技術対策の全体像
SCS評価制度★3の25要求事項のうち、技術的な対策が求められる項目は約半数を占めます。本記事では、中小企業がMicrosoft 365を中心に効率的に実装できる技術対策を、具体的な設定手順とともに解説します。
| 技術対策 | 対応する要求事項 | M365での実装 |
|---|---|---|
| MFA(多要素認証) | アクセス制御、認証強化 | Entra ID 条件付きアクセス |
| EDR | マルウェア対策、異常検知 | Defender for Business |
| バックアップ | データ保護、復旧能力 | M365 Backup |
| ログ管理 | 監査証跡、インシデント調査 | Unified Audit Log |
| 資産管理 | 情報資産の特定・管理 | Intune |
| ネットワーク分離 | ネットワークセグメンテーション | 条件付きアクセス+VLAN |
MFA(多要素認証)の実装
MFAは★3の要求事項の中でも最も優先度が高い対策です。パスワード漏洩による不正アクセスの99.9%を防止できるとされています。
Entra ID 条件付きアクセスでの実装手順
- Step 1:Entra ID管理センターにアクセスし、「セキュリティ」→「条件付きアクセス」を開く
- Step 2:新しいポリシーを作成し、対象ユーザーを「すべてのユーザー」に設定
- Step 3:対象クラウドアプリを「すべてのクラウドアプリ」に設定
- Step 4:アクセス制御の「許可」で「多要素認証を要求する」を選択
- Step 5:ポリシーを「レポート専用」で有効化し、影響を確認後「オン」に変更
いきなり全ユーザーに適用すると混乱が生じます。まずIT管理者と経営層から適用し、段階的に全社展開するアプローチを推奨します。Microsoft Authenticatorアプリの事前インストール案内も忘れずに。
EDR(Defender for Business)の導入
EDR(Endpoint Detection and Response)は、従来のウイルス対策ソフトを超えた高度な脅威検知・対応機能を提供します。Microsoft 365 Business Premiumに含まれるDefender for Businessで実装できます。
導入手順
| Step | 内容 | 所要時間 |
|---|---|---|
| 1 | Microsoft Defender ポータル(security.microsoft.com)にアクセス | 5分 |
| 2 | 「設定」→「エンドポイント」→「オンボーディング」を選択 | 5分 |
| 3 | Intuneを使用した自動オンボーディングを設定 | 30分 |
| 4 | セキュリティポリシー(次世代保護、ファイアウォール)を構成 | 1時間 |
| 5 | アラート通知のメール送信先を設定 | 10分 |
| 6 | 全デバイスのオンボーディング完了を確認 | 1〜3日 |
Defender for Businessは既存のウイルス対策ソフトと共存モードで動作可能です。移行期間中は両方を稼働させ、安定動作を確認後に旧ソフトをアンインストールする段階的移行がおすすめです。
バックアップ体制の構築
★3では定期的なバックアップの取得と復旧テストの実施が求められます。3-2-1ルール(3つのコピー、2種類のメディア、1つはオフサイト)に基づく設計が基本です。
M365環境のバックアップ戦略
| 保護対象 | バックアップ方法 | 復旧ポイント |
|---|---|---|
| Exchange Online | M365 Backup / サードパーティ | 任意の時点に復旧可能 |
| SharePoint / OneDrive | M365 Backup / バージョン履歴 | 最大500バージョン保持 |
| Teams | M365 Backup(SharePoint経由) | チャネルデータの復旧 |
| オンプレミスサーバー | Azure Backup / NASへのバックアップ | 日次+世代管理 |
- バックアップ頻度:業務データは最低1日1回、重要データはリアルタイムまたは数時間おき
- 復旧テスト:四半期に1回、実際にデータを復元してRTO(目標復旧時間)を測定
- オフサイト保管:クラウドバックアップまたは遠隔地のデータセンターに保管
ログ管理の実装
★3では監査ログの取得・保管と異常検知の仕組みが求められます。インシデント発生時の調査に不可欠な証跡です。
Unified Audit Logの設定
- Step 1:Microsoft Purview コンプライアンスポータルにアクセス
- Step 2:「監査」→「監査ログの検索」で監査が有効であることを確認
- Step 3:監査保持ポリシーを作成し、保存期間を1年以上に設定(E5またはアドオンライセンスが必要)
- Step 4:アラートポリシーを設定し、不審なアクティビティ(大量ファイルダウンロード、海外からのログイン等)を検知
| ログ種類 | 取得内容 | 保存期間の目安 |
|---|---|---|
| サインインログ | ユーザーの認証アクティビティ | 1年以上 |
| 監査ログ | ファイル操作、メールボックスアクセス、管理者操作 | 1年以上 |
| セキュリティアラート | Defenderが検知した脅威情報 | 180日以上 |
| 条件付きアクセスログ | ポリシーの適用・拒否の記録 | 1年以上 |
資産管理(Intune)
★3では情報資産の特定と台帳管理が求められます。Intuneを使えばデバイスインベントリを自動収集でき、手動での台帳管理の手間を大幅に削減できます。
- デバイス登録:Windows Autopilotまたは手動登録でIntuneにデバイスを登録
- インベントリ収集:ハードウェア情報、OS情報、インストール済みソフトウェアを自動取得
- コンプライアンスポリシー:OSバージョン、暗号化、ファイアウォール等の準拠状況を監視
- 非準拠デバイスの制御:条件付きアクセスと連携し、非準拠デバイスからのアクセスをブロック
ネットワークセグメンテーション
ネットワーク分離は、ランサムウェア等の横移動(ラテラルムーブメント)を防止するために重要です。
- VLAN分離:業務ネットワーク、ゲストネットワーク、IoT/OTネットワークを分離
- マイクロセグメンテーション:条件付きアクセスとDefenderの連携で、ユーザー/デバイス単位のアクセス制御を実現
- ファイアウォールルール:不要な通信を遮断し、必要最小限のポートのみ開放
実装の優先順位
★3取得に向けて、以下の優先順位で技術対策を進めることを推奨します。
| 優先度 | 対策 | 理由 | 所要期間 |
|---|---|---|---|
| 最優先 | MFA適用 | 最も費用対効果が高く、不正アクセスの99.9%を防止 | 1〜2週間 |
| 高 | EDR導入 | ランサムウェア等の高度な脅威に対応 | 1〜2週間 |
| 高 | バックアップ体制構築 | インシデント発生時の事業継続に直結 | 2〜4週間 |
| 中 | ログ管理設定 | インシデント調査の基盤、証跡確保 | 1〜2週間 |
| 中 | 資産管理(Intune) | 全社のIT資産を可視化 | 2〜4週間 |
| 中 | ネットワーク分離 | 横移動防止、被害の局所化 | 2〜4週間 |
まとめ
SCS評価制度★3の技術要件は、Microsoft 365 Business Premiumを活用することで効率的にカバーできます。MFA、EDR、バックアップ、ログ管理、資産管理の5つを軸に、段階的に実装を進めましょう。個々の技術対策の詳細設定については、BTNコンサルティングのSCS対応支援で実装サポートを提供しています。