【2025年10月更新】Microsoft 365 のセキュリティ対策とヒヤリハットの事例を紹介
- Microsoft 365 に潜む代表的なセキュリティリスクと、実際に起こったヒヤリハット事例から学べる具体的な対策
- 多要素認証・Microsoft Defender・Microsoft Intune・DLPなど、Microsoft 365 が提供する標準セキュリティ機能とその活用方法
- ハイブリッドワークやクラウド利用を前提に、情報漏洩やデータロスを防ぐための運用上のポイントとベストプラクティス
Microsoft 365 は、Word、Excel、PowerPoint などの Office 製品に加え、クラウドストレージ(OneDrive)、チームコミュニケーション(Teams)、メールツール(Outlook) など、ビジネス向けのツールが統合されたクラウドプラットフォームです。
個人・家庭向けの「Microsoft 365」、中小企業向けの「Microsoft 365 for business」、大企業向けの「Microsoft 365 Enterprise」など幅広い製品の総称としても使われます。
クラウドサービスの普及に伴い、Microsoft 365 を導入する企業も少なくありません。社外からのアクセスや企業の柔軟な働き方を後押しする一方で、情報漏洩や不正アクセスのセキュリティリスクが潜んでいます。これらのキュリティへの対策は、搭載機能を正しく設定・運用することで大幅な強化が可能です。
本記事では、Microsoft 365 のセキュリティリスクと対策方法を、実際のヒヤリハット事例を交えながら詳しく解説します。多要素認証やアクセス制御など、今すぐ実践できる具体的な設定方法も紹介するため、ぜひ参考にしてください。
Microsoft 365 とは
Microsoft 365 は、マイクロソフト社が提供するクラウドベースの統合型ビジネスプラットフォームです。Word、Excel、PowerPoint などのOfficeアプリに加え、コミュニケーションツールであるTeams、クラウドストレージ
OneDrive、メールツール Outlook など、多岐にわたるビジネスツールが一つのサービスとして統合されています。
PC、タブレット、スマートフォンなど、複数のデバイスで同じアプリケーションを利用できるため、外出先でもスムーズに作業を進められます。また、ソフトウェアの自動更新により、最新の機能やセキュリティ対策が常に反映されるため、安心して使用できます。
さらに、各ユーザーには1TBの
OneDrive クラウドストレージが提供され、ファイルの保存、共有、同期が簡単に行えるため、チームや個人での作業効率が向上します。加えて、AI機能を活用することで、文章作成やコンテンツ生成、データ分析が迅速に行えるようになります。
Office
365 との違いやメリット・デメリットは、以下の記事で詳しく解説しています。あわせてぜひご覧ください。
【関連記事】Microsoft 365とは?機能やプラン、Office365との違いを解説
Microsoft 365 におけるセキュリティの重要性
Microsoft 365 を利用する際、セキュリティの確保は極めて重要です。情報漏洩や不正アクセスを防ぎ、法令遵守を維持することが、事業継続にとって不可欠だからです。そのためには、適切なセキュリティ対策を講じなければなりません。
Microsoft 365 には、多要素認証(MFA)、データ損失防止(DLP)、マルウェア対策など、強力なセキュリティ機能が標準で搭載されています。しかし、これらの機能を十分に活用するためには、運用体制の整備が必要です。
さらに、Microsoft 365 は、可用性と信頼性の向上にも力を入れており、データは複数のデータセンターに分散保存されています。日本国内では、東西2拠点体制で運用され、災害やシステム障害が発生しても業務を停止することなく、事業への影響を最小限に抑える仕組みが構築されています。
Microsoft 365 のセキュリティリスク
Microsoft 365 を利用する際、さまざまなセキュリティリスクが存在します。企業が直面する代表的な脅威には、以下の3つが挙げられます。
これらのリスクに対して適切な対策を講じるためには、まずどのようなリスクが存在するのかを正確に把握することが重要です。
不正アクセス
不正アクセスとは、外部の第三者が正規ユーザーのアカウント情報を盗み、なりすましてアカウントやシステムに不正にアクセスする行為です。
Microsoft 365 でも発生しうる重大なリスクのひとつであり、企業や組織にとって深刻な被害をもたらす可能性があります。
不正アクセスに伴う懸念として挙げられるのは、機密情報の漏洩リスクです。不正にログインされたアカウントからは、顧客データや社内の重要資料が流出する恐れがあります。
また、データの改ざんや削除のリスクも伴います。侵入者によって業務に必要な重要情報が勝手に書き換えられたり、完全に消去されることもありえるでしょう。
