Microsoft Office 365のセキュリティを確保するための10のベストプラクティス
Microsoft Office 365は、あらゆる規模の企業や様々な業界において、最も人気のあるオフィススイートの一つです。しかし残念なことに、この人気ゆえに、通常はOfficeアプリケーションを標的とするサイバー犯罪者も引き寄せています。実際、2022年10月までの1年間で、 記録された攻撃の70%以上 カスペルスキーの2022年の統計によると、マイクロソフト製品群の脆弱性が悪用されました。
Microsoft 365プランを利用している組織は、Office 365のセキュリティ機能を活用し、データを保護するためのさまざまな対策を講じることができます。この記事では、組織のMicrosoft Office 365アカウントのセキュリティを強化するためのベストプラクティス上位10選を紹介します。内部および外部からの脅威を阻止するために、さまざまなOffice 365ツールをどのように設定すればよいか、ぜひご覧ください。
1. 多要素認証を有効にする
多要素認証(MFA)は、2段階認証とも呼ばれ、ユーザーがOffice 365アプリケーションにログインする際に、携帯電話に送信されたコードの入力を求めることで、セキュリティをさらに強化します。Office 365において、MFAは 最新の認証フレームワーク これにより、Microsoft リソースへの安全なアクセスが確保されます。
多要素認証(MFA)は、組織全体のセキュリティを強化するための、最もシンプルでありながら最も効果的な方法の一つとされています。ハッカーは、ユーザー名とパスワードを知っていたとしても、アカウントにアクセスすることはできません。
Microsoft 365 プランを最近契約された場合、MFA は自動的に有効化されています。利用可能な 2 つの認証方法から、いずれかを選択できます:
- Microsoft Authenticator アプリ: モバイル端末に"Microsoft Authenticator"を無料でダウンロードし、アカウントを追加してください。ユーザーがログインするたびに通知が届きますので、その通知に応答してログインを認証する必要があります。
- SMSメッセージ: Microsoftは、ユーザーが本人確認を行うために認証情報と共に入力する必要がある6桁の認証コードを含むSMSを送信します。
2. 組織の従業員を教育する
組織内におけるデータ漏洩の最大の原因は、人的ミスです。サイバーセキュリティのベストプラクティスに精通していないユーザーは、詐欺メールを開封したり、フィッシングリンクをクリックしたり、悪意のある添付ファイルをダウンロードしたりするように、容易に騙されてしまいます。
企業は、一般的な脅威や脆弱性について従業員に十分な情報を提供し、強固なセキュリティ意識の文化を醸成することが強く推奨されます。そのためには、以下の対策を講じる必要があります:
- 意識啓発研修を実施する:新入社員に対し、ソーシャルエンジニアリングの手口やフィッシング攻撃がもたらす深刻な影響について教育を行う。ユーザーは、強固なパスワードの設定方法を学び、Office 365のメールセキュリティに関するさまざまな側面を理解する必要がある。
- 従業員に最新情報を提供し続ける: サイバー脅威は絶えず高度化しているため、ユーザーには常に警戒を怠らず、不審な活動を報告するよう呼びかける必要があります。そのための最善の方法は、サイバーセキュリティのベストプラクティスに関するメールを頻繁に送信し、定期的な研修を実施することです。
3. ユーザーアカウントと権限の管理
アクセス権限の管理においては、"最小権限の原則"に従う必要があります。これは、ユーザーには業務を遂行するために必要なデータへのアクセス権のみが付与されることを意味します。また、管理者はOffice 365内のロールベースのアクセス制御(RBAC)を利用して、 Azure Active Directory との同期を設定する (AD) を使用してユーザーを管理し、特定の役割を割り当て、特定のアプリケーションへのアクセス権を付与します。
Microsoft 365 の管理者アカウントは、特権が強化されており、重要なデータにアクセスできるため、サイバー犯罪者にとって格好の標的となり、Office 365 テナント全体を危険にさらす可能性があることに留意してください。管理者は、必要な場合にのみそのアカウントを使用し、通常の管理者以外のタスクを行う際は別のアカウントでログインする必要があります。
4. Microsoft Defender for Office 365 の設定
