「セキュリティ強化、やらなきゃとは思っている。でも、何から始めればいいのか分からない」
日々いろいろな現場で多くの企業のIT支援をするなかで、このように悩んでいる企業や組織のIT部門(以下、情シス)担当者の声をよく耳にします。
テレワークやクラウド活用が進み、情シス担当者としても端末管理やアクセス制御、シャドーITのリスク対応など、セキュリティ強化に向けて「やるべきこと」がたくさんあるのは理解しているものの、予算や優先度、導入期間、自身のセキュリティ知見などを考慮すると現実には何から手を付けるのが最善か見極めることは難しく、「やらなきゃ」という焦りばかりが募り、悩みは尽きないのではないでしょうか。
本コラムでは、
Microsoft 365(以下、M 365)を導入済みの企業が、導入したM 365を活かし切るべく、親和性が高いMicrosoft Intune(マイクロソフト インチューン 以下、Intune)やMicrosoft Entra ID(マイクロソフト エントラアイディー 以下、Entra ID)を活用してセキュリティを強化する方法を、
実際の支援事例を交えてご紹介します。
皆さんにとって「セキュリティ強化とは、まず何をすればいいのか?」のヒントになれば幸いです。
目次
なぜ今、セキュリティ強化が必要なのか?
テレワークやクラウドサービスの利用が当たり前になった今、社外から社内システムにアクセスする機会が格段に増えました。
便利になった一方で、情報漏えいにつながるセキュリティリスクも大きくなっています。
以前は「大企業が狙われるもの」というイメージが強かったサイバー攻撃も、今では規模や業種を問わず、あらゆる企業が標的になり得る時代です。
実際の情報漏えい事象の原因を見てみると、悪意のある攻撃起因だけでなく、「設定ミス」や「管理項目の抜け漏れや考慮漏れ」といった、導入時の見落としや不注意が引き金になるケースも少なくありません。
IPA(独立行政法人情報処理推進機構)が公開している「情報セキュリティ10大脅威 2025」でも「不注意による情報漏えい等」が10位に入っていることから、「見落とし」や「不注意」による情報漏えいのリスクは以前より高まっているといえるでしょう。
たとえば皆さんの会社でも、退職者のアカウントが残ったままになっていたり、HDDやSSDなどの暗号化を行っていない社用ノートPCを社外に持ち出しているなど、管理項目の抜け漏れや、設定の見落としはないでしょうか?
退職者のアカウントが社内システムに残ったままになっていると、意図せず外部からのアクセスが可能な状態が続いてしまうことになり、情報漏えいや不正アクセスのリスクを高める要因となってしまいます。
また、社用ノートPCを社外に持ち出す際にHDDやSSDなどの暗号化がされていない場合、万が一紛失や盗難が起きた際に、保存されている機密データの閲覧を第三者に許すことになり、情報漏えいにつながる可能性もあります。
上記は「見落とし」や「不注意」の一例ですが、このような些細なことが重大なインシデントにつながってしまうのです。
現状の整理が、セキュリティ強化の第一歩
他にも最近では、「シャドーIT」の存在も問題視されています。
シャドーITとは、情シスの許可を得ずに、従業員が独自に導入・使用しているIT機器やサービス、ソフトウェア、クラウドアプリケーションなどを指します。
たとえば、業務用のファイルを個人契約のクラウドストレージに保存したり、社内で使用が許可されているチャットアプリとは別のチャットアプリを利用している場合、それらのサービスやアプリはシャドーITとみなされます。
シャドーITは、従業員個人が利便性や効率性を求めた結果、広がることが多いのですが、企業の情報が情シスの管理外に置かれることで、情報漏えいや不正アクセスのリスクが高まります。
このような背景から、今こそセキュリティ強化が必要です。
とはいえ、全てを一度に完璧にする必要はありません。まずは現状を見える化し、どこにリスクが潜んでいるのかを把握することが、最初の一歩になるでしょう。
ここで言う「見える化」とは、社内のセキュリティ状況を整理し、現状を正確に把握できる状態にすることです。
たとえば、以下のような項目が明らかになっていれば、「見える化ができている」と言えるでしょう:
・社内で使用されている端末の種類と台数、管理状況
・社員ごとのシステムやクラウドサービスへのアクセス権限
・退職者や異動者のアカウントが適切に処理されているか
・業務に使われている外部サービスやアプリの把握状況(シャドーITの有無)
こうした情報が整理されることで、「どこにリスクがあるのか」「何から手をつけるべきか」が見えてきます。
セキュリティ強化の第一歩は、こうした現状の棚卸しから始まります。
よくある悩み:セキュリティ強化が“止まってしまう”理由
現状を見える化したあと、多くの企業で直面しがちなのが「次の一手が分からない」という悩みです。
セキュリティ強化の必要性は理解していても、実際には何らかの製品を「導入しただけ」になってしまっているケースが少なくありません。
導入しただけで終わらないためには「何ができていて、何が止まっているのか」を整理することが、次の一手につながります。
セキュリティ対策は、導入して終わりではなく、自社の業務や体制に合わせて育てていくものです。
たとえば、以下のような状況に心当たりはないでしょうか?
