Microsoft 365は、メール・ファイル共有・ビデオ会議・業務アプリケーションを統合したクラウドプラットフォームとして、国内企業での導入が急速に進んでいる。しかしその利便性の裏側では、設定ミスや初期値のままの運用が重大なセキュリティインシデントの入口となっている事例が後を絶たない。
本記事では、Microsoft 365管理者が今すぐ確認すべきセキュリティ設定15項目を体系的に解説する。認証・メール保護・データ管理・監視の4カテゴリに整理し、各設定の意味と具体的な確認手順を示す。
Microsoft 365を狙うサイバー攻撃の現状(2026年)
クラウド環境への攻撃が主戦場に
2026年現在、国内外のサイバー攻撃の主要ターゲットはオンプレミス環境からクラウドへと完全にシフトしている。Microsoft 365は世界で3億人以上のユーザーが利用するプラットフォームであり、攻撃者にとって最も価値の高い標的の一つだ。
特に2025年後半から2026年にかけて顕著になっている攻撃パターンとして、以下の3点が挙げられる。
ビジネスメール詐欺(BEC)の高度化 生成AIを悪用した精巧な日本語フィッシングメールが急増している。従来の不自然な日本語表現が消え、取引先や社内の文体を模倣した偽メールが経営幹部や経理担当者を狙う。Microsoft 365のメール保護設定が不十分な環境では、こうした攻撃メールがそのまま受信箱に届く。
パスワードスプレー攻撃とクレデンシャルスタッフィング 過去のデータ侵害で流出したパスワードリストを用いたクレデンシャルスタッフィング攻撃は、MFA(多要素認証)未設定のアカウントを短時間で侵害する。特にグローバル管理者アカウントへの攻撃が続発しており、一度侵害されるとテナント全体が危機に晒される。
OAuth・トークンハイジャック フィッシングページを通じてOAuthトークンを盗み取る「Adversary-in-the-Middle(AiTM)」攻撃が増加している。MFAを設定していても、セッショントークンを窃取されると認証をバイパスされる。条件付きアクセスポリシーとトークン保護の組み合わせが対策として有効だ。
設定不備が招くリスク
Microsoft 365の初期設定は「使いやすさ」を重視しており、セキュリティの観点からは不十分な部分が多い。特に以下の設定不備が実際のインシデントにつながっている。
- 全ユーザーにMFAが適用されていない
- 外部共有・ゲストアクセスが無制限に許可されている
- 旧来の認証プロトコル(レガシー認証)が有効のまま
- 監査ログが有効化されていない、または保存期間が短すぎる
- Microsoft Defender for Office 365の保護機能が無効
必須セキュリティ設定15項目
以下の15項目を確認し、自社のMicrosoft 365環境に適用されているかチェックする。
カテゴリ1:認証・アクセス制御(項目1〜5)
✅ 項目1:全ユーザーへのMFA(多要素認証)強制
リスクレベル:極めて高い
パスワード単体による認証はもはや安全とは言えない。MFAを有効にするだけで、パスワードベースの攻撃の99%以上を防げるとMicrosoftは報告している。
確認手順:
- Microsoft Entra管理センター(entra.microsoft.com)にアクセス
- 「ID」→「ユーザー」→「すべてのユーザー」→「ユーザーごとのMFA」
- 全ユーザーのMFAステータスが「有効」または「強制」であることを確認
推奨設定:
- セキュリティの既定値群(Security Defaults)を有効化する、または
- 条件付きアクセスポリシーで全ユーザーにMFAを要求する
- グローバル管理者アカウントは特に優先して対応
注意点: セキュリティの既定値群と条件付きアクセスポリシーは同時に有効にできない。Azure AD Premium(Microsoft Entra ID P1以上)ライセンスがある場合は条件付きアクセスを推奨する。
✅ 項目2:条件付きアクセスポリシーの設定
リスクレベル:高い
条件付きアクセスは「誰が・どのデバイスから・どの場所から・何にアクセスするか」を条件として、アクセス許可・拒否・MFA要求などを制御するゼロトラストの要となる機能だ。
確認・設定手順:
- Microsoft Entra管理センター→「保護」→「条件付きアクセス」
- 既存ポリシーの一覧を確認し、有効化されているポリシーを把握
推奨ポリシー(優先度順):