さらに、ランサムウェアの感染など、2次被害にも注意が必要です。情報が暗号化され、身代金を要求されるケースや、被害が他のクラウドサービスに拡大する事例も考えられます。
設定ミスや運用不備によるデータ漏洩
Microsoft 365 は強力なセキュリティ機能を提供していますが、ヒューマンエラーや設定ミス、ライセンス・権限管理の不備が原因でデータ漏洩が発生することがあります。
たとえば、Microsoft 365 のアクセス権設定が不適切だと、本来アクセスすべきでない従業員が重要ファイルにアクセスできてしまうことがあります。また、退職者のアカウントを適切に削除しないと、元従業員が社内データにアクセスし続ける危険性もあります。
設定ミスや運用不備によるデータ漏洩を防ぐためには、権限や共有設定を定期的に見直し、利用状況に応じて最適化することが重要です。
スパムメール
スパムメールは単なる迷惑メールにとどまらず、マルウェア感染やフィッシング詐欺の入口となる重大な脅威です。
たとえば、フィッシングメールはユーザーを偽サイトへ誘導し、IDやパスワード、個人情報を盗み取る手口です。これにより、個人情報の漏洩やアカウント乗っ取りが発生します。
また、添付ファイルや不審なリンクを通じてマルウェアやランサムウェアを送り込み、端末やシステム全体に感染を広げる危険性もあります。
近年では特定の企業や従業員を狙った標的型メールも増えており、通常のセキュリティフィルターをすり抜けて被害が拡大するケースが少なくありません。
Microsoft 365 が提供するセキュリティ機能と設定
Microsoft 365 には、企業の情報資産を守るための多彩なセキュリティ機能が標準で搭載されています。
多要素認証や条件付きアクセスによる本人確認の強化、Microsoft Defender やスパムフィルタによるマルウェア・フィッシング対策、DLPによるデータ漏洩防止など、ゼロトラストの考え方に基づいた堅固な保護体制が整備されています。
さらに、Microsoft Intune を使えば、デバイスやアプリケーションの管理も一元化でき、業務環境の安全性をさらに高めることが可能です。
また、Microsoft 365 では、SSL/TLS通信暗号化が標準で適用され、特別な設定をしなくても、送受信データは常に安全に保護されます。
多要素認証(MFA:Multi-Factor Authentication)
多要素認証(MFA:Multi-Factor Authentication)は、IDとパスワードだけでなく、別の認証要素を要求することで、アカウントの安全性を高める認証方法です。
通常のログインでは、IDとパスワードなどの知識情報だけで認証するのに対し、MFAでは次のいずれかの方法を組み合わせて、さらに本人確認を行います。
異なる種類の認証要素を2つ以上利用することで、パスワードが流出した場合でも第三者が不正にログインするリスクを大幅に低減できます。
Microsoft Entra ID によるアクセス制御
Microsoft Entra ID は、特定のアプリやデータに対して、誰がどのような条件でアクセスできるかを一元的に管理するサービスです。特定のアプリやデータに対し、誰がどのような条件で利用できるかを正しく決定します。
また、ワークフローシステム、グループウェアが
Microsoft 365 と連携し、Microsoft Entra ID を利用してユーザー情報を同期します。これにより、クラウドサービスへのシングルサインオン(SSO)を実現し、統一的なアクセス管理を強化できる仕組みです。
さらに、Enterprise
Mobility + Security(EMS)を活用することで、Entra ID とMicrosoft
Intune を組み合わせ、より高度なセキュリティ対策を実施できます。
Entra ID では、アクセス元の場所や利用デバイスの状態を基準に、不審な条件でのログインを検知し、多要素認証やアクセス拒否を行います。一方、Microsoft
Intune はデバイス管理ツールとして機能し、万が一端末が紛失してもリモート操作でデータ削除が可能です。
【関連記事】Microsoft Entra ID (旧 Azure AD)とは?機能やサービスなど、わかりやすく解説
Microsoft Defender for Office 365
Microsoft Defender for Office 365 は、Exchange Online や SharePoint、Teams、OneDrive に保存されたファイルやリンクを、フィッシング、マルウェア、なりすましなどの脅威から保護するクラウドベースのセキュリティサービスです。
このサービスにより、フィッシング詐欺やマルウェア感染、なりすましメールなどを検知し、被害を未然に防ぐことができます。これにより、ユーザーは業務データのやり取りやファイル共有を安心して行えます。
Microsoft Intune
Microsoft Intune は、Microsoft 365 に含まれるクラウドベースのエンドポイント管理プラットフォームです。
