Microsoft 365のセキュリティ運用に課題
MOTEXが全国の情シス担当者1,000名に調査
エムオーテックス株式会社(以下:MOTEX)は、全国の情報システム担当者約1,000名を対象に実施した「Microsoft 365の利用における企業のセキュリティ対策に関する実態調査」の結果を発表した。企業の生産性向上を支えるMicrosoft 365だが、同時に外部脅威や内部不正といった多様なセキュリティリスクにも直面している。本調査は、セキュリティ規程の整備状況、外部共有の範囲、インシデントの実態、監査ログの運用といった観点から、Microsoft 365運用における現状と課題を明らかにしている。
利用規程は整備されつつも、全社浸透には課題
まず、Microsoft 365の社内利用に関するルール整備の有無について尋ねたところ、「利用規程やルールを作成し、全社に周知している」との回答が58.6%で最多となった。一方、「利用規程はあるが全社に浸透していない」が24.5%、「規定を検討中」が6.0%、「特に定めていない」が10.9%という結果であり、全体として8割以上の組織が何らかの形で規程を設けていることがわかった。
これにより、Microsoft 365の導入とともに、企業のセキュリティ意識が着実に高まっていることが示唆される。
外部共有の運用は半数以上が許可、把握できていない組織も
データ共有における設定状況については、「自組織内のユーザーのみに制限している」との回答が45.6%と最多であったが、「特定の組織外ユーザーも含める」が42.1%、「招待済みゲストユーザーを含める」が9.4%と、外部共有を許可している企業が半数を超える結果となった。「把握していない」という回答も2.9%存在した。
共有先が限定されていても、操作によっては機密情報を送信可能であるため、MOTEXでは定期的なモニタリングを通じて、自社の共有状況を常に把握する運用の重要性を強調している。
不正アクセスやマルウェア、内部不正も多発
Microsoft 365の運用中に発生した「ヒヤリハット(インシデント)」については、最も多かったのが「第三者による不正アクセスの兆候」(359件)であり、「スパムメールによるマルウェア感染」(318件)、「ユーザーによる誤削除・移動」(279件)、「退職者による機密情報の持ち出し」(257件)と続いた。
外部からの攻撃だけでなく、内部不正や誤操作も多数報告されており、企業には多面的なセキュリティ対策が求められている。
監査ログの定期確認、約3割の組織が未実施
Microsoft 365のセキュリティ運用において欠かせない監査ログの確認状況では、「定期的に確認している」との回答が66.5%と過半を占めた一方で、「確認していない」(17.0%)、「分からない」(16.5%)とする回答も一定数存在した。
また、確認できていない理由としては、「管理者のリソース不足」(57件)、「確認方法が分からない」(42件)などが挙がり、運用面での体制整備が課題となっている。
セキュリティ体制強化に向けて
今回の調査では、Microsoft 365に対する企業のセキュリティ意識の高まりが一定の成果を見せている一方で、外部共有設定の不徹底や監査ログ管理の負荷など、運用面での課題も明らかになった。
MOTEXでは、本調査が他社の取り組み状況を可視化することにより、よりよいセキュリティ体制構築の一助となることを期待している。
情シス1,000人に聞いた!Microsoft 365 の利用におけるセキュリティ対策の実態調査のダウンロードはこちら
