M365の設定ミスが情報漏洩に直結する理由
Microsoft 365(以下 M365)は、メール・Teams・SharePoint・OneDriveなど、業務に不可欠なサービスを一体化したプラットフォームです。日本国内でも中堅企業から大企業まで広く普及しており、多くの組織で「社内インフラの中枢」となっています。
しかしその広範な利用が、攻撃者にとっての格好の標的にもなっています。CrowdStrikeの調査によれば、M365を起点とした侵害のうち22%はSharePoint経由、17%はOutlook経由で発生しているとされています(CrowdStrike「2024 Global Threat Report」)。これはM365が「外部との接点」として機能する設計上の特性と、初期設定のままでは十分に保護されていない設定項目が多数存在することの両方に起因しています。
問題の本質は「M365を導入したから安全」という誤認にあります。M365は非常に高機能なセキュリティ機能を持つ一方で、それらの多くはデフォルトでオフになっているか、意図通りに設定するには専門知識が必要です。設定を誤ったまま運用している組織では、次のようなインシデントが現実に発生しています。
- SharePointの権限設定ミスにより、社外に機密資料が共有されていた
- メールの自動転送ルールが攻撃者によって密かに設定され、数ヶ月にわたって情報が外部に送信されていた
- ゲストユーザーとして招待した外部業者が、誤って社内全資料にアクセスできる状態になっていた
- 退職した元従業員のアカウントが削除されておらず、外部からログインされた
M365は設定の柔軟性が高い反面、その分だけ「設定ミス」の発生余地も大きいサービスです。セキュリティアセスメントとは、こうした設定上のリスクを体系的に可視化し、対策の優先度を整理するプロセスを指します。
M365を「クラウドサービスだからベンダーが守ってくれる」と誤解している組織は少なくありません。Microsoftが責任を持つのはプラットフォームの可用性・堅牢性であり、設定・運用の責任は導入企業側にあります(責任共有モデル)。
「セキュリティスコア」が高くても安全でない理由
M365の管理センターには「Microsoft セキュア スコア」という機能があり、現在の設定状況をスコア(点数)で可視化します。多くの情シス担当者がこのスコアを参考にしており、「スコアが高いから大丈夫」と判断しているケースも見受けられます。
しかしセキュアスコアには、次のような構造的な限界があります。
スコアは「推奨設定の適用率」を示すに過ぎない
セキュアスコアが測定するのは、Microsoftが推奨する設定項目のうちどの程度が有効になっているかという「適用率」です。実際のビジネス要件に沿った設定の整合性や、設定の組み合わせによって生じるリスクは評価されません。
たとえば、「MFAを有効化しているユーザーが90%いる」という状態でスコアが加算されますが、残り10%に経営幹部や特権アカウントが含まれているとすれば、スコア上の評価と実態のリスクは大きくかけ離れます。
過剰な権限付与はスコアに反映されない
SharePointのサイトに社内全員がオーナー権限を持っている状態や、すべてのユーザーが全ての共有ドライブにアクセスできる状態は、セキュアスコアには反映されません。「設定の有無」は測定できても「設定の適切さ」はスコアでは評価されないのです。
カスタム設定・レガシー構成のリスクは見えない
長期間運用されているM365テナントでは、過去の担当者が設定した条件付きアクセスポリシーや、バイパスルール、外部共有の例外設定が積み重なっています。これらの「見えない例外」はスコアに現れないため、スコアが高くても設定の穴が残っているケースが多くあります。
セキュアスコアはあくまでも「自己評価の補助ツール」です。実際のリスクを評価するには、専門家による設定の棚卸しと、ビジネス要件との整合性確認が必要です。
専門家がチェックする10の重要設定
M365セキュリティアセスメントで専門家が確認する主要な設定項目を解説します。
チェック1:Entra ID(旧Azure AD)の基本設定
Entra IDはM365全体のID管理基盤です。ここの設定ミスは、すべてのM365サービスへのアクセス制御に影響します。確認項目は多岐にわたりますが、特に重要なのは以下の点です。
- グローバル管理者アカウントの数(3〜5人以内が推奨)
- サービスアカウント・アプリ登録の棚卸し
- 使用されていない古いアプリへの権限付与状況
Entra IDの詳細な設定項目については、Entra ID(旧Azure AD)セキュリティ設定完全チェックリスト【2026年版】で体系的に解説しています。あわせてご参照ください。
チェック2:条件付きアクセスポリシーの設定
条件付きアクセスは、「誰が・どこから・どのデバイスで・何に」アクセスするかに応じてアクセスを許可・拒否・MFAを要求する仕組みです。M365セキュリティの要と言える機能ですが、設定が複雑なため誤りが生じやすい項目でもあります。
専門家が特に注視する点は次のとおりです。
