セキュリティとコンプライアンスの概要

Microsoft 365を組織で安心して活用するには、セキュリティとコンプライアンスへの理解が不可欠です。今回は、Microsoft 365が備えるセキュリティ機能の全体像、データ保護や情報漏えい対策の基本、コンプライアンスセンターの役割、そして管理者として知っておくべきセキュリティ運用の注意点について解説します。

Microsoft 365のセキュリティ機能の全体像

Microsoft 365は、クラウドサービスとして高い利便性と柔軟性を提供する一方で、インターネット経由で利用されるため、外部からの脅威や内部の誤操作によるリスクが常に存在します。これに対し、Microsoft 365は多層的なセキュリティ機能を標準で備えています。

主なセキュリティ機能は以下の通りです。

多要素認証（MFA：Multi-Factor Authentication）

パスワードだけに頼らず、スマートフォンや認証アプリを併用することで不正アクセスを防ぎます（第2回参照）。

電子メールの保護

アンチフィッシング、スパム対策、マルウェア対策など、メールを介した脅威から組織を守ります。

データ暗号化

保存時・転送時のデータを暗号化し、第三者による不正な閲覧や改ざんを防止します。

アクセス管理

ユーザーやグループごとに細かな権限を設定し、必要最小限のアクセスを実現します。

デバイス管理

Microsoft Intuneなどのサービスと連携し、社内・社外のデバイスから安全にサービスを利用できるようにします（詳細は第5回で解説予定）。

電子メールの保護、データ暗号化は、特に設定を行わなくても、Microsoft 365の標準機能として常時有効です。多要素認証、アクセス管理、デバイス管理は、管理者が積極的に運用指針を定めて（あるいはセキュリティ担当部署と相談しながら）設定を進めていく必要があります。

Microsoft 365では、セキュリティポリシーを事前に設定することで、組織全体のセキュリティレベルを一元的に管理できます。ポリシーは、パスワードの強度や有効期限、多要素認証の適用範囲、デバイス制限など多岐にわたります。管理者は、組織のリスクや業務要件に応じてポリシーを設計・運用する必要があります。

• 

  Microsoft 365のOutlookでのメール受信例。「信頼できる差出人リスト」にない差出人からのメールに埋め込まれたコンテンツはいったんブロックされる。他にも、さまざまな面から怪しいメールをブロックしたり、警告したり、迷惑メールを処理したりする

データ保護と情報漏えい対策の基本

Microsoft 365では、データは保存時・転送時の両方で高度な暗号化によって保護されます。また、データの所在地やアクセス権限を明確にし、組織の要件に応じて柔軟に管理できる仕組みが整っています。

DLP（Data Loss Prevention）は、機密情報（個人情報、社外秘文書など）が誤って外部に流出するのを防ぐための機能です。Microsoft 365のDLP機能では、文書やメールに含まれる特定の情報（クレジットカード番号、社員番号など）を自動的に検知し、事前に設定したルールに従って警告やブロックを行うことができます。

機密情報の自動検知

予め定義したパターンやキーワードに基づき、文書やメール内の機密情報を自動で識別します。

アクションの設定

機密情報が検知された場合、ユーザーへの警告、管理者への通知、送信ブロックなどのアクションを自動で実行します。

運用の見直し

誤検知や見逃しがないよう、定期的にルールや設定を見直し、運用の精度を高めます。

Microsoft 365の主要サービス（Exchange Online、SharePoint Online、OneDrive for Business）には、標準でバックアップやデータ保持機能が備わっています。

例えば、SharePoint OnlineやOneDrive for Business、Exchange Onlineの「ごみ箱」、Exchange Onlineの「訴訟ホールド」機能を活用することで、誤削除や法的リスクへの対応が可能です。ただし、プランによって内容には違いがありますので、ライセンス契約時にはプランの内容を精査する必要があります。

例えば、ビジネストラブルによる裁判に備えて証拠を保存する訴訟ホールドは、Enterpriseプラン（E1、E3）にしかありません。Business BasicプランやBusiness Premiumプランでは訴訟ホールドを使えません。

