情シス1,000名に聞いた！「Microsoft 365のセキュリティ対策実態調査」を発表

エムオーテックス株式会社（本社：大阪市淀川区、代表取締役社長：徳毛 博幸、以下MOTEX）は、企業の情報システム担当者 約1,000名を対象に実施した「Microsoft 365の利用における企業のセキュリティ対策に関する実態調査」を発表しました。

■ 調査背景

昨今、多くの企業・組織で導入が進んでいる「Microsoft 365」。さまざまなアプリケーションの利用を通じて、業務の効率化や生産性の向上を期待できる一方で、外部からの不正アクセスや管理者の設定ミス、利用する従業員による内部不正など、クラウドサービスならではのさまざまな情報漏洩リスクが存在しています。

そこで今回、MOTEXでは、Microsoft 365を利用している企業の情報システム担当者 約1,000名を対象に、「Microsoft 365の利用における企業のセキュリティ対策に関する実態調査」を実施しました。

　　

■ 「Microsoft 365の利用における企業のセキュリティ対策に関する実態調査」の概要

【調査内容】

・Microsoft 365を社内利用するうえで、利用規程やルールを定めていますか？

・Microsoft 365のセキュリティ対策として、現在対策中、または対策を検討しているものを教えてください

・Microsoft 365のセキュリティ設定として実施しているものはありますか？

・Microsoft 365の外部共有リンクの設定について、対象ユーザーをどの範囲まで許可していますか？

・Microsoft 365のゲストユーザー招待の設定はどの範囲まで許可していますか？

・Microsoft 365を運用する中で、過去にヒヤリハットはありましたか？

・Microsoft 365の監査ログを定期的に確認していますか？

・監査ログの定期的な確認ができていない理由は何ですか？

・現在お使いのMicrosoft 365のプランを教えてください

・Microsoft 365の監査ログについて、何日以上の保管が必要だと考えていますか？

　　

【調査方法】

　　

■ TOPIC 1： Microsoft 365の利用規程やルールについて

～Microsoft 365の利用規程やルールを定めている組織は8割以上～

　　

本調査では、はじめに、Microsoft 365を社内利用するうえで、利用規程やルールを定めているかについてお伺いしました。

この質問に対しては、『利用規程やルールを作成し、全社に周知している（58.6％）』と回答した方が最も多く、『利用規程やルールはあるが、全社に浸透しきれていない（24.5％）』、『現在、利用規定やルールの制定を検討している（6.0％）』、『特に規定やルールは定めていない（10.9％）』という回答結果になりました。

　　

調査ではさまざまな従業員規模の企業の担当者の方にご回答いただきましたが、Microsoft 365の利用規程やルールを定めている組織は8割以上となっており、Microsoft 365に対するセキュリティ意識が高まっていることが分かります。

　　

■ TOPIC 2： Microsoft 365の外部共有リンクの設定について

～ゲストユーザーや組織外のユーザーへのデータ共有を許可している組織は半数以上～

　

また、本調査では、Microsoft 365のセキュリティ対策として押さえておきたい各種設定の状況についてもお伺いしました。

このうち、「Microsoft 365の外部共有リンクの設定について、対象ユーザーをどの範囲まで許可していますか？」という質問に対しては、『自分の組織内のユーザーのみ（45.6％）』と回答した方が最も多く、『自分の組織内のユーザーと特定の組織外ユーザー（42.1％）』、『自分の組織内のユーザーと招待済みのゲストユーザー（9.4％）』、『把握していない（2.9％）』という回答結果になりました。

　　

SharePoint・OneDrive・Teamsなどでのデータ共有については、情報漏洩対策として自組織内に限定している組織が約4割でした。一方、同じくらいの割合で外部共有を許可している組織もあり、共有の際には、特定の組織外のユーザーや招待済みのゲストユーザーに対してデータ共有する設定を行っていることが分かります。

　　

