Microsoft 365 に必要なセキュリティとは？クラウドデータ運用管理の課題と解決法

コロナ禍などを経て、多くの企業がクラウドグループウェアを導入しています。Microsoft 365 は人気のグループウェアで、利用している方も多いのではないでしょうか。
しかし、クラウドグループウェアの導入は生産性の向上になる一方、セキュリティ課題も抱えています。実際、セキュリティ面が不安でクラウド化に踏み切れないという企業もあるようです。
クラウド化では確かにセキュリティリスクがありますが、適切なセキュリティ対策を行うことで、課題解決が可能です。本記事では Microsoft 365 に必要なセキュリティと、クラウドデータ運用管理で発生する課題、その解決方法を解説します。

Microsoft 365 は、Microsoft社が提供するグループウェアです。Word や Excel といった Office 製品のほか、Outlook や Teams などのコミュニケーションツールも利用できます。
キーマンズネットの調査によると、2023年の Microsoft 365 の利用率は46.7％。豊富な機能や信頼性の高さから人気のあるグループウェアといえます。

【関連記事】 Microsoft 365とは？Google Workspace（旧G suite）との相違点や導入メリット

現在 Microsoft 365 のようなクラウドグループウェアの利用が広がっています。特にコロナ禍以降はリモートワークが拡大したこともあり、2023年のクラウド利用率は77％。ファイルの保管・データ共有は2019年と比較すると123％も上昇している上、取引先との情報共有も140％増加しています。
クラウド化によって、複数拠点からのアクセスや取引先とのスムーズなデータ共有が可能になり、生産性が向上しました。また、今後はAI活用による生産性向上も期待されていて、AIを利用するためにはクラウド上にデータを蓄積しておく必要があることから、導入を進める企業も多いです。
一方で、クラウド化にはセキュリティリスクがあります。外部と切り離されているオンプレミスと違い、データやアプリがインターネット上にあるため、情報漏洩などのリスクが考えられます。
Microsoft 365 では高度なセキュリティ対策が講じられていますが、クラウドにデータがある以上、セキュリティリスクをゼロにはできません。自社でも Microsoft 365 のセキュリティ理念やセキュリティリスクを理解して対策することが重要です。

Microsoft のセキュリティ理念「共同責任モデル」

Microsoft 365 のセキュリティ対策の重要性は広く認識されつつある一方で「Microsoft 365 のデータはMicrosoft が守ってくれるのではないのか？」という疑問の声が聞かれます。
Microsoft 365 の中にあるデータは、当然 Microsoft社によって保護されていると思われがちですが、実際はどうでしょうか？

Microsoft は「共同責任モデル」というセキュリティ理念を掲げています。共同責任モデルとは、サービス提供会社とユーザーの責任範囲が決まっており、それぞれの範囲に責任を負うというセキュリティ理念です。
Microsoft 365 における共同責任モデルでは、Microsoft社はサービスインフラの可用性とセキュリティは保護するものの、データに関する責任はユーザー側にあると明記されています。つまり、Microsoft 365 データはユーザーのものであり、それを保護するのもユーザーの責任というわけです。
Microsoft 365 データに関するインシデントでは「ユーザーのミス」が非常に多いです。どんなに Microsoft社が強固なセキュリティ対策を講じても、ユーザー側のセキュリティが甘ければ簡単に情報を盗まれてしまいます。ユーザーの責任範囲を理解して、適切なセキュリティ対策が必要です。

先述したように Microsoft 365 を含めたクラウドサービスには、必ずセキュリティリスクが存在します。またクラウド化によるマンパワー不足の問題も考えられます。まずは、クラウド化が抱える課題を知りましょう。

