1ランク上の企業セキュリティを目指そう!
中小企業のセキュリティ管理を底上げするMicrosoft365 Business

中小企業のシステム管理者の負荷が高まっている。モバイルワークの普及は管理すべきデバイスの数を膨れ上がらせ、作業量と複雑さを増大させている。対策としてまず取り組むべきは、OSと主要アプリケーションの標準化、そしてデバイスの一括管理だ。

文/八木淳一


モバイルワークの増大が、システム管理者負荷を増大する

 PCの新機種入れ替えが全社一斉に行われるケースはほとんどない。年度ごとに何割かがリプレースされていく。このため、異なる初期状態が混在したPCの運用管理がシステム管理者に求められる。PCを安全に運用するための作業範囲は広く、OSやアプリケーションのバージョン管理、必要なパッチの適用やウイルス対策ソフトの定義ファイルアップデートなどが含まれる。これらの作業をセキュリティポリシーに基づいて従業員個々に分担したとしても、システム管理者の負担は簡単には減少しない。

 モバイルワークの普及によっても、システム管理者の負荷はさらに高まっている。特にセキュリティ面では、PC中心の従来型セキュリティ対策に加え、タブレットやスマートフォンなどによる社外からのアクセスについて安全性が必要になり、多様なデバイスへの対応も含め過重な負荷がかかるようになってきている。

 システム管理者の人的リソースに余裕のある大企業でも、管理対象デバイスの増大には苦慮している。ましてシステム管理者が兼任業務であれば、クライアントベースのセキュリティは個々人の対処に多くを委ねるか、あるいは社外ベンダーによる定期サポートを受けているのが現状だろう。

 2017年、IPA(独立行政法人情報処理推進機構)では「日常における情報セキュリティ対策」として、組織のシステム管理者向けに7つの指針を発表した。

  1. 情報持ち出しルールの徹底
  2. 社内ネットワークへの機器接続ルールの徹底
  3. 修正プログラムの適用
  4. セキュリティソフトの導入および定義ファイルの最新化
  5. 定期的なバックアップの実施
  6. パスワードの適切な設定と管理
  7. アクセス権限の再確認

 この指針からはすでにモバイル対応が前提となっていることが読み取れるが、十分に対応できている企業・組織は少ないだろう。モバイルワークに向けたデバイス、利用アプリ、利用サービスの拡大と複雑化はこれまで以上にシステム管理者への過負荷となってきている。

 しかし、人的リソースが足りないとしても、ビジネスにおけるIT活用は必須だ。そのためには、まず管理者負担を軽減するための省力化をはかることが重要になる。この課題を解決するために必要なのは、OSと主要アプリケーションの標準化、そしてモバイルワークで膨れ上がったデバイスの一括管理だ。

プラットフォームの標準化による管理負荷の削減

 管理と運用、そしてセキュリティ対策を容易にするため、従業員が業務に使用しているプラットフォームを標準化することが近道だ。オフィスを見渡せばほとんどの業務がWindowsマシン上でOfficeアプリを中心にMicrosoft製品で稼働しているはずだ。取引先とのやり取りを考えても、スタンダードであるMicrosoft Officeを利用しないわけにはいかない。

 2017年11月に、Microsoft社は従来からあるMicrosoft 365 Enterprise、Office 365に加え、新たに中小企業のニーズに応える300ユーザーまでのMicrosoft 365 Businessを発売し、「Microsoft 365」がこれらの共通ブランド名称となった。

 中堅・中小の企業、事業所向けに特化されたクラウドベースの統合ソリューションMicrosoft 365 Businessは、システム管理やセキュリティ対策の人的リソースに乏しい企業にとって福音となる。最新のWindows 10とOffice 365が統合され、PCはもちろん、ほとんどのモバイルデバイスとプラットフォーム、Windows、iOS、Android、Mac、さらにWebブラウザーで使用可能だ。

 Microsoft 365 Businessは、Office 365 Business Premiumの主要機能(インストール版とWeb版Office、スマホ/タブレット向けOffice、Outlook、Exchange、Skype for Business、OneDrive for Business、Microsoft Teamsなど)と、Windows 10 Businessライセンス、そして中小規模の利用に最適化されたMicrosoft Mobility+Security(Microsoft Intune※)で構成されている。Microsoft 365 Businessをいったん導入すればエンドユーザーのデバイスが変わってもそのまま管理可能だ。これまでは、PCの購入時やリース時にケアしなくてはならなかったOSやOfficeの個別バージョン管理が必要なくなる。

Microsoft 365 Businessの構成
※Intune は Microsoft Enterprise Mobility + Security で利用できる。Microsoft Intune により、クラウドのモバイルデバイス管理機能、モバイルアプリケーション管理機能、PC 管理機能が提供される。
https://www.microsoft.com/ja-jp/business/smbworkstyle/m365b/default.aspx?hpbanner=hpforwork

 システム管理者はMicrosoft 365 Businessを利用することで、1つのコンソールによる一元管理が可能となる。従業員のアカウントセットアップと、Windows AutoPilotによる標準化環境のデバイスに対するWindows 10の初期設定やポリシー適用、アプリケーション配信などの一括展開が可能となり、管理負荷は大幅に軽減される。

