安全安心な Microsoft 365 のセキュリティとは?
目次[非表示]
- 1.Microsoft 365 のセキュリティリスク
- 1.1.不正アクセス(サイバー攻撃)
- 1.2.標的型攻撃
- 1.3.マルウェア
- 1.4.社員によるデータ漏えい
- 1.5.外部メンバーによる情報窃取
- 1.6.災害などによるデータ消失
- 2.Microsoft 365 のセキュリティ対策
- 2.1.セキュリティ対策 1:不正アクセス対策
- 2.2.セキュリティ対策 2:標的型攻撃対策
- 2.3.セキュリティ対策 3:マルウェア対策
- 2.4.セキュリティ対策 4:社員によるデータ漏えい対策
- 2.5.セキュリティ対策 5:アクセス権限の制御
- 3.まとめ
- 4.Microsoft 365 無料相談実施中
Microsoft 365 は、ご存じのようにメールやビジネスチャット、ポータルサイト、ファイルサーバといった情報基盤や Microsoft Office 製品がサブスクで使えるクラウドサービスです。しかし、クラウドサービスは、自社の外にデータが置かれます。セキュリティに不安を覚える方も多いのではないでしょうか?結論から言うと、Microsoft 365 は強固なセキュリティシステムを搭載しており、心配はほとんどいりません。本記事では、Microsoft 365 のセキュリティについて解説します。
Microsoft 365 のセキュリティリスク
Microsoft 365 のセキュリティについて解説する前に、Microsoft 365 には、どのようなセキュリティリスクがあるのかについて解説します。
不正アクセス(サイバー攻撃)
セキュリティリスクと聞いて、最初に思い浮かべるのはおそらく不正アクセスではないでしょうか。報道では「サイバー攻撃」とも呼ばれます。
不正アクセスとは、法律でも厳密に定義されている攻撃方法で、以下のような行為を言います。
● なりすまし行為
不正に入手した他人のIDとパスワードを使い、管理者やアカウント保持者に無断でインターネットを介してログインする行為のこと
● 脆弱性を利用して侵入する行為
インターネットを通じてサイトの脆弱性を利用し、IDとパスワードによるアクセス制限を回避する行為のこと
● 他のシステムへの攻撃の踏み台にする行為
インターネットを通じて、別のログインサーバーによってアクセス制限されているサーバーの脆弱性を利用し、ログインサーバーによるアクセス制限を回避する行為のこと
要は、「他人のIDとパスワードによる認証を何らかの方法で回避すること」を言います。
※参考サイト:総務省| 不正アクセスとは? ・ 不正アクセス行為の禁止等に関する法律
標的型攻撃
標的型攻撃とは、機密情報を盗み取ることなどを目的として社員をターゲットにし、フィッシングメールなどを送って騙し、IDとパスワードを盗み取るなど特定の個人や組織を狙った攻撃方法です。例えば、取引先の社名とドメインを装い、「先日の打ち合わせについて」というタイトルのメールを送信します。文面にはURLが書かれており「こちらに新しい資料を用意しました」と書かれていると、社員は騙されて悪意のあるURLを開いてしまいます。
その後、盗み取ったIDとパスワードで不正アクセスを行うのです。
※参考サイト:総務省| 標的型攻撃への対策
マルウェア
マルウェアとは、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。感染経路は、メールやファイル送信が最も多いです。多くは、身に覚えのない迷惑メールから感染しますが、信頼できる取引先からのメールも、添付ファイルを開く際には安心できません。なぜなら、取引先の担当者のパソコンが悪意無く感染しているケースがあるからです。
※参考サイト:特定非営利法人日本ネットワークセキュリティ協会(JNSA)| マルウェアとは
社員によるデータ漏えい
不正ではない、正当なアクセスなら安全というわけでもありません。正当なアクセス権を持つ社員が、データを漏えいさせる可能性もあります。多くの場合、以下のような社員の行動により、データが漏えいします。
● メールやチャットの誤送信
● データが入った端末の紛失
● 私物のPCやスマホなどに社外秘情報を入れる
企業などの組織内で用いられる機器やソフトウェアなどで社員や各部門の判断で導入・購入され、経営や情報システム部門による把握や管理が及んでいないものを「知らないうちに」利用している状態をシャドーITといいます。シャドーITがまん延する原因には、急速なテレワークの移行によるセキュリティ対策が追い付いていないという事情があります。また、無料・安価で便利な個人向けのソフトウェアやネットサービスが増え、業務の効率化や社員の利便性を優先するために手軽に利用をしてしまうことも原因のひとつといえます。