ポリシー名 | 条件 | 制御 |
|---|---|---|
全ユーザーMFA要求 | すべてのユーザー・すべてのアプリ | MFA必須 |
管理者MFA強化 | 管理者ロール | MFA+準拠デバイス必須 |
レガシー認証ブロック | レガシー認証クライアント | ブロック |
リスクの高いサインインブロック | サインインリスク:高 | ブロックまたはMFA |
海外からのアクセス制限 | 許可国以外の場所 | ブロックまたはMFA |
必要ライセンス: Microsoft Entra ID P1(Microsoft 365 Business Premium / E3以上に含む)
✅ 項目3:レガシー認証プロトコルのブロック
リスクレベル:高い
IMAP、POP3、SMTP AUTHなどのレガシー認証プロトコルはMFAをバイパスできるため、攻撃者に悪用されやすい。Microsoftの調査では、パスワードスプレー攻撃の大半がレガシー認証経由とされている。
確認手順:
- 条件付きアクセスポリシーで「クライアントアプリ」条件に「レガシー認証クライアント」を設定したブロックポリシーが存在するか確認
- Microsoft Entra管理センター→「サインインログ」でレガシー認証の使用状況を確認
ブロック前の確認事項: 古いメールクライアント(Outlookのレガシーバージョンやスマートフォンのデフォルトメールアプリ)がレガシー認証を使用している場合、ブロック後に接続できなくなる。事前にサインインログでレガシー認証の使用状況を確認し、影響範囲を把握してから適用する。
✅ 項目4:パスワードレス認証の導入検討
リスクレベル:中〜高い(将来対応)
Microsoft Authenticatorのパスワードレスサインイン、Windows Helloなどのパスワードレス認証方式は、フィッシング耐性が高くユーザー体験も向上する。2026年時点ではMFAとの併用が現実的だが、段階的なパスワードレス移行を計画に含めることが推奨される。
確認手順:
- Microsoft Entra管理センター→「保護」→「認証方法」→「認証方法のポリシー」
- 「Microsoft Authenticatorによるパスワードレス電話によるサインイン」が有効かを確認
優先対象: まずグローバル管理者・特権管理者から適用し、段階的に全社展開を検討する。
✅ 項目5:特権ID管理(PIM)の設定
リスクレベル:高い
グローバル管理者などの特権ロールを常時付与するのは危険だ。Microsoft Entra ID Privileged Identity Management(PIM)を使用すると、特権ロールを必要なときだけ一時的に昇格させるJust-in-Time(JIT)アクセスが実現できる。
確認手順:
- Microsoft Entra管理センター→「ID ガバナンス」→「Privileged Identity Management」
- 「Microsoft Entra ロール」で常時アクティブな管理者ロールの割り当てを確認
推奨設定:
- グローバル管理者は2名以上・PIMで管理
- 日常業務には最小権限の専用アカウントを使用
- 特権ロールの常時割り当ては最小限に
必要ライセンス: Microsoft Entra ID P2(Microsoft 365 E5または単体ライセンスで対応)
カテゴリ2:メール保護(項目6〜9)
✅ 項目6:SPF・DKIM・DMARCの設定
リスクレベル:高い
メール認証の三本柱であるSPF(Sender Policy Framework)・DKIM(DomainKeys Identified Mail)・DMARC(Domain-based Message Authentication, Reporting and Conformance)は、なりすましメールへの対策として不可欠だ。
SPFの確認: 自社ドメインのDNSにTXTレコードとしてSPFが設定されているかを確認する。 ` v=spf1 include:spf.protection.outlook.com -all ` -all(ハードフェイル)推奨。~all(ソフトフェイル)は迷惑メールとして扱われるが届いてしまう。
DKIMの有効化:
- Microsoft 365 Defender(security.microsoft.com)→「メールとコラボレーション」→「ポリシーとルール」→「脅威ポリシー」→「メール認証の設定」
