の作り方:正答率と引用で成果を可視化する方法-770x520.png)
-770x520.png)
のセキュリティ設定を点検する方法-840x560.png)
Contents
クラウドのセキュリティ点検が必要な理由(「設定したつもり」が一番危険)
Microsoft 365やGoogle Workspaceは、導入しただけで自動的に万全のセキュリティになるわけではありません。多くの事故は「権限が広すぎた」「二要素認証が未徹底だった」「外部共有のルールが曖昧だった」といった、設定と運用のすき間から起きます。特にクラウドは、社内ネットワークに閉じていた時代と違い、ログインさえできれば社外からでも触れてしまうため、アカウントの守り方がそのまま会社の守り方になります。
たとえば次のような状況は、どの企業でも起こりがちです。退職者のアカウントが残っている、委託先に渡したアカウントの権限が強いまま、ファイル共有リンクが「誰でも閲覧」のまま期限なし、管理者が複数いるが役割分担がない、監査ログを見ていない。これらは個別に見ると小さな設定に見えますが、組み合わさると情報漏えい・ランサムウェア・なりすまし(ビジネスメール詐欺)などの引き金になります。
点検は「詳しい人がいないと無理」と思われがちですが、実際は重要ポイントを絞って定期的に確認すれば、大半のリスクは下げられます。本記事では、情シスが少人数の中小企業や、予算はあるがクラウド運用に不慣れな担当者でも実務に落とせるよう、Microsoft 365とGoogle Workspaceの両方に共通する観点で、点検の進め方を整理します。
本記事で扱う「点検」のゴール
- アカウント乗っ取りに強い状態(認証・権限・ログ)になっている
- 情報が「うっかり外部」に出ない状態(共有・端末・持ち出し)になっている
- 事故が起きたときに追跡できる状態(監査・アラート・復旧)が整っている
3分でできる! 開発費用のカンタン概算見積もりはこちら
点検前に決めること(基準がないと「良し悪し」が判断できない)
設定を見に行く前に、まず「どこまで守るか」の基準を決めます。クラウドのセキュリティは、機能を全部オンにするほど良いわけではなく、業務の止まりやすさ(利便性)とのバランスが必要です。基準がないと、担当者が画面を見ても「これで良いのか」が判断できず、結局放置されがちです。
最低限、次の3つを言語化しておくと点検が進みます。第一に「守る対象」です。顧客情報、見積・契約書、設計資料、ソースコード、人事・給与など、流出したときの影響が大きい情報をリスト化します。第二に「業務上の例外」です。たとえば営業が外部と頻繁にファイル共有する、現場が個人スマホを使う、委託先が開発環境にアクセスする等、例外を把握しておくと、禁止ではなく統制(ルール化)に落とせます。第三に「責任分界」です。誰が管理者で、誰が承認者で、誰が定期点検するか。役割が曖昧だと、アカウント整理や共有ルールがいつまでも未整備になります。
また、点検の単位は「人」「端末」「データ」「外部連携」の4つに分けると抜け漏れが減ります。Microsoft 365ならEntra ID(旧Azure AD)と各管理センター、Google Workspaceなら管理コンソールが入口です。どちらも設定項目が多いので、最初から完璧を目指さず、高リスク領域を優先して段階的に改善する方が現実的です。
おすすめの点検頻度
- 毎月:新規/退職/委託先のアカウント、管理者権限、外部共有の増加
- 四半期:MFA・条件付きアクセス(相当)の例外、端末管理の抜け
- 半年〜年次:監査ログの保存方針、復旧手順(バックアップ/保持)の見直し
アカウントと認証の点検(MFA徹底+「例外」を潰す)
クラウド事故の入口は、ほぼアカウントです。まず確認したいのは多要素認証(MFA)の適用状況です。Microsoft 365ではユーザーのサインイン方法(Microsoft Authenticator等)と、条件付きアクセスで「どの状況で追加認証を必須にするか」を制御します。Google Workspaceでも2段階認証と、強制の範囲(組織部門やグループ)を管理します。重要なのは「一部ユーザーだけ未設定」「古い例外が残っている」状態をなくすことです。
次に、管理者アカウントの扱いです。管理者は攻撃者にとって最優先ターゲットなので、一般ユーザーと同じ運用にしてはいけません。理想は「日常業務用の通常アカウント」と「管理作業専用アカウント」を分け、管理作業専用アカウントはメールやチャットに使わないこと。さらに、管理者に付与されるロール(役割)が必要最小限になっているかを確認します。複数人が何でもできる状態は、内部不正だけでなく、誤操作のリスクも上がります。
