Microsoft 365は「導入するだけ」ではセキュリティが確保されない
Microsoft 365(以下M365)は、中小企業にとって最も普及したクラウドプラットフォームの一つだ。メール、ファイル共有、チャット、オンライン会議など、ビジネスに必要な機能が一通り揃っている。しかし、M365を導入しただけでセキュリティが万全になるわけではない。
デフォルトの設定のまま運用している企業は少なくないが、それは「鍵を開けたまま店を営業している」に等しい。M365には強力なセキュリティ機能が備わっているが、管理者が能動的に設定しなければ効果を発揮しない機能が多数ある。
本記事では、M365の管理者(佐藤さんのような一人情シスや鈴木さんのようなIT管理兼務のマネージャー)に向けて、今すぐ確認すべきセキュリティ設定10項目を具体的に解説する。
項目1:多要素認証(MFA)の全ユーザー強制
なぜ重要か
Microsoftの報告によれば、MFAを有効にすることでアカウント侵害の99.9%以上を防止できるという。パスワードの漏えいは日常的に発生しており、パスワードだけに依存した認証は実質的に無防備である。
確認・設定手順
- Microsoft Entra管理センター(旧Azure AD)にアクセスする
- 「セキュリティ」→「多要素認証」→「追加のクラウドベースMFA設定」を開く
- 「セキュリティの既定値群」が有効になっているか確認する
セキュリティの既定値群を有効にするだけで、全ユーザーにMFAの登録が求められる。より細かい制御が必要な場合は、後述する条件付きアクセスポリシーでMFAを制御する。
注意点
- 全ユーザーに対して一斉にMFAを強制する前に、事前周知と登録手順の案内を行う
- Microsoft Authenticatorアプリの利用を推奨する(SMSよりも安全性が高い)
- 緊急アクセス用の管理者アカウント(ブレークグラスアカウント)を用意しておく
項目2:条件付きアクセスポリシーの設定
なぜ重要か
条件付きアクセスは、「誰が」「どこから」「どのデバイスで」「何にアクセスするか」に応じて、認証要件やアクセス可否を動的に制御する機能である。MFAの強制だけでなく、リスクベースの認証を実現できる。
推奨する基本ポリシー
ポリシー1:全ユーザーにMFAを要求
- 対象:すべてのユーザー(緊急アクセスアカウントを除く)
- 条件:すべてのクラウドアプリ
- アクション:MFAを要求
ポリシー2:管理者アカウントの保護強化
- 対象:グローバル管理者、セキュリティ管理者など特権ロール
- 条件:すべてのクラウドアプリ
- アクション:準拠デバイスからのアクセスのみ許可+MFA必須
ポリシー3:レガシー認証のブロック
- 対象:すべてのユーザー
- 条件:レガシー認証クライアント
- アクション:アクセスをブロック
レガシー認証(基本認証)はMFAをバイパスするため、攻撃者に悪用されるリスクが高い。必ずブロックすること。
ライセンス要件
条件付きアクセスはMicrosoft Entra ID P1以上のライセンスが必要。M365 Business PremiumまたはE3以上に含まれている。
項目3:DLP(データ損失防止)ポリシーの設定
なぜ重要か
従業員が意図せず、あるいは不注意で機密情報を外部に送信するリスクは常に存在する。DLPポリシーを設定することで、個人情報やクレジットカード番号などの機密データが含まれるメールやファイルの外部送信を自動的に検知・ブロックできる。
設定の概要
- Microsoft Purviewコンプライアンスポータルにアクセスする
- 「データ損失防止」→「ポリシー」から新規ポリシーを作成する
- テンプレートから「日本の個人情報保護法」または「財務情報」を選択する
- 適用範囲(Exchange Online、SharePoint Online、OneDrive、Teams)を選択する
- アクション(通知のみ/ブロック+通知)を設定する
段階的な導入を推奨
DLPポリシーはいきなりブロックモードで適用すると業務に支障をきたす可能性がある。まずは「テストモード」で1〜2か月間運用し、検知結果を分析した上でブロックモードに移行するのが安全だ。
項目4:監査ログの有効化と保持期間の設定
なぜ重要か
セキュリティインシデントが発生した際、「いつ」「誰が」「何をしたか」を追跡するために監査ログは不可欠だ。ログがなければ、被害の範囲も侵入経路も特定できない。
確認・設定手順
- Microsoft Purviewコンプライアンスポータルの「監査」を開く