不適切なユーザー・アクセス管理

クラウド化によって、ユーザー管理が適切にできなくなる可能性があります。Microsoft 365 には「ゲスト招待」の機能があり、SharePoint サイトや Teams のチームに社内外のメンバーをアクセスさせられます。たとえば、断続的に取引がある取引先をゲスト招待しておくことが可能です。これによって、取引先と簡単に情報共有ができます。
一方で、社外からアクセスしているユーザーを把握していない、各ユーザーのアクセス権を適切に設定できていないなどの課題があります。たとえば、本来プライベートに設定すべきチームをパブリックにしてしまい、誰にでも情報が見られる状況になる、ゲストが多すぎて把握しきれず、同じ苗字の人を誤って招待してしまうなどのミスが考えられます。
外部ユーザーの把握や適切なアクセス権の設定ができていないと、悪意のあるユーザーが紛れ込んで閲覧可能になっていた機密情報が盗まれる可能性があります。また、ランサムウェアを仕込まれるなどの被害に遭うことも考えられます。

情報漏洩のリスク

クラウド化には情報漏洩のリスクがあります。
外部からの不正アクセスや設定ミス、場合によっては社内の人間や退職者が故意に外部に情報を流す可能性も捨てきれません。現在では手軽に攻撃できるツールがダークウェブで販売されており、スキルがなくても簡単に不正アクセスができます。たとえば、フィッシングを作成してMicrosoft社を装い従業員にメールを一斉送信。リンクをクリックするとIDが入手できるようになっており、入手したIDで不正アクセスするなどの方法があります。
東京商工リサーチの調査によると2024年の情報漏洩事故件数は189件で過去最多。要因は、ウイルス感染・不正アクセスが60.3％、誤表示・誤送信が21.6％となっています。特にウイルス感染・不正アクセスの情報漏洩は増加傾向にあります。
企業内の情報は複数ありますが、中でも個人情報が漏洩すると、二次被害につながる可能性がある上、社会的信用も失うでしょう。加えて、賠償責任も生じます。二次被害がなくても慰謝料として1人あたり3,000円～5,000円を支払うことが一般的です。二次被害が出た場合、1人あたり3万円以上の賠償金を支払った例もあります。
特に大企業は事業範囲が広く、顧客数も多いためターゲットになりやすいとされています。先述した東京商工リサーチの調査でも、被害にあった企業の76.1％が東証プライム市場でした。

データロスのリスク

クラウド化ではデータロスのリスクもあります。
データロスの要因で圧倒的に多いのが「誤操作」です。間違えて削除した、上書きしたなどのケースが多くなっています。
Microsoft 365 では標準機能としてデータの救済ができますが、期間が定められており、期間を過ぎればデータの復元はできません。退職者のデータは1ヶ月、ドキュメントやメールの保存期間は3ヶ月、監査ログは6ヶ月で消えてしまいます。たとえば、退職者から引継ぎのデータを Microsoft 365 で共有された場合、いざデータが必要になったときにはすでに退職から1ヶ月が経過していて、データが閲覧できないなどの問題が発生する可能性があります。
またランサムウェアへの感染で、データを閲覧できない状態にされるケースも考えられます。

マンパワーの不足

セキュリティを万全にする上では、マンパワーの不足も問題になります。
共同責任モデルにより、ユーザー側でもある程度のセキュリティ対策を行うことが必要ですが、Microsoft 365 では、データロス、ユーザー管理、アクティビティ管理など解決すべき問題が多くあります。セキュリティに関しては「エンドユーザーは何をするかわからない」という意識を持たなければならない上、問題が起きたらすぐに対応しなければなりません。
にもかかわらず、システム部門がない、他の業務と兼任しているなど情報システムの管理を1人で行っている企業も少なくありません。コロナをきっかけにとりあえず導入した、社員を信用してアクセス権やユーザーの管理をしない、という企業もあります。
マンパワーが不足して管理が疎かになると、先述したような情報漏洩、データロスなどの問題が起こります。かといって、マンパワーが不足した状態で的確な管理をするのは難しいです。そうなると、利用に制限をかけて管理ができる状態にする企業もあるでしょう。
ただ、利用に制限がかかると本来の目的であるはずの「生産性の向上」につながりません。たとえば「管理ができないので OneDrive を使わせない」という方針をとると、チャットでデータが共有できず、同時編集ができないなどの問題が発生し、利便性が大きく下がってしまいます。
労働人口が減少する中、企業にとって生産性向上は急務です。これまでは調査を部下にお願いして、自分で分析ということができましたが、人口が減少している昨今では難しいでしょう。
Copilot などのAIを利用して生産性向上を図るべきですが「人が足りなくて管理ができないから」という理由で利用を制限すると、本末転倒になってしまいます。