PCやスマートフォンなどのデバイスや業務アプリケーションを統合的に管理でき、セキュリティポリシーの適用やデータ保護を効率的に行えます。
企業は Microsoft Intune を利用して、会社所有デバイスだけでなく、従業員が持ち込む個人デバイス(BYOD)からのアクセスも安全に制御できます。その結果、組織のデータやリソースを保護しながら、従業員が柔軟に働ける環境の提供が可能です。
【関連記事】Microsoft Intune とは?機能やメリット、注意点を解説
スパムフィルタリング(EOP:Exchange Online Protection)
スパムフィルタリング(EOP:Exchange Online Protection) は、Microsoft 365 に標準搭載されているクラウドベースのメールセキュリティサービスです。
日常的に送受信されるメールを監視し、スパム、マルウェア、フィッシングメールなどの脅威からユーザーを保護します。
Microsoft 365 で利用されるメールは、特別な設定を行わなくてもEOP で保護されるため、常に高い安全性が確保されます。
データ損失防止(DLP:Data Loss Prevention)
データ損失防止(DLP:Data Loss Prevention)は、機密情報が意図せず外部に流出するのを自動的に検知し、防止するためのセキュリティ機能です。
たとえば、個人情報や財務データを含むメールを送信しようとすると、DLPがその内容を検知し、警告メッセージを表示して誤送信を防止します。これにより、従業員が知らずに重要な情報を漏洩するリスクを大幅に軽減できます。
また、DLPは共有や転送のルールを細かく設定できるため、組織のセキュリティポリシーに合わせた柔軟な運用が可能です。
Microsoft 365 のセキュリティ設定の基本は「Microsoft 365 に必要なセキュリティとは?クラウドデータ運用管理の課題と解決法 」をご覧ください。
本記事では、さらに具体的なセキュリティリスクの事例と実践的な対策方法を深掘りして見ていきます。
Microsoft 365 のヒヤリハットと対策
Microsoft 365 では、ゼロトラストの概念に基づいた高度なセキュリティ機能が利用できます。しかし、ユーザー側での管理不備や、巧妙な外部攻撃により、情報漏洩やデータロスといったリスクが発生する可能性があります。
ここでは実際の運用でよく発生する3つのヒヤリハット事例と、それぞれに対する具体的な対策方法を紹介します。
事例1. 社外ユーザーと勝手にファイルを共有
社外ユーザーとコラボレーションするために Teams へ招待したところ、業務に必要ないほかの社内ファイルまで共有され、閲覧できる状態になっていた事例です。
外部ユーザーに社内ファイルが閲覧されると、機密情報の漏洩につながる危険性があります。これを防ぐためには、ファイル共有の適切な設定が重要です。
【対策】
社外ユーザーとの不必要なファイル共有が勝手に起こらないようにするには、以下の3つのステップを実施しましょう。
1. Teams のファイル共有の仕組みを確認する
Teams のファイル共有は「チーム」と「チャット」の2カ所で行えて、それぞれ以下の場所にファイルが保存される仕組みとなっています。まずはこの仕組みを整理しておきましょう。
● 「チーム」でファイルを共有... SharePoint に保存
● 「チャット」でファイルを共有... OneDrive に保存
2. ファイル共有制御を行う
SharePoint と OneDrive に保存されたファイルのなかには、社外ユーザーに共有してはならないものも当然ながら含まれます。そこで、SharePoint や OneDrive のファイル共有制御を行ってファイルを安全に管理しましょう。
ファイル共有制御を行うには、「Microsoft 365 管理センター」から「SharePoint 管理センター」へアクセスし、「コンテンツを共有できる相手」という画面を開きます。そこで「自分の組織内のユーザーのみ」と設定すれば、外部ユーザーに共有されることはなくなります。
このようにファイル共有において最も厳しいレベルの設定を行うと、情報漏洩リスクはたしかに低減するでしょう。実際、情報漏洩を心配してこの設定を行う企業が見られます。しかし、社外関係者とのやり取りでファイル共有ができなければ、生産性が低下してしまう点が懸念されます。
そのため、1段階レベルを緩めて「既存のゲスト」に設定している企業が多く見られます。これで許可した社外ユーザー(=ゲストユーザー)とファイル共有でき、やり取りがスムーズになるからです。
このゲストユーザーは、Microsoft Entra ID(旧Azure AD)と呼ばれるアクセス管理サービスに登録されて、管理統制の対象となります。対してゲストユーザー以外の社外ユーザーは、外部ユーザーとして扱われて、ファイル共有ができません。
以上の関係について、以下の表にまとめています。社外ユーザーの種類を明確に区別し、ルール化して運用していくことが大切です。