強固さと利便性のバランスの取れた、適切なレベルのセキュリティを施すことが結果的に、データの漏えい防止にも繋がるのです。
外部メンバーによる情報窃取
業務に社外の人材を活用するのは、どの会社でも行われていると思います。しかし、このような外部メンバー、あるいは外部協力会社が情報を不正に持ち出すケースがあります。記憶に新しいのは、大手メッセージアプリの会社の事例です。中国にある協力会社の外国人社員が、顧客の個人情報を自由に閲覧できる状態になっていました。幸いにも、漏えいは確認されませんでしたが社会的に大きな批判を浴びました。
災害などによるデータ消失
企業のデータに対する脅威は、悪意のある人間だけとは限りません。災害などによるデータの消失も大きなリスクです。地震や津波などにより、データセンターが物理的に破損した場合、データが消えてしまう恐れがあるのです。特に、日本は災害の多い国ですので、しっかりと災害などについても考えておく必要があります。
Microsoft 365 のセキュリティ対策
Microsoft 365 は、なぜ安全安心なのでしょうか? Microsoft 365 は、多層防御と呼ばれる考え方によるセキュリティシステムを搭載しています。多層防御とは、さまざまな攻撃に対して防御を直列に並べて階層的に対処することで、機密情報 (守るべきもの) への被害を最小に護るという考え方です。
※引用元:Microsoft 公式サイト| セキュリティ対策の要点解説
セキュリティ対策 1:不正アクセス対策
一般的なパソコンやオンラインサービスは、ID・メールアドレス・パスワードといった本人認証を必要とします。Microsoft 365 では、不正アクセス対策として、IDやパスワード認証の本人認証に成功しても、電話やSMSによる次の認証が失敗すればアクセスを許可することができない多要素認証の設定ができます。また、決まったIPアドレス、例えば、職場のIPアドレス以外などの外部からのアクセスを拒否するなど、認証とアクセス制限を合わせることでセキュリティの強化が可能です。
※参考サイト:Microsoft 公式サイト| Microsoft 365 の多要素認証性
セキュリティ対策 2:標的型攻撃対策
Microsoft 社が提供しているメールサービスの Exchange Online には、 Exchange Online Protection というセキュリティ機能が標準搭載されおり、ある程度のセキュリティ効果が期待できます。ただし、近年、標的型メールは非常に巧妙化してきており、これだけでは不十分になってきました。そこで、より強固なセキュリティを対策するには、オプションサービスとして「Microsoft Defender for Office 365」の導入をおすすめします。このサービスは、受信メールの本文中のURLや添付ファイル、送信元のドメインを監視する機能が付属しています。この機能を使って、悪意のある受信メールの本文中のリンクや添付ファイルなどを開かないように、メールを自動的に検知し、削除します。
※参考サイト:Microsoft 公式サイト| Exchange Online サービスの説明 ・ Exchange Online Protection の概要
Microsoft Defender for Office 365
セキュリティ対策 3:マルウェア対策
先述した Microsoft 社が提供している Exchange Online の Exchange Online Protection は、悪意のあるソフトウェアから受信および送信メッセージを保護し、電子メールを介して転送されるマルウェアからネットワークを保護するためのフィルター機能が提供されます。送信されるメッセージは、マルウェアに関してスキャンをし、検出された場合はメッセージは削除されます。また、感染したメッセージが削除され配信されない場合は、送信者または管理者に通知されます。
※参考サイト:Microsoft 公式サイト| スパム対策とマルウェア対策の保護 Exchange Online Protection
セキュリティ対策 4:社員によるデータ漏えい対策
私物のPCやスマホを使って、SNSに業務の情報が流れたら大変です。また、PCやスマホの紛失や盗難があると、業務の情報が盗まれる可能性があります。このような事態を防ぐためには、アクセス制御やMDM(モバイルデバイス管理)といった対策が必要です。アクセス制御を行うことにより、私物のPC利用を制限したり、利用できるネットワークを制限したりすることができます。また、MDMを行うことにより、紛失や盗難の際にリモート操作で業務データを守ることができます。
