社員や取引先企業などの情報をデータ化してPCで処理する時代になった。クラウド化が進み、それらをクラウドといったネットワーク上に保存しておく企業も多くなってきているだろう。
セキュリティを安全に整えることはとても重要だが、常に最新のウイルスや脆弱性の攻撃などに備えることは、IT管理者にとって難しい問題だ。特に他の業務と兼務している場合などは、なおさらである。
情報処理推進機構(IPA)が発表した「情報セキュリティ10大脅威 2017」では、組織の脅威として以下の候補を挙げている(図1)。
図1からも確認できるとおり、インターネットやメールに関連した脅威が上位を占めている。特に、ランサムウエアというPCの画面をロックしたり、ファイルを暗号化したりして、それを復旧させることと引き換えに金銭を要求するウイルスが増大した。
このランサムウエアは、メールの添付ファイルや脆弱性を突いたWebサイトを閲覧することで感染するものだ。防止するには、安易に添付ファイルやリンク先のURLを開いたりなどしないよう、社員に教育を徹底する必要があるのに加えて、会社中のPCのOSやソフトウエアを最新の状態にしたり、セキュリティソフトを導入したりする必要がある。IT管理者にとっては、作業負荷が著しい。もちろん、万が一感染した場合、復旧させる作業の負荷は大変なものだ。
Office 365は、クラウドに特化したサービスである。クラウドを使う上では、これらの脅威への対応は必須だ。今回は、Office 365でどのようなセキュリティ対策を実施しているのかを確認してみよう。
情報セキュリティの脅威
情報セキュリティの脅威は、物理的脅威、技術的脅威、人的脅威に大きく分けられる。情報セキュリティ対策として、これらの脅威への対策は必須となる(図2)。
Microsoft社は、Office 365のセキュリティ対策の対象を、物理的セキュリティ、ネットワーク、ホスト、アプリケーション、管理者、データの階層に分類し、各階層に応じてセキュリティ対策へのアプローチをうたっている。この多層防御を行うことで、ウイルス感染や情報流出などを防ぎ、重要な情報を保護するためのセキュリティ対策をとっている。