「うちはMicrosoft 365を使っているから大丈夫」と思っていても、設定がデフォルトのままでは攻撃者の格好の標的になります。クラウドサービスはインターネットに直接つながっているため、設定の不備が即座にリスクに直結するからです。
IPA(情報処理推進機構)の報告でも、クラウドサービスの設定ミスによる情報漏洩事故は増加傾向にあります。Microsoft 365も例外ではなく、パスワードスプレー攻撃やフィッシングによるアカウント乗っ取り被害が中小企業でも相次いでいます。
この記事では、セキュリティ専門家がいない中小企業の情シス担当者でも実践できる、Microsoft 365のセキュリティ強化設定を優先度順に解説します。特別なツールや高額な追加ライセンスは不要です。
Microsoft 365とは?なぜセキュリティ設定が重要か
Microsoft 365(M365)は、Word・Excel・OutlookといったOfficeアプリケーションに加え、Teams・SharePoint・OneDriveなどのクラウドサービスをまとめて使えるサブスクリプション型サービスです。多くの中小企業が業務の中心基盤として利用しています。
セキュリティ設定が重要な理由はシンプルです。メール・ファイル・会議情報など、あらゆる業務データがM365の一か所に集約されているからです。もしアカウントが乗っ取られた場合、次のような被害が一度に発生する可能性があります。
・メール・添付ファイルの窃取: 取引先との契約書・見積書・個人情報が流出する
・SharePoint/OneDriveのデータ漏洩: 社内文書が攻撃者に丸見えになる
・なりすましメールの送信: 被害社員を装って取引先に詐欺メールを送るBEC攻撃(ビジネスメール詐欺)につながる
・ランサムウェアの展開: 乗っ取ったアカウントを足がかりにネットワーク全体へ感染拡大
デフォルト設定のままでは、こうした攻撃に対して無防備な状態が続きます。
M365を狙う攻撃の手口(敵を知る)
適切な対策を取るためには、まず攻撃者がどのようにM365アカウントを狙うかを理解しておくことが重要です。
1. パスワードスプレー攻撃
特定のアカウントに集中してパスワードを試す総当たり攻撃(ブルートフォース)とは異なり、多数のアカウントに対して「Password123!」「Companyname2024」などよく使われるパスワードを少数ずつ試す手法です。アカウントロックの閾値を回避しやすいため検出が難しく、M365のような公開されたサービスに対して世界中の攻撃者が継続的に試みています。
2. フィッシング&セッションハイジャック
M365のログイン画面を模倣したフィッシングサイトに誘導し、IDとパスワードを入力させる手口です。近年は、MFA(多要素認証)を突破する「AiTM(Adversary-in-the-Middle)フィッシング」も登場しています。この手法では、フィッシングサイトが本物のM365との間でリバースプロキシとして動作し、ユーザーがMFA認証を完了した後のセッションクッキーを奪い取ります。
3. 設定ミスによる情報流出
攻撃者によるアカウント侵害ではなく、自社の設定ミスで情報が漏洩するケースも見られます。SharePointやOneDriveの外部共有設定が「リンクを知っている人なら誰でもアクセス可能」になっていたため、機密ファイルが誰でも閲覧できる状態になっていたという事例があります。管理者が気づかないまま長期間放置されているケースも珍しくありません。
情シス1人でできるM365セキュリティ設定手順
以下の設定はすべて、Microsoft 365管理センター(admin.microsoft.com)または関連ポータルからGUI操作で実施できます。コマンドラインや専門的なプログラムの知識は不要です。
1. セキュリティ スコアの確認(現状把握)
最初のステップは現状把握です。Microsoft 365には「セキュリティ スコア」という機能があり、自社テナントの設定状況をスコア化し、改善アクションを優先度順に表示してくれます。