Microsoft Defender は、コラボレーション アプリ、電子メール、リンクによって引き起こされるさまざまな脅威から組織を保護する高度なテクノロジーを提供します。すべての Microsoft 365 サブスクリプションには、環境内のユーザーとワークロードを保護するために推奨設定を採用した、事前設定済みの Office 365 セキュリティ ポリシーが含まれています。
また、次のような重要な Microsoft Defender の機能を手動で構成することもできます。
- フィッシング対策: Microsoft Defender for Office 365 の既定のフィッシング対策ポリシーを変更するか、新しいポリシーを作成して、サイバー犯罪者がフィッシング詐欺を通じて機密情報を入手するのを防ぎましょう。組み込みの人工知能機能は、ユーザーの通信パターンを基にデータベースを構築し、悪意のあるコンテンツの検知精度を高めるとともに、組織のメールアドレスやドメインをなりすましやスプーフィングから保護します。
- マルウェア対策: Microsoft Defender は、多層防御を採用しており、スパイウェアやウイルスなど、送受信されるさまざまな種類のマルウェアを自動的に検出します。さらに重要なのは、この機能が信頼性の高い ランサムウェア対策 また、脅威が検知された場合のリアルタイム対応。
- 安全なアタッチメント: "安全な添付ファイル"ツールは、マルウェア対策機能によってすでにスキャン済みのファイルを確認することで、セキュリティをさらに強化します。電子メールやその他のコラボレーションアプリ(OneDrive、Teams、SharePoint)を通じて送信されるドキュメントは、受信先に届く前にチェックされるため、ランサムウェアに感染するリスクを低減します。
- 安全なリンク: "セーフリンク"を設定し、メールメッセージで送信されるすべてのURLに対してクリック時の検証を有効にすることで、Office 365のメール保護機能を強化できます。
5. Microsoft Purview Information Protection を使用する
最適なデータガバナンスを確保することは、組織の Microsoft 365 プランのセキュリティを維持する上で不可欠です。Purview Information Protection Center は、転送中または保存中のデータを検出、分類、保護するためのさまざまなツールを提供することで、Office 365 のセキュリティとコンプライアンスを確保します。その主な機能は以下の通りです:
- Azure Information Protection: 機密データにラベルを付け、分類することで、必要な保護対策を自動的に適用し、許可されたユーザーのみがアクセスできるようにします。
- データ漏洩防止(DLP): DLPポリシーを有効にすると、機密データをロックし、意図的または偶発的な機密情報の漏洩を防ぐことで、データ損失を抑制できます。
- データの暗号化: Microsoftは二重鍵暗号化を提供しており、これによりデータは不正なユーザーから保護されます。暗号化鍵の両方を保有しているのは組織のみであるため、データを復号できるのは組織のみとなります。
- 情報権利管理(IRM): SharePoint のリストやライブラリの情報が外部ユーザーと共有されないようにするには、ロックを適用します。指定したポリシーに基づき、許可されたユーザーのみがこれらのファイルを表示および使用できるようになります。
6. メールの自動転送を無効にする
Microsoft 365 のプランが侵害された場合、攻撃者は Exchange Online 環境を含むすべてのアプリケーションにアクセスできるようになります。これにより、攻撃者はメッセージを削除したり、メールルールを変更したり、すべてのメールを外部アドレスに自動的に転送したりすることが可能になります。
幸いなことに、Microsoft 365 管理センターから自動転送機能を無効にすることで、この問題を防止できます。その方法については、以下の手順に従ってください:
- 移動 Microsoft 365 管理センター そして選択してください 交換 > メールのフロー.
- その 規則 タブをクリック + 次に、選択してください 新しいルールを作成する.
- 選択 その他のオプション ポップアップウィンドウで、以下の項目を入力してください 名前 セクション。
- を開く 以下の場合にこのルールを適用する ドロップダウンメニューから選択してください 差出人 > 外部/内部.
- 選択 組織の内情 をクリックして 了解.