Microsoft 社からは、アクセス制御や MDM といった対策を行うことができる Intune や、さらに高度なデータ漏洩対策を行うことができる Microsoft Defender for Cloud Apps(旧:Microsoft Cloud App Security)といったソリューションが提供されているのですが、Microsoft 365 Business Premium や大企業向けの Office 365 E3 や E5 といった高いライセンスが必要です。アクセス制御や MDM については、様々な企業からソリューションが販売されているため、検討してみてください。
※参考サイト:Microsoft 公式サイト| Microsoft Defender for Cloud Apps
Microsoft 365 Business Premium ・ Office 365 プラン価格表
セキュリティ対策 5:アクセス権限の制御
外部メンバーと一緒に業務をしたい場合には、細かいアクセス権限によって閲覧できるレベルをコントロールすることが可能です。例えば、SharePoint であれば、チームサイトメンバー、チームサイト閲覧者、チームサイト所有者ごとに、グループを作ってまとめて権限を設定できたり、以下のようなきめの細かいアクセス権の管理が、一人ひとりに設定できます。
● フルコントロール…全ての権限。
● デザイン…ライブラリやリストの作成、ページの編集、サイトデザインの変更。
● 編集…リストの追加・編集・削除。リストアイテムとドキュメントの表示、追加、更新、削除。
● 投稿…リストアイテムとドキュメントの表示、追加、更新、削除。
● 読み取り…既存のリストとドキュメントライブラリでページとアイテムの表示とダウンロード。
● 制限付き読み取り…既存のリストとドキュメントライブラリでページとアイテムの表示のみ、ダウンロード不可。
例えば、外部メンバーでも、協力会社所属の派遣メンバーなどは「読み取り」のレベルにし、タスク単位で臨時的に雇った個人のギグワーカー、フリーランスなどは「制限付き読み取り」にするなど、個人の信用度合いに応じて、きめ細かく情報アクセスのレベルを管理できます。
※参考サイト:Microsoft 公式サイト| アクセス制御の概要
災害によるデータ消失に対する対策は、データの冗長性の確保です。例えば、データが1カ所に固まっていると、その1カ所が破損するだけでデータが消失してしまいます。しかし、離れた複数の箇所にデータセンターが分散されており、それぞれのデータセンターにバックアップが取られていれば、1カ所が破損してもデータは失われません。これを、冗長性と言います。
Microsoft 365 は、日本にもデータセンターがあり、その場所は東京と大阪の2カ所です。これらの2カ所のデータセンターで、データをミラーリングしながら提供しています。つまり、地震、洪水、台風、竜巻、戦争、感染症の流行などが原因で、どちらかのデータセンターが使用不能になった場合、もう1方のデータセンターを利用して Microsoft 365 を使い続けられる設計になっているのです。
※参考サイト:Microsoft 公式サイト| データセンターのセキュリティの概要 ・ データ センターの場所
まとめ
Microsoft 365 は、Microsoft 社の技術の粋を集めた、最先端の強固なセキュリティシステムを搭載しています。クラウドサービスを使う際には、社外にデータを置くので不安を感じる方もいると思いますが、Microsoft 365 のセキュリティはビジネスに耐えうる十分なレベルです。ぜひ導入をご検討ください。
Microsoft 365 無料相談実施中
業務効率化などを背景に、Microsoft 365 の導入、活用に関して、お困りごとはございませんでしょうか?
- 自社の規模や業務に合わせた料金プランを選びたいが、どれが適しているか分からない
- Microsoft 365 の導入を検討しているが、設計・構築・運用方法などの知見がない
- Microsoft 365 の SharePoint で社内ポータルサイトを構築しているが、社員の活用が定着しない
ネット上には多くの情報があり、調べるのも大変ですし、自社にとって何がいいのかイメージするのも難しいですよね。
当社ではそんな皆様に向け、無料相談会を実施しております。
お客様のお悩みやご要望に合わせた個別相談も承っておりますので、是非、お気軽にお問い合わせください。
私たちと一緒に、業務改善をスタートさせませんか?