確認項目 | よくある問題 |
|---|---|
ポリシーの対象ユーザー | 特定のグループが除外されており抜け穴になっている |
信頼済みIPの設定 | 古い社外ネットワークのIPが信頼済みのままになっている |
デバイスコンプライアンス要件 | 個人デバイスからのアクセスが無制限に許可されている |
緊急アクセスアカウント | 条件付きアクセスの例外が過剰に設定されている |
チェック3:MFA(多要素認証)の適用状況
MFAは最も費用対効果の高いセキュリティ対策のひとつです。しかし「有効にしている」という状態と「すべての重要アカウントに強制されている」状態は異なります。
確認すべきポイントは次のとおりです。
- MFAを免除されているユーザーは誰か
- 管理者アカウントにMFAが強制されているか
- SMS認証のみのMFAになっていないか(SIMスワップ攻撃の対象になりやすい)
- MFAの認証方法として認証アプリが推奨されているか
チェック4:Exchange Onlineのメール転送ルール
攻撃者がM365アカウントに侵入した場合、最も多く行う悪意ある操作のひとつが「メール自動転送ルールの設定」です。外部メールアドレスへの転送ルールを密かに設定し、長期にわたってメールを盗み見るケースが報告されています。
確認すべきポイントは次のとおりです。
- 外部ドメインへの自動転送ルールが存在しないか
- 転送ルールの作成・変更が監査ログに記録されているか
- テナント全体で外部への自動転送を無効化する設定になっているか
外部転送ルールは、管理者が全ユーザー分を一括確認しない限り、個々のユーザーに設定されても気づかれないケースが多々あります。定期的な棚卸しが必須です。
チェック5:SharePoint・OneDriveの共有権限
SharePointとOneDriveの共有設定は、意図せず社外に情報を公開してしまう原因として最も多い項目のひとつです。CrowdStrikeが報告するM365侵害の22%がSharePoint経由であるという数字も、この設定の重要性を示しています。
確認すべきポイントは次のとおりです。
- テナント全体の外部共有設定(「すべてのユーザー」リンクの有効/無効)
- 各サイトコレクションの共有設定レベル
- 「リンクを知っている全員」でアクセスできるファイル・フォルダの棚卸し
- 共有リンクの有効期限設定
チェック6:Teamsの外部共有・外部アクセス設定
Teamsには「外部アクセス(フェデレーション)」と「ゲストアクセス」という2種類の外部連携機能があります。これらの設定を混同して運用しているケースが多く、意図しない外部ユーザーとの情報共有が発生することがあります。
- 外部アクセスで許可するドメインを絞り込んでいるか
- ゲストユーザーがTeamsチャンネル内のファイルにアクセスできる範囲を制限しているか
- 匿名ユーザーによる会議参加の設定
チェック7:Microsoft Defenderの設定状況
M365のライセンスに含まれるMicrosoft Defender for Office 365は、フィッシング対策・マルウェア対策・リンクの安全性確認(Safe Links)など多くの機能を提供しますが、デフォルト設定のままでは効果が限定的です。
確認すべき主な設定は次のとおりです。
- Defender for Office 365の保護ポリシーが「標準」または「厳格」に設定されているか
- Safe Links・Safe Attachmentsが有効になっているか
- スプーフィング対策・なりすまし対策ポリシーが設定されているか
- インシデントアラートの通知先が適切に設定されているか
チェック8:メールのなりすまし対策設定(SPF・DKIM・DMARC)
送信ドメイン認証の設定は、自組織のドメインを使ったフィッシングメールの送信を防ぐために不可欠です。しかし、設定されていない組織、あるいは設定が不完全な組織が依然として多数存在します。
確認すべきポイントは次のとおりです。
- SPF(Sender Policy Framework)レコードが正しく設定されているか
- DKIM(DomainKeys Identified Mail)の署名が有効になっているか
- DMARCポリシーが「reject」または「quarantine」に設定されているか
- サブドメインへのDMARC適用状況
チェック9:ゲストアクセス・外部ユーザー管理
外部業者や取引先を招待するゲストアクセス機能は、コラボレーションの利便性を高める反面、管理が不十分になりがちです。
確認すべきポイントは次のとおりです。
- 現在有効なゲストアカウントの一覧と最終アクセス日時
- 不要になったゲストアカウントが削除されているか
- ゲストユーザーができることの範囲(ユーザー一覧の参照、Teamsの操作など)が適切に制限されているか
- アクセスレビュー機能が設定されているか
チェック10:監査ログの保存設定
セキュリティインシデントが発生した際に、その原因と経路を調査するためには監査ログが不可欠です。しかし、監査ログが有効になっていない、あるいは保存期間が短すぎる組織が存在します。
