Microsoft 365に備わったセキュリティとは。主な機能と安全性を高める運用ポイント
Microsoft 365は、Microsoftが開発・提供するサブスクリプション型のクラウドプラットフォームです。Office製品やグループウェア、ストレージなどをクラウド環境で利用でき、ワークフローの効率化やチーム連携の強化に役立てられています。
一方で、各アプリケーションには業務に関する重要なデータが含まれているため、不正アクセスや情報漏えいを防ぐためのセキュリティ対策が欠かせません。
この記事では、Microsoft 365に備わったセキュリティ機能や安全性を高めるための運用ポイントについて解説します。
Microsoft 365のメリット・デメリットについてはこちらの記事で解説しています。
なお、Microsoft 365の導入支援についてはこちらの資料をご確認ください。
目次[非表示]
Microsoft 365に備わったセキュリティ機能
Microsoft 365には、安全なリモートアクセスと情報資産の保護を実現するための包括的なセキュリティ機能が備わっています。
なお、Microsoft 365アプリケーションと統合されたAIアシスタントツール『Microsoft 365 Copilot』のセキュリティについては、こちらの記事で解説しています。併せてご確認ください。
多要素認証(MFA)
Microsoft 365 アプリケーションへの不正なアクセスやなりすましを防ぐために、多要素認証(MFA)を設定することが可能です。
多要素認証は、複数の検証要素をユーザーに要求して認証する方法を指します。ユーザーのID・パスワードが流出してしまった場合でも、第三者による不正アクセスを防ぐことが可能です。
▼設定可能な多要素認証の方法
- プッシュ通知による承認
- SMSでのワンタイムパスコードの入力
- 電話の音声通話での承認
- 端末に保存された生体情報(指紋や顔)の利用
- パスキー(FIDO2) の設定 など
データの暗号化・保護
Microsoft 365のアプリケーションで転送・保存するデータについては、暗号化によって保護される仕組みが用いられています。
▼データの暗号化技術
技術 | 概要 |
BitLocker | 暗号キーを使用して端末に保存されるデータを暗号化する |
TLS | ネットワーク経由で転送中のデータを暗号化して、第三者による盗聴を防ぐセキュリティプロトコル |
また、『Microsoft Purview』を活用すると、社内の情報資産に対してデータ損失防止(DLP)のポリシー(※)を設定・適用できます。これにより、機密データの分類や暗号化や監視を行えるようになり、データ保護の強化を図れます。
※各ユーザーにどのようなデータを共有または保護するか定義したもの
エンドポイントの保護
クラウド環境で安全にMicrosoft 365 アプリケーションを利用できるように、エンドポイントを保護するさまざまなソリューションを活用できます。
▼エンドポイントの保護に役立つソリューション
ソリューション | 概要 | 主な機能 |
Microsoft Intune | 端末とアプリケーションを一元管理するソリューション | ポリシーの適用、アプリケーションの配信、各種リソースへのアクセス制限、遠隔でのデータ消去など |
Microsoft Endpoint DLP | Microsoft Purviewに含まれるDLP機能の一種 | 端末に保存された機密データの暗号化、ラベルごとのアクセス制御など |
Microsoft Defender for Endpoint | サイバー攻撃から端末を保護する包括的なソリューション | マルウェアの検知、AIと機械学習による未知の脅威の検出・分析など |
エンドポイントの保護を強化することで、モバイル端末の盗難・紛失時におけるデータの漏えいの防止やサイバー攻撃の防御につながります。
アクセスの制御
Microsoft 365の各種アプリケーションやデータに対して、権限を持たないユーザーの不要または不正なアクセスを制限することが可能です。
対象とするユーザーのグループや使用する端末、ネットワークの場所など、柔軟にアクセス制御の条件を設定できます。
ユーザーのIDを統合して多層的なアクセス管理を行えるソリューションとして『Microsoft Entra Suite』があります。
▼Microsoft Entra Suiteで利用できる機能
機能 | 概要 |
