部リスクにも対応します。

EMS には下記の2つのブランがあり、基本的なサービス構成はほとんど同じですが、プランによって含まれる機能が異なります。

• Enterprise Mobility＋Security（EMS）E3
• Enterprise Mobility＋Security（EMS）E5

その違いについて解説します。

EMS の2つのプランのうち、上位プランが「Enterprise Mobility＋Security E5」、E5のダウングレード版として「Enterprise Mobility＋Security E3」があります。

EMS のE3とE5の違いは、セキュリティ機能の範囲の違いになります。以下、E3とE5の比較表です。

次項でE3とE5の細かな違いについて見ていきましょう。

IDとアクセスの管理について、E3・E5の違いは以下の通りです。

*Microsoft エンタープライズボリュームライセンス契約を通じて Windows Server CAL 契約、Microsoft Endpoint Configuration Manager、System Center Endpoint Protection、Microsoft Active Directory Rights Management サービス CAL を購入されたお客様は、Enterprise Mobility + Security アドオンプランを購入できます。

エンドポイント管理について、E3とE5で違いはなく、どちらも十分な機能を備えています。

情報の保護について、E3・E5の違いは以下の通りです。

ID中心のセキュリティについて、E3・E5の違いは以下の通りです。

*Microsoft Advanced Threat Analytics（ATA）のメインストリームサポートは、2021年1月12日に終了しています。延長サポートは2026年1月までとなります。

料金プランはサブスクリプション型の自動更新で、E3は1ユーザーあたり月間1,160円（税別）、E5は1ユーザーあたり月間1,790円（税別）です。

また、Enterprise Mobility + Security 90日間の無料試用版も用意されているため、まずは無料版を試してからE3・E5どちらのプランにするか決定するのもよいでしょう。
Enterprise Mobility + Security 無料試用版の登録はこちらから。

E3とE5について下記記事でさらに詳しく解説しています。ぜひ、こちらもご参考ください。
▼Microsoft EMS E3 の特徴や導入メリット！ E5 との違いは？
▼Microsoft EMS E5 の機能と導入メリットを解説

※本記事の内容は2022年4月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。