- 自社ドメインのDKIMを「有効」に設定し、DNS CNAMEレコードを公開
DMARCの設定: まずp=none(監視モード)で開始し、レポートを確認した上でp=quarantine→p=rejectへ段階的に強化する。 ` v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; pct=100 `
✅ 項目7:Microsoft Defender for Office 365の有効化
リスクレベル:高い
Microsoft Defender for Office 365(旧Advanced Threat Protection)は、Exchange Online Protection(EOP)に加えて高度なメール脅威からの保護機能を提供する。
確認手順:
- Microsoft 365 Defender→「ポリシーとルール」→「脅威ポリシー」
- 以下の各ポリシーが設定・有効化されているか確認
主要保護機能と推奨設定:
機能 | 説明 | 推奨設定 |
|---|---|---|
安全なリンク(Safe Links) | URLをクリック時にリアルタイムスキャン | 有効(全ユーザー対象) |
安全な添付ファイル(Safe Attachments) | 添付ファイルをサンドボックスで検査 | 有効(ブロックモード推奨) |
フィッシング対策 | なりすまし・偽装保護 | 有効(Standard/Strictプリセット適用) |
スプーフィングインテリジェンス | ドメインなりすまし検出 | 有効 |
必要ライセンス: Microsoft 365 Business Premium / Defender for Office 365 Plan 1(E3相当)以上
✅ 項目8:フィッシング対策ポリシーの強化
リスクレベル:高い
Defender for Office 365のフィッシング対策ポリシーでは、偽装保護(Impersonation Protection)の設定が重要だ。
確認・設定手順:
- Microsoft 365 Defender→「脅威ポリシー」→「フィッシング対策」
- 保護するユーザー・ドメインを追加
設定すべき保護対象:
- 経営幹部・役員(CEO・CFO・CTO等)のメールアドレス
- 自社ドメイン・主要取引先ドメイン
- カスタムの禁止送信者リスト(過去のフィッシング元)
アクション設定: 偽装が検出された際のアクションは「メッセージを隔離する」または「受信者のメールボックスへのメッセージの配信と他のアドレスへのコピーを許可する」を設定し、担当者が確認できる体制を整える。
✅ 項目9:メールの外部転送制限
リスクレベル:高い
攻撃者がアカウントを侵害した際に最初に行う操作の一つが、メールの外部自動転送の設定だ。すべてのメールが攻撃者のアドレスに転送されていても気づかないケースが多い。
確認手順:
- Exchange管理センター(admin.exchange.microsoft.com)→「メールフロー」→「リモートドメイン」
- 「既定」ドメインを選択→「外部への自動転送」を「オフ」に設定
追加設定:
- Microsoft 365 Defender→「脅威ポリシー」→「スパム対策」
- アウトバウンドポリシーで「自動転送を使用して電子メールを転送する」を「オフ - 転送が無効です」に設定
カテゴリ3:データ保護(項目10〜12)
✅ 項目10:SharePoint・OneDriveの外部共有設定
リスクレベル:高い
SharePointおよびOneDriveの外部共有設定がデフォルト(「すべてのユーザー」)のままでは、認証不要のリンクが作成でき、機密データが意図せず外部に公開される。
確認手順:
- SharePoint管理センター(sharepoint.microsoft.com/admin)→「ポリシー」→「共有」
- 外部共有レベルを確認
推奨設定:
対象 | 設定値 | 説明 |
|---|---|---|
SharePoint | 既存のゲストのみ | 事前登録したゲストのみアクセス可 |
OneDrive | 既存のゲストのみ | 同上 |
リンクの種類(デフォルト) | 特定のユーザー | 「リンクを知っている全員」は禁止 |
リンクの有効期限 | 30日(任意) | 共有リンクの自動無効化 |
業務上どうしても匿名リンクが必要な場合は、SharePointサイトごとに個別に許可し、テナント全体での許可は避ける。