- 「監査の記録を開始する」がオンになっていることを確認する(デフォルトでオンだが、過去にオフにされていないか要確認)
- ログの保持期間を確認する
保持期間について
- E3/Business Premium:監査ログの保持は180日間
- E5/E5 Compliance:監査ログの保持は最大10年間
180日では不十分な場合(法令対応やインシデント調査で遡及が必要な場合)は、外部のSIEM(Security Information and Event Management)ツールにログをエクスポートする方法もある。
項目5:外部共有の制御
なぜ重要か
SharePoint OnlineやOneDrive for Businessの外部共有設定が緩いと、従業員が社外の第三者にファイルを簡単に共有できてしまう。意図しない情報漏えいの温床となる。
推奨設定
SharePoint管理センターで、組織全体の外部共有レベルを設定する。
| 共有レベル | 内容 | 推奨度 |
|---|---|---|
| 全員(匿名リンク可) | 誰でもリンクを知っていればアクセスできる | 非推奨 |
| 新規および既存のゲスト | 認証済みの外部ユーザーのみ | 中程度のリスク |
| 既存のゲストのみ | 事前に招待されたゲストのみ | 推奨 |
| 自組織のユーザーのみ | 外部共有を完全禁止 | 最も安全だが業務影響あり |
項目6:ゲストアクセスの管理
なぜ重要か
M365のTeamsやSharePointに外部のゲストユーザーを招待する機能は便利だが、管理を怠ると「プロジェクトが終わった後もゲストがアクセスし続けている」状態になる。
対策
- ゲストアクセスレビュー:Microsoft Entra管理センターの「アクセスレビュー」機能を使い、定期的にゲストユーザーの棚卸しを行う
- ゲストの有効期限設定:ゲストアカウントに有効期限を設定し、自動的に無効化する
- ゲスト招待の権限制限:誰でもゲストを招待できる設定になっている場合は、管理者のみに制限する
項目7:メールのフィッシング対策強化
なぜ重要か
フィッシングメールは依然としてサイバー攻撃の最大の侵入経路だ。M365にはExchange Online Protection(EOP)が標準で含まれているが、追加の設定で防御力を高められる。
推奨設定
Safe Links(安全なリンク)の有効化
- メール内のURLをクリック時にリアルタイムでスキャンし、悪意のあるサイトへのアクセスをブロックする
- Microsoft Defender for Office 365(Plan 1以上)に含まれる
Safe Attachments(安全な添付ファイル)の有効化
- 添付ファイルをサンドボックス環境で実行し、マルウェアの有無をチェックする
- Microsoft Defender for Office 365(Plan 1以上)に含まれる
なりすまし対策
- DMARC、DKIM、SPFレコードの適切な設定を確認する
- フィッシング対策ポリシーで「なりすまし保護」を有効にする
項目8:デバイスのコンプライアンスポリシー
なぜ重要か
M365に接続するデバイスが適切に管理されていなければ、マルウェアに感染した端末から社内データにアクセスされるリスクがある。
Microsoft Intuneでの設定
M365 Business PremiumにはMicrosoft Intuneが含まれており、デバイスのコンプライアンスポリシーを設定できる。
推奨するコンプライアンス条件:
- OSのバージョンが最新のセキュリティパッチ適用済みであること
- ウイルス対策ソフトが有効であること
- デバイスの暗号化(BitLocker等)が有効であること
- パスコードが設定されていること
条件付きアクセスポリシーと組み合わせて「コンプライアンスに準拠したデバイスからのみM365にアクセスを許可する」設定にすることで、BYOD環境でも一定のセキュリティを確保できる。
項目9:特権アカウントの管理
なぜ重要か
グローバル管理者アカウントが侵害されると、組織のM365環境全体が攻撃者の手に渡る。特権アカウントは最も厳重に保護すべき資産だ。
推奨対策
- グローバル管理者の数を最小限に:2〜4アカウント程度に限定する
- 日常業務には一般ユーザーアカウントを使用:管理者であっても、日常のメールやTeamsは一般アカウントで行う
- 緊急アクセスアカウントの設置:MFAやポリシーの設定ミスで全管理者がロックアウトされた場合に備え、物理的に安全な場所に保管されたアカウントを用意する
