Microsoft 365のセキュリティ機能でどこまで守れる？ 見逃がしがちな機能と見直しのポイント

Microsoft 365のセキュリティ機能を見直すことで、増大するセキュリティ運用負荷やコストを最適化する方法がある。年間1000万円のコスト削減に成功した企業の例もあるという。

[平 行男，合同会社スクライブ]

　多くの企業が導入している「Microsoft 365」だが、その豊富なセキュリティ機能を最大限に活用できていないと感じる企業もあるだろう。自社にあったライセンスを選択できていないために、過剰なコスト負担やセキュリティ対策不足につながるケースもある。導入済みのMicrosoft 365の機能を見直し、その機能を最大限に活用することで、セキュリティ強化とコスト削減の一石二鳥を実現できるかもしれない。実際に、Microsoft 365のセキュリティ機能を見直したことで、1000万円のコスト削減を実現した企業もあるという。

　「Microsoft Japan Partner of the Year 2023」を受賞し、250社以上にハイブリッドワーク関連サービスを提供する株式会社Colorkrew（カラクル）の西田昴弘氏（Head of Cloud & Security Business）が、Microsoft 365のセキュリティ機能と企業が見落としがちなポイント、それらをフル活用してセキュリティ対策を最適化した事例を紹介した。

企業が使うべきM365のセキュリティ機能　見直しで1000万円削減も

　Microsoftが「Microsoft 365は、クラウドを利用した生産性プラットフォームです」と説明しているように、Microsoft 365は「Teams」「Word」「Excel」「PowerPoint」「Outlook」「OneDrive」などの各アプリケーションの他、PCの管理やMDM（モバイルデバイス管理）、セキュリティ機能などをパッケージで提供している製品だ。

　搭載されるサービスや機能はライセンスによって異なる。契約中のライセンスで使用できるサービスを細かく理解している企業は少数で、そのことが問題を誘発していると西田氏は指摘する。

　「Microsoft 365 E3とE5ではセキュリティ機能が大きく異なります。Microsoft 365のセキュリティ機能について、E5のライセンスを持っている企業が機能を有効活用できていないことや、逆にE3のライセンスで利用している企業で機能が不足しているなど、過不足が発生しているケースもあるため注意が必要です」

　まず、自社の契約しているライセンスでどのような機能が使えるか、どこまでセキュリティ対策ができているかを知ることが重要だ。

一般的なケース及び使用例（出典：カラクルの投影資料）

Microsoft 365のセキュリティプラットフォーム

　西田氏は、Microsoft 365のセキュリティ機能の中で、ID保護やデータ保護、そしてデバイス保護にフォーカスして、「Microsoft Defender for Endpoint」や「Microsoft Defender for Office 365」「Microsoft Defender for Identity」、そして「Microsoft Defender for Cloud AppsとMicrosoft Purview」の4つについて重要な機能を解説した。

Microsoft Defender for Endpoint

　Microsoft Defender for Endpointは、ネットワークのエンドポイントである端末を保護するソリューションだ。ウイルスやマルウェアからの保護や危険なドメインへのアクセスをブロックするなどの機能がある。しかし、Microsoft Defender for EndpointにはP1とP2の2種類があり、P2に比べてP1ではカバーできない領域がある。P1でもウイルスなどの対策はできるが、注意すべき点がある。

Microsoft Defender for Endpoint（出典：カラクルの投影資料）

　Microsoft Defender for Endpoint P1は、エンドポイント保護の観点で、最新のマルウェアウイルス対策、Windows特有の攻撃に対するブロック、ネットワーク保護やWebフィルタリングなどに対応している。しかし、振る舞い検知や未知の脅威には対応していない。また、デバイスの脆弱（ぜいじゃく）性や設定不備は報告されない。

　SOC（Security Operation Center）の観点では、アラート発生時にDefenderポータルまたはSentinelから内容の確認や調査はできるが脅威の自動削除や修復はしないため、手動でファイルの削除やウイルスに感染した可能性のあるデバイスを隔離する必要がある。

　手動での対応となるため、即時対応できない点に注意が必要だ。P1を選択する際はセキュリティ対策として不足している部分があるため、それを補う必要があることを西田氏は強調した。

Microsoft Defender for Endpoint P1の留意点（出典：カラクルの投影資料）

　Microsoft Defender for Endpointの機能の中にはネットワーク保護の機能がある。インターネットでのフィッシング詐欺や危険なドメインへのアクセスをブロックする機能だ。仕組みとしては、サイトへのアクセス時にMicrosoft独自の脅威インテリジェンスがサイトの信頼性をチェックし、悪意のあるサイトの閲覧をブロックする。

