Microsoft 365 のセキュリティ対策とヒヤリハットの事例を紹介
Microsoft 365 は、Excel や Word、PowerPoint など多様なOfficeアプリケーションが利用できるクラウドサービスです。社外からでもアクセスでき企業の柔軟な働き方を後押しする一方で、セキュリティの懸念はゼロではありません。
本記事では、Microsoft 365 を活用するうえで知っておきたいセキュリティ対策について、実際に起きたヒヤリハットの事例とその対策を紹介します。すぐに実践できる具体的な活用方法も解説しているので、ぜひ参考にしてください。
※本記事は、JBCCのMicrosoft 365 コンシェルジュを務める吉川朋恵が開催のセミナー内でもご紹介している内容です。
Microsoft 365 とは
Microsoft 365 とは、Excel や Word、PowerPoint など、多様なOfficeアプリケーションがパッケージになったサブスクリプションサービスのことです。データはクラウドで管理され、どこからでもアクセスできるため、テレワークと出社を組み合わせたハイブリッドワークが実現します。
契約後のアップデートに対応しているので、常に最新のOfficeアプリケーションが利用できる点も特徴の一つです。
Office 365 との違いやメリット・デメリットは、以下の記事で詳しく解説しています。あわせてぜひご覧ください。
【関連記事】Microsoft 365とは?機能やプラン、Office365との違いを解説
Microsoft 365 のセキュリティ対策
Microsoft 365 を提供するMicrosoft社は、ゼロトラストの概念をセキュリティに取り入れています。ゼロトラストセキュリティとは、すべてのアクセスを「信用できない外部アクセス」と見なし、厳格な本人確認やアクセス権限付与を実施して、高い安全性を担保することです。
Microsoft社のゼロトラストセキュリティでは、ユーザーのアカウントとデバイスアクセス先のアプリやシステムを識別し、IDを使って管理します。アクセスの要求があるたびにアクセス元の安全性やリスクを確認し、リスクレベルに応じてリアルタイムでアクセスを制御する仕組みです。
またMicrosoft社は、2022年から5年間でセキュリティ分野に200億ドル(約2兆2,000億円)もの投資を行うと表明し、セキュリティ対策を強化しています。具体的には、以下の脅威から企業の情報資産を保護するだけでなく、コンプライアンス対策までも実施しています。
【関連記事】ゼロトラストセキュリティとは?必要性やソリューションを紹介
Microsoft 365 のヒヤリハットと対策|ファイル共有 【事例1】
前述のように、Microsoft 365 ではゼロトラストの概念に基づいた高度なセキュリティ機能が利用できます。しかしユーザー側での管理不備によるヒヤリハットがあったり、巧妙な外部攻撃が起こったりすると、情報漏洩やデータロスにつながる恐れもあります。
ここからは、Microsoft 365 の使用時に、実際に起こった3つのヒヤリハットを対策とともに紹介します。
1つ目として、ビデオ会議プラットフォームである Microsoft Teams (以下、Teams )のファイル共有に関するヒヤリハットとその対策を見てみましょう。
Teams のヒヤリハット|社外ユーザーと勝手にファイルを共有
社外ユーザーとコラボレーションするために Teams へ招待したところ、業務に必要ないほかの社内ファイルまで共有され、閲覧できる状態になっていた事例です。
外部ユーザーに社内ファイルが閲覧されると、機密情報の漏洩が起こってしまうので注意が必要です。
対策
社外ユーザーとの不必要なファイル共有が勝手に起こらないようにするには、以下の3つのステップを実施しましょう。
1. Teams のファイル共有の仕組みを確認する
Teams のファイル共有は「チーム」と「チャット」の2カ所で行えて、それぞれ以下の場所にファイルが保存される仕組みとなっています。まずはこの仕組みを整理しておきましょう。
2. ファイル共有制御を行う
SharePoint と OneDrive に保存されたファイルのなかには、社外ユーザーに共有してはならないものも当然ながら含まれます。そこで、SharePoint や OneDrive のファイル共有制御を行ってファイルを安全に管理しましょう。
ファイル共有制御を行うには、「Microsoft 365 管理センター」から「SharePoint 管理センター」へアクセスし、「コンテンツを共有できる相手」という画面を開きます。そこで「自分の組織内のユーザーのみ」と設定すれば、外部ユーザーに共有されることはなくなります。
このようにファイル共有において最も厳しいレベルの設定を行うと、情報漏洩リスクはたしかに低減するでしょう。実際、情報漏洩を心配してこの設定を行う企業が見られます。しかし、社外関係者とのやり取りでファイル共有ができなければ、生産性が低下してしまう点が懸念されます。
そのため、1段階レベルを緩めて「既存のゲスト」に設定している企業が多く見られます。これで許可した社外ユーザー(=ゲストユーザー)とファイル共有でき、やり取りがスムーズになるからです。
このゲストユーザーは、Microsoft Entra ID(旧Azure AD)と呼ばれるアクセス管理サービスに登録されて、管理統制の対象となります。対してゲストユーザー以外の社外ユーザーは、外部ユーザーとして扱われて、ファイル共有ができません。
