【チェックリスト付き】Microsoft 365 セキュリティ初期設定ガイド|導入直後にやるべき15項目
Microsoft 365を導入したものの、初期設定のまま運用していませんか?
デフォルト設定のままでは、外部への情報漏洩やアカウント乗っ取りのリスクが残ります。本記事では、導入直後に確認・設定すべきセキュリティ項目を15のチェックリストにまとめました。IT担当者の方は、上から順にチェックしてみてください。
認証・アクセス制御(5項目)
□ 1. セキュリティの既定値群(Security Defaults)を有効化する
Azure AD(Entra ID)の「セキュリティの既定値群」を有効にすると、全ユーザーにMFAが要求されます。有料ライセンスがなくても利用でき、最も手軽にセキュリティレベルを引き上げられる設定です。Entra ID管理センター > プロパティ > セキュリティの既定値群から有効化できます。
□ 2. 全ユーザーのMFA(多要素認証)を有効化する
パスワードだけの認証では、フィッシングや総当たり攻撃に対して無力です。Microsoft Authenticatorアプリを全社員のスマートフォンにインストールし、MFAを有効にしましょう。Microsoftの公式データでは、MFAによりアカウント侵害の99.9%を防止できるとされています。
□ 3. 管理者アカウントに条件付きアクセスを設定する
グローバル管理者など特権アカウントには、条件付きアクセスポリシーで追加の制御をかけます。信頼できるIPアドレスからのみアクセスを許可し、準拠デバイスを必須にすることで、管理者アカウントの乗っ取りリスクを大幅に低減できます。
□ 4. 管理者アカウントのMFAを個別に確認する
セキュリティの既定値群を使わず条件付きアクセスに移行した場合、管理者アカウントが意図せずMFA対象外になっているケースがあります。Entra ID管理センターで管理者ロールを持つ全ユーザーのMFA状態を確認してください。
□ 5. セッションタイムアウトを適切に設定する
ブラウザ版のMicrosoft 365は、デフォルトではセッションが長時間維持されます。共有PCを使う環境では、アイドルタイムアウトを設定し、一定時間操作がない場合にサインアウトするようにしましょう。Entra IDの条件付きアクセスで「サインイン頻度」を制御できます。
メール・コミュニケーション(4項目)
□ 6. SPF・DKIM・DMARCを設定する
なりすましメール対策の三本柱です。SPFは送信元サーバーの正当性、DKIMはメール内容の改ざん防止、DMARCは認証失敗時のポリシーを定義します。DNSレコードへの追加が必要ですが、一度設定すれば自動的に機能します。詳しい設定手順はDMARC・DKIM・SPF完全ガイドをご覧ください。
□ 7. メールボックスの自動転送を無効化する
Exchange Onlineのデフォルト設定では、ユーザーが外部アドレスへのメール転送を自由に設定できます。攻撃者がアカウントを乗っ取った際に、メールを外部に転送して情報を窃取する手口は非常に一般的です。Exchange管理センターで外部への自動転送をブロックしましょう。
□ 8. 迷惑メール・フィッシング対策ポリシーを強化する
Exchange Online Protection(EOP)の既定ポリシーに加え、安全なリンクポリシーと安全な添付ファイルポリシーを有効にします。Microsoft 365 Business Premiumを利用している場合は、Defender for Office 365の機能を活用できます。
□ 9. アラートポリシーを設定する
不審なサインインや大量のメール送信が検知された場合に通知を受け取る設定です。Microsoft 365 Defenderのアラートポリシーで、管理者への通知を有効にしてください。異常を早期発見することで、被害の拡大を防げます。
データ保護・共有制御(4項目)
□ 10. SharePoint/OneDriveの外部共有設定を見直す
デフォルトでは、ユーザーが外部の誰とでもファイルを共有できる設定になっている場合があります。SharePoint管理センターで外部共有のレベルを適切に制限しましょう。「既存のゲストのみ」や「組織内のユーザーのみ」に制限することを推奨します。
□ 11. ゲストアクセスポリシーを設定する
TeamsやSharePointにゲストを招待する場合のルールを明確にします。ゲストの招待を管理者のみに制限し、招待可能なドメインをホワイトリストで管理することで、意図しない外部ユーザーの参加を防止できます。
□ 12. DLP(データ損失防止)の基本ポリシーを設定する
マイナンバーやクレジットカード番号など、機密情報が含まれるファイルの外部共有をブロックするポリシーを作成します。Microsoft Purviewコンプライアンスセンターから設定でき、まずはテストモードで運用し、誤検知を調整してから適用モードに切り替えるのがおすすめです。
□ 13. Microsoft Defenderの推奨設定を適用する
Microsoft 365 Business Premium以上をご利用であれば、Defender for Endpointの基本設定を確認してください。自動調査と応答(AIR)を有効にし、攻撃面の縮小ルールを適用することで、マルウェア感染リスクを低減できます。
監視・管理(2項目)
□ 14. 監査ログを有効化し保持期間を設定する
統合監査ログはデフォルトで有効ですが、保持期間はライセンスによって異なります。インシデント発生時の調査に必要不可欠なため、ログが有効になっていることと保持期間を確認してください。詳しくはMicrosoft 365監査ログガイドで解説しています。
□ 15. Secure Scoreを確認し改善計画を立てる
Microsoft Secure Scoreは、テナントのセキュリティ状態を数値で評価する機能です。Microsoft 365 Defenderポータルからアクセスでき、スコアの改善に必要なアクションが優先度付きで表示されます。まずは現在のスコアを確認し、推奨事項の上位から対応していきましょう。
管理者ロールの見直し
上記15項目に加えて、グローバル管理者の数を最小限にすることも重要です。必要な権限だけを付与する「最小権限の原則」を適用し、Exchange管理者・SharePoint管理者など役割別の管理者ロールを活用してください。
まとめ
Microsoft 365のセキュリティ設定は、導入直後に一度対応するだけで大幅にリスクを低減できます。本記事の15項目をチェックリストとして活用し、自社の設定状況を確認してみてください。
すべてを一度に対応する必要はありません。MFA有効化とメール転送制御は即日対応し、DLPや条件付きアクセスは計画的に進めるのが現実的なアプローチです。
「自社で対応するのは難しい」「設定が正しいか不安」という場合は、情シス365のIT運用代行サービスをご活用ください。Microsoft 365のセキュリティ設定から運用監視まで、経験豊富なエンジニアがサポートいたします。