活用シナリオ
様々な業務環境でSecurity365管理センターをどのように活用できるかを紹介します。
1. Microsoft 365 環境統合管理
状況
Microsoft 365を使用する組織のセキュリティサービス管理
多くの組織が直面している問題:
- Microsoft 365 ユーザー情報とセキュリティサービスユーザー情報の二重管理
- 新規入社者/退社者発生時に各サービスに個別反映が必要
- Azure AD 組織構造とセキュリティサービスグループ構造の不一致
- Microsoft アカウント以外の別途セキュリティサービスアカウントの作成負担
Security365 管理センター活用
構成案
1. Microsoft 365 同期設定
- 設定 > インバウンドプロビジョニング 移動
- Microsoft 365 同期を有効化
- 全体同期または指定グループ同期を選択
2. 自動同期周期設定
- 毎日午前6時に自動同期設定
- 人事異動をリアルタイムで反映
3. Microsoft アカウント認証有効化
- 設定 > ユーザー認証設定 移動
- Microsoft アカウント認証を使用有効化
- ユーザーは既存のMicrosoft アカウントでログイン
4. ライセンス自動割り当て設定
- ライセンス管理 > 自動割り当てを有効化
- 同期されたユーザーに自動的にライセンスを��付与
期待効果
- 管理効率化: Azure AD 情報の自動反映による二重管理の排除
- ユーザーの便宜: MicrosoftアカウントでSSOログイン
- リアルタイム反映: 人事異動即時にセキュリティサービスに適用
- 一貫性の維持: 組織構造とセキュリティポリシーグループの自動同期
2. テレワークアクセス制御
状況
リモートワーク環境におけるセキュリティアクセス管理
在宅勤務のセキュリティ課題:
- 社内と同じアクセス権限を付与する際のセキュリティリスク
- 個人ネットワーク環境での接続制御の難しさ
- 勤務時間外の未承認アクセスの懸念
- 海外出張時の接続ポリシー別管理が必要
Security365 管理センター活用
構成案
1. 位置条件登録
- 条件項目 > 条件追加
- 社内 IP 範囲: 10.0.0.0/8 → "社内ネットワーク"
- 登録された在宅 IP: 個別登録 → "在宅ネットワーク"
2. 時間条件登録
- 平日 09:00~18:00 → "正規勤務時間"
- 平日 18:00~22:00 → "延長勤務時間"
3. 条件付きポリシー作成
ポリシー 1: 社内勤務
- 条件: 社内ネットワーク + 正規勤務時間
- アクセスポリシー: 許可
ポリシー 2: 在宅勤務
- 条件: 在宅ネットワーク + 正規勤務時間
- アクセスポリシー: 許可 + OTP 認証
ポリシー 3: 夜間接続
- 条件: 延長勤務時間
- アクセスポリシー: 許可 + メール認証
ポリシー 4: 基本ブロック
- 条件: なし (すべての場合)
- アクセスポリシー: ブロック
期待効果
- 柔軟なアプローチ: 勤務環境に合った差別化されたセキュリティの適用
- 追加認証: 外部接続時の本人確認強化
- 時間ベースの制御: 非定型時間接続追加検証
- セキュリティ強化: 未登録環境での接続元遮断
3. 取引先アクセス管理
状況
外部協力会社の人員のシステムアクセス管理
協力会社管理の難しさ:
- プロジェクトごとに異なる協力会社の参加
- 協力会社の人員変動が頻繁
- プロジェクト終了後の権限回収漏れリスク
- 協力業者別のアクセス範囲の差別化が必要
Security365 管理センター活用
構成案
1. 取引先別ポリシーグループの作成
- グループ管理 > ポリシーグループ > ポリシーグループ登録
- グループ名: "プロジェクト A - 取引先 B"
- 構成員: 該当取引先ユーザーを追加
2. 取引先専用条件の設定
- 条件項目 > 位置条件登録
- 取引先オフィスIP登録
3. 条件付きポリシーの作成
- 対象: 取引先ポリシーグループ
- 条件: 取引先IP + 平日勤務時間
- サービス: プロジェクト関連サービスのみ選択
- アクセスポリシー: 許可 + OTP認証
4. プロジェクト終了時の処理
- ポリシーグループから構成員を削除
- またはポリシーグループ全体を削除
- ライセンス自動回収
期待効果