# セキュリティ スコアの確認手順 # 1. https://security.microsoft.com にグローバル管理者でログイン # 2. 左メニュー「セキュリティ スコア」をクリック # 3. 「推奨アクション」タブで改善点を優先度順に確認 # # スコアの目安(組織規模により異なる) # ~40点: 基本設定が未完了(緊急対応が必要) # 41~65点: 部分的に設定済み(推奨設定が残存している) # 66点以上: 主要なセキュリティ対策が実施されている
セキュリティ スコアは設定を改善するたびにリアルタイムで更新されます。月に1回程度の定期確認を習慣にすることで、継続的な改善サイクルを回せます。
2. 全ユーザーへのMFA強制(最優先)
M365セキュリティ対策の中で、最も費用対効果が高い対策がMFA(多要素認証)の全ユーザーへの強制適用です。Microsoftの調査によれば、MFAを有効にするだけでアカウント侵害攻撃の99%以上を防げるとされています。
小規模な組織や、高度な設定に慣れていない場合は「セキュリティの既定値群」の有効化から始めるのが確実です。
# 「セキュリティの既定値群」の有効化手順 # 1. https://entra.microsoft.com にグローバル管理者でログイン # 2. 左メニュー「ID」>「概要」>「プロパティ」を選択 # 3. ページ下部「セキュリティの既定値群の管理」リンクをクリック # 4. 「セキュリティの既定値群を有効にする」を「はい」に変更 # 5. 「保存」をクリック # # 有効化後の動作: # - ユーザーは14日以内にMFA設定を求められる # - 管理者アカウントはログイン時に即座にMFA要求される # - Microsoft Authenticatorアプリの使用を推奨
有効化の前に「すでに条件付きアクセスポリシーが設定されていないか」を確認してください。両者を同時に有効にすると競合が発生します。その場合は「セキュリティの既定値群」ではなく、条件付きアクセスポリシーでMFAを制御します。
3. レガシー認証のブロック
POP3・IMAP・SMTP AUTHなど、古いメールプロトコルを「レガシー認証」と呼びます。これらはMFAに対応していないため、攻撃者がMFAを回避してアカウントに不正アクセスする際に悪用されます。現代の業務では、ほとんどの場合レガシー認証は不要です。
# 条件付きアクセスでレガシー認証をブロックする手順 # ※ Microsoft Entra ID P1以上のライセンスが必要(Business Premiumに含まれる) # # 1. https://entra.microsoft.com で「保護」>「条件付きアクセス」>「新しいポリシー」 # 2. ポリシー名: "Block Legacy Authentication"(任意) # 3. ユーザー: 「すべてのユーザー」を選択 # 4. ターゲットリソース: Office 365 # 5. 条件 > クライアントアプリ: # 「Exchange ActiveSync クライアント」「他のクライアント」にチェック # 6. アクセス制御 > 許可: 「アクセスのブロック」 # 7. ポリシーの有効化: オン # 8. 「作成」をクリック # # 注意: 設定前に現在レガシー認証を使用しているユーザーを # 「サインイン ログ」で確認すること(業務停止防止のため)
4. 外部共有の制限(SharePoint・OneDrive)
SharePointとOneDriveの外部共有設定は、デフォルトで広範囲に許可されている場合があります。業務上の必要性がなければ制限することが原則です。
# SharePoint 管理センターでの設定手順 # 1. https://admin.microsoft.com から「SharePoint」を選択 # 2. 「ポリシー」>「共有」を開く # 3. 外部共有レベルを以下のいずれかに変更: # # 「新規および既存のゲスト」: 外部共有は可能だが認証が必要 # 「既存のゲストのみ」: 以前に招待済みのゲストのみアクセス可 # 「自分の組織内のユーザーのみ」: 外部共有を完全に禁止 # # ※「すべてのユーザー(リンクを知っている人なら誰でも)」は原則禁止 # # 追加推奨設定: # - 「すべてのユーザー」リンクの既定の有効期限を7日間に設定 # - 外部共有を許可するドメインを特定取引先のみに限定
5. 監査ログの有効化と確認
監査ログは「誰が・いつ・何の操作をしたか」を記録する機能です。インシデント発生時の原因調査に不可欠ですが、有効化されていないテナントも見られます。設定自体は10分もかかりません。
