オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時のセキュリティ対策を説明する本連載。前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」、中編「『Microsoft 365』パスワード同期に潜む“意外な危険”と対策は?」に続き、後編は残る10〜12個目の対策を紹介する。
Microsoftは、Microsoft 365のセキュリティ対策状況を可視化する「Microsoftセキュアスコア」と「Microsoftコンプライアンススコア」の2つの手段を公開している。セキュアスコアは「多要素認証(MFA)を有効にしたかどうか」といった従来型のセキュリティ対策状況を定量的に示す。コンプライアンススコアは総合的な診断の他、欧州連合(EU)の「一般データ保護規則」(GDPR)や米国の「カリフォルニア州消費者プライバシー法」(CCPA)などの法令順守状況の判断に役立つ。リスクに対処済みかどうか、リスクを受け入れるべきかどうかの判断基準として活用できる。
「Microsoft 365はクラウドサービスだから、データは自動的にバックアップされる」という認識は、必ずしも正しいとは言えない。Microsoftはストレージ内のデータを複製する「レプリケーション」を実施している。マルウェアに感染したファイルも、原則としてそのままの状態で複製する。そのため正常なファイルを利用できる保証はない。事業継続性を高めるには、適切なバックアップ製品の導入を検討すべきだ。
ユーザー企業がMicrosoft 365でシングルサインオン(SSO)を実現するには、Microsoft 365の標準ID管理サービス「Azure Active Directory」(Azure AD)が利用できる。Azure ADによるSSOに満足できない場合は、OktaやPing IdentityなどサードパーティーのID・アクセス管理(IAM)ベンダーが提供するSSO製品・サービスを導入するとよい。
アーキテクチャ、システムの設計、デフォルトの設定など、Microsoft 365には多様な脆弱(ぜいじゃく)性がある。3回にわたって取り上げた対策は手始めにすぎない。重要なのは、セキュリティ専門家が常にセキュリティの取り組みを継続して、自社が利用するシステムを守ることだ。
本連載が取り上げた対策のうち、特に重要な対策として、Microsoft 365セキュリティ専任チームの設置が挙げられる。Microsoft 365導入に関する費用対効果を計算する際は、Microsoft 365セキュリティ専任チームの創設と維持に関するコストや労力も考慮する必要がある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
カスタマーサクセスを成功(サクセス)させる「日本型テックタッチ」とは?
カスタマーサクセスにおいて、より多くの顧客に効率よく情報を届ける上で特に重要になる...
デジタルネイティブ世代の過半数は「消費にも自己表現」を意識――電通デジタル調査
コロナ禍でデジタルネイティブの消費行動や価値観が変化しているようです。
企業SNSが炎上する理由 SDGs観点で考えてみると?
業務でSNSアカウント運用を担当している人に向け、SDGsの観点から、役立つノウハウをお伝...
ITmediaはアイティメディア株式会社の登録商標です。