| 社外ユーザーの種類 | ファイル共有の許可 | Microsoft Entra ID への登録 |
|---|---|---|
| ゲストユーザー | ◯ | ◯ |
| 外部ユーザー(デフォルト) | × | × |
3. ゲストユーザー追加の権限は管理者に限定する
ファイル共有が許可される「ゲストユーザー」を招待する権限は、管理者に限定することが重要です。社内の誰もがゲストユーザーを追加できると、効果的な運用ができなくなる恐れがあるためです。
管理者だけがゲストユーザーを追加できるようにするには、「Microsoft 365 管理センター」から「セキュリティとプライバシー」までアクセスし、「共有」の部分のチェックを外しましょう。
これでゲストユーザーを追加できるのは管理者だけに限定され、安全な運用が実現します。
事例2. 削除によりデータロスが発生
Teams では、ファイル共有が許可されたゲストユーザーだけでなく、社内ユーザーも誤ってデータを削除するリスクがあります。
Teams では、ファイル保存画面で右クリックすると、簡単に削除できる仕組みになっているからです。削除されたデータは93日後に完全に消去され、データロスにつながる可能性があります。
データロスが起こった場合、バックアップ対策を取っていなければデータを復元することはできません。これは「共同責任モデル」と呼ばれ、Microsoft 社はクラウドにおける共同責任として、データ保護はユーザー責任になると明記しています。
つまり共同責任モデルにおいて、データが紛失してしまった場合、その責任は Microsoftではなくユーザー側にあるということです。「クラウドを利用しているから、データが自動でバックアップされているだろう」と考える人もいるかもしれませんが、実際はそうではありません。
実際、社員のPCがランサムウェアに感染して OneDrive が複製され、削除されてデータが完全に喪失した事例があるので、対策が必要です。また退職者のアカウント削除に伴い、重要なデータが消えてしまうケースも見受けられます。
【対策】
データロスを防ぐために、Microsoft 365 とは別のツールを使ってバックアップを取っておきましょう。セキュリティガイドラインでも、ランサムウェア対策としてバックアップの必要性が述べられています。
たとえば Microsoft 365 のデータを無制限に自動バックアップでき、最小単位でリストアが可能なツールを導入すれば、たとえデータロスが起こっても完全に喪失することはありません。
リストアとはバックアップデータを元の保管場所に書き戻すことで、たとえランサムウェア被害でデータが削除されても、復元が可能となります。
【関連記事】企業のランサムウェア対策とは?クラウド移行で可能なセキュリティ対策
事例3. 社外ユーザーにチャットが丸見え
Teams のグループチャットに社内メンバーのみがいると勘違いして気軽に話しかけたところ、実際には社外ユーザーにも内容が丸見えだったというヒヤリハットです。
これは社外ユーザーと Teams でWeb会議を行うためにグループチャットが作成され、会議終了後もそのまま放置しているため起こります。社外ユーザーも閲覧や書き込みが可能な状態になっているので、以下の対策を実施してヒヤリハットを防ぎましょう。
【対策】
グループチャットで会話を始めるとき、まずは参加者をしっかり確認することが重要です。社外ユーザーがいる場合には、配慮した会話が必要になるからです。
社外ユーザーは、以下のように名前の後に(ゲスト)や(外部)と表示されているため、名前をチェックしましょう。
● 吉川朋恵(ゲスト)
● 吉川朋恵(外部)
しかし、表示が隠れているときもあるのでさらなる対策が必要です。具体的には、グループチャットを立ち上げるときに、社外ユーザーが参加していることを会議名称でわかるようにしておくと効果的です。
たとえば、社外ユーザーが入っている会議には冒頭に「External(外部の)」を表す「Ext」を、逆に社内ユーザーのみの場合に「Internal(内部の)」を表す「Int」を付けて外部の人がいるときは外すなど、ルールを決めておきましょう。
【Ext】XXX様とのお打ち合わせ
【Int】XXXプロジェクトの件
Microsoft 365 をより安全に使うためのポイント
Microsoft 365 のセキュリティを強化するためには、単にセキュリティ機能を設定するだけでなく、継続的な運用と監視が不可欠です。これにより、常に安全な環境を維持することができます。
セキュリティレベルを日常的に高めるための主なポイントは、次の3つです。
これらの方法を組織の運用に組み込むことで、インシデントの早期発見と予防につながり、セキュリティの強化が図れます。
定期的に監査ログをチェックする
Microsoft 365 の監査ログを定期的に確認することで、不正アクセスやデータ漏洩の兆候を早期に発見できます。
具体的には、以下の操作状況を確認することが効果的です。