以上の関係について、以下の表にまとめています。社外ユーザーの種類を明確に区別し、ルール化して運用していくことが大切です。
| 社外ユーザーの種類 | ファイル共有の許可 | Microsoft Entra ID への登録 |
|---|---|---|
| ゲストユーザー | ○ | ○ |
| 外部ユーザー(デフォルト) | ✖️ | ✖️ |
3. ゲストユーザー追加の権限は管理者に限定する
ファイル共有が許可される「ゲストユーザー」を招待する権限は、管理者に限定することが重要です。社内の誰もがゲストユーザーを追加できると、効果的な運用ができなくなる恐れがあるためです。
管理者だけがゲストユーザーを追加できるようにするには、「Microsoft 365 管理センター」から「セキュリティとプライバシー」までアクセスし、「共有」の部分のチェックを外しましょう。
これでゲストユーザーを追加できるのは管理者だけに限定され、安全な運用が実現します。
Microsoft 365 のヒヤリハットと対策|データ削除 【事例2】
次に、Microsoft 365 のセキュリティに関するヒヤリハットとして、データ削除の事例を見てみましょう。
Teams のヒヤリハット|削除によりデータロスが発生
Teams では、ファイル共有が許可されたゲストユーザーだけでなく、社内ユーザーも、故意・過失にかかわらずデータ削除の可能性があります。Teams では、ファイル保存画面で右クリックすると、簡単に削除できる仕組みになっているからです。削除すると、93日後には完全に削除されデータロスにつながってしまうので注意が必要です。
データロスが起こった場合、バックアップ対策を取っていなければデータの復元は不可能になってしまいます。これは「共同責任モデル」と呼ばれ、Microsoft社はクラウドにおける共同責任として、データ保護はユーザー責任になると明記しています。
つまり共同責任モデルにおいて、データが紛失してしまった場合、その責任はMicrosoftではなくユーザー側にあるということです。「クラウドを利用しているから、データが自動でバックアップされているだろう」と考える人もいるかもしれませんが、実際はそうではありません。
実際、社員のPCがランサムウェアに感染して OneDrive が複製され、削除されてデータが完全に喪失した事例があるので、対策が必要です。また退職者のアカウント削除に伴い、重要なデータが消えてしまうケースも見受けられます。
対策
データロスを防ぐために、Microsoft 365 とは別のツールを使ってバックアップを取っておきましょう。Microsoft 365 のセキュリティガイドラインでも、ランサムウェア対策としてバックアップの必要性が述べられています。
例えば Microsoft 365 のデータを無制限に自動バックアップでき、最小単位でリストアが可能なツールを導入すれば、たとえデータロスが起こっても完全に喪失することはありません。
リストアとはバックアップデータを元の保管場所に書き戻すことで、たとえランサムウェア被害でデータが削除されても、復元が可能となります。
【関連記事】企業のランサムウェア対策とは。脆弱性を放置しないために
Microsoft 365 のヒヤリハットと対策|チャット 【事例3】
最後に、社外ユーザーによってチャットが見られてしまうヒヤリハットの事例と対策をご紹介します。
Teams のヒヤリハット|社外ユーザーにチャットが丸見え
Teams のグループチャットに社内メンバーのみがいると勘違いして気軽に話しかけたところ、実は社外ユーザーにも内容が丸見えだったという実際のヒヤリハットです。
これは社外ユーザーと Teams でWeb会議を行うためにグループチャットが作成され、会議終了後もそのまま放置しているため起こります。社外ユーザーも閲覧や書き込みが可能な状態になっているので、以下の対策を実施してヒヤリハットを防ぎましょう。
対策
グループチャットで会話を始めるとき、まずは参加者をしっかり確認することが重要です。社外ユーザーがいる場合には、配慮した会話が必要になるからです。
社外ユーザーは、以下のように名前の後に(ゲスト)や(外部)と表示されているため、名前をチェックしましょう。
・吉川朋恵(ゲスト)
・吉川朋恵(外部)
しかし、表示が隠れているときもあるのでさらなる対策が必要です。具体的には、グループチャットを立ち上げるときに、社外ユーザーが参加していることを会議名称でわかるようにしておくと効果的です。
例えば、社外ユーザーが入っている会議には冒頭に「External(外部の)」を表す「Ext」を、逆に社内ユーザーのみの場合に「Internal(内部の)」を表す「Int」を付けて外部の人がいるときは外すなど、ルールを決めておきましょう。
【Ext】XXX様とのお打ち合わせ
【Int】XXXプロジェクトの件
ハイブリッドワークで Microsoft 365 のセキュリティを強化する方法
コロナ禍を経て、出社とテレワークを組み合わせたハイブリッドワークを採用している企業も少なくないでしょう。どこからでも利用できるクラウドサービスは便利ですが、以下のようなセキュリティに関する悩みを抱える情報システム部門の管理者もいるかもしれません。