Microsoft Entra Private Access/Internet Access | ゼロトラストネットワーク(ZTNA)やセキュアWebゲートウェイ(SWG)の機能により、社内ネットワークや各種リソースへのアクセスを保護する |
Microsoft Entra ID Governance | ユーザーのアクセス権限の付与や承認、プロビジョニングなどの作業を自動化して管理する |
Microsoft Entra ID Protection | 高度な機械学習により、通常とは異なる動作の検知や認証の要求、アクセス制限などを行う |
Microsoft Entra Verified ID | 検証可能な資格情報(VC)を用いてユーザーによるアクセス検証を行う |
Microsoft Entra IDについてはこちらの記事で詳しく解説しています。
Microsoft 365のセキュリティを高めるための運用ポイント
Microsoft 365のセキュリティを高めるには、企業のアクセスポリシーを作成するとともに、定期的な脆弱性の評価や監査ログの確認が必要です。
➀ゼロトラストに基づくアクセスポリシーを作成する
ゼロトラストは、「社内外を問わずすべてのアクセスを信頼しない」ことを前提としたセキュリティ対策の考え方です。
Microsoft 365の利用は、リモートワークでの効率的な作業に役立つ一方で、モバイル端末や社外ネットワークの利用によって外部からの不正アクセス、マルウェア感染などのセキュリティリスクが懸念されます。
ゼロトラストの概念に基づき、各種アプリケーションやデータへアクセスできる条件を定めたアクセスポリシーを作成・適用することが重要です。
▼アクセスポリシーを作成するポイント
ポイント | 概要 |
アクセス対象の洗い出し | Microsoft 365でアクセスするアプリケーション・ファイル・ネットワークリソースなどを洗い出す |
ユーザーグループの定義 | 部署・業務内容・役職などに応じてユーザーのグループを作成して、アクセス権限を定義する |
アクセス条件の設定 | アクセス対象ごとにユーザー認証の要件、端末・ネットワークの条件、サインインの時間帯・頻度などの条件を設定する |
アクセス制御方法の選択 | 設定した条件の適合状況に応じて、アクセスの制御方法(許可・拒否・制限)を選択する |
②脆弱性の評価・管理を実施する
Microsoft 365のセキュリティ状況について脆弱性の評価・管理を行うことにより、リスクを特定して必要な対策を講じられます。
脆弱性評価・管理に役立つソリューションに、Microsoft 365に含まれる『Microsoft Defender』があります。端末を監視するとともに、ネットワークやファイルをスキャンして脆弱性を評価したり、脅威の検出・除去を行ったりできます。
Microsoft Defenderの機能やプランは、こちらの記事で詳しく解説しています。
③定期的な監査ログのチェックを行う
第三者や権限を持たないユーザーによる不正なアクセスを防ぐために、監査ログを定期的にチェックすることが必要です。
アプリケーションの使用状況やネットワークの接続状況、サインインなどに関する監査ログを定期的にチェックして、不審な動作やサインインのエラーがないか確認することで、不正アクセスの見逃しを防げます。
▼ログの監視・記録に役立つソリューション
ソリューション | 活用方法 |
Microsoft Entra ID | 特権ID管理によるアクセスの監査とログの確認を行う |
Microsoft Purview | ユーザーと管理者の操作履歴を記録して、不正なログの監査やコンプライアンス調査を行う |
>>Microsoft Azure・Microsoft 365導入・運用支援サービスに関する資料ダウンロードはこちら
まとめ
この記事では、Microsoft 365のセキュリティについて以下の内容を解説しました。
- Microsoft 365に備わったセキュリティの機能
- Microsoft 365のセキュリティを高めるための運用ポイント
Microsoft 365には、不正アクセスや情報漏えい、マルウェアの感染などを防ぐための包括的なセキュリティ機能が備わっています。
情シスがセキュリティ管理を行う際は、アクセスポリシーを作成して各種リソースへのアクセスを制御するとともに、定期的な脆弱性の評価や監査ログの確認を行うことがポイントです。
『FGLテクノソリューションズ』では、Microsoft 365の環境構築や導入後の活用支援までトータルサポートしています。リモートワークやクラウド活用の安全性を高めるセキュリティ対策もお任せください。