✅ 項目11:Microsoft Purview データ損失防止(DLP)ポリシー
リスクレベル:中〜高い
DLP(Data Loss Prevention)ポリシーを設定することで、マイナンバー・クレジットカード番号・個人情報などの機密データが外部に送信された際に自動的にブロックまたは警告を発する。
確認手順:
- Microsoft Purviewコンプライアンスポータル(compliance.microsoft.com)→「データ損失防止」→「ポリシー」
- 有効なDLPポリシーの一覧と対象ロケーション(Exchange・SharePoint・OneDrive・Teams等)を確認
推奨の初期ポリシー:
- 日本の個人情報保護法(マイナンバー・健康情報)
- クレジットカード番号
- 財務情報(口座番号等)
まず「テストモード」で運用し、誤検知の状況を確認してから「有効」に切り替えることを推奨する。
必要ライセンス: Microsoft 365 E3以上または Microsoft 365 Business Premium
✅ 項目12:Microsoft Purview 情報保護ラベルの導入
リスクレベル:中〜高い
機密度ラベル(Sensitivity Labels)を使用することで、ドキュメントやメールに「社外秘」「極秘」などの分類を付与し、ラベルに応じた保護(暗号化・アクセス制限)を自動適用できる。
確認手順:
- Microsoft Purviewコンプライアンスポータル→「情報保護」→「ラベル」
- ラベルが作成・公開されているか確認
推奨ラベル構成(例):
ラベル名 | 暗号化 | 外部共有 |
|---|---|---|
公開 | なし | 許可 |
社内限定 | なし | 制限 |
社外秘 | あり | 特定ユーザーのみ |
極秘 | あり | 禁止 |
必要ライセンス: Microsoft 365 E3以上(高度な暗号化はE5またはPurviewアドオン)
カテゴリ4:監視・検出(項目13〜15)
✅ 項目13:統合監査ログの有効化と保存期間設定
リスクレベル:高い
インシデント発生時の原因調査や証拠保全には監査ログが不可欠だ。デフォルトでは監査ログの保存期間が90日(Business系ライセンス)または180日(E3)と短い。
確認手順:
- Microsoft Purviewコンプライアンスポータル→「監査」→「新しい検索」
- 監査ログが有効化されているか確認(有効でなければ「監査を有効にする」をクリック)
- Microsoft 365 Defender→「設定」→「メールとコラボレーション」→「メール検索」でも状態確認可能
保存期間の延長設定(推奨): Microsoft Purviewコンプライアンスポータル→「監査」→「監査ログの保持ポリシー」で保存期間を延長できる。インシデント調査の実務では最低1年、可能であれば3〜5年の保存が望ましい。
必要ライセンス: 1年保存はE3、10年保存はE5またはMicrosoft Purview監査(プレミアム)
✅ 項目14:Microsoft Secure Scoreの確認と改善
リスクレベル:参照必須
Microsoft Secure Scoreは、テナントのセキュリティ設定状況を数値(0〜100点)で可視化するダッシュボードだ。推奨アクションの一覧と改善による得点も表示されるため、優先度付けに活用できる。
確認手順:
- Microsoft 365 Defender(security.microsoft.com)→「セキュリティ スコア」
- 現在のスコアと「推奨アクション」タブを確認
Secure Scoreの活用ポイント:
確認項目 | 活用方法 |
|---|---|
現在のスコアと業界平均の比較 | 自社のセキュリティ成熟度の位置付け把握 |
推奨アクション(影響スコア順) | 優先度の高い設定改善の特定 |
スコアの履歴グラフ | 改善の推移トラッキング |
比較タブ | 同規模・同業種の平均との比較 |
スコアが60点以下の環境は、早急に本記事の各設定を適用することを推奨する。国内の中堅企業では40〜60点台が多いのが実態だ。
✅ 項目15:セキュリティアラートとインシデント通知の設定
リスクレベル:高い
設定を適用するだけでなく、異常を検知した際の通知体制を整備しなければ、インシデントへの対応が遅れる。
確認手順:
- Microsoft 365 Defender→「インシデントとアラート」→「アラート」でアラートポリシーを確認
- Microsoft Purviewコンプライアンスポータル→「アラートポリシー」で既定ポリシーが有効かを確認
設定すべき主要アラート:
アラート種別 | 推奨通知先 |
|---|---|
異常なサインインアクティビティ | セキュリティ担当者 |
不審なメール転送の検出 | 管理者・セキュリティ担当 |
マルウェア検出 | IT部門・セキュリティ担当 |
大量ファイルダウンロード | セキュリティ担当者 |
管理者権限の変更 | CISO・管理者 |
DLPポリシー違反 | コンプライアンス担当 |
アラートメールの送信先は複数の担当者を設定し、担当者不在時も検知できる体制を整える。
セキュアスコアを使ったセキュリティ改善の進め方
Secure Scoreは単なるスコア表示ツールではなく、組織のセキュリティ改善を継続的に推進するためのロードマップとして活用できる。
効果的な活用ステップ
ステップ1:現状把握(Month 1) まずSe cure Scoreのダッシュボードを開き、推奨アクションを「スコアへの影響」の高い順にソートする。上位10件を確認し、実施の難易度(設定変更だけで対応できるか、ユーザーへの影響があるか)を評価する。
ステップ2:Quick Winの実施(Month 1〜2) ユーザーへの影響が少なく、スコア改善効果が高い設定から着手する。典型的なQuick Winとして以下が挙げられる。
- 監査ログの有効化
- レガシー認証のブロック
- セキュリティデフォルトの確認
- グローバル管理者アカウントのMFA有効化
ステップ3:段階的な設定強化(Month 2〜6) ユーザーへの影響が大きい設定(MFAの全社展開・外部共有制限・DLP適用)は、事前に社内周知・ヘルプデスク体制を整備してから段階的に展開する。パイロットグループ(IT部門・セキュリティ部門)から開始し、問題がなければ全社展開する手順を踏む。
ステップ4:定期レビュー(月次) 月次でSecure Scoreの変化を確認し、新たに追加された推奨アクションや、スコアが低下した場合の原因調査を実施する。経営層への報告資料としても活用できる。
スコア目標の目安
スコア | 評価 | 対応方針 |
|---|---|---|
〜40点 | 要緊急対応 | 本記事の設定を最優先で実施 |
41〜60点 | 基本対策不足 | 認証・メール保護を中心に強化 |
61〜75点 | 標準レベル | データ保護・監視を強化 |
76〜90点 | 良好 | 高度な設定とPIMの導入 |
91点以上 | 優秀 | 継続的な維持と改善 |
ライセンス別で使える機能の違い
Microsoft 365のセキュリティ機能はライセンスによって大きく異なる。自社のライセンスで使える機能を把握した上で、不足機能の補強またはライセンスアップグレードを検討する。
セキュリティ機能 | Microsoft 365 Business Basic | Microsoft 365 Business Premium | Microsoft 365 E3 | Microsoft 365 E5 |
|---|---|---|---|---|
Exchange Online Protection(EOP) | ✅ | ✅ | ✅ | ✅ |
セキュリティの既定値群 | ✅ | ✅ | ✅ | ✅ |
MFA(セキュリティデフォルト) | ✅ | ✅ | ✅ | ✅ |
条件付きアクセス | ❌ | ✅(Entra P1) | ✅(Entra P1) | ✅(Entra P1) |
Defender for Office 365 Plan 1 | ❌ | ✅ | ❌ | ✅ |
Defender for Office 365 Plan 2 | ❌ | ❌ | ❌ | ✅ |
Microsoft Purview DLP | ❌ | ✅(基本) | ✅(詳細) | ✅(詳細) |
情報保護ラベル(基本) | ❌ | ✅ | ✅ | ✅ |
Entra ID P2(PIM等) | ❌ | ❌ | ❌ | ✅ |
監査ログ保存(1年) | ❌ | ❌ | ✅ | ✅ |
監査ログ保存(10年) | ❌ | ❌ | ❌ | ✅ |
Microsoft Defender for Identity | ❌ | ❌ | ❌ | ✅ |
Microsoft Sentinel連携 | 別途契約 | 別途契約 | 別途契約 | ✅(連携容易) |