確認すべきポイントは次のとおりです。
- 監査ログ(統合監査ログ)が有効になっているか
- ライセンスに応じた保存期間の確認(E3:90日、E5:1年、追加オプションで最大10年)
- サインインログ・管理者操作ログの保存状況
- アラートポリシーが重大な操作(管理者権限付与・大量ファイルダウンロードなど)に対して設定されているか
上記の10項目の確認を自社でどこまで実施できているか不安な方は、AEVUSのM365アセスメントサービスをご活用ください。専門家が設定を網羅的に確認し、リスクの優先度付けと改善策をレポートとして提供します。
自社で確認できることとプロに任せるべきことの整理
M365のセキュリティ設定は、すべてを専門家に任せなければいけないわけではありません。自社の情シス担当者が対応できる範囲と、専門家の知見が必要な範囲を整理します。
自社の担当者が確認・対応できること
設定の有無を確認するレベルであれば、M365管理センターやEntra ID管理センターのGUI上で多くの項目を確認できます。
- MFAの有効化状況(Entra ID管理センターで確認可能)
- ゲストユーザーの一覧確認
- 外部共有設定の基本的な確認
- セキュアスコアの推奨事項の確認
また、Microsoftが無料で提供しているSecure ScoreやMicrosoft Defender ポータルの推奨事項一覧を参考にすることも有効です。
専門家に任せるべきこと
一方で、以下の項目は専門知識と経験がないと適切な評価が難しいため、専門家によるアセスメントを推奨します。
設定の「適切さ」の評価:設定が存在しているかどうかではなく、ビジネス要件に対して設定内容が適切かどうかの判断。条件付きアクセスポリシーの複雑な組み合わせや、例外設定の評価などが該当します。
設定間の相互作用によるリスクの発見:複数の設定が組み合わさることで生じる意図しない穴(例:特定の条件付きアクセスポリシーが別のポリシーによってバイパスされるケース)は、個別の設定確認では見つけられません。
PowerShellを使った詳細確認:管理センターのGUI上では確認できない設定(Exchange OnlineのPowerShellで確認できる詳細ルールなど)の調査。
ベースラインとのギャップ分析:CISベンチマークやMicrosoftのセキュリティベースラインと照らし合わせた体系的な評価。
M365アセスメントサービスの選定基準と費用感
M365のセキュリティアセスメントを外部ベンダーに依頼する場合、どのような基準でサービスを選定すればよいでしょうか。
選定で確認すべきポイント
1. 評価項目の範囲と深さ
Entra IDや条件付きアクセスだけでなく、Exchange Online・SharePoint・Teams・Defenderの設定まで網羅しているかを確認します。表面的な設定確認のみのサービスと、PowerShellを使った詳細調査まで実施するサービスでは、発見できるリスクの質が大きく異なります。
2. CISベンチマーク・Microsoftセキュリティベースラインへの準拠
評価の基準が明示されていることが重要です。「専門家の経験則」だけでなく、CIS(Center for Internet Security)のM365ベンチマークやMicrosoftのセキュリティベースラインに基づいた評価であれば、客観性があります。
3. レポートの質と改善提案の具体性
「問題がありました」という指摘だけでなく、「具体的にどの設定を・どのように変更すべきか」という改善手順まで提示されるかを確認します。設定変更のリスク(業務影響)についても考慮した提案があると、実際の対応がしやすくなります。
4. 継続的なサポートの有無
アセスメント実施後に疑問が生じた場合の問い合わせ対応や、改善実施後の確認サポートの有無も選定基準のひとつです。
費用感の目安
M365セキュリティアセスメントの費用は、評価の範囲・ユーザー規模・レポートの詳細度によって異なりますが、一般的な目安は次のとおりです。
規模感 | 評価範囲 | 費用感(目安) |
|---|---|---|
小規模(〜100ユーザー) | 主要10項目の基本評価 | 30〜60万円程度 |
中規模(100〜500ユーザー) | 全サービス詳細評価+改善ロードマップ | 60〜150万円程度 |
大規模(500ユーザー〜) | 全サービス詳細評価+ハイブリッド環境含む | 個別見積もり |
なお、クラウド環境全体のセキュリティ設定について確認したい場合は、M365に限らずAWS・Azureなどのクラウド設定ミスについても包括的に把握しておくことが重要です。クラウド設定ミスによるセキュリティリスクと対策:AWS・Azure実例と確認ポイントもあわせてご参照ください。
M365アセスメントは「一度実施して終わり」ではありません。Microsoftは機能を頻繁に追加・変更するため、半年〜1年ごとの定期的なアセスメントか、設定変更後の再評価を組み合わせることが理想的です。
よくある質問(FAQ)
Q1. M365のセキュリティ設定はMicrosoftが守ってくれないのですか?
