セキュリティ運用とは
M365のセキュリティ運用は「設定して終わり」ではなく、日常的な監視→異常の検知→対応→改善のサイクルを継続的に回すことです。セキュリティツールを導入しても、アラートを見る人がいなければ意味がありません。
日次の監視項目
| 監視項目 | 確認場所 | 対応 |
|---|---|---|
| 不審なサインイン | Entra IDサインインログ | 海外IP、深夜帯、新デバイスからのアクセスを確認 |
| Defenderアラート | Microsoft Defender管理センター | 重大度「高」のアラートを即時対応 |
| フィッシングメール検知 | Defender for Office 365 | 検知されたフィッシングメールの確認と対応 |
| MFA失敗の急増 | Entra IDサインインログ | 特定ユーザーのMFA連続失敗はアカウント侵害の兆候 |
週次のレビュー
- セキュリティアラートの振り返り:1週間のアラート件数、誤検知率、対応時間の確認
- 新規ゲストアカウントの確認:不要なゲストが追加されていないか確認
- 外部共有ファイルの確認:SharePoint/OneDriveの外部共有状況を監視
月次・四半期の監査
- 月次:MFA適用率の確認、未使用アカウントの棚卸し、ライセンス利用状況
- 四半期:条件付きアクセスポリシーの有効性確認、ゲストアカウント全件レビュー、セキュリティスコアの推移確認
- 年次:セキュリティポリシー全体の見直し、外部セキュリティ診断の実施
インシデント対応フロー
- ①検知:アラートまたはユーザー報告でインシデントを認識
- ②初動対応:アカウントのパスワード強制変更、セッションの無効化、影響範囲の特定
- ③調査:監査ログでの操作確認、不審なメールルールの確認、データ流出の有無確認
- ④封じ込め:侵害アカウントの無効化、不審なデバイスのブロック
- ⑤復旧:パスワードリセット、MFAの再登録、アクセス権の再確認
- ⑥事後対応:原因分析、再発防止策の策定、経営層への報告
セキュリティスコアの活用
Microsoft Secure Scoreは M365のセキュリティ設定状況を100点満点でスコア化する機能です。推奨アクションの一覧が表示され、優先度順に対策を進める指標になります。四半期ごとにスコアの推移を記録し、経営層に報告することでセキュリティ改善の可視化ができます。
まとめ
M365セキュリティ運用は日次監視→週次レビュー→四半期監査のサイクルを継続的に回すことが本質です。Secure Scoreを活用して改善の優先順位を把握しましょう。