これらの問題が睡眠を奪い、パブリッククラウドサービスを使用する企業のITマネージャーにとって頭痛の種になります。 2015年5月4日から8日にシカゴで開催されたMicrosoft Igniteカンファレンスでのこの質問に対する回答は、NBConsultのBrian Reidによって表明されました。 Office 365を使用している組織の情報セキュリティ慣行について彼が言ったことは次のとおりです。
1.セキュリティポリシー
データとアプリケーションへのアクセスを保護するには、常にポリシーとパスワードの制限時間を使用してください。 ユーザープロファイルに応じて、パスワードを更新するためのさまざまな設定があります。 クラウドサービスのユーザーの場合、パスワードはデフォルトで90日後に関連性を失いますが、Active Directoryと同期したユーザーはオンプレミスの設定に従ってポリシーに従います。 クラウドサービスのユーザーは、セルフサービスモードでのパスワードリセットを自由に利用できます。 Azure Active Directoryを使用すると、オンプレミスシステムのユーザーにクラウドサービスのパスワードの変更を許可できます。 パスワードをリセットする際の認証には、オフィスの電話、携帯電話、電子メール、セキュリティの質問の4つの方法があります。
2.データ損失防止(DLP)
データ損失防止戦略により、機密データや個人データが不正なダウンロード、配布、または電子メールから保護されます。 DLPはSharePoint OnlineおよびExchangeで利用可能であり、エンタープライズ検索と統合できます。 これに加えて、One Drive for BusinessやSharePoint Onlineなど、特定の場所でのコンテンツの保存を制限するポリシーを作成できます。 DLPをテスト検証モードで動作できるようにすると、セキュリティポリシーに違反するデータの一貫性のないロードとストレージに関するレポートが提供されます。
3.権利管理
Rights Managementは、暗号化と関連するアクセスポリシーを使用してドキュメントと電子メールを保護します。 ドキュメントは、特定のユーザーが特定の目的でのみ使用できます。 コンテンツコンプライアンスルールを設定し、オフラインアクセス設定を作成できます。また、たとえば、権限のないユーザーがディスクに保存されたWord文書を開かないようにするドキュメントレベルのポリシーを設定できます。 このオプションには、E3ライセンスまたはAzure Rights Managementライセンスが必要です。
4. Office 365でのメッセージの暗号化
Office 365メッセージの暗号化では、メールを読んで返信するためにログインパスワードが必要です。 通常、ワンタイムパスワードを使用して電子メールにアクセスします。 E3 Office 365ではメッセージの暗号化が利用可能です。
5.モバイルデバイス管理(MDM)
モバイルデバイス管理は、ユーザーのデバイス上のデータを保護するのに役立ちます。 MDMを使用すると、アクセス条件の設定、さまざまなユーザーのポリシーの区切り、モバイルデバイスの管理、および必要に応じて部分的または完全にモバイルデバイスからデータを削除できます。 MDMは、2015年5月以降、Office 365商用サブスクリプションパッケージで無料で提供されています。
6.多要素認証
多要素認証では、Office 365にアクセスするためのユーザー名とパスワードだけでなく、ユーザーごとに個別に設定できます。 ユーザーは、標準のユーザー名とパスワードに加えて、電話への通話またはテキストメッセージを受け取ります。 呼び出しに応答するか、受信したアクセスコードをブラウザに入力すると、セキュリティが強化された認証が提供されます。 システムはIPアドレスに応じてオンになり、パブリックネットワークからアクセスする場合にのみ追加のコードを要求し、オフィスで作業する場合は非アクティブにします。 多要素認証は、すべてのOffice 365プランの無料オプションです。
7.高度な脅威保護
Exchange Online Protectionは、サブスクリプションの一部としてすべてのExchange Onlineメールボックスを保護します。 高度な脅威保護は、信頼できるソースに代わるフィッシングやアプリケーションの脆弱性を介したマルウェア攻撃などの深刻な問題に対処するための追加オプションとして、2015年末までに利用可能になります。
8.クライアントデバイスのセキュリティ
Office 365にアクセスできるクライアントデバイスのセキュリティを忘れてはなりません。ISの問題を解決するための更新プログラムがタイムリーにインストールされていることを確認してください。 Active Directoryフェデレーションサービスを使用すると、ユーザーが特定のIPアドレスからログインすることを制限するセキュリティポリシーを設定できます。 上記のモバイルデバイス管理機能がこのオプションを置き換えることに注意してください。
9. Officeクライアントの展開
このセキュリティ方式により、クライアントのバージョンが最新のものになります。
現在の更新プログラムのインストールを通じてOffice。 ユーザーは、特定の時間間隔で更新を柔軟に構成できます。 Office 365 Pro Plusサブスクリプションプランでのみ利用可能なXMLベースのClick2Runプロセスを介して状況を制御できます。
10.コンテンツ共有
管理ポータルは、コンテンツの共有を有効化または制限する機能を提供します。 サイト、カレンダー、Skype for Business、その他のアプリケーションなど、Office 365のコンテンツの使用を制御できます。 コンテンツの共有設定を示すレポートがあります。 管理者は、アプリケーション設定を入力せずに、管理コンソールから直接設定を変更できます。