# 監査ログの有効化手順 # 1. https://compliance.microsoft.com にログイン # 2. 左メニュー「監査」>「検索」を選択 # 3. バナー「ユーザーと管理者のアクティビティの記録を開始する」が # 表示されている場合はクリックして有効化 # ※ 表示がなければすでに有効化済み # # ログの保持期間 # - Business Basic / Business Standard / E3: 90日間 # - E5 / Business Premium: 1年間(監査プレミアムで最大10年) # # 定期確認の重点ポイント: # - 通常とは異なる国・地域からのサインイン # - 深夜・早朝の管理者操作 # - 大量のファイルダウンロード(情報窃取の兆候) # - メールボックス転送ルールの追加(BEC攻撃の典型的な手口)
中小企業でも今日からできること(優先順位付き)
すべてを一度に実施するのが難しい場合は、次の優先順位で段階的に進めてください。
| 優先度 | 設定項目 | 主な効果 | 所要時間 |
|---|---|---|---|
| ★★★ 最優先 | MFA全ユーザー強制 | アカウント侵害の99%以上を防止 | 30分 |
| ★★★ 最優先 | 監査ログの有効化 | インシデント調査の基盤整備 | 10分 |
| ★★ 高 | レガシー認証のブロック | 古いプロトコル経由の攻撃を遮断 | 1時間(確認含む) |
| ★★ 高 | 外部共有の制限 | 設定ミスによる情報漏洩を防止 | 20分 |
| ★ 中 | セキュリティ スコアの定期確認 | 継続的な改善サイクルの確立 | 月次15分 |
| ★ 中 | 条件付きアクセスポリシーの精緻化 | きめ細かいアクセス制御 | 半日(要計画) |
「MFAの有効化」と「監査ログの有効化」だけでも今日中に実施してください。この2点の所要時間は合計40分程度で、得られる効果は非常に大きいです。
よくある誤解と注意点
「デフォルト設定のままでも大丈夫だろう」
デフォルト設定は「利便性」を優先しており、セキュリティは最低限しか担保されていません。MFAは2021年以前に作成されたテナントではデフォルト無効になっているケースがあります。自社テナントの作成時期にかかわらず、必ず現在の設定状態を確認してください。
「中小企業は狙われない」
パスワードスプレー攻撃は自動化されており、規模を問わずすべてのM365テナントが対象です。むしろセキュリティ担当者が少ない中小企業の方が、攻撃が成功しやすい標的とみなされるケースがあります。
「MFAを導入すると社員から不満が出る」
Microsoft Authenticatorアプリを使えば、スマートフォンでのワンタップ承認が可能です。導入前に操作手順の説明資料を配布し、ITに不慣れな社員向けには個別サポートを提供することで、スムーズに移行できます。
「設定を変えると何かが壊れそうで怖い」
この記事で紹介した設定変更でサービスが停止することはほぼありません。ただし、レガシー認証のブロックについては事前に「現在レガシー認証を使用しているユーザーがいないか」をサインインログで確認してから実施してください。
本記事のまとめ
Microsoft 365のセキュリティ設定は、専門知識がなくても管理センターのGUI操作だけで大部分が実施できます。本記事の要点を整理します。
・セキュリティ スコアの確認: まず現状を把握し、改善の優先順位を立てる
・MFA(多要素認証)の全ユーザー強制: 最も費用対効果が高い最優先対策
・レガシー認証のブロック: MFAと組み合わせることで二重の防御が完成する
・外部共有の制限: SharePoint/OneDriveを「必要最小限」の設定に絞る
・監査ログの有効化: インシデント時の原因究明に欠かせない基盤を10分で整備できる
セキュリティ対策は「完璧を目指す」より「リスクを段階的に下げる」という発想が重要です。まずMFAと監査ログから着手し、少しずつ設定を積み上げていきましょう。
Linuxサーバーのセキュリティ強化については、姉妹サイトLinuxMaster.JPで詳しく解説しています。
M365のセキュリティ設定、どこから手をつければいいか迷っていませんか?
情シス担当が1人でも、正しい順序で対策を進めれば確実にリスクを下げられます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
