検索
特集/連載

「Microsoft 365」のバックアップにまつわる“誤解”とは?Microsoft 365のセキュリティ対策12選【後編】

クラウドサービスにまつわる“誤解”は、「Microsoft 365」のセキュリティ対策にも影響を及ぼす可能性がある。Microsoft 365の適切なセキュリティ対策を検討するためのヒントを示す。

Share
Tweet
LINE
Hatena

 オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時のセキュリティ対策を説明する本連載。前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」、中編「『Microsoft 365』パスワード同期に潜む“意外な危険”と対策は?」に続き、後編は残る10〜12個目の対策を紹介する。

対策10.セキュリティ対策状況の認識

 Microsoftは、Microsoft 365のセキュリティ対策状況を可視化する「Microsoftセキュアスコア」と「Microsoftコンプライアンススコア」の2つの手段を公開している。セキュアスコアは「多要素認証(MFA)を有効にしたかどうか」といった従来型のセキュリティ対策状況を定量的に示す。コンプライアンススコアは総合的な診断の他、欧州連合(EU)の「一般データ保護規則」(GDPR)や米国の「カリフォルニア州消費者プライバシー法」(CCPA)などの法令順守状況の判断に役立つ。リスクに対処済みかどうか、リスクを受け入れるべきかどうかの判断基準として活用できる。

対策11.バックアップにまつわる誤解の解消

 「Microsoft 365はクラウドサービスだから、データは自動的にバックアップされる」という認識は、必ずしも正しいとは言えない。Microsoftはストレージ内のデータを複製する「レプリケーション」を実施している。マルウェアに感染したファイルも、原則としてそのままの状態で複製する。そのため正常なファイルを利用できる保証はない。事業継続性を高めるには、適切なバックアップ製品の導入を検討すべきだ。

対策12.サードパーティー製SSO導入の検討

 ユーザー企業がMicrosoft 365でシングルサインオン(SSO)を実現するには、Microsoft 365の標準ID管理サービス「Azure Active Directory」(Azure AD)が利用できる。Azure ADによるSSOに満足できない場合は、OktaやPing IdentityなどサードパーティーのID・アクセス管理(IAM)ベンダーが提供するSSO製品・サービスを導入するとよい。


 アーキテクチャ、システムの設計、デフォルトの設定など、Microsoft 365には多様な脆弱(ぜいじゃく)性がある。3回にわたって取り上げた対策は手始めにすぎない。重要なのは、セキュリティ専門家が常にセキュリティの取り組みを継続して、自社が利用するシステムを守ることだ。

 本連載が取り上げた対策のうち、特に重要な対策として、Microsoft 365セキュリティ専任チームの設置が挙げられる。Microsoft 365導入に関する費用対効果を計算する際は、Microsoft 365セキュリティ専任チームの創設と維持に関するコストや労力も考慮する必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る