先述したようなリスクに対抗するため、Microsoft 365 には高いセキュリティを実現する機能が備わっています。活用して、クラウド化の課題を解決していきましょう。

ユーザー・アクセス権の管理

Microsoft 365 を利用する際は、ユーザーとアクセス権を適切に管理しましょう。特に、外部ユーザーの管理と過剰共有には注意が必要です。招待されている人やユーザーの持っているアクセス権をチェックし、不適切なユーザーを招待していないか、機密情報が含まれていないか、共有範囲は適切かを確認します。
また、プライバシー設定にも注意しましょう。Microsoft 365 のプライバシー設定はパブリックかプライベートを選べますが、設定ミスで機密情報がパブリックに設定されていたなどのケースが散見されます。実際にチーム作成を一般ユーザーに任せていたところ、プライバシー設定を意識しておらず、社内に機密情報が漏れた事例もあります。デフォルトの共有設定、共有リンクを発行しているユーザーなどは定期的にチェックが必要です。
加えて、過剰共有はAI導入のハードルにもなります。AI導入のためにもしっかり確認しましょう。
ユーザーとアクセス権設定の詳しい手順は下記をご覧ください。

▶ Microsoft Entra 管理センターでユーザーのプロファイル情報と設定を追加または更新する

▶ Microsoft 365 で SharePoint と OneDrive の共有設定を管理する

多要素認証（MFA）の設定

多要素認証（MFA）の設定も、Microsoft 365 のセキュリティ対策として効果的です。
多要素認証とは、ログインの際にパスワード以外の要素で認証を行うシステムです。身近なものだとワンタイムパスワードなどがあります。
悪意のあるユーザーは、さまざま方法で不正アクセスを試みます。もしパスワードのみの認証システムだったら、先述した例のようにフィッシングで正しいIDとパスワードを入手していれば簡単にログインできてしまいます。ログイン時には「間違いなく対象のユーザー本人である」という証拠が必要です。
そこで多要素認証を利用して、パスワードのみではログインができないようにしましょう。作業はひとつ増えますが、セキュリティレベルは高まります。
Microsoft 365 で多要素認証を導入するには「Microsoft Authenticator」の利用がおすすめです。Microsoft Authenticator では、指紋、顔認識、ワンタイムパスワードなどの認証ができます。詳しい設定方法は以下を参照してください。

▶ セキュリティ機能と設定（多要素認証を設定する）

なお、Microsoft 365 では2024年10月15日以降、Microsoft Entra 管理センターなど、管理のためのポータルサイトにログインする際に限り、多要素認証が義務となっています。

データのバックアップ

Microsoft 365 を利用する際には、蓄積されたデータのバックアップを取っておきましょう。
先述したように Microsoft 365 には、削除したデータを保存する機能があります。しかし期間は限定的であり、期間が過ぎればデータの復元が不可能になります。
そのため外部サービスなどを利用して、定期的にバックアップを取っておくことが大切です。バックアップを取っておくことで、不測の事態が発生した場合でもデータの復元が可能になります。たとえばランサムウェアに感染しても感染前の状態に復元できますし、災害が起こってサーバーが故障した際にも、バックアップデータが利用できます。スピーディな復元で、通常業務にも早く戻れるでしょう。
共同責任モデルにあるように、データセキュリティはユーザー側の責任です。導入時には「業務が止まってしまうからバックアップをとる」のではなく「バックアップがあるから何かあったときも大丈夫」というポジティブな視点で社員に説明することが大切です。

