Microsoft 365とは

Microsoft 365とは、アップデートを意識することなく最新のOfficeアプリケーションを利用し続けられるサブスクリプションサービスのことです。毎月定額料金を支払うことで、WordやExcel、PowerPointなどのOfficeアプリケーションと、クラウドのグループウェアを一括で利用できるようになります。
さらに、月単位で契約内容を変更したり、解約手続きを行ったりすることも可能なので、柔軟な運用が可能です。

従来型のOfficeはパッケージ版が提供されており、一度購入したライセンスを半永久的に使用し続けられる形式が主流でした。しかしMicrosoft 365ではライセンスを使用するために継続的に料金を支払い続けるサブスクリプションに切り替わっているのが大きな変更点となっています。

他にもOfficeのパッケージ版はPersonal、Home and Business、Proffessionalの3種類が製品化されており、グレードに応じて利用できるOfficeアプリケーションが異なりましたが、Microsoft 365は契約すれば全てのOfficeアプリケーションを利用できるという違いがあります。
加えて、パッケージ版は1つのライセンスで最大2台までの端末にソフトウェアをインストール可能でサポート期限が設定されていましたが、Microsoft 365はパソコン、スマホ、タブレットそれぞれに対して最大5台まで導入でき、サポートが無期限なのが特徴です。

Microsoft 365のセキュリティ対策

Microsoft 365は高度なセキュリティ対策を施しているため、高い安全性を維持したまま利用できます。ここでは、Microsoft 365が行っているセキュリティ対策について解説します。

不正アクセス対策

Microsoft 365では多要素認証を採用しており、メールアドレスやパスワードによる認証を通過した後、追加で音声通話やSMSによる認証を求められるように設定できます。
一般的なサービスでは事前に取得したIDや登録時のメールアドレス、任意に設定したパスワードなどを元に本人であるかどうかを認証するケースが多いといえますが、これらの情報だけでは流出などが原因で悪意のある第三者に特定されてしまうリスクも残ります。

これに対して、音声通話やSMSによる追加認証は基本的に端末を所有している本人しか認証を通過することができないため、安全性が大きく高まります。
さらに、内外のネットワークを切り離しておき、社外秘のデータなどは特定のユーザーのみに閲覧権限を付与するなどの対応も可能です。

社内からの漏洩対策

第三者による不正アクセスも情報漏洩の原因のひとつではありますが、社内から情報が流出してしまう可能性もあります。社員がデータやパスワードなどを外部に持ち出すことで機密情報が流出すれば、大規模な損失を出したり信用問題に発展したりする可能性もあります。

Microsoft 365では、社内からの情報漏洩を防止するために管理者設定を活用しています。管理者権限を付与されているアカウントはライセンス管理が可能になり、新規ユーザーライセンスの追加や削除を行うことで、ログインできるユーザーを詳細に制限できます。さらに、監査ログの参照にも対応しているため、不審な動きがあるアカウントを速やかに特定可能です。

加えて、1か月以上アクティブ化されていない（ログインしていない）デバイスは利用できる機能が大きく制限されるのも特徴のひとつです。この機能によって、長期間ログインしていなかったユーザーが突然Microsoft 365にログインし、内部のデータを流出させる行為を防ぐのです。

データ転送時は暗号化

Microsoft 365では、データ転送時に暗号化の処理を施します。端末とMicrosoftのクラウドサービスの間の通信や、クラウドサービス同士の通信を暗号化することによって、安全にファイルをやり取りすることが可能です。

暗号化に使用されているのは「TLS」という技術であり、詳細なバージョンは一般公開されているため、誰でも内容を知ることができます。さらに、前方秘密の有効/無効や暗号スイートの順番なども確認できるため、暗号化の詳細が不透明で不安を抱く必要もありません。