そして見落としがちな点が、サインインの「怪しさ」を検知できているかです。海外IPからのログイン、短時間での大量失敗、あり得ない移動(短時間で日本と海外から同一アカウントでログイン)など、兆候はログに出ます。Microsoft 365ならサインインログ/監査ログ、Google Workspaceならログイベントを確認し、必要に応じてアラートを設定します。ログは見ないと意味がないので、週1回でも良いので見る担当と手順を決めておきましょう。
アカウント点検チェックリスト(共通)
- MFAが全員に強制されている(例外が棚卸しされ、期限付きで管理)
- 管理者アカウントは最小人数・最小権限、可能なら管理専用アカウントを分離
- 退職者・異動者・委託先アカウントの停止/削除が即日で行われる
- 外部アカウント(ゲスト/共有先)の招待ルールと棚卸しがある
- サインインの異常検知(アラート)と、確認担当が決まっている
よくある失敗は「MFAを入れたから安心」と思い、例外ユーザーが放置されることです。たとえば役員や一部の古参端末だけMFA未適用、特定のシステム連携用アカウントがパスワード固定、などです。運用上どうしても例外が必要なら、例外の理由・代替策(IP制限、端末制限、短い有効期限)・見直し日をセットにして残してください。こうした整理が、実質的なセキュリティの底上げになります。
3分でできる! 開発費用のカンタン概算見積もりはこちら
権限・共有・外部連携の点検(「見えてはいけない人」に見えない状態へ)
次に重要なのは、データへのアクセス権限と外部共有です。クラウドは便利な反面、URLひとつで外部に渡せるため、設定次第で情報が一気に外へ出ます。Microsoft 365ではSharePoint/OneDrive、Google WorkspaceではGoogleドライブが中心で、ここがセキュリティ上の最重要ポイントの一つです。
まず確認したいのは「共有のデフォルト設定」です。リンク共有が「リンクを知っている全員」に寄っていないか、外部共有が全社で許可されていないか、共有リンクが無期限になっていないか。おすすめは、外部共有は原則「招待した相手のみ(特定ユーザー)」に寄せ、リンクの有効期限やパスコードを活用することです。部署によって外部共有の必要性が違うなら、全社一律ではなく組織単位で制御します。
次に、権限設計です。フォルダやチーム/グループのメンバーに、誰が追加できるのか(オーナー権限)、誰が共有設定を変更できるのかを明確にします。「とりあえず全員編集可」は、誤削除・上書き・内部持ち出しのリスクを増やします。閲覧・編集・所有(管理)の区分を作り、重要データは編集者を絞るのが基本です。
外部連携(サードパーティアプリ)も忘れがちです。Google WorkspaceはOAuthアプリ連携、Microsoft 365はアプリ登録や同意(Consent)など、ユーザーが「便利そうな拡張」を入れた結果、データへアクセスされることがあります。許可するアプリの基準、管理者承認の要否、既存連携の棚卸しを行いましょう。“勝手に連携”を放置すると、見えない経路で情報が抜けます。
共有の事故が起きやすい業務シーン例
- 取引先に見積書を送るために、リンク共有を「誰でも」にしてそのまま放置
- 採用で履歴書フォルダを外部共有し、応募者以外も閲覧できる状態に
- 委託先に一時的に権限付与したが、契約終了後もアクセスが残る
点検のコツは、「外部に共有されたファイルの一覧」「外部ユーザー(ゲスト)の一覧」「公開リンクの一覧」を定期的に出し、棚卸しすることです。Microsoft 365/Google Workspaceともに、管理画面やレポートで追えます。リスト化してしまえば、難しい設定論ではなく、業務としての確認(必要/不要の判断)に落とし込めます。
端末とメールの防御(フィッシング対策と“持ち出し”管理)
クラウドのセキュリティは「ログインを守る」だけでは不十分です。実務では、フィッシングメールから認証情報を抜かれたり、端末の紛失・マルウェア感染で情報が漏れたりします。特にMicrosoft 365/Google Workspaceはメールが中心業務になりやすく、メール対策は優先度が高いです。
メールについては、迷惑メール・なりすまし・不正転送(受信したメールを外部へ自動転送)を重点的に見ます。外部自動転送を原則禁止にする、疑わしい添付ファイルやリンクの扱いを強化する、経理や役員など狙われやすいユーザーに追加保護をかける、といった対策が有効です。さらに、送信ドメイン認証(SPF/DKIM/DMARC)は、自社になりすましたメールを減らすのに役立ちます。設定はやや専門的ですが、効果が大きい領域です。