- 選択 条件を追加する ドロップダウンメニューを開き、次に選択してください メッセージのプロパティ > メッセージタイプを含める.
- 開く メッセージの種類を選択してください そして選択して 自動転送 次に、クリックしてください 了解.
- を開く 次の手順を行ってください ドロップダウンから選択 メッセージをブロックする、そして メッセージを拒否し、その理由を明記する.
- ここにメッセージを入力してください 拒否理由を指定する をクリックして 了解. この説明メッセージは、自動転送を試みた際に表示されます。
- クリック 保存 ページの下部。
万が一うまくいかなかったとしても、その対処法は分かっているのだから安心してください Office 365で削除したメールを復元する 多くの場合。
7. すべてのデバイスを保護する
スマートフォンやタブレットなど、業務目的で使用される個人所有のデバイスを含め、あらゆるデバイスは、サイバー犯罪者が組織に侵入するための潜在的な侵入経路となります。十分な保護が確保されるよう、これらのデバイスを適切に設定することをお勧めします。
マイクロソフトは"Basic Mobility and Security"を提供しています これにより、ユーザーのモバイル端末を管理・保護することができます。管理者は、セキュリティポリシーを適用したり、アクセス権限を設定したり、必要に応じて端末のメモリ全体を初期化したりすることも可能です。
8. セキュリティポリシーの監視と監査
脅威は絶えず変化しているため、組織のニーズに合わせてセキュリティポリシーを定期的に見直し、更新することが重要です。 また、環境内のユーザーアクティビティを追跡するために、監査とレポート機能を有効にする必要があります。
さらに、脅威をできるだけ迅速に特定し対処するために、通知機能を有効にすることをお勧めします。Microsoft 365 セキュリティでは、潜在的な脆弱性やシステムにおける急な変更について通知するアラートポリシーを作成できます。データ損失防止、メールフロー、アクセス権、脅威管理、または情報ガバナンスに関連するアクティビティによってトリガーされたアラートを追跡および管理できます。
9. Microsoft Secure Scoreを確認する
その Microsoft セキュリティ スコア (MSS) 組織のセキュリティ状況を包括的に把握できます。このダッシュボードを使用すると、環境のセキュリティ態勢に関する指標を監視し、スコアを向上させて組織のクラウドデータを安全に保つために実行できる推奨アクションを確認できます。
MSSはリアルタイムの測定値を提供し、Office 365のセキュリティ設定の有効化や無効化、またはサードパーティ製のデータ保護ソリューションのインストールを行った場合に、その数値が変化します。このツールは常に状況を評価し、それに応じて推奨事項を提示します。
スコアが 30% 未満の場合、環境が脅威に対して非常に脆弱であることを示しています。この場合、直ちに対策を講じ、セキュリティのベストプラクティスを適用して、推奨される 80% の閾値に達するか、それを上回るようにする必要があります。Microsoft 365 Defender がサードパーティ製セキュリティソリューションと連携して完全に機能している場合、100% のスコアを達成することが可能です。
10. サードパーティ製のバックアップソリューションを導入する
Microsoft 365 プランに搭載されているあらゆるセキュリティ機能があっても、依然としてリスクにさらされている可能性があります。検出不可能な新たな悪意のある攻撃が Microsoft 365 環境に侵入し、組織の安全を脅かす恐れがあります。攻撃を受けた後のデータ復旧作業において、金銭的損失や評判の低下を防ぐためには、次のようなサードパーティ製のバックアップソリューションを導入してください。 NAKIVO Backup & Replication、Microsoft 365 アプリ向けの高速な増分バックアップを提供します。
Microsoft の"責任分担モデル"によれば、Office 365 内でデータを生成・保存するためにアプリケーションを利用する組織は、データの安全性について単独で責任を負います。いかなる状況でも確実に復旧できるよう、必要なセキュリティ対策を実施するとともに、サードパーティ製ソリューションを用いたバックアップ戦略を策定する必要があります。 NAKIVOのソリューションは、Microsoft Office 365データの高速バックアップ機能と、あらゆるアイテムを必要な場所に即座に復元する機能を提供します。
