M365セキュリティの全体像
Microsoft 365は強力なセキュリティ機能を内蔵していますが、多くの機能はデフォルトで無効です。適切に設定しなければ、メールの乗っ取り、データ漏洩、ランサムウェア被害のリスクがあります。以下の10項目を優先度順に設定しましょう。
今すぐ設定すべき10のポイント
① MFA(多要素認証)の全ユーザー適用【最優先】
パスワードだけの認証は最も危険です。全ユーザーにMFAを適用し、Microsoft Authenticatorまたはパスキーの使用を推奨します。Microsoftの調査ではMFAにより不正アクセスの99.9%をブロックできるとされています。
② レガシー認証のブロック
POP3、IMAP、SMTP等のレガシープロトコルはMFAをバイパスできるため、条件付きアクセスでブロックします。
③ 条件付きアクセスの設定
場所、デバイス、リスクレベルに基づいたアクセス制御を設定します(→ 設計パターン集)。Business Premium以上で利用可能です。
④ SPF/DKIM/DMARCの設定
メールのなりすましを防止する3つのDNS設定です。DMARCは最終的にp=rejectに設定し、自社ドメインからの偽メールを受信側でブロックさせます。
⑤ 外部メール転送の禁止
Exchange Onlineの「外部への自動転送」をブロックします。内部不正やアカウント侵害時のデータ流出を防止します。
⑥ SharePoint/OneDriveの外部共有制御
デフォルトでは「リンクを知っている全員」でファイルが共有されてしまいます。「既存のゲストのみ」または「組織内のユーザーのみ」に制限しましょう。
⑦ Microsoft Defender for Office 365の有効化
フィッシングメール、マルウェア添付ファイル、悪意のあるURLを検知・ブロックします。E5/Business Premiumに含まれます。
⑧ Intune(デバイス管理)の設定
デバイスのコンプライアンスポリシー(OS更新、暗号化、EDR)を設定し、非準拠デバイスからのアクセスをブロックします。
⑨ 統合監査ログの有効化
誰が・いつ・何をしたかを記録する監査ログを有効化します。インシデント発生時の調査に不可欠です。
⑩ DLP(データ損失防止)ポリシーの設定
クレジットカード番号、マイナンバー等の機密情報がメールやSharePointで外部に送信されることを防止します。
プランごとの対応可否
| 対策 | Business Basic | Business Standard | Business Premium |
|---|---|---|---|
| MFA | ◎ | ◎ | ◎ |
| 条件付きアクセス | × | × | ◎ |
| SPF/DKIM/DMARC | ◎ | ◎ | ◎ |
| Defender for Office | Plan 1 | Plan 1 | Plan 1 |
| Intune | × | × | ◎ |
| DLP | △(基本) | △(基本) | ◎ |
まとめ
M365セキュリティの最優先はMFAの全ユーザー適用とレガシー認証のブロックです。Business Premiumなら条件付きアクセス、Intune、Defenderが追加コストなしで利用でき、ゼロトラストの基盤を構築できます。