「Microsoft 365」のバックアップにまつわる“誤解”とは?:Microsoft 365のセキュリティ対策12選【後編】
クラウドサービスにまつわる“誤解”は、「Microsoft 365」のセキュリティ対策にも影響を及ぼす可能性がある。Microsoft 365の適切なセキュリティ対策を検討するためのヒントを示す。
オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時のセキュリティ対策を説明する本連載。前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」、中編「『Microsoft 365』パスワード同期に潜む“意外な危険”と対策は?」に続き、後編は残る10〜12個目の対策を紹介する。
対策10.セキュリティ対策状況の認識
併せて読みたいお薦め記事
Microsoft 365(Office 365)のセキュリティ対策
- 「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?
- 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント
- 「Office 365」はなぜ遅くなるのか? SaaSが引き起こすネットワーク問題
クラウドサービス利用時のセキュリティ対策
Microsoftは、Microsoft 365のセキュリティ対策状況を可視化する「Microsoftセキュアスコア」と「Microsoftコンプライアンススコア」の2つの手段を公開している。セキュアスコアは「多要素認証(MFA)を有効にしたかどうか」といった従来型のセキュリティ対策状況を定量的に示す。コンプライアンススコアは総合的な診断の他、欧州連合(EU)の「一般データ保護規則」(GDPR)や米国の「カリフォルニア州消費者プライバシー法」(CCPA)などの法令順守状況の判断に役立つ。リスクに対処済みかどうか、リスクを受け入れるべきかどうかの判断基準として活用できる。
対策11.バックアップにまつわる誤解の解消
「Microsoft 365はクラウドサービスだから、データは自動的にバックアップされる」という認識は、必ずしも正しいとは言えない。Microsoftはストレージ内のデータを複製する「レプリケーション」を実施している。マルウェアに感染したファイルも、原則としてそのままの状態で複製する。そのため正常なファイルを利用できる保証はない。事業継続性を高めるには、適切なバックアップ製品の導入を検討すべきだ。
対策12.サードパーティー製SSO導入の検討
ユーザー企業がMicrosoft 365でシングルサインオン(SSO)を実現するには、Microsoft 365の標準ID管理サービス「Azure Active Directory」(Azure AD)が利用できる。Azure ADによるSSOに満足できない場合は、OktaやPing IdentityなどサードパーティーのID・アクセス管理(IAM)ベンダーが提供するSSO製品・サービスを導入するとよい。
アーキテクチャ、システムの設計、デフォルトの設定など、Microsoft 365には多様な脆弱(ぜいじゃく)性がある。3回にわたって取り上げた対策は手始めにすぎない。重要なのは、セキュリティ専門家が常にセキュリティの取り組みを継続して、自社が利用するシステムを守ることだ。
本連載が取り上げた対策のうち、特に重要な対策として、Microsoft 365セキュリティ専任チームの設置が挙げられる。Microsoft 365導入に関する費用対効果を計算する際は、Microsoft 365セキュリティ専任チームの創設と維持に関するコストや労力も考慮する必要がある。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.