ITキーワード

Office 365 のセキュリティ対策はどうすればいい?安全に使うためのポイントを解説

Office 365 は多くの企業が導入しており、ビジネスになくてはならない存在として活用されています。Office 365 はセキュリティ面への配慮も充実していますが、利用するうえでは自社でも気をつけるべき部分があるのも事実です。この記事では、Office 365 のセキュリティ対策について解説します。Office 365 を安全に活用するために、ぜひ役立ててください。

Office 365 とはどのようなサービス?

ここでは、Office 365 で利用できる機能やサービスの特長を解説します。

利用できる機能

Office 365 では、Word、Excel、PowerPoint などのさまざまな Office アプリケーションを利用できます。1TB 分のクラウドストレージが用意されているため、作成したデータが増えても保存し続けられます。Microsoft Teams を活用すれば、リアルタイムでのチャットや通話も可能です。Office 365 なら書類の作成や保管はもちろん、オンライン会議にも対応できます。

Office 365 にはビジネスに必要な多彩な機能が備わっていることから、多くの企業が活用しています。

特長

Office 365 はサブスクリプション型となっており、一定期間ごとに契約します。年単位だけでなく月単位でも契約できるので、初期費用を抑えて無駄なく利用できます。契約期間中はいつでも最新のバージョンを利用でき、改めて費用を支払って更新する必要はありません。

また、Office 365 ではユーザー同士がファイルを共有することも可能です。共同編集すれば、同時に書類の内容も変更できます。

Office 365 のセキュリティに対する配慮

Office 365 ではセキュリティに対してさまざまな配慮がなされています。ここでは、具体的に解説します。

セキュリティポリシー

Microsoft ではセキュリティポリシーを定めており、Office 365 に預けられているデータを無断で利用することはないとしています。データの所有者はあくまでもユーザーであり、データの権利や利益を Microsoft が享受することはありません。

ただし、クラウドシステムの生産性向上を目的とし、一定の範囲内でデータを使用する可能性はあるとしています。

複数拠点のデータセンター

Office 365 に保存されたデータは、データセンターで保管されています。データセンターがあるのは、日本国内では3か所(東京・大阪・埼玉)です。複数の場所でデータを保管しているため、一部の地域で災害が発生してもデータを使用できなくなる心配がありません。

データセンターを切り替えれば、それまで通りデータを使用できます。データが着実に守られる点も、多くの企業が導入している理由のひとつです。

24時間のセキュリティ監視

Office 365 はインターネットを利用したサービスであるため、マルウェアが侵入するリスクもないわけではありません。Office 365 では24時間のセキュリティ監視を実施しており、考えられるリスクに備えています。ただし、それですべてのリスクを回避できるとは限らないため、自社でも対策が必要です。具体的なリスクについては、次の段落でさらに解説します。

Office 365 のセキュリティリスク

Office 365 には、どのようなセキュリティリスクがあるのでしょうか。ここでは、セキュリティリスクの具体例を解説します。

不正アクセス

Office 365 のデータはクラウド上に保存されているため、外部から不正アクセスされるリスクもあります。クラウドはインターネットさえあればいつでもどこでも利用できて便利ですが、日頃から対策を取り入れて第三者による不正アクセスを防止することが大切です。

データ漏えい

悪意をもった第三者による不正アクセスが発生した場合、データ漏えいにつながる恐れがあります。仮に不正アクセスが起きなくても、社員の操作ミスにより情報が意図しない相手へ漏れる場合もあります。たとえば、情報を共有する相手を間違えるケースも少なくありません。データ漏えいが起こればさまざまなトラブルが発生するリスクがあるため、注意が必要です。

Office 365 のセキュリティ対策 1:不正アクセス対策

ここでは、Office 365 のセキュリティ対策のひとつとして、不正アクセスへの対応方法を解説します。

多要素認証

Office 365 はパスワード認証が必要ですが、さらに認証を追加することも可能です。多要素認証とはパスワード認証だけでなく、さらに他の認証を組み合わせてアクセスを許可する方法です。パスワード認証を行ったうえで、電話、SMS、モバイルアプリのどれかで認証します。パスワード認証に成功しても、次の認証が失敗すればログインできません。

