「Microsoft 365」のバックアップにまつわる“誤解”とは？：Microsoft 365のセキュリティ対策12選【後編】

クラウドサービスにまつわる“誤解”は、「Microsoft 365」のセキュリティ対策にも影響を及ぼす可能性がある。Microsoft 365の適切なセキュリティ対策を検討するためのヒントを示す。

[Johna Till Johnson，TechTarget]

　オフィススイートのサブスクリプションサービス「Microsoft 365」（旧「Office 365」）の導入、運用時のセキュリティ対策を説明する本連載。前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは？」、中編「『Microsoft 365』パスワード同期に潜む“意外な危険”と対策は？」に続き、後編は残る10～12個目の対策を紹介する。

対策10．セキュリティ対策状況の認識

併せて読みたいお薦め記事

Microsoft 365（Office 365）のセキュリティ対策

• 「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは？
• 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント
• 「Office 365」はなぜ遅くなるのか？　SaaSが引き起こすネットワーク問題

クラウドサービス利用時のセキュリティ対策

• クラウドユーザーのための“クラウド専用”のセキュリティ対策とは？
• 「CASB」とは？　クラウドセキュリティを強化する4つの役割

　Microsoftは、Microsoft 365のセキュリティ対策状況を可視化する「Microsoftセキュアスコア」と「Microsoftコンプライアンススコア」の2つの手段を公開している。セキュアスコアは「多要素認証（MFA）を有効にしたかどうか」といった従来型のセキュリティ対策状況を定量的に示す。コンプライアンススコアは総合的な診断の他、欧州連合（EU）の「一般データ保護規則」（GDPR）や米国の「カリフォルニア州消費者プライバシー法」（CCPA）などの法令順守状況の判断に役立つ。リスクに対処済みかどうか、リスクを受け入れるべきかどうかの判断基準として活用できる。

対策11．バックアップにまつわる誤解の解消

　「Microsoft 365はクラウドサービスだから、データは自動的にバックアップされる」という認識は、必ずしも正しいとは言えない。Microsoftはストレージ内のデータを複製する「レプリケーション」を実施している。マルウェアに感染したファイルも、原則としてそのままの状態で複製する。そのため正常なファイルを利用できる保証はない。事業継続性を高めるには、適切なバックアップ製品の導入を検討すべきだ。

対策12．サードパーティー製SSO導入の検討

　ユーザー企業がMicrosoft 365でシングルサインオン（SSO）を実現するには、Microsoft 365の標準ID管理サービス「Azure Active Directory」（Azure AD）が利用できる。Azure ADによるSSOに満足できない場合は、OktaやPing IdentityなどサードパーティーのID・アクセス管理（IAM）ベンダーが提供するSSO製品・サービスを導入するとよい。

---

　アーキテクチャ、システムの設計、デフォルトの設定など、Microsoft 365には多様な脆弱（ぜいじゃく）性がある。3回にわたって取り上げた対策は手始めにすぎない。重要なのは、セキュリティ専門家が常にセキュリティの取り組みを継続して、自社が利用するシステムを守ることだ。

　本連載が取り上げた対策のうち、特に重要な対策として、Microsoft 365セキュリティ専任チームの設置が挙げられる。Microsoft 365導入に関する費用対効果を計算する際は、Microsoft 365セキュリティ専任チームの創設と維持に関するコストや労力も考慮する必要がある。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。