目 次
今、最も不安があるのはMicrosoft 365のセキュリティ設定
Microsoft 365のセキュリティ対策において最低限押さえておきたい3つのポイント
Microsoft 365のセキュリティを管理者1人で追い続けるのは不可能
まずは現状把握!“セキュリティオーディター”でセキュリティリスクを見える化
管理者側のカンタン設定だけですぐに始められる体験版
クラウドセキュリティ監査“LANSCOPE セキュリティオーディター(以下セキュリティオーディター)”は、Microsoft 365の監査ログを収集し、利用状況の見える化や情報漏洩などのインシデントにつながる操作の把握を可能とします。
今回は、プロダクトの紹介を交えながら、昨今のクラウドサービスの普及に伴い、多くの企業で課題となっているMicrosoft 365のセキュリティについて、「ここだけは押さえておくべき」ポイントを解説します。
Microsoft 365セキュリティ
まずは「これだけ」やれば良い!
3つのポイントを紹介
ご利用中のMicrosoft 365を、最短でセキュアに運用するポイントをご紹介します。
今、最も不安があるのはMicrosoft 365のセキュリティ設定
近年、クラウドサービスの利用が急速に普及しています。調査によると、全体の約7割の企業がクラウドサービスを利用しており、クラウドサービスで秘密情報を取り扱う場合の対策も8割以上の企業で実施されています。
しかし、約半数の企業がMicrosoft 365の設定に不安を感じているようです。
それでは以降で、Microsoft 365のセキュリティに関する最低限のポイントと、設定が疎かにされがちな問題点について解説していきます。
Microsoft 365のセキュリティ対策において最低限押さえておきたい3つのポイント
Microsoft 365のセキュリティ対策で最低限確認すべきポイントは、「多要素認証」「外部との情報共有設定」「ゲストユーザー管理」の3つです。
1. 多要素認証
「多要素認証」は、単一の要素だけでの認証のリスクをカバーする方法として推奨されています。
パスワードと認証コードなど、2つ以上の要素を用いることで、片方の要素が漏洩した場合でも不正アクセスを防ぐことができます。
しかし、弊社調査では77%の企業において、管理者アカウントに多要素認証の設定がなされていないという状況でした。管理者アカウントは、企業のIT環境において、最も権限が強いアカウントであるため、不正アクセスされれば大きな被害が発生する可能性があります。
そのため、多要素認証は必須で実施すべき設定項目となります。
2. 外部との情報共有
「外部との情報共有」に関しては、利用有無に関わらずアクセス権限が適切かどうかの確認が必須です。
デフォルト値が安全とは限らないため、特別な理由がない限りパブリックアクセスを禁止する設定を推奨します。
こちらも、弊社調査では46%の企業において、SharePointで共有可能な相手の制限がなされていないという結果でした。機密情報が外部に漏れるリスクが高い状態の企業が多くあり、非常に危険な状況です。
3. ゲストユーザー管理
「ゲストユーザー管理」では、不要なゲストユーザーがいないか確認したり、ゲストの操作内容を把握するなど、定期的な棚卸を実施することが重要です。
また、不要なユーザーや不正ユーザーが組織内に招待されるリスクがあるため、ゲストユーザーによるゲストユーザーの招待は禁止すべきです。
この点は、Microsoft 365導入時にある程度考慮されているものの、それでも弊社調査では、33%の企業において、ゲストユーザーがゲストユーザーを招待できる状態になってしまっているという結果が出ています。
Microsoft 365のセキュリティを管理者1人で追い続けるのは不可能
このように、前述の3点は重要なセキュリティ項目にも関わらず、多くの企業で設定が疎かにされている事例が見受けられます。これらは、Microsoft 365に対する知識不足や、クラウドサービスに多い頻繁な仕様変更が原因であり、管理者はどうするべきなのか、何が正しい状態なのかを認識するのが非常に困難な状況です。
弊社がお客様からよく頂く声として、「Microsoft 365のセキュリティ設定はアプリごとに異なっており、設定画面が複数にわたっていて複雑なため、どうしたらよいのか分からない」というケースがあります。さらに、Microsoft 365ではアプリごとに月1回程度アップデートが行われており、新機能や仕様変更により新たなセキュリティ設定が追加されることがあります。
多忙な管理者にとって、こうした最新情報を常に追いかけて把握し、適切な対策を講じていくのは非常に困難です。加えて、設定を行おうとして作業のために一時的に共有設定を公開にした後、元に戻し忘れるなどのうっかりミスも発生しています。
まずは現状把握!“セキュリティオーディター”でセキュリティリスクを見える化
このように、Microsoft 365のセキュリティは多忙な管理者の方が取り組むには大きなハードルがいくつもある状況ですが、MOTEXでは、まずは現在の利用状況を正しく把握することから始めてみるのが一つの解になると考えています。
“セキュリティオーディター”では、監査ログを解析することで、上述した外部への情報共有やゲストユーザーによる招待を禁止しているつもりだったのに、実は出来てしまっているユーザーがいた、といったことを簡単に把握できます。
現状を把握して、このような管理者が意図していない利用の目的を確認し、業務に影響が出ないような代替手段や運用方法を考慮しながらMicrosoft 365のセキュリティ強化を実施していくことができるので、自社の運用にあわせた着実なセキュリティ強化が可能です。
管理者側のカンタン設定だけですぐに始められる体験版
“セキュリティオーディター”の60日間無料体験版は、従業員側での操作や設定は必要なく、管理者側での簡単な設定のみですべての機能をお使いいただけます。
利用中も購入後と同等のメールや電話でのサポートを提供できますので、ぜひ一度、自社のMicrosoft 365利用実態をご確認ください。
Microsoft 365セキュリティ
まずは「これだけ」やれば良い!
3つのポイントを紹介
ご利用中のMicrosoft 365を、最短でセキュアに運用するポイントをご紹介します。
関連する記事