- Privileged Identity Management(PIM)の活用:特権ロールをJust-In-Time(必要な時だけ有効化)で付与する仕組み(Entra ID P2ライセンスが必要)
項目10:セキュアスコアの確認と継続的な改善
なぜ重要か
Microsoftはセキュリティの現状を数値で把握できる「セキュアスコア」を提供している。これはM365の設定状況をスコア化し、改善推奨事項を提示してくれる無料の機能だ。
確認方法
- Microsoft 365 Defenderポータルにアクセスする
- 「セキュアスコア」を選択する
- 現在のスコアと推奨アクションを確認する
活用のポイント
- まずは現在のスコアを確認し、「改善のアクション」タブで推奨事項を確認する
- すべての項目を一度に対応する必要はない。影響度が高く、実装が容易な項目から着手する
- スコアの推移を月次で記録し、改善傾向を経営層に報告する
セキュアスコアは100点満点を目指す必要はない。業務への影響を考慮しながら、自社にとって最適なバランスを見つけることが重要だ。
設定変更時の注意事項
テスト環境での検証
セキュリティ設定の変更は、業務に影響を及ぼす可能性がある。可能な限り、テスト用のユーザーグループで先行検証してから全社展開する。
従業員への事前告知
特にMFAの強制やレガシー認証のブロックは、従業員に直接影響する。設定変更の1〜2週間前に告知し、必要な準備(Authenticatorアプリのインストールなど)を案内する。
変更記録の管理
いつ、誰が、何の設定を変更したかを記録に残す。トラブル発生時の原因調査に不可欠である。
ライセンス別の対応可能範囲
M365のセキュリティ機能はライセンスによって利用可能な範囲が異なる。
| 機能 | Business Basic | Business Premium | E3 | E5 |
|---|---|---|---|---|
| MFA(セキュリティの既定値群) | 対応 | 対応 | 対応 | 対応 |
| 条件付きアクセス | - | 対応 | 対応 | 対応 |
| DLP | 制限あり | 対応 | 対応 | 対応 |
| 監査ログ(180日) | 対応 | 対応 | 対応 | 対応 |
| 監査ログ(長期保持) | - | - | - | 対応 |
| Safe Links / Safe Attachments | - | 対応 | - | 対応 |
| Intune | - | 対応 | 制限あり | 対応 |
| PIM | - | - | - | 対応 |
| セキュアスコア | 対応 | 対応 | 対応 | 対応 |
対応優先度の整理
10項目すべてを同時に対応するのは現実的ではない。以下の優先度で段階的に進めることを推奨する。
最優先(今週中に対応):
- MFAの全ユーザー強制
- レガシー認証のブロック
- 特権アカウントの棚卸し
高優先(1か月以内に対応):
- 条件付きアクセスポリシーの設定
- 外部共有の制御
- 監査ログの有効化確認
中優先(3か月以内に対応):
- ゲストアクセスの管理
- フィッシング対策の強化
- DLPポリシーの設定
- デバイスコンプライアンスポリシーの設定
M365セキュリティ診断のご案内
貴社のMicrosoft 365環境のセキュリティ設定を専門家が診断し、リスクの高い項目と対応優先度をレポートにまとめてご提供します。セキュアスコアの改善プランもご提案可能です。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
まとめ
Microsoft 365は強力なセキュリティ機能を備えているが、管理者が適切に設定しなければ宝の持ち腐れである。MFAの強制、条件付きアクセス、DLP、監査ログ、外部共有制御、ゲストアクセス管理、フィッシング対策、デバイスコンプライアンス、特権アカウント管理、セキュアスコアの活用。この10項目を段階的に整備することで、M365環境のセキュリティは大幅に向上する。
まずは管理者アカウントでセキュアスコアを確認し、現状のスコアと改善余地を把握することから始めてほしい。
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
Microsoft 365セキュリティ設定ガイド|管理者が今すぐ確認すべき10項目を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。