Microsoft 365のセキュリティ運用ガイド ― 中小企業が実施すべき日常・月次・年次のタスク一覧
Microsoft 365を導入した中小企業の多くが、「導入時に初期設定は行ったが、その後のセキュリティ運用は何もしていない」という状態に陥っています。
初期設定だけでは、セキュリティは維持できません。新しい脅威は日々発生し、社員の入退社やシステムの変更によって設定は徐々に形骸化します。Microsoft 365のセキュリティを維持するためには、日常的な監視、定期的なレビュー、継続的な改善の運用サイクルが必要です。
この記事では、Microsoft 365のセキュリティ運用を「毎日やること」「毎月やること」「年に1〜2回やること」の3段階に整理し、中小企業のIT担当者(または外部の情シス代行)が実施すべきタスクを一覧にまとめます。
初期設定がまだの場合は、先にMicrosoft 365を導入したら最初にやるべき設定15選を確認してください。
日常タスク(毎日〜週次)
サインインログの確認
Microsoft Entra ID(旧Azure AD)のサインインログを確認し、不審なアクセスがないかをチェックします。確認ポイントは、見覚えのない国や地域からのアクセス、深夜や休日のアクセス、サインイン失敗が大量に発生しているアカウント、条件付きアクセスポリシーでブロックされたアクセスの4つです。
Microsoft Entra管理センター → サインインログ で確認できます。毎日の目視確認が理想ですが、最低でも週1回は確認しましょう。不審なアクセスを自動検知するには、Microsoft 365 Business PremiumのEntra ID P1の条件付きアクセスポリシーを活用します。
セキュリティアラートの対応
Microsoft 365 Defenderポータルに表示されるセキュリティアラートを確認し、対応します。多くはフィッシングメールの検知や不審なサインインの警告ですが、放置すると重大なインシデントにつながる可能性があります。
アラートが発報されたら、まずその内容を確認し、真のリスクか誤検知かを判断します。誤検知の場合は除外ルールを設定し、真のリスクの場合はアカウントのパスワードリセット、該当端末の隔離などの対処を行います。
メールセキュリティの監視
Exchange Online Protection(EOP)の検疫レポートを確認し、正常なメールが誤ってブロックされていないか、逆に不審なメールが通過していないかをチェックします。ユーザーから「メールが届かない」という問い合わせがあった場合も、検疫に入っている可能性があります。
アカウントの入退社対応
新入社員のアカウント作成、退職者のアカウント無効化は、発生の都度速やかに対応します。退職者のアカウントは、退職日当日に無効化するのが理想です。退職者のメールボックスは、共有メールボックスに変換するか、訴訟ホールドを設定して一定期間保持した後に削除します。
入退社時のIT手続きの自動化については、Power Automateで入退社手続きを自動化する方法で解説しています。
月次タスク
MFA登録状況の確認
全ユーザーのMFA登録状況を確認し、未登録のユーザーがいないかをチェックします。新入社員がMFA登録を完了していない、MFAの認証方法がSMSだけで認証アプリに移行していないといったケースを検出します。
ライセンスの棚卸し
Microsoft 365のライセンス割り当て状況を確認します。退職者にライセンスが割り当てられたまま(無駄なコスト)、新入社員に適切なプランが割り当てられていない、といった問題を発見・是正します。
SharePointの外部共有設定の確認
SharePoint OnlineとOneDriveの外部共有設定が意図せず緩くなっていないかを確認します。「全員(匿名リンク)」での共有が許可されている場合、機密ファイルが外部に公開されるリスクがあります。月次で外部共有されているファイルの一覧を確認し、不要な共有を解除しましょう。
管理者アカウントの監査
グローバル管理者、Exchange管理者、SharePoint管理者など、特権アカウントの一覧を確認します。退職者や異動者の管理者権限が残っていないか、管理者アカウントが必要最小限になっているかをチェックします。グローバル管理者は2〜3名に限定し、日常業務には使用しないルールを徹底します。
