April 16, 2020 7:47 am

Microsoft 365 Business でリモート ワーカーのセキュリティを確保

※ 本ブログは、米国時間 4/10 に公開された “Using Microsoft 365 Business to secure your remote workforce” の抄訳です。

私たちは日々、この特殊な状況を乗り切ろうと懸命に取り組んでいます。今、中堅中小企業のお客様やパートナー様が抱える最重要課題は、従業員の在宅勤務を継続しながら事業も継続していくにはどうすればよいかということではないでしょうか。

在宅勤務中でも生産性の高い業務とコラボレーションを行うにあたり、セキュリティを犠牲にする必要はありません。今回のブログ記事では、従業員がリモート ワークをする際に生産性を確保する最適なアプローチをお伝えすると共に、Microsoft 365 Business ですぐに生産性を確保する方法を重点的にご紹介します。

Microsoft 365 Business は、従業員 300 名以下の中堅中小企業のお客様に特化したコラボレーション製品とエンタープライズ レベルのセキュリティ ツールを組み合わせた包括的なスイートです。お馴染みの Office 生産性アプリと高度なセキュリティ機能が備わっているため、サイバー攻撃からビジネスを防御し、企業データを守り、デバイスを保護します。

Microsoft 365 Business でアクセス、デバイス、データを保護する

自宅から仕事の資料にアクセスしようとしている従業員にシームレスかつ生産的な作業環境を提供するには、アクセスの保護、デバイス (Windows PC、Mac、モバイル デバイス) の保護、データの保護の観点からセキュリティ対策を実施されることをお勧めします。Microsoft 365 Business は、この 3 つのカテゴリにおいて強固なセキュリティ基盤を提供します。詳しく見ていきましょう。