多様認証を設定しておけば、パスワード認証のみのケースよりもセキュリティを強化できます。

アクセス制御

Office 365 のセキュリティ対策としては、アクセス制御もあります。以下では、アクセス制御について具体的に解説します。

職場以外からのアクセス拒否

Office 365 へアクセスできる IP アドレスを職場だけに限定することも可能です。職場の IP アドレス以外からはアクセスできなくなるため、外部から勝手にログインされる心配がありません。社員が職場の外からデータにアクセスする必要がなければ、設定したほうが安心です。ただし、IP アドレスの接続の許可や拒否は、管理センターからではなく PowerShell などを使って設定する必要があります。

フェデレーション

認証とアクセス制御の両方を自社で管理したい場合、フェデレーション機能(ADFS)を使用する方法があります。フェデレーション機能を使えば、Office 365 以外の ID プロバイダーで認証やアクセス制御を行えます。Microsoft の Windows Server にはフェデレーション機能が搭載されているため、ID プロバイダーとして活用可能です。

ただし、フェデレーション機能は多要素認証に対応していないため、その点に関しては他の対策も必要となります。

Office 365 のセキュリティ対策 2:社員によるデータ漏えい

ここでは、Office 365 のセキュリティ対策のひとつとして、社員によるデータ漏えいへの対応方法を解説します。

データ損失防止

社員が業務上の目的以外で社内の情報を保管し、自宅などで取得するケースもあります。社員が悪意をもっていれば、悪用される恐れがあるため注意が必要です。Office 365 の機能を利用すると、メールに機密情報が含まれている際に警告のメッセージを表示できます。

また、セキュリティグループを分ければ、その社員が直接関係していない情報へのアクセスを制限できます。セキュリティグループについては次で解説します。

トランスポートルール

トランスポートルールとは、Office 365 における情報の扱い方に関して設定できるルールです。トランスポートルールを設定しておくと、情報の送信について一定の条件をつけられます。たとえば、社外へメールを送信できないようにしたり、上司の承認がないとメールの送信を不可にしたりできます。

管理者はログをチェックできるため、不正操作の把握が可能です。万が一、不正を防ぎきれなかったとしても、すぐに原因を特定できます。

Office 365 のセキュリティ対策 3:アクセス権限の制御

セキュリティグループとは、アクセス権限を制御するための機能です。セキュリティグループを利用すれば、IP アドレスごとではなくユーザーごとにアクセス権限を設定できます。より細かいアクセス制御が可能になるため、それぞれの業務の範囲にあわせることが可能です。

セキュリティグループによるアクセス権限の制御は、Microsoft 365 管理センターで設定できます。また、PowerShell でコマンドを実行して設定する方法もあります。

Office 365 をより安全に使うためのポイント

Office 365 をより安全に使うためには、他にも気をつけたいことがあります。ここでは、具体的なポイントを解説します。

安全性をチェックする

Security Score を使えば、Office 365 の安全性を簡単に評価できます。現在のリスクを明らかにしたうえで、どのような対策が必要か確認できます。目標スコアを設定し、自社が求めるセキュリティレベルを目指すことも可能です。定期的に評価を行い、Office 365 の安全性を維持できるようにしましょう。

セキュリティサービスを活用する

Office 365 の安全性を保つには、セキュリティを強化するためのサービスを利用するという方法もあります。自社で対策していても、不正アクセスのように悪意のあるリスクを完全に防止するのは簡単ではありません。セキュリティのためのサービスもうまく活用すれば、安全性をより向上させられます。

まとめ

Office 365 は安全性に配慮されたサービスです。ただし、実際に利用するうえでは、セキュリティ対策を取り入れる必要があります。安全に自社のデータを管理するため、セキュリティにしっかり配慮しましょう。

clouXion は、Office 365 の利活用を促進するためのサービスです。エンタープライズ企業での導入実績が豊富で、セキュリティ対策にも対応しています。検討段階から利活用までワンストップで提供できるため、ぜひ相談してみてください。