そこでリモートから Microsoft 365 へアクセスするときは、以下の2つの対策を行ってセキュリティを強化しましょう。
対策1:Microsoft Entra ID(旧Azure AD)と Intune を活用
クラウドセキュリティ対策なら、EMS の活用が効果的です。EMS は「Enterprise Mobility + Security」の略称で、Microsoft社が提供するセキュリティソリューションです。EMS によって、以下の機能が利用できるようになります。
Microsoft Entra ID とIntune を利用すると、アクセス場所や使用しているデバイス、なりすましの可能性など、様々な条件でアクセス制御を行える点が特徴です。
Microsoft Entra ID は、例えばいつもアクセスしている場所やデバイスとは異なる条件でクラウドへアクセスしようとした場合、なりすましの可能性を疑います。多要素認証やアクセス拒否を行うため、安全性を担保できる点がメリットです。
Intune は統合デバイス管理として使えて、モバイルデバイス管理(MDM)とモバイルアプリ管理(MAM)の機能が利用できます。具体的には、デバイスを紛失してもリモートからデータを消去できるので、情報漏洩を防止できます。またアプリ管理では、Intune が管理している OneDrive へのデータ保存は自由に行えて、管理対象外の個人ファイルへの保存は制限する機能を利用できます。
対策2:セキュリティ可視化アセスメントサービスを実施
セキュリティ対策が必要な箇所は数多く存在するため、優先順位を付けて実施することが大切です。そこでJBCCでは、「セキュリティ可視化アセスメントサービス」を無料で行っています。
ランサムウェア感染リスク診断としても活用でき、セキュリティ対策のどこに投資すべきかを把握したいときに利用するのがおすすめです。
アセスメントを受けると、以下のようなアクションプランが提供され、最優先事項を確認できます。
Microsoft 365 ワークショップのご案内
JBCCでは、以下のようなお悩みを持つ方に向けて、オリジナルの「Microsoft 365 ワークショップ」を無料で開催しています。
このような方にはJBCCオリジナルの「Microsoft 365 ワークショップ」がおすすめです。ワークショップの特徴を見てみましょう。
オリジナルワークショップでは、以下のラインナップから自社に最適なアジェンダを構成して提供しているため、お悩みの解決につながります。最近では、Microsoft社のAIツールである Copilot に関するワークショップが新しく追加されました。
JBCCは、日本マイクロソフト株式会社の「マイクロソフト ジャパン パートナー オブ ザ イヤー 2022」において、Solution AssessmentsとEmployee Experienceの2部門で同時受賞した実績を保有しています。
Microsoft社から高く評価されたオリジナルのワークショップとなりますので、ぜひご参加ください。
まとめ
Microsoft 365 には充実したセキュリティ機能が搭載されています。しかし運用時の設定ミスなどによって、情報漏洩やデータロスが起こる可能性があります。ヒヤリハットが起こってしまう原因として、「Microsoft 365 の仕組みや活用方法を十分に把握できていなかった」という点が挙げられるでしょう。
JBCCでは、「Microsoft 365 の利活用を成功に導くJBCCのトータルサポート」を提供しています。これは、Microsoft 365 の基本的な活用方法から定着までを無償でサポートするサービスです。
Microsoft 365 の利用状況に応じてラインナップを用意しているため、「これからMicrosoft 365 を導入したい」「セキュリティを強化したい」「Power Platform なども含めてフル活用したい」など、様々なご要望に対応しています。
お客様の課題と予算に合わせ、最適な解決策をご提案いたしますので、ぜひお気軽にご相談ください。
JBCCオリジナル「Microsoft 365 ワークショップ」
基本的な使い方や活用方法、定着を無償でサポートするJBCCオリジナルのワークショップです。Microsoft製品を熟知したスタッフがよくあるお悩みについて、導入から活用、定着、運用、分析までトータルマネージいたします。
詳細を見る
吉川 朋恵(よしかわ ともえ)
JBCC株式会社 ハイブリッドクラウド事業部 テクニカル推進本部
Microsoft 365 コンシェルジュ
JBCCオリジナル「Microsoft 365 ワークショップ」の運営を担当。
前職ではユーザー企業のエンジニアとして、多くのシステム導入を担当。お客様目線での活用提案が好評で、Microsoft 365 の便利な機能だけでなく、新機能もわかりやすくご紹介しながら、利用状況に合わせた Microsoft 365 の利活用から定着までをサポートしています。
<保有資格>
・Microsoft 365 Enterprise Administrator Expert
・Microsoft 認定トレーナー(MCT)
※Microsoft 認定トレーナー(MCT)とは、Microsoft テクノロジの技術および指導における最上級のエキスパートです。
企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。