ライセンス選択のポイント
Microsoft 365 Business Premiumは中小〜中堅企業向けとして最もコストパフォーマンスが高い。Defender for Office 365 Plan 1・条件付きアクセス・Entra ID P1・Intune(デバイス管理)・Purview(基本)が含まれ、月額2,750円/ユーザー(2026年時点)で主要なセキュリティ機能をカバーできる。
Microsoft 365 E3は大企業向けの基準プランだが、Defender for Office 365が含まれないためアドオンが必要になる点に注意が必要だ。
Microsoft 365 E5はSIEMとの連携・高度な脅威ハンティング・Identity Protectionなど包括的なセキュリティ機能が含まれる。大企業・金融・医療など高いセキュリティ要件が求められる組織に適している。
Microsoft 365セキュリティ設定チェックリスト(まとめ)
以下のチェックリストを自社環境に照らして確認する。
認証・アクセス制御
- [ ] 全ユーザーにMFA(多要素認証)が適用されている
- [ ] 条件付きアクセスポリシーが設定・有効化されている
- [ ] レガシー認証プロトコルがブロックされている
- [ ] パスワードレス認証の導入計画がある
- [ ] グローバル管理者アカウントがPIM(JITアクセス)で管理されている
メール保護
- [ ] SPF・DKIM・DMARCが設定されている(DMARCはp=quarantine以上)
- [ ] Microsoft Defender for Office 365の安全なリンク・安全な添付ファイルが有効
- [ ] フィッシング対策ポリシーで偽装保護が設定されている
- [ ] 外部への自動メール転送がブロックされている
データ保護
- [ ] SharePoint・OneDriveの外部共有が適切に制限されている
- [ ] DLPポリシーで機密情報の外部送信が制御されている
- [ ] 情報保護ラベルが設定・公開されている
監視・検出
- [ ] 統合監査ログが有効化されており、十分な保存期間が設定されている
- [ ] Microsoft Secure Scoreを定期確認し、推奨アクションを実施している
- [ ] セキュリティアラートが担当者に通知される設定になっている
AEVUSのMicrosoft 365セキュリティ診断サービス
Microsoft 365のセキュリティ設定は、本記事で紹介した15項目を確認するだけでなく、設定の漏れや誤設定を専門的な視点で網羅的に評価することが重要だ。
設定確認だけでは見えないリスク
「設定はしているが、正しく機能しているかわからない」というケースは多い。例えば以下のようなシナリオがある。
- 条件付きアクセスポリシーが設定されているが、除外グループに想定外のユーザーが含まれている
- DLPポリシーが「テストモード」のまま本番適用になっていない
- 監査ログは有効だが、重要なアラートが誰にも通知されていない
- Secure Scoreは高いが、特定の業務フローで意図せず制限を回避する設定がある
こうした「設定の穴」は、外部からの診断でなければ発見が難しい。
AEVUSが提供する診断内容
AEVUSのMicrosoft 365セキュリティ診断では、テナント全体の設定を体系的に評価し、リスクの優先度と具体的な改善策をレポートとして提供する。
診断の主な対象領域:
- Entra ID(認証・アクセス制御・PIM設定)
- Exchange Online(メール保護・転送設定・スパムフィルター)
- SharePoint・OneDrive(外部共有・権限設定)
- Microsoft Defender for Office 365(保護ポリシー設定)
- Microsoft Purview(DLP・情報保護ラベル・監査設定)
- Microsoft Secure Scoreの現状分析と改善ロードマップ
診断後は担当エンジニアによる結果説明と質疑応答を実施し、自社のビジネス要件に合わせた改善計画の策定をサポートする。
ペネトレーションテスト(侵入テスト)との組み合わせにより、設定評価だけでなく実際の攻撃シナリオに基づく検証も可能だ。
Microsoft 365のセキュリティ強化を検討している場合は、AEVUSのペネトレーションテスト・セキュリティ診断サービスをご参照いただきたい。
