まずはお問い合わせ 無料資料ダウンロード
   

Microsoft 365 Business Standardユーザ必見、認証を強化しよう!

更新:

Microsoft 365(M365) Business Standardは中堅・中小企業の業務基盤として定着し、多くの方に活用されており、誰もが使っているプラットフォームだからこそ攻撃者はその「最初のドア」であるログインを執拗に狙います。

本稿では、なぜ標準のログインだけでは不十分なのか、どのような被害が起きているのかを解説し、解決策として効果的なIDaaSデジタルアーツの「StartIn」をご紹介します。

はじめに:M365 Business Standardユーザ必見、認証を強化しよう!

まさにビジネスシーンのスタンダードなサービスと言える「M365 Business Standard」ですが、その知名度が故にパスワードリストなどの単純な攻撃だけでなく、下図のような従来の守りだけでは防ぎきれない攻撃が増えています。

増加するM365認証に対する攻撃の一例

対抗措置としてMicrosoft Entra IDによる認証強化が一般的ですが、そのコスト面から中小企業に広まらないという課題があります。有力な代替として3rdパーティー製IDaaSを連携し、低コストでセキュアなログイン環境を実現することできます。

なぜ「標準のM365ログインフォーム」だけでは危険なのか

Microsoft社が提供するビジネスプラットフォーム「Microsoft 365 Business Standard」はセキュリティ対策だって十分なはずだ!私もそのように考えていましたが、昨今の高度化する攻撃者のアプローチによりM365 Business Standard標準のログインフォームでは危険とも言われています。では、なぜ「標準のM365 Business Standardログインフォーム」だけでは危険なのか、見ていきましょう。

パスワード依存の限界

どんなに強力なパスワードポリシーを運用していても、ユーザは強いパスワードを継続利用することは難しいと言われています。類推されやすい語句に寄りがちであったり、1つ強力なパスワードを作成すると複数のサービスで使い回したりと脆弱なポイントとなります。

攻撃者は漏えいリストを用いたクレデンシャル・スタッフィングやパスワードスプレーを用いてこれらの仕組みを簡単に突破してしまいます。

フィッシング(偽ログイン画面)とセッション乗っ取り

Microsoftのブランドはビジネスシーンでの知名度から最も模倣されたブランドになっています。つまり、攻撃者はMicrosoftサービス利用者からログイン情報などを詐取しようと試みていることが分かります。

模倣対象としてフィッシングに悪用されたブランドの割合※1

よく知られたサービスがゆえに、ほぼ本物のM365ログイン画面は簡単に準備することができ、攻撃者は巧妙にこのログイン画面に誘導することで、資格情報や認証トークンを盗み出します。盗み出した情報は有効なアカウント情報としてブラックマーケット等で販売されるケースが多く、売買されたアカウント情報を利用したとされるランサムウェア被害が後を絶ちません。

多要素認証(MFA)のすり抜け

かつてはプッシュ通知を連打してユーザに誤承認させるMFA疲れ攻撃(多要素認証疲労攻撃:MFA Fatigue Attack)が非常に多く、M365でも新しいタイプの多要素認証を提供したりと対策を行っています。一方、攻撃者は新たな手法を確立し、弱い二要素認証であるSMS認証をSIMスワップなどで突破したり、フィッシングサイトによる認証情報の窃取をしたりなど新たな攻撃を成功させています。

フィッシングサイトを利用した認証情報の取得

このように、M365 Business Standard 標準のログイン情報は攻撃者にとって非常に魅力的な情報であるためあらゆる手を使って新たな攻撃手法を確立し、攻撃を成功させています。

M365認証セキュリティ、どのように対策すべきか

Entra ID Freeプランではクライアントのアクセスルール機能が利用できず、セキュリティ対策としては甘い状況になります。Entra ID P1ライセンス以上を利用することで高度な認証条件やアクセス条件を設定することができるようになりますが、追加コストは非常に高価なものとなっています。

 そこで、M365 Business Standardユーザの皆様におすすめしたいのがデジタルアーツ社が提供する純国産のIDaaS「StartIn」です。政府情報システムのためのセキュリティ評価制度(ISMAP)にも登録済みのサービスで、多様な多要素認証方式に対応するなど高セキュリティな認証プラットフォームであるのにかかわらず、非常にリーズナブルな費用で利用できるIDaaSとなっています。

StartInとM365標準の機能比較(デジタルアーツ社提供 2025年9月時点)
 

これまで使用していたM365標準のログインからStartInに置き換えるだけで、攻撃者が用意していたM365標準のログインを狙った攻撃を無効化できるようになります。これだけでも攻撃の機会を大幅に減らせ、さらに具体的なログイに対する攻撃は多彩な多要素認証機能で保護することができます。

StartInとm-FILTER+f-FILTERでM365さらに強くなる!

ここまでM365 Business Standardにおける認証強化にStartInをおすすめしてきましたが、攻撃者はM365の攻撃入口として認証以外に「メール」も狙っています。昨今増えている生成系AIを用いた標的型攻撃メール対策にはメールフィルタリング製品である「m-FILTER@Cloud」。そして脱PPAP、安全なファイル転送のためには連携サービスの「f-FILTER」が助けになります。

M365のトータル保護を3サービス1プラットフォームで実現(デジタルアーツ社提供)

M365 Business Standardはビジネスと重要インフラになりつつあります。自社にとって止められないインフラであるからこそ適切なセキュリティ対策を整え、安心・快適な利用を実現しましょう。

※1:Zscaler, 2025年版 Zscaler ThreatLabz フィッシング レポートを参照し、図は弊社にて作成

StartIn 資料ダウンロード

本記事に関連するソリューションの資料をダウンロードいただけます。

DigitalArts@Cloud

4製品の組み合わせで課題に合わせたセキュリティ対策を実現


この記事を書いた人 池添 翔(丸紅I-DIGIOグループ)

各種セキュリティ製品の構築・サポートSE、自治体教育委員会様へのICT導入支援などの経験を経て、情報セキュリティ対策に関わるプリセールスとして活躍。

コラム一覧

よく読まれている記事

セキュリティはここから~丸紅がセキュリティを語る資格と取り組み~

セキュリティはここから~丸紅がセキュリティを語る資格と取り組み~

2025.09.09

デバイス管理のポイント~脅威検知とEDR活用の重要性~

デバイス管理のポイント~脅威検知とEDR活用の重要性~

2025.09.09

イマドキのセキュリティといえば“ゼロトラスト”、きちんと進められていますか?

イマドキのセキュリティといえば“ゼロトラスト”、きちんと進められていますか?

2025.09.09

IT管理者視点でとっても怖いVPNをどうするか

よく読まれている記事

セキュリティはここから~丸紅がセキュリティを語る資格と取り組み~

セキュリティはここから~丸紅がセキュリティを語る資格と取り組み~

2025.09.09

デバイス管理のポイント~脅威検知とEDR活用の重要性~

デバイス管理のポイント~脅威検知とEDR活用の重要性~

2025.09.09

イマドキのセキュリティといえば“ゼロトラスト”、きちんと進められていますか?

イマドキのセキュリティといえば“ゼロトラスト”、きちんと進められていますか?

2025.09.09

  1. HOME
  2. 解決できる課題
  3. Microsoft 365 Business Standardユーザ必見、認証を強化しよう!

Contactお客様の業態に合わせた
プランと料金をご案内しています。

「自社の業態でも導入できるか」「サービス仕様詳細」「コスト」など、
まずはお気軽にお問い合わせください。御社の課題解決のサポートをいたします。

お問い合わせはこちら

資料をダウンロードする(無料)