働き方改革や生産性向上を背景に、規模を問わず企業導入が伸び続けている「Microsoft Office 365」。だがその利便性は非常に高いものの、セキュリティを強化したいという声も多く上がっている。そこで本稿ではOffice 365のセキュリティの悩み、4つの「あるある」を紹介。マイクロソフトのパートナーとして優れた実績を持つIIJに、より安全にOffice 365を使いこなす方法を聞いた。
働き方改革や生産性向上に向けた企業の取り組みが活発化している。「いつでもどこからでも働ける環境」を整備することはもはや大前提となり、さまざまなアプリケーションをクラウドで使いたいといったニーズが高まっている。
こうした中、規模を問わず急速に導入企業数を伸ばしているのが「Microsoft Office 365」(以下、Office 365)だ。周知の通り、Office 365はWord、Excel、PowerPointなどのOfficeアプリケーションを中心に、一連の機能をセットで提供している。
マイクロソフトのクラウドソリューションパートナーであるインターネットイニシアティブ(以下、IIJ) サービスプロダクト事業部 マイクロソフトサービス課 秋川智郁氏は次のように話す。
「クラウドサービスの利用が進む中で、さまざまなサービスをセットで提供してほしいというニーズが年々高まっています。それに応えているのがOffice 365です。その魅力はアプリケーションの豊富さ、導入のしやすさ、セキュリティ対策の簡単さという、大きく3つにあると言えるでしょう」
「アプリケーションの豊富さ」とは、メールやファイル共有などはもちろん、チャット、Web会議などを使って「いつでもどこでもコラボレーションできる」ことを、「導入のしやすさ」とは月額数百円からスタートして、「社員数やビジネス規模に応じて柔軟にプランを拡張できる」ことを意味する。そして「セキュリティ対策の簡単さ」とは、Office 365を利用することでマイクロソフトによる高度な情報保護を受けられることを指す。各種セキュリティ機能が自動的にアップデートされる点もクラウドサービスならではの特長だ。
ただ、Office 365の魅力はそれだけではない。Office 365がもともと備えている機能を基に、クラウドソリューションパートナー(CSP)がそれぞれの強みを生かし、独自の付加価値を付けて提供する「パートナープログラム」が大きな魅力となっている。
中でもインターネット黎明期からその発展を支え続けてきたIIJは、「マイクロソフト ジャパン パートナー オブ ザ イヤー」を2年連続で受賞するなど、認定パートナーとして優れた実績を持つ。Office 365についても、既存ユーザーや検討中の企業の声をくみ取り、さらに付加価値の高いソリューションを提供しているという。それが「Office 365 with IIJ」だ。
「クラウドサービスの利用に際し、企業にとって最大の懸念となっているのがセキュリティです。サイバー攻撃は年々巧妙化し、情報漏えい事件などが相次いでいる他、社内で対策を徹底していても、送信ミスなど人的ミスによって事故が起こる例も少なくありません。もちろん、Office 365自体も高度なセキュリティ対策が行われていますが、ユーザーの中には『Office 365の基本機能をさらに強化したい』という声が少なからずあるのです。そんな声に応えたのがOffice 365 with IIJです。月額料金はそのままで、メールセキュリティ機能を強化したOffice 365を利用することができます」
では具体的には、Office 365のメールセキュリティに対して、多くのユーザーは何を強化したいと考えているのだろうか? 以下ではユーザーから寄せられる「Office 365の強化したいポイント」と、Office 365 with IIJがそれをどう実現しているのか、秋川氏の回答を紹介しよう。
Office 365のメールセキュリティで最も多く寄せられる声が、「宛先を間違えて、メールに添付したファイルから情報が漏れてしまうことが心配」というものだ。もっともこれはクラウドサービスのメールアプリケーションに限った話ではないが、間違った宛先を指定したことに気付かずに重要なファイルを添付して送信してしまい、取り返しがつかない事態を招いてしまう例は少なくない。
「こうした誤送信による情報漏えいを防ぐために、Office 365 with IIJでは、添付ファイル自動暗号化機能を提供しています。メールの添付ファイルが自動で暗号化されるため、万一、重要なファイルが漏れた場合も、第三者が読むことはできません」(秋川氏)
仕組みとしてはこうだ。まず、メールの添付ファイルを自動でパスワード付きzipファイルに変換し、暗号化された状態で受信者に届ける。次に、暗号を解くパスワードを別のメールで受信者に届ける。受信者が中身を見るためには、添付ファイルとパスワードの両方が必要だ。そのため、万一宛先を間違えたときにはパスワードの送信を中止すれば、情報漏れを防ぐことができる。
ポイントは、自動暗号化により人的ミスを確実に防げる点にある。貴社の場合、どのような適用が考えられるのか、以下でより具体的な話を聞いてみてはいかがだろう。
最近、特に急増している悩みが「標的型メール攻撃対策」だという。かつてはメール経由でのサイバー攻撃に対しては「不審なメールは開かない」といった対策が取られることが多かった。確かに以前は、不審なメールには英語や中国語、不自然な日本語が使われるケースが多く、人が目で見て判断できることが多かった。