・初期設定のまま使っている
導入時の設定をそのままにしていて、まさに「導入しただけ」の状態。
・自社に合ったポリシーが分からない
「どこまで設定すればいいのか」「何を基準に決めればいいのか」が分からず、自社の業務や体制に合ったポリシーや設定が適用できていない。
・アクセス権限の見直しがされていない
導入後に設定を見直すことなく、全社員に広い権限が与えられたままになっていたり、セキュリティ製品を導入したものの、情報漏えいのリスクを抱えたままになってしまっている。
・「ウイルス対策ソフトがあるから十分」と思っている
基本的な対策はできていると思い込んでいるが、近年の高度な攻撃には対応しきれない可能性がある。
こうした状況の背景には、「設定が複雑そう」「運用が大変そう」といった心理的なハードルがあるのも事実です。情シス担当者だけで課題を抱え込んでしまい、結果として「導入しただけ」で「止まってしまう」ことも多いのではないでしょうか。
たとえ上記のような実態であっても、その現状を認識することが重要です。
まずは何ができていて、何が止まっているのかを洗い出すことから、止まっているものを動かす一手を指し始めましょう。
解決のヒント:M 365を軸にしたセキュリティ強化のステップ
「何ができていて、何が止まっているのか」を整理したら、次は「できること」に目を向けてみましょう。
すでにM 365を導入している企業であれば、セキュリティ強化の土台は整っています。あとは、それをどう活かすかです。
M 365を軸に何ができるのか、考えてみましょう。
M 365は、メールやファイル共有などの業務効率化だけでなく、セキュリティ対策にも強みを持つクラウドサービスです。
ここに、IntuneやEntra IDといったMicrosoftのセキュリティ関連サービスを組み合わせることで、統合的な管理と運用が可能になります。
たとえば、以下を実施することで、セキュリティ課題を一つずつ解決していくことができるでしょう:
端末の管理と保護(Intune)
Intuneは、PCやスマートフォンなどの端末を一元管理できるサービスです。
社外への持ち出し端末にもセキュリティポリシーの適用ができ、紛失時の端末遠隔ロックやアプリの利用制限なども可能です。
IDとアクセス権限の管理(Entra ID)
Entra IDは、ユーザーのIDとアクセス権限を管理するサービスです。
入退社や異動に応じて柔軟にアクセス権限を設定できるため、不要なアクセスを防ぎ、情報漏えいリスクを減らせるでしょう。
エンドポイントの脅威検知と対応(EDR)
EDR(Endpoint Detection and Response)は、端末上での不審な操作や異常な挙動をリアルタイム検知し、迅速に対応できる仕組みです。
EDRを活用することで、脅威に侵入されても最終的な被害が発生する前に対応を行えるセキュリティ体制を構築することができるでしょう。
シャドーITへの対策
M 365の監査ログ機能を用いてユーザーの操作履歴を記録・確認することで、不審な動きや情報の外部流出の兆候を把握する手がかりとなり得ます。
また、条件付きアクセスの設定で社外ネットワークや未管理の端末からの想定外のアクセスを制限することで、意図しないサービス利用や情報漏えいのリスクを抑えられるでしょう。
もし、より本格的なシャドーIT対策をしたい場合には、Microsoft Defender for Cloud Appsの導入を推奨します。
ポリシー設定による自動化と運用負荷の軽減
各サービスには、セキュリティポリシーを自動で適用する機能があり、手動での対応を減らすことができます。
これにより、情シス担当者の負担を軽減しながら、継続的なセキュリティ運用が可能になります。
これらの取り組みは、全てを一度にやる必要はありません。
まずは、できるところから・見えるところから始めることが大切です。M 365を軸に、少しずつ整えていくことで、情シス担当者の負担を減らしながら、企業全体のセキュリティレベルを着実に高めていくことができるでしょう。
もし自社内で対応することに不安がある場合はクロス・ヘッドの情シス支援サービス「情シスSAMURAI」でもご支援が可能です。どうぞお気軽にご相談ください。
次の章では実際の事例をもとに、セキュリティ対策ができていなかった会社がどのようにしてセキュリティレベルを高めていったのか、「情シスSAMURAI」の実際のご支援事例からご紹介します。
