多くの企業で導入が進むMicrosoft 365。その利便性の高さは言うまでもないが、一方で、クラウドサービスならではのセキュリティリスクも指摘されている。多機能であるがゆえに設定は複雑化し、「自社の設定が本当に安全なのかわからない」「どこから手をつければいいのか」と悩む情報システム担当者も多いのではないだろうか。
そんな課題を解決する一手として注目されるのが、Microsoft 365のセキュリティ設定を評価する「アセスメントサービス」である。今回は、丸紅I-DIGIOが提供するアセスメントサービス「せきゅ丸 for Microsoft 365」に焦点を当て、丸紅I-DIGIOグループ デジタルソリューションセグメント セキュリティソリューション事業本部 ITコンサルティング部 部長 稲毛 正嗣に詳しく話を聞いた。
高機能ゆえに内在する、Microsoft 365のセキュリティリスク
―― まず、多くの企業が利用しているMicrosoft 365ですが、具体的にどのようなセキュリティリスクが存在するのでしょうか。
稲毛 昨今のクラウドサービス、特にSaaSの利用拡大が大きな背景にあります。以前は情報システム部門が一元的にアプリケーションを管理していましたが、現在では事業部門の判断でSaaSが導入されるケースも増え、クラウド利用が爆発的に進んでいます。
Microsoft 365もその代表格で、非常に多くの重要な情報が保管されるようになりました。クラウドサービスの特性上、設定ひとつで意図せず情報が外部に公開されたり、侵害されたりするリスクと常に隣り合わせです。
特にMicrosoft 365のリスクを考える上で重要なポイントがふたつあります。ひとつ目は、Microsoft 365が非常に「高機能」であることです。Teams、SharePoint、Exchange Onlineなどが複雑に連携し、ITインフラとしての側面も持ち合わせているため、設定項目が膨大かつ複雑になっています。この複雑さが、意図しない設定ミスや抜け漏れを生む温床となり、セキュリティホールに繋がるのです。情報システム部門の担当者であっても、すべてを完璧に把握するのはきわめて困難と言えるでしょう。
二つ目は、初期設定が必ずしも「セキュアバイデフォルト(初期状態で最も安全な設定)」になっていないケースがある点です。Microsoft 365は多くのユーザーに使ってもらうことが前提のサービスなので、利便性を優先して、セキュリティ設定が比較的“緩め”になっている項目が存在します。利用者はそのことに気づかないまま、リスクを抱えた状態で運用してしまっている可能性が少なくありません。
Microsoft 365 構成評価における課題
―― 自社のMicrosoft 365設定が安全かどうかを確認する「構成評価」には、どのような難しさがあるのでしょうか。
稲毛 構成評価における課題は、「自前でやる難しさ」と「外部サービスに頼る難しさ」の2点に集約されます。
まず「自前でやる難しさ」ですが、これは先ほど申し上げたMicrosoft 365の複雑さに起因します。多岐にわたる設定項目をひとつひとつチェックし、それが自社のセキュリティポリシーに合致しているか、リスクがないかを判断するには、非常に高度な専門知識と多くの工数が必要です。正直なところ、情報システム部門の方であっても、この作業を自社だけで完結させるのは現実的ではないでしょう。
そこで「外部の専門サービスに頼る」という選択肢が出てくるわけですが、ここにも課題があります。それはコストです。従来、専門家によるセキュリティ診断サービスは非常に高額で、私たちの調査では200万円を超えるようなケースも珍しくありませんでした。また、継続的に設定を監視するようなサービスも、ユーザー数に応じたライセンス費用がかかるため、コスト負担が大きくなりがちです。
結果として、多くの企業が「自前でやるのは難しいが、外部に頼むと高すぎる」というジレンマに陥り、リスクを認識しつつも具体的な対策に踏み出せない、という状況が生まれてしまっています。これがMicrosoft 365の構成評価における大きな課題点だと考えています。
Microsoft 365のセキュリティリスクを解消するためのアセスメントの重要性
―― 課題がある中で、それでもアセスメント(評価)を行うことの重要性とは何でしょうか。また、アセスメントサービスが企業にもたらす価値について教えてください。
稲毛 セキュリティ対策において最も重要なのは、まず自社の現状を正しく認識することです。「知らぬが仏」でいることは、リスクを放置することと同義です。アセスメントの最大の重要性は、この「現状の可視化」にあります。
アセスメントサービスを利用することで、自社のMicrosoft 365テナント(組織ごとの専用環境)がどのような設定になっているのか、客観的な基準で「合格」なのか「不合格」なのかが明確になります。これにより、今まで気づかなかった、あるいは見て見ぬふりをしてきた問題点が明らかになります。
問題点が明らかになれば、次にとるべきアクションが見えてきます。これがアセスメントサービスの提供価値に繋がります。
具体的には、「修正すべき点が明確になる」ということが挙げられます。不合格となった項目について、速やかに設定を修正するという具体的なアクションに移せます。
さらに「リスク受容の判断ができる」ということです。業務上の理由などですぐには設定を変更できない項目もあるでしょう。その場合でも、「我々はこういう理由で、このリスクを認識した上で現状の運用を継続する」という明確な意思決定(リスク受容)が可能になります。これは、何も知らずにリスクを放置している状態とは天と地ほどの差があります。
つまりアセスメントサービスは、単に問題点を洗い出すだけでなく、企業がセキュリティリスクに対して主体的に向き合い、合理的な判断を下すための羅針盤としての価値を提供するのです。まずは自社の立ち位置を知ること。それが、Microsoft 365のセキュリティを確保するための不可欠な第一歩となります。
診断だけでは不十分!信頼できるアセスメントサービスの選び方
