オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時のセキュリティ対策を説明する本連載。前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」、中編「『Microsoft 365』パスワード同期に潜む“意外な危険”と対策は?」に続き、後編は残る10〜12個目の対策を紹介する。
Microsoftは、Microsoft 365のセキュリティ対策状況を可視化する「Microsoftセキュアスコア」と「Microsoftコンプライアンススコア」の2つの手段を公開している。セキュアスコアは「多要素認証(MFA)を有効にしたかどうか」といった従来型のセキュリティ対策状況を定量的に示す。コンプライアンススコアは総合的な診断の他、欧州連合(EU)の「一般データ保護規則」(GDPR)や米国の「カリフォルニア州消費者プライバシー法」(CCPA)などの法令順守状況の判断に役立つ。リスクに対処済みかどうか、リスクを受け入れるべきかどうかの判断基準として活用できる。
「Microsoft 365はクラウドサービスだから、データは自動的にバックアップされる」という認識は、必ずしも正しいとは言えない。Microsoftはストレージ内のデータを複製する「レプリケーション」を実施している。マルウェアに感染したファイルも、原則としてそのままの状態で複製する。そのため正常なファイルを利用できる保証はない。事業継続性を高めるには、適切なバックアップ製品の導入を検討すべきだ。
ユーザー企業がMicrosoft 365でシングルサインオン(SSO)を実現するには、Microsoft 365の標準ID管理サービス「Azure Active Directory」(Azure AD)が利用できる。Azure ADによるSSOに満足できない場合は、OktaやPing IdentityなどサードパーティーのID・アクセス管理(IAM)ベンダーが提供するSSO製品・サービスを導入するとよい。
アーキテクチャ、システムの設計、デフォルトの設定など、Microsoft 365には多様な脆弱(ぜいじゃく)性がある。3回にわたって取り上げた対策は手始めにすぎない。重要なのは、セキュリティ専門家が常にセキュリティの取り組みを継続して、自社が利用するシステムを守ることだ。
本連載が取り上げた対策のうち、特に重要な対策として、Microsoft 365セキュリティ専任チームの設置が挙げられる。Microsoft 365導入に関する費用対効果を計算する際は、Microsoft 365セキュリティ専任チームの創設と維持に関するコストや労力も考慮する必要がある。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
婚活・恋活マッチングアプリ 3億7000万人の巨大市場の行方
世界のマッチングアプリ(デートアプリ)市場のすう勢と、ウィズコロナの展望。
データのサイロ化を乗り越えLTVを最大化する変数を発見 ネット宅配クリーニング「Lenet」がやったこと
事業の多角化などに伴うデータのサイロ化を防ぐためには統合的なデータ基盤が不可欠だ。...
2021年のゴールデンウイークの予定 「自宅で過ごす」が依然として主流だが外出予定は増加――インテージ調査
外出意向は高まりつつも、新型コロナへの不安が消えたわけではないようです。
ITmediaはアイティメディア株式会社の登録商標です。