サイバー攻撃からの防御

Microsoft 365をはじめとしたあらゆるクラウドサービスは、サイバー攻撃の脅威にさらされています。しかしMicrosoft 365ではSharePoint OnlineやOneDrive for Businessにドキュメントを保存する際、各データを保存するタイミングで暗号化が施されるため、第三者からの不正アクセスによるデータ改ざんや盗聴の被害を未然に防ぐことが可能です。
多くのサイバー攻撃はメールを基点として行われていることから、メールデータを保存する際に暗号化されるといった点は、セキュリティの向上に寄与しているといえるでしょう。

Microsoft 365のセキュリティを強化するためのソリューションはさまざまなメーカーから提供されているため、さらに高度なセキュリティを必要とする場合は追加導入を検討するのも手段のひとつです。Microsoft社でも、「Microsoft Defender for Office 365」などのセキュリティ対策用ソリューションが開発・提供されています。

アクセス制限機能

Microsoft 365はアクセス制限にも対応しているため、許可を出していないIPアドレスからのアクセスを拒否することができます。「パソコンからのみアクセスを許可する」「スマートフォンからの閲覧は禁止する」「特定の端末からは接続させない」など柔軟な運用が可能なので、組織の状況に合わせて最適なアクセス制限を設定できます。

適切なアクセス制限を施すことは、Microsoft 365を利用する上で情報漏えいのリスクを低減させるでしょう。業務で利用する必要があるIPアドレスだけを事前に登録しておき、その他のIPアドレスからのアクセスを拒否すれば、従業員以外がMicrosoft 365にアクセスできない運用を実現できます。

それでも起こってしまう情報漏洩事件

前述のように、Microsoft 365にはさまざまなセキュリティ対策が備わっています。とはいえ、それでも情報漏洩事件はたびたび起こってしまうのが現状です。ここでは、実際に起こった情報漏洩事件の事例を2つご紹介します。

大手電機メーカーの事例

ある大手電機メーカーでは、2020年11月にMicrosoft 365への不正アクセスによる国内取引先情報の漏洩事件が発生しています。1万件近い取引先情報や個人情報が漏洩する大規模な事件となりました。

これは、社内で共有していた取引先の口座情報などに関するデータが不正アクセスによって窃取され、結果的に流出につながったという事例です。この事例では中国を通じた不正アクセスが行われており、第三者が一旦中国に拠点を構える同社の子会社へ不正アクセスした上で、現地で働く従業員のログイン情報を窃取し、入手した情報をもとに被害を受けた電機メーカーのMicrosoft 365に不正ログインするという手口が使われていました。

この事例では同社のグループ全体がMicrosoft 365を利用しており、取引先の情報もクラウドサービス上に保存していたことから、ログインさえできれば誰でも重要情報を閲覧できる状態になっていたことが問題だったとされています。事件後はグループ全従業員のアカウント情報を改廃するとともに、アクセス制限の強化を行っています。

医療センターの事例

がん治療を専門にするある医療センターでは、2021年5月ごろにMicrosoft 365への不正アクセスが発覚しました。患者の病状など公にすべきではない情報が含まれる個人情報が流出したとみられると報告されています。

こちらは医師1名のMicrosoft 365へのログインパスワードが窃取され、入手したパスワードを利用して不正ログインした上で患者の個人情報が含まれたメールから情報を盗み取ったという手口です。同センターでは職員に対してMicrosoft 365のユーザーアカウントを発行し、共有ドライブやクラウドメールなどを利用しています。

事態が発覚したのは、パスワードを窃取された医師から「あるはずのメールが見当たらない」という申告があってからのことで、その後の委託業者の調査によれば海外7か国から約2か月あまりの間不正アクセスを受け続けていました。

同センターでは「患者情報を送受信する際はファイルにパスワードを設定する」という運用ルールを制定していましたが、ログイン情報を窃取された医師は添付ファイルにパスワードを設定していませんでした。さらに、Microsoft 365はパスワードを入力するだけでログインできるようになっていたため、不正アクセスが容易であったことも被害を受けた原因のひとつであると考えられています。

