- 公開日:2024年03月13日
Microsoft 365のセキュリティリスクと実施すべき対策とは
テレワークの普及にともない、クラウド型の業務アプリを導入する企業が増えてきました。なかでもMicrosoft 365は、ExcelやWord、OutlookなどのOffice製品をオンラインで使用できるクラウドサービスとして広く普及しています。
しかし、クラウドサービスへアクセスして業務を行う際、さまざまなセキュリティリスクが考えられます。
本記事では、Microsoft 365を使用するうえでのセキュリティリスクと実施すべきセキュリティ対策について詳しく解説します。
Microsoft 365とは
Microsoft 365とは、最新のOffice製品やWindows OS、ストレージサービスのOneDrive、コラボレーションツールのMicrosoft Teamsなどを利用できるクラウドサービスで、高いセキュリティを特徴としています。
1ライセンスでパソコン、スマートフォン、タブレットなどの複数のデバイスを使用できるため、テレワークの働き方にもマッチしているといえます。
このように、Microsoft 365は業務の効率化、テレワークの活性化、セキュリティの強化を図りたい企業にとって最適なクラウドサービスです。
Microsoft 365のセキュリティリスクとは?
ソフトウェアを端末へインストールする従来型のOffice製品と異なり、Microsoft 365はクラウドサービスのため、これまでにないセキュリティのリスクが想定されます。ここでは、クラウドサービスの利用において、一般的に考えうるセキュリティリスクをいくつか紹介します。
不正アクセス
不正アクセスとは、アクセス権限を持たない第三者が、サーバや社内システムの内部に不正にログインすることです。不正アクセスを受けてしまうと、以下のような被害に遭う恐れがあります。
- 機密データや個人情報の漏えい
- 重要なデータやファイルの消去、搾取、改ざん
- データを意図的に暗号化され、その解除にともなう身代金の要求(ランサムウェア攻撃)
Microsoft 365はクラウド上にデータが保存されるため、このような不正アクセスに遭うリスクがあります。インターネット環境さえあれば、社員はいつでもどこからでも利用できるメリットがありますが、一方で、悪意ある第三者による不正アクセスの対策を日頃から実施しなければなりません。
従業員の不注意による情報漏えい
情報漏えいの原因は第三者による不正アクセスだけではなく、メールの送信ミスや操作ミス、設定ミスなどのヒューマンエラーによって、意図せずに発生してしまう場合もあります。
さらに、社員が外部へデータを持ち出したことで、情報漏えいにつながる事例もあります。たとえば、以下のようなケースが考えられます。
- 自宅から会社のMicrosoft 365へアクセスし、業務情報を私用のパソコンへダウンロードする
- 会社のパソコンからプライベート用のMicrosoft 365にアクセスし、業務情報をアップロードする
- 会社のSharePointに自宅のアカウントをゲスト参加させ情報を共有する
リモートワークの普及により、自宅でも業務を行う企業が増えました。自宅で仕事をすると、ついセキュリティ意識が薄れてしまって私用のパソコンで仕事をするなど、セキュリティリスクにつながる行為も想定されるのです。
スパムメール(迷惑メール)
スパムメール(迷惑メール)とは、受け取る側の意思に関係なく送りつけられてくるメールの総称です。
総務省が発表した「電気通信事業者10社の全受信メール数と迷惑メール数の割合(2023年9月時点)」によると、2023年9月実績で、対象となる電気通信事業者10社が受信したメールの約37%がスパムメールだったことがわかりました。
このことから、Microsoft 365のOutlookメールを利用する場合でも、以下のようなスパムメールに攻撃されるリスクがあります。
■マルウェア付きメール
メールに添付されたファイルを開くなどをすると、デバイスがウイルスを始めとするマルウェアに感染するスパムメール。
■フィッシングメール
受信者のユーザーIDやパスワードなどを抜き取ることを目的としたスパムメール。 実在するサービスになりすまして偽のサイトへ誘導して情報を抜き取る手口。
■標的型攻撃メール
マルウェアが仕込まれたメールを、特定の組織を標的に送り付けるスパムメール。