データ転送時の暗号化

Microsoft 365 には、データ転送時に暗号化を行う機能があります。SharePoint や OneDrive のデータなどをやり取りする際も、保存したときに暗号化されるようになっています。暗号化とは、データの文字列を違う文字列に変換するシステムで、暗号化することにより元データの内容を盗まれないようにする機能です。
Microsoft 365 では暗号化はデフォルトで行われますが、より詳細な設定をしたい場合や高いセキュリティレベルを求める場合は、自社で細かな設定をする必要があります。
暗号化についてのより詳しい内容は以下をご覧ください。

▶ 暗号化

定期的な監査ログのチェック

Microsoft 365 では定期的な監査ログのチェックが必要です。
監査ログには180日間分のユーザーの操作が記録されています。退職者が情報を持ち出していないか、権限がないはずのデータにユーザーがアクセスできていないかなどを確認しましょう。
また監査ログでは、インシデントが発生した場合にインシデントの原因究明を行うツールとしても機能します。定期的にチェックすることでインシデントの予防にもなるでしょう。
Microsoft 365 では、監査ログに加えてリスク検知ツールの導入もおすすめします。リスク検知ツールを導入することで、インシデント予防の一助になります。自動で設定を修正してくれるツールもあるため、そうしたツールを利用すると便利です。
Microsoft 365 では、監査ログはデフォルトで有効になっています。監査ログは Microsoft 365 コンプライアンスセンターから閲覧可能です。

▶スクリーンリーダーを使用して、Microsoft 365 コンプライアンス センターで監査ログを検索、エクスポート、確認する

Microsoft 365 は標準機能である程度のセキュリティ機能が搭載されています。しかし、企業は定期的なセキュリティの点検や、最新の脅威に対応するためのアップデートを継続的に行う必要があるため、リソースの確保が必要です。
リソースが足りない場合には、アウトソースや外部サービスを利用すると良いでしょう。アウトソースや外部サービスを利用することで、本来の業務に集中できます。情報システムの管理を従業員１人が担っている企業でも、機能制限をせずに Microsoft 365 を利用できるため、生産性向上につながるでしょう。
ＪＢＣＣでは、Microsoft 365 の運用サービスを提供しています。データバックアップやリスクユーザーの監視・ブロック、アクティビティログの保管などをお客様の代わりに行います。一般的なSIerはトライアル、契約、構築のみですが、ＪＢＣＣでは検討などの前準備、利用後の定着もサポートいたします。
ＪＢＣＣは、中堅中小企業への革新的なサービス提供をMicrosoft社から評価されており、Microsoft Partner of the Year Award を2021年度より4年連続で受賞しています。主にMicrosoft 365、AI、Azure の分野で評価をされ、お客様の業務を支える基盤をオールインワンで提供できることが強みです。また、ＪＢＣＣとのご契約特典としてアップデートの激しい Microsoft 365 の最新情報も常に確認しており、その内容を毎月発信したり、Microsoft 365 利活用に向けた Microsoft 365 ユーザー企業限定のイベントも開催したりしています。

クラウド化によるさまざまな課題も、適切なセキュリティ対策を施すことで解決できます。Microsoft 365 はある程度のセキュリティ対策が行われていますが、共同責任モデルがある以上、自社が責任を負う場所は自社でしっかりセキュリティ対策を施しましょう。
ＪＢＣＣの Microsoft 365 ワークショップでは、お客様個々の課題に合わせた幅広いメニューで展開しており、活用方法の相談などを無償で行っています。セキュリティについてのご相談も受付けておりますので、お気軽にご相談ください。

ＪＢＣＣオリジナル「Microsoft 365 ワークショップ」

基本的な使い方や活用方法、定着を無償でサポートするＪＢＣＣオリジナルのワークショップです。Microsoft 製品を熟知したスタッフがよくあるお悩みについて、導入から活用、定着、運用、分析までトータルマネージいたします。

詳細を見る