セキュリティスコアの確認
Microsoft 365 Defenderポータルの「セキュリティスコア」を月次で確認します。セキュリティスコアはMicrosoftが推奨するセキュリティ設定への準拠度を数値化したもので、改善すべき項目が優先度付きで表示されます。スコアの推移を記録し、毎月1〜2項目ずつ改善していくのが現実的です。
Windows更新プログラムの適用状況
IntuneまたはWindows Update for Businessを使って、全PCのWindows更新プログラムの適用状況を確認します。適用が滞っている端末がないかをチェックし、必要に応じて手動での適用を促します。
年次タスク(半年〜年1回)
セキュリティポリシーの見直し
パスワードポリシー、条件付きアクセスポリシー、端末管理ポリシーなど、Microsoft 365上のセキュリティポリシー全体をレビューします。新しい脅威のトレンド、業務の変化、組織変更に合わせてポリシーを更新します。
アクセス権限の棚卸し
SharePoint、Teams、Microsoft 365グループのメンバーシップとアクセス権限を全面的に棚卸しします。異動や組織改編で不要になった権限が残っていないか、退職者が含まれるグループがないかを確認します。Entra IDのアクセスレビュー機能を使えば、各グループのオーナーに自動的にレビューを依頼できます。
ディザスタリカバリ計画のテスト
Microsoft 365のバックアップからデータを復元できるかを実際にテストします。メールボックスの復元、SharePointサイトの復元、OneDriveファイルの復元をそれぞれ試行し、手順書を最新化します。
バックアップの必要性についてはMicrosoft 365のバックアップは必要か?で解説しています。
セキュリティ研修の実施
全社員向けのセキュリティ研修を年1回以上実施します。Microsoft 365の攻撃シミュレーション機能(Attack Simulation Training)を使えば、フィッシングメールの模擬訓練を実施でき、引っかかった社員には自動的に追加の研修コンテンツが提供されます。
研修プログラムの設計方法は中小企業のセキュリティ研修で解説しています。
Microsoft 365の新機能・変更点のキャッチアップ
Microsoftは毎月のようにMicrosoft 365の機能を更新しています。セキュリティに関連する新機能(Copilotのセキュリティ設定、DLPの機能拡張など)や、廃止予定の機能をキャッチアップし、自社の運用に反映します。Microsoft 365管理センターの「メッセージセンター」と、Microsoft 365のロードマップサイトを定期的に確認しましょう。
運用を継続するためのポイント
チェックリスト化する
上記のタスクをExcelやSharePointリストでチェックリスト化し、「誰が」「いつ」「何を」実施したかを記録します。チェックリストがあれば、担当者が変わっても運用を引き継げます。
ひとり情シスの年間業務スケジュールはひとり情シスの年間業務カレンダーで公開しています。
アラートの自動化
すべてを人手で監視するのは非効率です。Microsoft 365の機能を使って、不審なサインイン、管理者権限の変更、大量のファイルダウンロードなどを自動でアラート通知する仕組みを構築しましょう。
外部サービスを活用する
中小企業のIT担当者が上記のタスクをすべて自前でカバーするのは現実的に困難です。情シスアウトソーシングを活用すれば、Microsoft 365のセキュリティ運用を専門チームに委託できます。日常の監視からインシデント対応まで、月額固定で安定した運用が可能です。
まとめ
Microsoft 365のセキュリティは「導入して終わり」ではなく、日常・月次・年次の運用サイクルを回し続けることで維持されます。サインインログの監視、アカウント管理、アクセス権限の棚卸し、ポリシーの見直し、セキュリティ研修——これらのタスクを組織的に実施する体制が必要です。
自社で運用体制を組めない場合は、情シスアウトソーシングの活用が現実的な解決策です。情シス365では、Microsoft 365のセキュリティ運用を含む情シス代行サービスを月額18万円〜で提供しています。