しかし、サイバー攻撃は巧妙化が進んでいる。自然な日本語で書かれている上、業務に関係のありそうな請求書が添付されているなど、意識していても、つい添付ファイルを開いてしまうケースが増えている。
「Office 365 with IIJでは、標準のセキュリティ機能に加え、IIJ独自のセキュリティ機能を使って、メール受信リスクを極小化しています。具体的には、5層にも及ぶフィルタリング機能で、なりすましメール、迷惑メール、ランサムウェア、標的型攻撃などをブロックします」(秋川氏)
IIJは実効性の高いセキュリティ戦略によって、さまざまな脅威から顧客企業のシステムを守り、そのセキュリティレベル向上に貢献してきた経験から、日本語環境に特有のマルウェアにも多くの知見を持つ。そのため、米国で開発されたサービスであるOffice 365においてすり抜けが多い日本語(2byte)メールについても、Office 365 with IIJでは高い検知率で判定することができる。正しいメールを不審なメールと判定してしまう、あるいはその逆のような誤判定対策も強化しており、標的型攻撃のリスクに惑わされることなく、安全に業務を遂行できる環境を整えられるという。日本語マルウェアの検知率など、より詳しくは以下から問い合わせてみてはいかがだろう。
これは「ニーズその1」の原因でもあるのだが、「宛先を間違えたまま送信してしまう」というのは実にありがちな事故だ。メール本文に機密情報が含まれていれば、添付ファイルがなくても情報漏えいにつながるリスクはある。
「そこでOffice 365 with IIJでは、うっかりミスによる誤送信を取り消す機能を提供しています。仕組みとしては、送信したメールを一定時間保留し、送信者へ宛先情報の再確認を促す通知を送ります。送信者はこの保留通知を確認した後で、即時送信や送信取り消しをあらためて行います。このように実際の送信までにいくつかのステップを設けることで、うっかりミスによる誤送信を防止できるようにします」(秋川氏)
なお、管理者は「保留時間」や「保留させたくないメールアドレス/ドメインの設定」「添付ファイルの有無・メールサイズによる設定」「保留時間経過後の処理」などさまざまなポリシーを使ってメール配信を簡単に設定できる。これにより、貴社の働き方に合わせてポリシーを変えることで、セキュリティと利便性を両立させることが可能だ。では貴社の場合、どのようなポリシー設定が考えられるのか、以下から相談してみてはいかがだろう。
ある程度、Office 365の導入検討が進んだ企業からは、「不正ログインの検知・防止力をさらにアップさせたい」という声がよく寄せられるという。Office 365では、管理画面から多要素認証(Multi-Factor Authentication)の設定を行うことができるため、一定の不正ログインの検知・防止が可能だ。
ただ、働き方改革や生産性向上の取り組みが進展すると、Office 365と他のクラウドサービスも合わせたシングルサインオン環境を整備したい、部門ごとにID管理やアクセス制限を行いたいといったニーズが生じることが多い。システム的にも社内のActvie Directoryとの連携が必要になるなど、Office 365の標準機能だけではカバーできないシーンが増えてくる。
「そうした高度なニーズを満たすためにオプションとして提供しているのがクラウド型のID管理サービス『IIJ IDサービス』です。アクセス元IPアドレス制限を施し、事務員や派遣社員など内勤者は社外からのアクセスを限定したり、逆に社外利用を許可した営業部門の従業員に対してログイン時に本人確認を追加で求める多要素認証機能を追加したりすることができます。不正ログインの検知・防止を行い、認証セキュリティをさらに強化することが可能です」(秋川氏)
従業員の多様な就業形態に合わせながら、いつでもどこからでも「安全に」働ける環境を整えるためには不可欠な機能といえるだろう。貴社の場合、どのような適用が効果的なのか、ぜひ以下から問い合わせてみてほしい。
冒頭で述べたように、働き方改革や生産性向上の取り組みは、複数のアプリケーションやクラウドサービスを組み合わせることがポイントになる。その点、一連のアプリケーションとセキュリティの基本機能がセットで提供されるOffice365は取り組みを進める上で大きなメリットをもたらすものだ。とはいえ、自社業務のビジネス環境、守るべきデータ、従業員のリテラシーなどは各社各様。取り組みが進むにつれて、基本機能だけでは“自社特有のセキュリティニーズ”を満たせないケースが生じてくる。そこで役立つのがIIJのサービスというわけだ。
前述のように、Office 365 with IIJは、追加料金なしでOffice 365にメールセキュリティ強化機能をプラスできる。さらに、IIJ IDサービスを利用して認証セキュリティも強化することができる。換言すれば、“Office 365の利便性をさらに引き出し、安全に使いこなせる環境”を追加料金なしで整えられる。
では貴社の場合、Office 365の魅力をより安全に享受する上では何が足りないのか、Office 365に興味はあるが何が一番の懸念事項なのか、貴社独自の状況や悩みを基に、IIJに直接聞いてみてはいかかだろうか。きっと貴社のニーズに親身になって寄り添った、懇切丁寧な回答がすぐに返ってくるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社インターネットイニシアティブ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年9月26日
そんな方はこちらからお問い合わせください!