Microsoft 365ではTeamsやOneDrive for Businessも重要なサービスですが、TeamsやOneDrive for Businessは、SharePoint Onlineをプラットフォームとして稼働しています。そのため、TeamsやOneDrive for Businessの詳細な設定を行う場合は、SharePoint Onlineの管理センターを使用することもあります。

• 

  Microsoft 365管理センターでは使用頻度の高い日常的な管理を簡単に行えるが、「すべての管理センター」をクリックすると、各分野の専門の管理センターでポリシーを含む詳細な運用管理をできる

• 

  すべての管理センター一覧。ポリシー設定やセキュリティ設定に関わる管理センターが多い

Microsoft Purviewポータルの役割

コンプライアンスとは、法令や業界のルール、社内規定などに従って、組織が適切に業務を遂行することを指します。Microsoft 365でコンプライアンスを遵守するためのツールとして、Microsoft Purviewポータルが用意されています。Microsoft Purviewポータルは、以前はコンプライアンスセンターやMicrosoft Purviewコンプライアンスセンターと呼ばれていました。Microsoft Purviewポータルを通じて、データ保護や情報管理に関する各種規制への対応を一元管理できます。

Microsoft Purviewポータルの機能は次の通りです。

リスクの可視化

自社テナントにおけるコンプライアンスのリスクをダッシュボードで可視化し、課題を把握できます。

ポリシー管理

データ分類、監査、検索、保持ポリシーなど、多様なコンプライアンス関連機能を一元管理します。

レポートと監査

ユーザーの操作履歴やデータアクセス記録を監査ログとして記録し、必要に応じてレポートを作成できます。

規制への対応

GDPRやCCPAなど、国内外のデータ保護規制に対応した評価テンプレートが用意されており、自社の対策状況をスコアで把握できます。

コンプライアンスマネージャー

コンプライアンスマネージャーは、世界中の規制要件に対し、自社の対策状況を評価し、実施できていない対策を明確に提示します。これにより、継続的なコンプライアンス対応が可能となります。

• 

  Microsoft Purviewポータルのメインメニュー。さまざまな視点からコンプライアンス遵守を実現するための管理ツールがある。最新版ではマイクロソフトのAIであるCopilotの支援も受けられる。ただし、有料サービスもあるので注意

管理者が知っておくべきセキュリティ運用の注意点

最後に、管理者が知っておくべきセキュリティ運用の注意点を5つ紹介しましょう。

過剰な権限設定のリスク

管理者権限を持つアカウントが多すぎると、内部不正やアカウント乗っ取り時の被害が拡大するリスクがあります。権限は必要最小限にとどめ、定期的に見直すことが重要です。

退職者アカウントの放置

退職者や異動者のアカウントが適切に無効化・削除されていない場合、不正アクセスや情報漏えいの原因となります。アカウントのライフサイクル管理を徹底しましょう。

多要素認証（MFA）の未設定

MFAを全アカウントで有効にしていないと、パスワード漏洩時のリスクが高まります。特に管理者アカウントや機密情報にアクセスするユーザーには必須です。

共有アカウントの使用

複数の社員が1つのアカウントを使い回すと、アクセスログから個別の行動を追跡できなくなり、セキュリティインシデント発生時の原因特定が困難になります。原則として、1人につき1アカウントを徹底しましょう。

継続的な運用と見直し

セキュリティやコンプライアンスは一度設定して終わりではありません。新しい脅威や規制の変化に合わせて、定期的にポリシーや運用を見直すことが重要です。

• 

  Microsoft 365管理センターの「セキュリティ」ページにある「Microsoftセキュアスコア」。セキュリティの設定状態を評価して数値化するため、セキュリティ対策を立てやすい。Microsoft 365は多角的に管理者を支援する

まとめ

Microsoft 365のセキュリティとコンプライアンスは、組織の信頼と安全を守るための基盤です。多層的なセキュリティ機能やデータ保護、コンプライアンスセンターによる一元管理を活用し、管理者として適切な運用と見直しを継続することが求められます。