 導入にあたっては、全ての従業員と使用デバイスに展開することで、従来型デバイスとMicrosoft 365 Business導入済みデバイスの二重の管理を回避できるため、PCの一部入れ替えでも全社的な導入が望ましい。長い目で見ればメンテナンスとセキュリティのコスト削減につながるはずだ。

セキュリティが強化されたWindows Defender

 デバイスやユーザーを脅威から守っているのはWindows 10 Businessに組み込まれたWindows Defender Advanced Threat Protection (ATP)機能だ。これは従来のWindows Defenderの拡張版である。進化したセキュリティ機能によって侵入の検出、アラート調査、AI による脅威の重大度の特定、実施すべきアクションの判断などを自動化しているため、管理が簡素化されている。

 セキュリティ自動化機能は侵入前の保護対策だけでなく、単純なケースに限るとはいえ実際に侵入された後の修復も可能だ。修復処理すべてを自動で実行することができ、その実行前に侵入の状況を確認することもできる。

Windows Defender Advanced Threat Protection (ATP)の自動化機能
出所:Microsoft社Windows Blogsより
https://blogs.windows.com/japan/2016/08/08/post-breach-detection-with-windows-defender-advanced-threat-protection/

 また、Microsoft 365 Businessは、セキュリティポリシーを迅速に変更可能なため、ユーザー認証、デバイス、アプリケーション、データなどを包括的に管理することによって、どのユーザーがどのデバイスから、どの企業データにアクセスできるのかをワンストップで制御できる。従業員が使うデバイスの管理を統合してシンプルにできるからこそ、従業員のニーズに対しても柔軟な対応・運用が可能となるわけだ。

 システム管理者は、単一のダッシュボードでセキュリティポリシーを策定。設定されたセキュリティポリシーは全デバイス/全ユーザーに自動的に適用される。フィッシングや不正アクセス、マルウェア感染などセキュリティ上の脅威から保護し、情報漏洩のリスクを抑えている。

 モバイルデバイスは常に最新の状態に維持され、紛失や盗難が起きた際にも組み込みの暗号化機能で迅速にロックをかけることができる。

セキュリティポリシーの設定画面
出所:Microsoft社提供資料より

中小企業のコスト感にマッチしたMicrosoft365 Business

 Microsoft365は、最上位の大企業向けMicrosoft 365 Enterprise E5プランをはじめ、全てのプランがサブスクリプション(月額課金)で提供されている。

 Microsoft 365 Enterprise E5プランはOffice 365 Office Professional Plus、Windows 10 Enterprise、EMS(Enterprise Mobility + Security)を統合したもので、数千名規模の企業での利用が可能。1ユーザーあたり月額6,640円でライセンスが提供されているが、運用管理とセキュリティのメリットを考えても、中小企業にはハードルの高い価格設定かも知れない。

 一方、最新のMicrosoft 365 Businessは規模の小さい一般法人向けとして300ユーザーまでのライセンス提供となり、こちらはユーザーあたり月額2,180円で利用できる。統合環境としての基本機能を維持しつつ中小のユーザー規模に対して最適化した仕様となっている。

モバイル活用を意識したソリューション

 Microsoft 365 BusinessにはMDM(Mobile Device Management:モバイルデバイス管理)ソリューションであるMicrosoft Intuneのサブセットによる一連のモバイルアプリ管理機能が含まれる。

 またタブレット、スマートフォン用 Officeアプリは1ユーザーあたり最大 5 台のタブレット、5 台のスマートフォンにインストールできる。ユーザーは会社支給と私有双方のモバイルデバイスでセキュアにOfficeアプリを活用することも可能だ。

 Office 365 Business Premiumおよび Windows 10 Businessがクラウドベースで最新バージョンに更新され、オフライン環境で使用したあとでもオンライン接続のタイミングで即時に同期されるため、常時有効なモバイルセキュリティが確保される。

 同期については作業データ管理、社内外とのデータ共有も有効だ。1ユーザーあたり1TBのOneDrive for Businessファイルストレージの活用によって、どこからでも必要なデータがセキュアに利用できる。

 Microsoft 365 Businessはこのように管理の簡易化、一元化により、中小企業の管理負荷の低減と、セキュリティの向上をサポートしてくれるソリューションだ。もちろん、Windows10とMicrosoft Officeを使用しているとは言っても、個々の企業のIT環境は多種多様だし、企業ごとに最適化された運用管理やセキュリティが必要になる場合もある。しかし、Microsoft365 Businessの導入で運用管理の標準化が実現されれば、システム管理者が個々の従業員のデバイスに個別の管理を行う必要はなくなる。運用管理とセキュリティの基盤は確保され、さらにその上の運用管理段階へと、一歩前進できるだろう。

本稿で紹介したMicrosoft 365 Business以外にも、企業のセキュリティを高めるためのアプローチは多様で、課題にあわせたソリューションを選択することで、より高度のセキュリティ対策を実現できる。「スマートワーク総研」の「ソリューションファインダー」で「セキュリティ」と検索し、自社のセキュリティ課題にマッチしたソリューションと出会ってほしい。

筆者プロフィール:八木淳一(ヤギジュンイチ)

ごま書房、アスキー、インプレスを経て、株式会社ランドックを設立。多くの出版企画を手掛けている。元「ネットワークセキュリティマガジン」編集長。趣味はカメラ。