クラウドサービスの
セキュリティリスクとは
芹澤 崚 氏
大塚商会
MM戦略推進事業部 MMプロモーション部
マイクロソフトグループ MSソリューション課
Microsoft 365のようなクラウドサービスは、多くの場合、サービス基盤が強固なセキュリティ対策によって保護されており、基盤自体がサイバー攻撃によってダメージを受けるリスクは低い。ただし、基盤のセキュリティが強固だからといって、それだけでサービスを使うユーザー企業のデータがセキュリティ上の脅威から守られるわけではない。そのリスクについて、大塚商会 MM戦略推進事業部 MMプロモーション部 マイクロソフトグループ MSソリューション課の芹澤 崚氏はこう指摘する。
「クラウドサービスは、公衆のインターネットを通じてアクセスができるため、ファイアウォールで保護された組織内ネットワーク上にあるシステムよりも『不正アクセス』や『サイバー攻撃』を受けやすい仕組みと言えます。また、デバイスを社外に持ち出すことを認めている場合、紛失・盗難によって情報が漏えいしてしまうリスクもあります」
加えて近年では、サイバー攻撃が多様化・悪質化し、ランサムウェアなどを使った攻撃によって組織が実害を被る例がさまざまに報道されている。同様に不正アクセスによって企業の顧客データや個人情報、ビジネス上の機密情報が窃取されたり、改ざんされたりするケースも後を絶たない。そのため、政府機関もこれらの脅威への警戒を強く呼び掛けており、例えば経済産業省の外郭団体である独立行政法人 情報処理推進機構(IPA)では組織にとっての「10大脅威*1」として、2016年からの9年連続で「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」をランクインさせている。
こうした中では、芹澤氏が触れたクラウドサービスのセキュリティリスクを低減させることが急務と言える。そのための有効なソリューションとして、大塚商会が勧めているのが従業員300人までの企業を対象とした「Microsoft 365 Business Premium」の活用だ。
*1 参考:IPA「情報セキュリティ10大脅威 2024」
https://www.ipa.go.jp/security/10threats/10threats2024.html
「Microsoft 365 Business Premium」で
実現するクラウドセキュリティ
Microsoft 365 Business Premiumは、Microsoft 365の標準ライセンスプラン「Microsoft 365 Business Standard」の上位プランに当たるサービスだ(図1)。
図1:Microsoft 365 Business Premiumのサービス概要
後藤 雅枝 氏
大塚商会
MM戦略推進事業部 MMプロモーション部
マイクロソフトグループ MSソリューション課
Business Standardの機能に加えて、サイバー攻撃からの防御、データ保護、デバイス管理などの機能が含まれている。
大塚商会 MM戦略推進事業部 MMプロモーション部 マイクロソフトグループ MSソリューション課を務める後藤 雅枝氏は次のように話す。
「Microsoft 365がセキュリティ機能を提供していることはあまり知られていませんが、実のところマイクロソフトはセキュリティツールの開発・提供に非常に熱心で、Microsoft 365 Business Premiumを使えば不正アクセスの防止から、未知の脅威の検知、さらには、モバイルデバイスの盗難・紛失によるデータ漏えいの阻止など、クラウドサービスの安全な活用につながる数々の対策が包括的に講じられる仕組みになっています」
Microsoft 365 Business Premiumでは、モバイルデバイス管理とモバイルアプリケーション管理を実現する「Microsoft Intune」をはじめ、ID管理・アクセス管理のソリューション「Microsoft Entra ID」、メールの暗号化や機密データの発見・分類・ラベル付けを行う「Microsoft Purview」、機械学習によって未知の脅威を検知する「Microsoft Defender for Business」といったツールが用意されている。
このうちMicrosoft Intuneは、デバイスを登録することで、デバイス情報が自動的に収集され管理が効率化される。モバイルデバイスの紛失・盗難時におけるリモートからの「データ消去」「ロック」「デバイス検索」を可能とするほか、ユーザー企業のセキュリティポリシーに沿ったかたちでデバイスの機能に制限がかけられる。また、ユーザー企業が設定したデバイス要件に基づいた(モバイルアプリケーションへの)アクセス制御も可能だ。