Microsoftはプラットフォームのインフラ・可用性・物理セキュリティに責任を持ちますが、テナント内の設定・ユーザー管理・データの取り扱いは導入企業側の責任です。これを「責任共有モデル」と呼びます。M365のセキュリティ設定は、最終的にはそのテナントを管理する企業が責任を持って行う必要があります。
Q2. Microsoft セキュア スコアだけで十分ではないですか?
セキュアスコアはセキュリティ状態の概要把握に役立つツールですが、「設定の適切さ」「ビジネス要件との整合性」「設定間の相互作用によるリスク」は評価されません。スコアが高くても設定の穴が存在するケースは多く、定期的な専門家によるアセスメントの代替にはなりません。
Q3. アセスメントはどのくらいの期間で完了しますか?
規模や評価範囲によりますが、100〜300ユーザー規模のM365テナントであれば、ヒアリングを含めて2〜3週間程度で完了するケースが多いです。その後、レポート作成・報告を含めると合計4〜5週間程度が目安です。
Q4. アセスメント中に現在の業務は停止しますか?
通常の設定評価であれば業務への影響はありません。設定を変更する際は事前に業務影響を確認した上で、メンテナンス時間帯に実施することが一般的です。
Q5. 小規模企業でもM365アセスメントは必要ですか?
規模の大小にかかわらず、M365を使って機密情報(顧客情報・財務情報・個人情報)を扱っている組織であれば、アセスメントを実施する価値があります。むしろ小規模企業は専任のセキュリティ担当者が不在なケースが多く、設定の見直しが長期間行われていない場合があります。
Q6. E3ライセンスとE5ライセンスでセキュリティの設定項目に違いがありますか?
はい、大きく異なります。E5ライセンスには Defender for Office 365 Plan 2・Defender for Identity・Microsoft Sentinel 連携などの高度なセキュリティ機能が含まれており、評価項目も増えます。アセスメントでは現在のライセンスで何が設定できて何ができないかも整理するため、ライセンスアップグレードの判断材料にもなります。
Q7. アセスメントで発見された問題の修正まで対応してもらえますか?
AEVUSのM365アセスメントサービスでは、発見した問題に対する改善提案と設定変更手順書を提供しています。お客様のご要望に応じて、実際の設定変更作業の支援も別途対応しています。
M365のサードパーティアプリ連携やカスタムAPIが増えるほど、API脆弱性診断の重要性も高まります。M365アセスメントで設定面を点検し、API診断で実装面の脆弱性を確認する組み合わせが理想です。
まとめ
この記事では、M365セキュリティアセスメントについて次の内容を解説しました。
- M365の設定ミスが情報漏洩に直結する理由:SharePoint経由で22%、Outlook経由で17%の侵害が発生(CrowdStrike調査)
- セキュアスコアの限界:スコアは「推奨設定の適用率」に過ぎず、実態のリスクを反映しない
- 専門家がチェックする10の重要設定:Entra ID・条件付きアクセス・MFA・Exchange Online・SharePoint権限・Teams設定・Microsoft Defender・なりすまし対策・ゲストアクセス・監査ログ
- 自社対応とプロへの依頼の切り分け方:設定の有無確認は自社でも可能、設定の適切さ・設定間の相互作用評価は専門家が必要
- 選定基準と費用感:評価範囲・ベースライン準拠・改善提案の具体性が選定ポイント
M365は「設定が複雑だからこそリスクが潜みやすい」プラットフォームです。導入後に一度も設定の棚卸しをしていない組織、担当者が変わって設定の全容を把握している人がいない組織では、早急なアセスメントの実施をおすすめします。
AEVUSでは、Yahoo! JAPAN・Nikon・三井住友カード・森トラスト・双日など国内主要企業へのセキュリティサービス提供実績を持つ専門家が、M365アセスメントを担当します。「まず現状を把握したい」という段階からの相談も無料でお受けしています。
M365の設定に不安がある方、セキュリティアセスメントの詳細を確認したい方は、お気軽にご相談ください。初回相談は無料です。