実際の事例で見るM 365導入企業でのセキュリティ強化プロジェクト
実際にM 365を導入している企業がどのように社内のセキュリティ強化を推し進めていったのか、この章では実際の事例をご紹介します。
この会社の最初の環境や要望は以下でした。
・M 365を利用している
・社内に専任の情シス担当者はいない
・社用PCへのアプリケーションのインストールを制限したい
・セキュリティは強化したい
こちらの会社はセキュリティ強化を進めるにあたり、基準として必要となる「情報セキュリティ規程」も未整備でしたので、まずは情報セキュリティ規程を整備するところから開始しました。
そして、その整備したセキュリティ規程に基づいてセキュリティ強化を進めていきました。
実際に行ったセキュリティ強化支援の一部をご紹介します。
・Intuneによる社用PCと社用スマートフォンの統合管理
OSアップデートやポリシー適用、アプリ管理を一元化し、セキュリティの標準化を実現。
・Windows Hello for Businessとパスワードレス認証の利用+PINによるバックアップ
多要素認証(複数の方法で本人確認をする認証のしくみ)を用いてパスワードに依存しない環境を実現し、パスワードが盗まれるリスクを削減。
あわせて認証がうまくいかなかったときの回避策として、PIN(Personal Identification Number、個人用識別番号)によるバックアップ用の認証も設定。
・BitLockerによるドライブ暗号化
情報漏えいを防ぐために、社用PCなどの紛失・盗難対策としてHDDやSSDなどの暗号化を実施。
・Microsoft Defender for Endpoint P2 の活用
EDRの機能が含まれているので、端末で脅威検知と対応ができるように。
・Entra IDでシングルサインオン(一度のログインで、複数のサービスやアプリにアクセスできるしくみ)を実現
認証をEntra IDに集約することで利便性を維持しながらもログ監査やセキュリティポリシー適用が可能に。
・シャドーITの排除
条件付きアクセス制御と端末チェックによってM 365にアクセスできる端末を社用PCと社用スマートフォンのみに絞ることで、シャドーIT・不正アクセスを抑制することに成功。
先に申し上げた通り、上記は実際のご支援のほんの一部です。
この事例の場合は、情報セキュリティ規程の策定から始まり、周辺環境の整備やPCのセキュリティ、Intune設定等のご支援を経て上記のようなセキュリティ強化策へと進んでいきました。
まずは現状の見える化から始め、必要な対応を洗い出し、「やるべきこと」の実現に向けて1つ1つ施策を実施しています。
このセキュリティ強化のためのフローは、企業規模に関わらずたどることができるフローでしょう。
目指すセキュリティ強化に向けて、一歩ずつ遠回りでも必要なことから取り組むことで自社環境は堅牢になっていきます。
他社へのサイバー攻撃のニュースなどを見ると焦る気持ちは分かりますが、セキュリティ強化に必要なことは、必要な対策は何かを見極め、実現するために着実に施策を実施することではないでしょうか。
まとめ:セキュリティ強化は一歩ずつ
「セキュリティ強化、やらなきゃとは思っている。でも、何から始めればいいのか分からない」
そんな悩みを抱える情シス担当者の方にとって、最初の一歩はとても大きく感じられるものです。
ですが、今回ご紹介したように、M 365を導入している企業であれば、IntuneやEntra IDといったサービスを活用することで、端末管理やID・権限の整理、脅威への対応など、すぐに取り組めることがたくさんあります。
特別な準備や大がかりな投資が必ずしも必要なわけではありません。
設定の見直しやポリシーの適用といった、日々の業務に直結する小さな改善からでも、セキュリティ強化はできます。
「完璧な対策を考える」よりも、「今すぐにできることから始める」ことが、結果として大きなリスク回避につながっていくでしょう。
このコラムが、そんな一歩を踏み出すきっかけになれば幸いです。
こちらのページではセキュリティ対策支援に関するケーススタディをご紹介しています。
ぜひ、本コラムと併せてご覧ください。
『情シスSAMURAI』サービスページはこちらから