Microsoft 365の主なセキュリティ対策機能
Microsoft 365には、不正アクセスの防止や、サイバー攻撃への対策を強化するセキュリティ機能が備わっています。その主な機能について以下に例示します。
| 機能 | 概要 |
|---|---|
| 多要素認証 | 電話、SMS、モバイルアプリを用いた多要素認証による不正アクセス対策。 |
| アクセス制限 | ユーザー、アプリケーション、グループ単位でアクセス制限が可能。許可されたユーザーだけが必要な時にのみアクセスできるため不正防止につながる。 |
| 暗号化によるデータ転送 | データを保存する際、暗号化することでストレージ上のデータを保護。さらにSSL/TLSによる転送時の暗号化によってユーザーとMicrosoft 365間で通信されるデータを保護。 |
| マルウェア対策機能
(EOP:Exchange Online Protection) |
マルウェア(ウイルス)の自動検出機能(標準搭載)。Microsoft 365で使用するメールはEOPで全て保護される。 |
Microsoft 365を使用する上で、標準搭載されているこれらの機能を間違いなく設定することがセキュリティ対策として不可欠です。
Microsoft 365のセキュリティをより強固にするIDaaS・SWG
テレワークが普及したことで、従業員がどこにいても仕事ができるようMicrosoft 365を始めとしたクラウドサービスを採用する企業が増えてきました。クラウドサービスを利用する際には、付帯されるセキュリティ対策機能にプラスした対策を施す必要があります。
その一例として、ゼロトラストの採用が挙げられます。ゼロトラストとは「何も信頼しない」を前提としたセキュリティ対策の考え方で、全ての通信を信用しないという取り組みを意味します。
ゼロトラストの採用により、第三者による不正アクセスや内部からの脅威に対しても、高度なセキュリティ対策を施すことが可能です。
本章では、Microsoft 365のセキュリティ対策機能にプラスすることで、セキュリティ対策を強化させる例を紹介します。
IDaaSとの連携
IDaaS(読み方:アイダース、アイディアース)とは、Identity as a Serviceの略語で、日本語では「クラウド型ID管理サービス」と訳されます。Webサービスやアプリケーションなどに対するID認証、IDやパスワードの管理、シングルサインオン、多要素認証などを一元管理できます。
クラウドサービスであるMicrosoft 365とこのIDaaSを連携することで、認証の強化によりなりすましを防止するメリットや、シングルサインオンによりクラウドへのログインが不要となるメリットがあります。
SWGの活用
SWGとは、Secure Web Gatewayの略語で、Webアクセスをセキュアにするゲートウェイ機能やアプライアンス(機器)のことを意味し、最近ではクラウドサービスとして提供されることが増えています。
これまで、Webアクセスの際に内側と外側を分断するためにプロキシサーバがその役割を果たしていました。しかし、年々高度化していくサイバー攻撃により、プロキシサーバによるURLフィルタリングだけではセキュリティ対策が困難となってきました。
SWGを活用することでURLフィルタだけでなく、アプリケーションフィルタ、アンチウイルス、サンドボックスなどの機能がプラスされるため、クラウドサービスを活用する際、さらなるセキュリティ対策の強化につながります。
まとめ
Microsoft 365の利用には、不正アクセス、従業員の不注意による情報漏えい、スパムメール(迷惑メール)などのセキュリティリスクが潜んでいます。しかし、標準で提供されているアクセス制限機能や暗号化によるデータ転送機能、マルウェア対策機能などのセキュリティ対策機能を使用することで、セキュリティを強化できます。
また、Microsoft 365とIDaaSとの連携やゼロトラストの採用、SWGの活用により、さらなるセキュリティの強化を図れます。
オプテージは、クラウドサービスを活用する際のリスクに対し、包括的なセキュリティ対策を支援します。さまざまなセキュリティ技術とゼロトラストモデルを組み合わせることで、より安全なオンライン環境の整備をサポートしています。オンラインセキュリティについてお悩みの際は、ぜひオプテージへご相談ください。
◎製品名、会社名等は、各社の商標または登録商標です。