  1. アクセスの保護: 在宅勤務を行ううえで最も重要なことは、ユーザーが安全な方法で、場所やデバイスに関係なく、リモートからシステムにアクセスできるようにすることです。Microsoft 365 Business の以下の機能をご利用になると、最適にその環境を実現することができます。お客様の組織のニーズに基づき、以下の機能の一部、またはすべてを有効化できます。
    • 多要素認証 (MFA): 自社のシステムまたはデータにログインする際に、ユーザーの身元を複数の認証方法で確認することにより、セキュリティを強化します。たとえば、ユーザーはユーザー名とパスワードでログインするだけでなく、コードの入力や電話の応答を求められます。この複数段階での認証により、フィッシング攻撃などでユーザー名とパスワードが漏えいしたとしても、従業員以外は自社環境にアクセスできません。MFA の設定の詳細についてはこちらをご確認ください。
    • 条件付きアクセス: この機能を使用すると、場所、アプリ、デバイスの状態、ユーザーの状態に基づいて自社環境へのアクセスが制御されます。たとえば、ビジネスを展開していない国からだれかがログインしようとした場合にアクセスをブロックするポリシーを作成したり、認識されていないデバイスや侵害されたおそれのあるデバイスからユーザーがログインしょうとした場合に条件付きアクセスを使用してアクセスを制限したりできます。条件付きアクセスは、ユーザー名とパスワードだけの単純なものではなく、複数の基準に基づいてアクセスを保護する機能です。
    • Azure AD アプリケーション プロキシ: 多くの企業はビジネス クリティカルなアプリケーションをオンプレミスで実行しています。そうしたアプリケーションには企業ネットワークの外からはアクセスできません。Azure AD アプリケーション プロキシでは、これらのアプリケーションを外部に発行できます。自社ネットワークへの広範なアクセスを許可することなく、オンプレミスのアプリケーションへのインターネット アクセスを可能にする軽量のエージェントです。Azure AD アプリケーション プロキシの有効化についての詳細はこちらをご確認ください。
    • Windows Virtual Desktop (WVD): アプリに医療情報や財務情報などの機密情報が含まれており、在宅勤務のユーザーが安全にそのデータにアクセスできるようにしたい場合、WVD を使用するとこのシナリオを簡単に実現することができます。WVD はユーザーがリモートでアクセスする仮想デスクトップを作成します。従業員はリモートの仮想化されたセッションの情報のみにアクセスでき、ローカルのワークステーションにデータを保存することはできません。WVD についての詳細は、Microsoft Mechanics の動画 (英語) をご確認ください。
  2. デバイスの保護: 従業員はさまざまなノート PC、デスクトップ、モバイル デバイスを使用して企業データにアクセスし、業務を行なっています。ユーザーがデバイスからビジネスの機密情報を扱う際に、これらすべてのデバイスのセキュリティを維持しなくてはなりません。Microsoft Intune は Microsoft 365 Business に含まれており、PC とモバイル デバイスの管理に役立ちます。詳しく見ていきましょう。
    • Intune で PC を管理: セキュリティを維持するには、従業員が企業ネットワークの外にいる間も、業務用のデバイスを最新のセキュリティ更新プログラムによって最新の状態に維持する必要があります。Intune はこれらのデバイスを最新の状態に維持できるだけでなく、セキュリティ ポリシーの適用やリモートでのデバイスのデータ消去などの機能を使って PC を完全に管理することも可能です。Microsoft 365 Business では、自社環境にアクセスする Windows 10 PC に事前構成済みのデバイス ポリシーを適用することができます。たとえば、Windows Defender ウイルス対策の有効化や、ランサムウェアからの重要なフォルダーの保護の有効化などがあります。
    • Intune でモバイル デバイスを管理: Intune はモバイル デバイスの管理にも役立ちます。自社環境にアクセスするモバイル デバイスをどの程度制御するかなど、柔軟な設定が可能です。従業員が個人所有のモバイル デバイスを使用する Bring Your Own Device (BYOD) の状況では、個人デバイスを完全に制御することなく、ユーザーがアクセスしている企業データを保護したいところです。このような場合、Intune のアプリ保護ポリシーを使用すると、デバイス上の企業データ (メール、Teams、OneDrive) を保護できます。反対に、ユーザーのモバイル デバイスを完全に制御したい場合は、Intune のモバイルデバイス管理にデバイスを「登録」すると、デバイス設定を完全に制御し、セキュリティ ポリシーを設定できます。
        • Intune のアプリ保護ポリシー: このポリシーを使用すると、ユーザーが Office Mobile アプリ上の企業データやドキュメントを個人用アプリまたは個人用ストレージにコピー、貼り付け、保存することが制限されます。デバイスの登録は一切必要ありません。たとえば、こうしたポリシーを適用すると、ユーザーが顧客データのスプレッドシートを個人用ファイルに保存することができなくなります。企業データは承認済みのアプリと承認済みの場所に保存されるため、個人所有のデバイスが紛失や盗難に遭った場合、この情報は個人の写真、アプリ、データに影響を与えることなく選択的にワイプできます。これらのポリシーは Microsoft 365 Business 管理コンソールを通じて簡単に有効化できます。
        • Intune モバイル デバイス管理: アプリ保護ポリシーを超える強力なモバイル デバイス ポリシーを適用したい場合は、Intune のモバイル デバイス管理のすべての機能を有効化できます。そうすると、スクリーンショットの禁止など、デバイス中心の詳細なセキュリティ ポリシーを適用できます。これを実行するには、iOS または Android デバイスを登録する必要があります。
  3. データの保護: リモート ワークのシナリオを実現するうえでもう 1 つの重要なステップは、企業データを確実に保護することです。サイバー犯罪者は現在の状況に合わせて戦術を変えるため、サイバー攻撃から防御し、フィッシングを回避するためのポリシーを有効化することが賢明です。また、社会保障番号、顧客のクレジット カード情報、個人情報 (PII) などの機密データを確実に保護し、アクセスと共有を制御するためのポリシーを設定することも不可欠です。
    • Office 365 Advanced Threat Protection: Microsoft Security Research による最近の調査では、新型コロナウイルス感染症 (COVID-19) に乗じた日々のマルウェアやスパムが急増している (英語) ことがわかっています。Office 365 ATP は、従業員や顧客の情報を侵害することをねらった、メール、OneDrive、Teams に仕掛けられる巧妙なフィッシングやランサムウェアの攻撃からビジネスを保護します。Office 365 ATP は以下の方法でユーザーを保護します。
      • メール、OneDrive、Teams の添付ファイルの高度なスキャン: AI を活用した分析により、危険なメッセージを検出し、破棄する
      • メール、ドキュメント、Teams 内のリンクの自動チェック: フィッシング スキームが含まれているかどうかを判断し、ユーザーが安全でない Web サイトにアクセスするのを防止する
      • スプーフィング対策インテリジェンス: ユーザーにメールが組織内のエンティティから送信されたものだと思い込ませようとするドメインの偽装に対して警告する
        Office 365 ATP 機能の有効化についての詳細はこちらをご確認ください。
    • データ損失防止 (DLP): 在宅勤務中の従業員が誤って機密情報を共有するリスクが高まることが心配な場合に役立つ機能です。機密情報を特定、監視し、メールやドキュメントで意図しない共有が行われないよう、保護することができます。DLP は、クレジット カード番号、政府発行の識別番号、生年月日、ロケール固有の個人情報 (PII) まで、組織外のユーザーとやり取りされた機密情報の種類を検出します。DLP ポリシーの設定についての詳細はこちらをご確認ください。
    • Exchange Online Archiving: これは、すべての企業データを安全に保持し、デバイスの紛失や盗難、インフラストラクチャの障害が発生した場合や、訴訟やコンプライアンスの義務の遵守のために保存するのに役立ちます。Exchange Online Archiving は、メッセージとドキュメントを簡単にアーカイブ化し、いつでもどこでもアクセスできるようにして、データを保護します。削除されたアイテムなどのユーザー情報は保存され、後から電子情報を開示したり復元したりすることができます。データ保持ポリシーの設定についての詳細はこちらをご確認ください。

リモート ワークのセキュリティ面における取り組みを継続しているという方も、まだ取り組み始めたばかりという方も、Microsoft 365 Business なら在宅勤務の従業員の皆様のセキュリティと管理性を確保するプロセスを簡素化できます。Microsoft 365 Business についての詳細は、aka.ms/m365b をご確認ください。

Join the conversation