SCS要求事項とIntuneの対応関係
SCS評価制度★3の要求事項には、デバイス管理・資産管理・パッチ管理に関する項目が複数含まれています。Microsoft Intuneを活用すれば、これらの要求事項を1つのツールで効率的に対応できます。
| SCS要求事項 | 要求内容 | Intuneでの対応機能 |
|---|---|---|
| IT資産管理 | ハードウェア・ソフトウェアの一覧管理 | デバイスインベントリ(自動収集) |
| OS・ソフトウェアの更新 | セキュリティパッチの適時適用 | Windows Update リング / Windows Autopatch |
| 端末の暗号化 | 紛失・盗難時のデータ保護 | BitLockerポリシー(自動有効化) |
| パスワードポリシー | 一定の複雑さ・長さの強制 | コンプライアンスポリシー |
| 不正デバイスの排除 | 未管理端末からのアクセス制御 | 条件付きアクセス連携 |
| マルウェア対策 | 全端末でのリアルタイム保護 | Defender for Businessポリシー配布 |
SCS対応の全体像についてはSCS評価制度 対応の完全ガイドをご覧ください。
デバイスインベントリで資産台帳を自動化
SCS★3ではIT資産の一覧管理が求められます。Excelで手作業管理している企業も多いですが、Intuneを使えば資産台帳を自動で作成・更新できます。
Intuneが自動収集する情報:
- デバイス情報:デバイス名、シリアル番号、製造元、モデル
- OS情報:OSバージョン、ビルド番号、最終更新日
- セキュリティ状態:暗号化状態、ファイアウォール状態、マルウェア対策の有無
- コンプライアンス状態:ポリシー準拠/非準拠の判定結果
- ユーザー情報:プライマリユーザー、最終ログイン日時
IT資産をExcelで管理している場合、情報の鮮度と正確性が課題になります。Intuneのデバイスインベントリを使えば、デバイスの追加・変更・廃棄がリアルタイムで反映され、SCS審査時のエビデンスとしてもそのまま活用できます。Intuneの導入方法はMicrosoft Intune導入ガイドで解説しています。
コンプライアンスポリシーの設定
Intuneのコンプライアンスポリシーを設定すると、各デバイスがSCS要件を満たしているかを自動で判定できます。
推奨するコンプライアンスポリシー設定:
| 設定項目 | 推奨値 | 対応するSCS要件 |
|---|---|---|
| OSの最小バージョン | Windows 10 22H2以上 | OS・ソフトウェアの更新 |
| BitLocker暗号化 | 必須 | 端末の暗号化 |
| ファイアウォール | 有効必須 | ネットワークセキュリティ |
| マルウェア対策 | リアルタイム保護有効 | マルウェア対策 |
| パスワード要件 | 8文字以上・複雑さ要求 | パスワードポリシー |
| 非準拠時のアクション | 3日後にアクセスブロック | 不正デバイスの排除 |
非準拠デバイスに対しては、段階的にアクションを設定できます。まずメール通知、次にアクセス制限、最終的にはリモートワイプも可能です。
Windows Updateリングでパッチ管理
SCS★3では、セキュリティパッチの適時適用が求められます。IntuneのWindows Updateリングを使えば、パッチ適用のタイミングと範囲を細かく制御できます。
推奨する更新リングの設定:
- 品質更新プログラム(セキュリティパッチ):延期日数0〜3日。重大な脆弱性には即時適用
- 機能更新プログラム:延期日数30〜60日。安定性を確認後に適用
- 自動再起動:業務時間外(例:AM 2:00〜5:00)に設定
- アクティブ時間:業務時間帯(例:AM 8:00〜PM 7:00)は再起動を抑制
さらにWindows Autopatchを利用すれば、パッチ適用を段階的にロールアウトできます。テストグループで問題がないことを確認してから全社展開する運用が可能です。
BitLockerで端末暗号化
SCS★3では端末の暗号化が必須です。IntuneからBitLockerポリシーを配布すれば、全端末の暗号化を一括で有効化できます。
BitLockerポリシーの推奨設定:
- 暗号化方式:XTS-AES 256ビット(OSドライブ)
- 回復キー:Entra IDに自動エスクロー(バックアップ)
- サイレント暗号化:TPM 2.0搭載端末では、ユーザー操作なしで自動的に暗号化を開始
- 固定データドライブ:OSドライブと併せて暗号化を適用
BitLockerの回復キーは、端末のトラブル時に必要です。Intuneを使えば回復キーをEntra IDに自動バックアップでき、IT管理者がIntune管理センターから確認できます。紙やExcelでの管理は紛失リスクがあるため推奨しません。
条件付きアクセスとの連携
Intuneのコンプライアンスポリシーは、Entra IDの条件付きアクセスと連携させることで真価を発揮します。準拠デバイスのみがMicrosoft 365にアクセスできるように制御できます。
条件付きアクセスの設定例:
| 条件 | アクション | 効果 |
|---|---|---|
| デバイスが準拠 | アクセス許可 | セキュリティ要件を満たした端末のみ業務利用可能 |
| デバイスが非準拠 | アクセスブロック | パッチ未適用・暗号化未設定の端末をブロック |
| デバイスが未登録 | 登録を要求 | 個人端末(BYOD)の野良アクセスを防止 |
この仕組みにより、SCS要件の「不正デバイスの排除」と「アクセス制御」を同時に満たすことができます。技術対策の全体像はSCS対応の技術対策ガイドで解説しています。また、M365全体でのSCS対応はM365 SCS対応チェックリストをご覧ください。
BTNコンサルティングのIntune導入支援
BTNコンサルティングでは、SCS対応を見据えたIntune導入・設定を支援しています。
- Intune初期設定:テナント設定、デバイス登録、コンプライアンスポリシーの構築
- BitLocker一括展開:全端末への暗号化ポリシー配布と回復キー管理の設定
- パッチ管理設計:Windows Updateリングの設計と運用ルールの策定
- 条件付きアクセス設定:準拠デバイスのみアクセスを許可する制御ルールの構築
- SCS対応エビデンス:Intuneレポートを活用した自己評価のエビデンス整備
SCS対応支援の詳細はSCS対応支援サービスページをご覧ください。Intuneの基本的な導入手順はSCS対応ガイドでも確認できます。
まとめ
Microsoft Intuneは、SCS評価制度★3の複数の要求事項に1つのツールで対応できる強力なソリューションです。本記事のポイントを整理します。
- 資産台帳はIntuneのデバイスインベントリで自動化。Excel管理から脱却
- コンプライアンスポリシーで端末のセキュリティ状態を自動判定
- Windows Updateリングでパッチ管理を自動化。適用漏れを防止
- BitLockerで全端末を暗号化。回復キーはEntra IDに自動バックアップ
- 条件付きアクセスと連携し、準拠デバイスのみアクセスを許可
Intune導入やSCS対応でお困りの場合は、BTNコンサルティングの60分無料相談をご活用ください。