端末については、「会社データにアクセスできる端末が管理されているか」を確認します。理想はMDM(端末管理)で、画面ロック、暗号化、OSアップデート、紛失時の遠隔ワイプ(消去)ができる状態です。少なくとも、役員・営業など外出が多い人のスマホ/PCは優先的に統制し、個人端末(BYOD)を許可するなら条件(ロック必須、会社データは仕事用アプリ内、退職時のデータ削除)を決めます。端末は“データの入口”であり“持ち出し口”です。
もう一つ、ファイルのダウンロード可否やオフライン同期も検討対象です。便利ですが、端末紛失時のリスクが増えます。重要情報のある領域は、ダウンロード制限や閲覧のみ、印刷制御などを検討してください(利用しているプランや機能で可否は異なります)。
まず整えると効果が出やすい設定(例)
- 外部自動転送の禁止、転送ルール作成の監視
- 疑わしいログインや大量送信のアラート
- 重要ユーザー(経理・役員・管理者)の保護強化(追加認証・アクセス制限)
- 端末の画面ロック・暗号化・OS更新、紛失時の遠隔消去
3分でできる! 開発費用のカンタン概算見積もりはこちら
監査ログ・アラート・復旧の点検(「起きないように」+「起きても戻せる」)
どれだけセキュリティ対策をしても、事故確率をゼロにはできません。だからこそ、検知(気づける)と復旧(戻せる)をセットで点検します。ここが弱いと、侵害に気づくのが遅れ、被害が拡大します。
まず監査ログです。誰が、いつ、どのデータにアクセスしたか、どの設定を変えたかが追跡できる状態にします。ログが短期間で消える設定になっていると、調査が必要になったときに手がかりが残りません。保管期間の方針、閲覧できる権限(ログ閲覧は強い権限なので限定する)、そして「見る運用」を決めます。毎日は無理でも、重要アラートが出たときに見られるように担当と連絡経路を整備します。
次にアラートです。おすすめは、管理者権限の付与・剥奪、MFA無効化、外部共有の急増、異常なサインイン、メール転送ルール作成など、“攻撃者が最初にやりがちな行動”をトリガーにすることです。Microsoft 365もGoogle Workspaceも、標準機能や連携で通知を出せます。通知先は個人メールではなく、情シスの共有窓口やチケットシステムに入れると対応漏れが減ります。
最後に復旧です。クラウドにはごみ箱や保持機能がありますが、要件次第では「戻せない」「戻すのに時間がかかる」ことがあります。たとえば、大量削除、暗号化されたファイルの上書き、権限変更の連鎖などです。重要データについては、保持(一定期間削除できないようにする)やバックアップ(別保管)を検討します。さらに、事故時の初動(アカウント停止、セッション切断、パスワードリセット、外部共有停止、関係者通知)を手順書として1枚にまとめると、いざという時に強いです。
“最低限の復旧設計”で確認したいこと
- 重要データの保管場所が決まっている(散在していない)
- 削除・ランサムウェア相当の被害を想定した復旧方法がある
- 誰が、どの権限で、どの順番で復旧するかが決まっている
- 復旧に必要な連絡先(ベンダー/委託先/社内責任者)が整理されている
まとめ
Microsoft 365/Google Workspaceのセキュリティ点検は、「難しい設定を全部理解する」ことではなく、事故につながりやすいポイントを優先して、基準と運用を作ることが本質です。特に効果が出やすいのは、アカウントと認証(MFA・管理者・退職者)、共有と権限(外部共有・ゲスト・公開リンク)、メールと端末(フィッシング・自動転送・紛失対策)、そして監査と復旧(ログ・アラート・戻せる設計)の4領域です。
点検を一度やって終わりにすると、組織変更や委託先追加、業務の例外対応で設定はすぐに崩れます。月次・四半期・年次のサイクルに落とし込み、例外は期限付きで管理し、ログとアラートで早期に気づける状態を作りましょう。これだけでも、クラウド起点の事故リスクは大きく下げられます。
「どこから手を付けるべきか分からない」「自社の設定が妥当か第三者に見てほしい」「業務を止めずに統制したい」といった場合は、現状の棚卸しと優先順位付けから進めるのが近道です。
株式会社ソフィエイトのサービス内容
- システム開発(System Development):スマートフォンアプリ・Webシステム・AIソリューションの受託開発と運用対応
- コンサルティング(Consulting):業務・ITコンサルからプロンプト設計、導入フロー構築を伴走支援
- UI/UX・デザイン:アプリ・Webのユーザー体験設計、UI改善により操作性・業務効率を向上
- 大学発ベンチャーの強み:筑波大学との共同研究実績やAI活用による業務改善プロジェクトに強い
-770x520.png)
コメント