Microsoft Intuneではモバイルアプリケーション管理も実現し、自社が管理するアプリケーションから他のアプリケーションへのデータのコピーを禁じたり、業務データのモバイルデバイスへのローカル保存を禁止にしたりできる。これにより、安全なBYOD(私用デバイスの業務利用)も実現される(図2)。
図2:Microsoft Intuneを使ったモバイルアプリケーション管理のイメージ
Microsoft Entra IDは、Microsoft 365を含む多様なクラウドサービスへのシングルサインオンを実現し、アクセス管理が強化される。また、ユーザー企業が定めた条件に則ったクラウドアプリケーションへのアクセス制御が行えるほか、Microsoft Intuneとの併用により、ユーザーID・パスワードに加えてエンドユーザーのデバイスを使った多要素認証が実現され、不正アクセスのリスクを大幅に低減できる(図3)。
図3:Microsoft Entra IDとMicrosoft Intuneを使った多要素認証のイメージ
セキュリティ投資を適正化し
IT担当者の負荷を軽減
Microsoft 365 Business Premiumによってクラウドセキュリティを強化することは、セキュリティ投資の適正化にもつながる。
「不正アクセス対策や未知の脅威への対策、デバイス管理は、Microsoft 365 Business Premiumでしか成しえないものではありません。ただし、これらの対策の強化を単一のサービスの中で完結できる製品はほとんどなく、対策ごとに何らかのセキュリティ製品を個別に導入しなければならないのが通常です。その意味で、Microsoft 365 Business Premiumの採用には、クラウドセキュリティ対策を単一のサービスに集約してセキュリティ投資の適正化が図れるという経済的な効果も期待できます」(後藤氏)
クラウドセキュリティ対策をすべてMicrosoft 365 Business Premiumで実現すれば、セキュリティ運用の業務負担も小さくなる。IT担当の人的リソースに限りのある企業にとっては、これも大きなメリットとなる。
こうしたMicrosoft 365 Business Premiumの効果の着目し、採用に乗り出す企業も増えている。例えば、従業員数200人規模のある製造事業者では、テレワークの開始に伴うTeamsの全社展開に際してMicrosoft 365 Business Premiumを採用。Microsoft Entra IDを使ったアクセス制御とIntuneによるデバイス管理を通じて、会社支給のデバイスとBYODにおけるセキュリティルールを共通化した。これにより、不正アクセスやデバイスからのデータ漏えいの心配がない安全なTeams利用を実現している。
Windows 11への
移行を機に
セキュリティ環境を見直す
大塚商会は、マイクロソフト認定ゴールドパートナー、認定コンサルティングパートナーとして、マイクロソフト製品に関する豊富な導入実績と知見を有しており、日本マイクロソフトのパートナーアワードを26年連続で受賞している。Microsoft 365 Business Premiumに関しても、手厚いサポート&サービスをセットにした「たよれーる Microsoft 365」を提供している。
「Microsoft 365 Business Premiumのワークショップや検証(PoC)、導入支援、運用のサポートなどをワンストップで提供しています。また、『たよれーるコンタクトセンター』では、専門的な知見を持った担当者が、お客さまからの問い合わせに対応します。働き方の柔軟性を確保しながらサイバー犯罪の脅威から自社のビジネスを守るうえでは、クラウドセキュリティの強化が欠かせません。その実現に向けて、より多くのお客さまにMicrosoft 365 Business Premiumと当社のサポート、サービスの活用を検討していただきたいと願っています」(芹澤氏)。
2025年10月のWindows 10サポート終了に伴うWindows 11への移行は、PCのセキュリティ環境を見直す絶好のチャンスでもある。さらに今後、企業の生成AIをビジネスに活用することが増えていく中で、安心安全に利用するためのセキュリティ対策が必要となる。
大塚商会では、11月20日に日本マイクロソフト西脇氏も登壇するMicrosoft 365 Business Premiumのセキュリティに特化したオンラインセミナーを実施する。これを機に、Microsoft 365 Business Premium によるセキュリティ強化を検討、その手始めにセミナーに参加してみてはいかがだろうか。