　ネットワーク保護の機能はデバイス保護の観点で重要な機能だが、デフォルトでは無効となっていて、西田氏の経験によると半数以上の企業が使用していないという。この機能はP1から使える機能でありフィッシング対策として非常に有効な機能なので設定を見直してみよう。

Microsoft Defender for Office365

　Microsoft Defender for Office365は、主にメール経由の外部脅威に対して有効なソリューションだ。メールに含まれるマルウェアやスパムはMicrosoft 365の標準機能で対策されているが、フィッシング対策やドメイン偽装などの検知および防御はMicrosoft Defender for Office365の機能で対応できる。

　エンドポイントのインシデントとしてはメールからのマルウェア感染が圧倒的に多いので、メール対策は非常に重要だ。

Microsoft Defender for Office365（出典：カラクルの投影資料）

Microsoft Defender for Identity

　Microsoft Defender for Identityは、オンプレミスの「Active Directory」を使用している企業に向けた機能だ。「クラウドへ移行しているけれども、オンプレミスの環境も残っている」という企業は少なくない。そのようなケースでオンプレミスのActive Directoryに対してのサイバー攻撃を防御するソリューションとして提供されている。

　オンプレミス環境のActive Directoryも攻撃のターゲットになりやすいポイントであるため、クラウドとオンプレミスの2つの環境を把握したセキュリティ対策が重要となる。

Microsoft Defender for Identity（出典：カラクルの投影資料）

Microsoft Defender for Cloud AppsとMicrosoft Purview

　Microsoft Defender for Cloud AppsとMicrosoft Purviewは、機密情報漏えい対策ソリューションとして非常に有効だと西田氏は話す。退職者からのデータ漏えいや人為的なミスによる情報漏えいを防ぐための機能を提供する。

　「最近では、外部脅威よりも内部脅威のインシデント件数の方が多い傾向にあります。現在の情報漏えいルートの80%以上が内部脅威によるものであるとした調査結果もあります。この数字はサイバー攻撃による情報漏えいの10倍にも及ぶので、内部脅威にも対策したいわゆるゼロトラスト環境を意識した対策が重要になってきます」（西田氏）

Microsoft Defender for Cloud Apps + Microsoft Purview（出典：カラクルの投影資料）

ケースで見るMicrosoft 365で実現する費用削減の方法

　西田氏は費用削減のケースを2つ紹介した。「Microsoft 365でカバーできる領域に他社製品を導入している」「監視ポイントが複雑化している」というケースに該当する場合は、大幅な費用削減が見込める可能性があるという。

ケース1：Microsoft 365でカバーできる領域に他社製品を導入している

　このケースでは、Microsoft 365のセキュリティ機能が把握できていないことが原因で、重複してEDR（Endpoint Detection and Response）などのサービスを導入しており費用がかさんでいた。

　多重防御として両方使用する方針はあるが、まず、現状のMicrosoft 365のライセンスでできることを把握し、その上で必要なソリューションを追加することが重要だという。西田氏は、このようなケースをよく見てきたとして、改めて自社で実装しているセキュリティ機能を確認してほしいと語り、費用削減の事例を挙げた。

　A社のケースでは、Microsoft 365をE5ライセンスで使用していたが、他社のセキュリティサービスも併用していた。E5のライセンスにはセキュリティ機能が充実しているが、それらを把握できていなかったため、他社のセキュリティサービスと機能の重複が多く見られた。

　Microsoft 365のセキュリティ機能を基本に他社のセキュリティサービスを見直すことで、現状のセキュリティレベルの水準を維持した上で年間約1000万円のコスト削減につながった。

コスト削減の実際のケースA社（出典：カラクルの投影資料）

ケース2：監視ポイントが複雑化しているケース

　Microsoft 365のセキュリティソリューションには、さまざまなログやアラートが記録されている。それぞれの保存場所が別々になっていると、監視ポイントが複数になる。このケースは管理が煩雑となり、SOCを他社へ委託するなどコストがかさみやすい。

　昨今はSIEM（Security Information and Event Management）の製品などを活用してログやアラートを統合できる。監視ポイントを統合し、コストの削減やログを相関的に見ることでセキュリティ強化を図れる。

　B社のケースでは、各ソリューションのSOCを複数社に依頼していたが、監視ポイントを統合し効率化することによってSOCベンダーを1社に集約した。これにより年間で約800万円のコスト削減を実現したという。

　西田氏は「この2点に該当する場合は費用削減が見込めるので、確認することをおすすめします」と締めくくった。

コスト削減の実際のケースB社（出典：カラクルの投影資料）

本稿は、Colorkrewが主催したWebセミナー「増大するセキュリティ運用の負荷を『Microsoft 365』の有効活用で最適化する方法」での講演内容を基に編集部で再構成した。