また中には、共有状況を把握できていないという回答も見受けられますが、データの外部共有については、特定の組織外のユーザーに対してのみに制限されていたとしても、操作としては機密情報も共有可能となってしまうため、情報漏洩対策の観点から定期的なモニタリングを実施し、自社の状況をしっかりと把握する運用が必要と言えます。

　　

■ TOPIC 3： インシデントの発生状況について

～不正アクセスの兆候や不審なメール経由でのマルウェア感染といった外部脅威が上位に～

　　

Microsoft 365の運用に関しては、運用の中でどのようなインシデント（ヒヤリハット）が発生しているかを調査しました。

「Microsoft 365を運用する中で、過去にヒヤリハットはありましたか？（複数回答可）」という質問に対しては、『第三者による不正アクセスの兆候があった（回答数：359）』と回答した方が最も多く、次いで『スパムメールによりマルウェア感染につながった（回答数：318）』、『重要なデータをユーザーが誤って削除・移動していた（回答数：279）』、『退職者による機密情報の持ち出しがあった（回答数：257）』などが続きました。

　　

上位に挙がったのは、不正アクセスの兆候や不審なメール経由でのマルウェア感染といった外部脅威でした。また、内部脅威についても、ユーザーの誤操作や、退職者・退職予定者による情報持ち出しといった事案が多く発生している実態があることから、セキュリティ対策は必須と言えます。

　　

■ TOPIC 4： 監査ログの管理状況について

～監査ログの確認が不十分な組織は3割以上、その大きな理由はリソース不足～

　　

そして、前述したデータ共有状況のモニタリングやインシデント事案などへの対処に有効な「監査ログ」の管理状況についても調査を行っています。

「Microsoft 365の監査ログを定期的に確認していますか？」という質問に対しては、『確認している（66.5％）』、『確認していない（17.0％）』、『わからない（16.5％）』という回答結果となりました。

　　

監査ログの定期的な確認を行っている組織は6割以上となっており、多くの企業で監査ログをセキュリティ対策に活用していることが分かりました。

その一方で、定期的な確認はできていない、確認しているかどうか分からないという回答が3割以上あり、追加でお伺いした「監査ログの定期的な確認ができていない理由は何ですか？（複数回答可）」という質問に対しては、『管理者のリソースが足りていないため（回答数：57）』、『確認方法が分からないため（回答数：42）』といった理由が挙がり、運用におけるハードルも多く存在していることが分かりました。

　　

　　

調査全編は、多くの企業・組織で導入が進むMicrosoft 365について、他社のセキュリティ対策状況やセキュリティ意識の高まり、具体的な設定や運用の状況から、運用・管理上の課題や背景がよく分かる内容となっております。ぜひ資料をダウンロードいただき、ご確認ください。

皆様がMicrosoft 365を利用されるうえで、より良いセキュリティ体制を構築できるよう、本調査結果がお役に立てば幸いです。

　　

■ MOTEXについて（調査発表元）

MOTEXは「Secure Productivity」をミッションに掲げ、プロダクト・サービスの提供を通じて、お客様が抱えるサイバーセキュリティの課題解決を支援します。安全と生産性の両方を実現し、お客様がエンドポイントやネットワーク、ITサービスを安心してご利用いただけるよう、これまで培ってきた技術と豊富な知見で、世界水準のプロダクト・サービスをご提供します。

　

MOTEXが提供する「LANSCOPE」は、エンドポイントにおけるIT資産管理・情報漏洩対策・ウイルス対策から、ネットワークやクラウド環境における脆弱性診断（セキュリティ診断）、各種セキュリティソリューションの導入・運用、総合的なコンサルティングまで、サイバーセキュリティのさまざまな領域に対応する幅広いプロダクト・サービスをラインナップに取り揃えています。

　　

＜関連するプロダクト・サービスのご紹介＞

■ MOTEX会社概要

・記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。

・プロダクトの仕様・サービスの内容は予告なく変更させていただく場合があります。

・記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。