―― 今日、多種多様なアセスメントサービスがあると思いますが、企業がサービスを選ぶ際には、どのような点に注目すべきでしょうか。
稲毛 非常に重要なポイントです。私たちが考える最も大切な基準は、「単に診断レポートを提出して終わりになっていないかどうか」という点です。よくあるアセスメントサービスは、診断結果をまとめたレポートを納品して完了、というケースが多いようです。しかし、そのレポートを受け取った情報システム担当者が、「なぜこの項目が不合格なのか」「具体的にどうすれば修正できるのか」を完全に理解し、すぐに行動に移せるかというと、必ずしもそうではありません。ですから、サービスを選ぶ際には以下の点を確認することをお勧めします。
ひとつは、専門家による丁寧な解説があるかどうか。診断員が技術的なレポートを読み上げるだけでなく、企業のIT担当者に寄り添い、コンサルタントとしてわかりやすく結果を解説してくれるかが重要です。なぜその設定がリスクとなるのか、背景まで含めて説明してくれるサービスは信頼できます。
二つ目は、具体的な改善策を提示してくれるかどうか。「ここがダメです」と指摘するだけでなく、「このように設定を変更すれば安全になります」という具体的な改善策まで提示してくれるか。次の一手まで示してくれるサービスでなければ、実効性のある対策には繋がりません。
そして三つ目は、企業の状況を理解しようとしてくれるかどうかです。画一的な診断結果を押し付けるのではなく、修正手順も提供してもらえるかもポイントです。
低コストと手厚いフォローが強みのアセスメントサービス「せきゅ丸 for Microsoft 365」
――「せきゅ丸 for Microsoft 365」はどのようなサービスなのでしょうか。概要と強みを教えてください。
稲毛 「せきゅ丸 for Microsoft 365」は、これまでお話ししてきた課題や選定ポイントをすべてクリアするために開発された、Microsoft 365向けのアセスメントサービスです。
競合サービスと比較した際の優位性は、大きく3点あります。
ひとつ目は、圧倒的な低コストです。先ほど、従来のアセスメントサービスは高額だと申し上げましたが、「せきゅ丸 for Microsoft 365」はきわめてリーズナブルな価格で提供しています。これにより、今までコストがネックでアセスメントに踏み出せなかった多くの企業様にも、気軽に導入いただけるようになりました。正直なところ、この価格帯で同等のサービスを提供している競合はほとんどなく、独自のポジションを確立できていると自負しています。
二つ目は、コストを抑えつつも効果的な診断を実現している点です。低価格を実現するために、Microsoft 365の全機能を網羅するのではなく、セキュリティの根幹をなす最も重要な機能に診断項目をフォーカスしています。ここをしっかりおさえるだけでも、企業のセキュリティレベルは格段に向上します。まさに“勘所”をおさえた診断と言えます。
そして三つ目が、コンサルタントによるフォローです。これは先ほどの選定ポイントに直結しますが、「せきゅ丸 for Microsoft 365」では診断員ではなく、お客様のビジネスや課題を理解したコンサルタントが報告会を実施します。単なる結果報告に留まらず、なぜこの設定が必要なのか、お客様の環境ではどう適用すべきか、といった点まで踏み込んでご説明し、対話を通じて次のステップを一緒に考えます。
「せきゅ丸 for Microsoft 365」は、企業規模や業種を問いません。実際にこれまで数十名規模の企業様から5万人規模の企業様まで、幅広くご利用いただいています。Microsoft 365をお使いのすべての企業様にとって、セキュリティ対策の最適な“入口”となるサービスです。
アセスメントだけでは終わらない商社の強みを活かした伴走型セキュリティ対策
―― 「せきゅ丸 for Microsoft 365」がセキュリティ対策の“入口”であるとすると、その先にはどのような“出口”が用意されているのでしょうか。リスクを把握した企業に対し、御社はどのような支援が可能ですか?
稲毛 「せきゅ丸 for Microsoft 365」は、あくまで自社の課題を明らかにするためのスタートラインです。私たちは、そのスタートラインに立ったお客様を、その先のゴールまで導くための支援体制を整えています。
私たちは「せきゅ丸 for Microsoft 365」で見つかった課題に対し、解決策をご提案するとともに、Microsoft 365だけでは解決が難しい領域(例えば、特権IDの厳密な管理など)においては、それを補うセキュリティ製品をご提案することを想定しています。
そこで私たちは、まず「せきゅ丸 for Microsoft 365」の結果を元に、「御社が本当に守るべき情報資産は何ですか?」「事業を継続する上で絶対に止めてはいけない業務は何ですか?」といった根本的な問いから対話を重ね、お客様のセキュリティ課題の本質を共に探ります。
その上で、私たち丸紅I-DIGIOが持つ商社としての強みを最大限に活かします。特定のメーカーの製品やサービスに縛られることなく、世の中にある多様なセキュリティソリューションの中から、お客様一社一社の課題に本当にフィットする最適な解決策を組み合わせてご提案します。
「せきゅ丸 for Microsoft 365」をきっかけにお客様との関係を築き、単なる製品の売り切りではない、お客様のセキュリティ全体を向上させるための長期的なパートナーとなること。それが私たちの目指すゴールです。
Microsoft 365のセキュリティ対策を進めるうえで、「自社の現状を正しく把握すること」は、多くの企業にとって依然として大きな課題となっています。
「せきゅ丸 for Microsoft 365」なら、低コストでアセスメントを実施できるだけでなく、精度の高い診断結果とコンサルタントによる具体的なアドバイスまで一貫してご提供します。Microsoft 365のセキュリティ強化をご検討中の方は、ぜひお気軽にご相談ください。
お役立ち資料
本記事に関する資料をダウンロードいただけます。