事件後、同センターではMicrosoft 365にログインする際に多要素認証を導入するとともに、センター内の個人情報の取り扱いを徹底する対策を強化しました。

情報漏洩を防ぐために

情報漏洩を防ぐためには、Microsoft 365を導入している各組織がアクセス制御を徹底することが重要です。アクセス制御には「認証」「認可」「監査」の3つのプロセスがあり、それぞれの設定を厳格に行うことで不正アクセスのリスクを大きく軽減できます。

ここでは、情報漏洩を防ぐための3つのポイントについて解説します。

外部ユーザーのアクセス権の制御

第一の「認証」のプロセスでは「ソフトウェアやネットワーク、サービスを利用可能なユーザーかどうか」をログインIDやパスワードなどの要素によって判断します。外部ユーザーのアクセス権を制御することによって、意図しないユーザーによる不正アクセスを防止し、情報漏洩の回避を試みるのです。
さらに、アクセスを許可した後に続く「認可」のプロセスでは、アクセスを許可されているユーザーに対し、どの程度の操作が許容されているのかも設定します。

共有した際にアラートを通知する

Microsoft 365では、特定の条件に一致した場合にアラートを生成する機能が備わっています。この機能を利用して「ファイルが共有された際にアラートを通知する」という設定を行えば、万が一社内の機密情報が持ちだされようとしている場合に迅速な対処が可能になります。

監査ログを定期的にチェック

「監査」のプロセスではサービスの利用状況を継続的に監視して、不審な動きがないかどうかを確認しながら定期的にアクセス制御をアップデートすることが求められます。

エムオーテックスが独自調査したアンケートによれば、「Microsoft 365 / Office 365 の監査ログの利用状況について教えてください」という質問に対して「Microsoft 365の監査ログの存在を知らない・チェックしていない」と答えた人は48.7%にものぼり、約半数もの人がログの分析を行っていないという結果が判明しました。

監査ログを定期的にチェックすることによって情報漏えいを迅速に察知し、早急な対応を行うことが可能になります。ログの監視体制を整備することが大切だといえるでしょう。

Microsoft 365の情報漏洩対策機能を実装したLANSCOPE セキュリティオーディター

セキュリティ・バックオフィス業務をクラウドサービス連携で自動化する「LANSCOPE セキュリティオーディター」では、Microsoft 365と連携してさまざまなセキュリティ対策を施し、安全性の高い運用を実現しています。

監査ログを活用した利用状況チェック

LANSCOPE セキュリティオーディターでは、「Microsoft 365 コンプライアンスセンター」を通じて監査ログの取得が可能です。監査ログのなかから該当のイベント名を検索すると、どのタイミングでファイルの作成・変更が行われたのかを知ることができるため、不正アクセスの防止に役立ちます。

アラート設定

Microsoft 365のアラート設定と連携することによって、LANSCOPE セキュリティオーディターに特定の変更や操作が加えられたときに自動的にアラートを生成する機能を利用できます。内部への不正アクセスによって情報が持ちだされようとしているタイミングで、スムーズな対応が可能です。

まとめ

Microsoft 365にはさまざまなセキュリティ対策が施されていますが、本記事でご紹介した事例のように、運用上の不備によって情報漏洩事件が発生してしまうことは考えられます。十分にアクセス制御を行った上で、利用者一人ひとりがセキュリティに対する高い意識をもった運用を行うことが大切です。

バックオフィス業務自動化をサポートするLANSCOPE セキュリティオーディターでは、Microsoft 365と連携してセキュリティ性の高い運用が可能です。セキュリティ対策を強化しながら業務効率化や社員の負担軽減をはかりたい方は、ぜひ LANSCOPE セキュリティオーディターの導入をご検討ください。

より詳しい内容は、「 企業の8割は未対策！？LANSCOPE セキュリティオーディターで実現を支援する、クラウドセキュリティ対策！」でご確認ください。