また、外部のゲストユーザーによる不適切な操作やアクセスが記録されていないかも見直すことが重要です。
ファイル共有時のアラート通知設定をする
ファイルやフォルダが共有された際に、管理者へアラート通知を設定することで、不審な共有や不正アクセスを素早く把握できます。
これにより、機密情報が意図しない相手に共有されるリスクを軽減できます。万が一不適切な共有が発生しても、迅速に通知を受けて対応できるため、情報漏洩やサイバー攻撃の被害を最小限に抑えることが可能です。
セキュリティ可視化アセスメントサービスを実施する
Microsoft 365 を安全に活用するためには、自社環境に潜む脅威やリスクを把握することが欠かせません。
セキュリティ可視化アセスメントサービスは、Microsoft 365 環境で潜在的な問題を検出し、ダッシュボードなどでわかりやすく可視化・評価できるサービスです。
ただし、実際には、不正アクセスのリスクやランサムウェア感染のリスクなど、複数の懸念点が存在します。そのため、全体を一度に強化するのは難しい場合があります。そこで、リスクの優先度を付けて対策を進めることが効果的です。
たとえば、JBCCが提供する「セキュリティ可視化アセスメントサービス」では、無料で診断を受けられ、自社がどの分野に投資すべきかを明確にできます。これにより、客観的にリスクを把握し、効率的に対策を進めることが可能になります。
Microsoft 365 ワークショップのご案内
JBCCでは、以下のようなお悩みを持つ方に向けて、オリジナルの「Microsoft 365 ワークショップ」を無料で開催しています。
このような方にはJBCCオリジナルの「Microsoft 365 ワークショップ」がおすすめです。ワークショップの特徴を紹介します。
オリジナルワークショップでは、以下のラインナップから自社に最適なアジェンダを構成して提供しているため、お悩みの解決につながります。最近では、Microsoft 社のAIツールである Copilot に関するワークショップが新しく追加されました。
JBCCは、日本マイクロソフト株式会社の「マイクロソフト ジャパン パートナー オブ ザ イヤー 2022」において、Solution AssessmentsとEmployee Experienceの2部門で同時受賞した実績を保有しています。
Microsoft 社から高く評価されたオリジナルのワークショップとなりますので、ぜひご参加ください。
よくある質問
- Q1. Microsoft 365 を使う上で最も注意すべきセキュリティリスクは何ですか?
- A. 社外ユーザーとのファイル共有やチャットの誤送信、データ削除による情報ロスなどが代表的なリスクです。これらは設定ミスや運用ルールの不備によって発生するため、事前の対策と運用ルールの整備が重要です。
- Q2. 社外ユーザーとの安全なファイル共有を行うにはどうすればいいですか?
- A. SharePoint や OneDrive の共有設定を「既存のゲスト」に限定し、Microsoft Entra ID に登録されたゲストユーザーのみがアクセスできるように設定することで、安全な共有が可能になります。また、ゲスト追加の権限は管理者に限定することが推奨されます。
- Q3. ハイブリッドワーク環境で Microsoft 365 を安全に使うには何が必要ですか?
- A. Microsoft Entra ID(旧Azure AD)によるアクセス制御と、Microsoft Intune によるデバイス・アプリ管理が有効です。これにより、場所や端末に応じたセキュリティ対策が可能となり、情報漏洩リスクを低減できます。
Microsoft 365 の利用方法にお悩みの方はJBCCにご相談ください
Microsoft 365 のセキュリティ対策は、技術的な設定だけでなく、組織全体の運用体制構築が必要です。しかし、専門知識を持つ人材の確保や、日々進化する脅威への対応は多くの企業にとって大きな課題です。
JBCCでは、Microsoft 365 の基本的な活用方法から定着までを無償でサポートするサービスを提供しています。豊富な導入実績と専門知識を活かし、お客様の Microsoft 365 環境を最適化します。
Microsoft 365 のセキュリティにお悩みの方や、より安全な運用体制を構築したい方は、ぜひJBCCまでお気軽にご相談ください。経験豊富なエンジニアが、貴社に最適なソリューションをご提案いたします。
Microsoft 365 の利活用を成功に導くJBCCのトータルサポート
お客様の課題に合わせて利活用のご支援から有事に備えてのバックアップや長期ログ保管等の運用サービスまで トータルでサポートします。
詳細を見る企業のIT活用をトータルサービスで全国各地よりサポートします。
JBCC株式会社は、クラウド・セキュリティ・超高速開発を中心に、システムの設計から構築・運用までを一貫して手掛けるITサービス企業です。DXを最速で実現させ、変革を支援するために、技術と熱い想いで、お客様と共に挑みます。