「Microsoft セキュアスコア」を経営層への報告に使う方法 ― セキュリティ対策の進捗を数値で可視化する
「セキュリティ対策の状況を経営会議で報告してほしい」と言われたとき、何を見せればいいでしょうか。技術的な設定項目を並べても経営層には伝わりません。
Microsoft セキュアスコアは、Microsoft 365テナントのセキュリティ対策の充実度をパーセンテージで可視化するダッシュボードです。「現在のスコアは72%、業界平均は65%、3ヶ月前から8ポイント改善」のように、セキュリティの現状と改善の進捗を1つの数値で伝えられます。
セキュアスコアとは
Microsoft Defenderポータル(security.microsoft.com)に標準搭載されている無料の機能です。テナント内のセキュリティ設定を自動的にスキャンし、Microsoftの推奨設定との差分をスコア化します。
スコアは「達成済みのポイント / 達成可能な最大ポイント」のパーセンテージで表示されます。100%はすべての推奨設定が完了している状態を意味しますが、現実的には環境や要件によって適用できない項目もあるため、70〜80%が多くの企業にとっての現実的な目標です。
評価される主な項目
セキュアスコアは以下のカテゴリで評価されます。
ID(Entra ID): MFAの有効化率、セキュリティ既定値群の設定、条件付きアクセスポリシーの適用状況、管理者ロールの最小化
データ: DLPポリシーの設定、秘密度ラベルの導入、SharePointの外部共有設定
デバイス: Intuneの登録率、コンプライアンスポリシーの適用、BitLockerの有効化率
アプリ: Defender for Office 365の設定(フィッシング対策、安全なリンク、安全な添付ファイル)、メール認証(SPF/DKIM/DMARC)
経営層への報告で使うポイント
スコアの推移を見せる
単発のスコアより「3ヶ月間の推移」が説得力を持ちます。セキュアスコアのダッシュボードには過去90日間の推移グラフが表示されるため、これをスクリーンショットして経営報告資料に貼り付けるのが最もシンプルな方法です。
「前回報告時65% → 今回72%。MFAの全社展開と条件付きアクセスの導入で7ポイント改善」のように、スコアの変化と実施した施策を紐付けて報告します。
業界比較を添える
セキュアスコアのダッシュボードには「同業他社との比較」が表示されます(Microsoftが匿名で集計した業界平均)。「当社72%、同業界平均65%」のように比較することで、自社の立ち位置を経営層に伝えられます。
改善推奨アクションをロードマップにする
セキュアスコアには「推奨される改善アクション」の一覧が表示され、各アクションの影響度(スコアへの貢献ポイント)が記載されています。これを「次の四半期で実施する施策」としてロードマップにすれば、セキュリティ投資の優先順位を経営層と合意するための資料になります。
報告テンプレート例
■ セキュリティ対策 四半期レポート(2026年Q1)
現在のセキュアスコア: 72%(前四半期: 65%、+7pt)
同業界平均: 65%
【今四半期に実施した施策】
・全社員へのMFA展開完了(+3pt)
・条件付きアクセスポリシー導入(+2pt)
・SPF/DKIM/DMARCの設定完了(+2pt)
【次四半期の計画】
・Intuneによるデバイス管理の導入(見込み+4pt)
・DLPポリシーの設定(見込み+3pt)
目標: 次四半期末までに78%到達注意すべきポイント
スコアを絶対視しない: セキュアスコアはあくまでMicrosoftの推奨設定との合致度であり、「実際のセキュリティの強さ」とイコールではありません。スコアが高くても、社員のセキュリティ意識が低ければフィッシング被害は防げません。
100%を目指す必要はない: 一部の推奨項目は自社の業務に合わない場合(たとえば外部共有を完全に禁止できない等)があります。そうした項目は「対象外」に設定してスコアの分母から除外できます。
ライセンスでスコアの範囲が変わる: E5ライセンスの機能(Insider Risk Management、エンドポイントDLP等)に関する項目は、E5がなければ「対象外」となります。ライセンスに含まれる範囲で最大限のスコアを目指すのが現実的です。
まとめ
セキュアスコアは「セキュリティ対策の進捗を経営層に報告するための共通言語」です。追加コストゼロで利用でき、スコアの推移、業界比較、改善ロードマップを組み合わせれば、経営層が理解しやすい報告資料が作れます。
情シス365では、セキュアスコアの改善計画の策定、経営報告資料の作成支援を行っています。お気軽にご相談ください。