- 範囲制限: 必要なサービスのみアクセスを許可
- 位置制限: 指定された場所でのみアクセス可能
- 履歴追跡: すべての協力業者活動ログ記録
- 自動回収: グループ削除時に権限を一括回収
4. 大規模ユーザーオンボーディング
状況
新規入社者大量発生時のアカウント管理
大規模オンボーディング課題:
- 公募、M&Aなどで数百名同時入社
- 個別アカウントの作成に多くの時間がかかる
- 入力エラーによるアカウント問題が発生しました
- 部門別権限設定が複雑
Security365 管理センター活用
構成案
1. CSVテンプレートの準備
- ユーザー管�理 > 一括登録 > テンプレートダウンロード
- 人事チームで新入社員情報を入力
- 必須項目: 名前, メール
- 任意項目: ID, グループ
2. 一括登録の実行
- 作成したCSVファイルをアップロード
- 有効性検査を自動で実施
- 重複/欠落項目を確認後、登録
3. ライセンス自動割り当ての有効化
- ライセンス管理 > 自動割り当て設定
- "アクティブなユーザーに自動割り当て"を選択
4. 条件ベースのポリシーグループの活用
- 新入社員共通条件でグループを作成
- 例: 入社日基準でフィルタリング
- 新入教育期間中に制限されたアクセスポリシーを適用
期待効果
- 迅速処理: 数百名同時登録可能
- エラー防止: 自動バリデーションで入力エラーを最小限に抑える
- 自動化: ライセンスの手動割り当ては不要
- 一貫性: 同一条件のユーザーに同一ポリシーを自動適用
5. コンプライアンス監査対応
状況
情報セキュリティ監査および規制遵守要件
コンプライアンス要件:
- 個人情報アクセス履歴記録義務
- 管理者活動ログの保存
- アクセス権限最小化原則の証明
- 感謝資料の迅速提出
Security365 管理センター活用
構成案
1. ログバックアップ設定
- 設定 > ログ設定 > ログバックアップ設定
- バックアップ周期: 毎日
- 収集期間: 90日
- アーカイブファイル数: 12個 (1年分保管)
2. 外部転送設定
- バックアップログ外部転送を有効化
- 別途ログサーバーへ自動転送
- 原本ログの整合性保証
3. ログ照会管理者指定
- 監査担当者を「ログ照会管理者」として指定
- ログ以外のメニューへのアクセス不可
- ログ照会通知を有効化
4. 役割ベースの権限証明
- 管理者リストおよび権限状況ダウンロード
- 条件付きポリシーリストダウンロード
- 最小権限原則適用の証明資料提出
期待効果
- 完全な記録: すべてのアクセス活動の詳細ログ
- 整合性保証: ログ改ざん防止
- 迅速対応: 感謝資料を即座に抽出可能
- 役割分離: ログ照会専任管理者の監査独立性確保
6. セキュリティ等級別データ分類
状況
組織内データセキュリティ等級体系の確立
データ分類の必要性:
- すべてのデータに同じセキュリティレベルを適用するのは非効率です。
- 機密/敏感/公開データの差別管理が必要
- データタイプ別アクセスポリシーの差別化
- セキュリティインシデント時の影響度把握基準が必要
Security365 管理センター活用
構成案
1. セキュリティ等級の生成
- セキュリティ分類ラベル > ラベル等級 > 等級生成
等級 1: 機密 (赤色)
- 定義: 流出時に組織に深刻な被害
- 例: 人事情報、財務情報、営業秘密
等級 2: 敏感 (オレンジ色)
- 定義: 流出時に業務に支障
- 例: 顧客情報、プロジェクト文書
等級 3: 公開 (緑色)
- 定義: 外部共有可能
- 例: マーケティング資料、公開文書
2. 詳細ラベルの生成
- 各等級の下に具体的なラベルを登録
機密等級:
- 人事情報
- 給与情報
- 経営戦略
敏感等級:
- 顧客DB
- 契約書
- 内部会議録
3. 連携サービスでの活用
- SHIELDrive: フォルダ/ファイルにラベルを適用
- Document Security: 文書暗号化時に等級連携
期待効果
- 体系的分類: 明確な基準でデータを分類
- 視覚的区別: 色でセキュリティレベルを即座に認識
- ポリシー連携: グレード別の差別的アクセス政策の適用
- 感謝容易: 敏感データアクセス履歴追跡
7. 多重認証システムの構築
状況
単一パスワード認証のセキュリティ限界
認証セキュリティ課題:
- パスワード漏洩時のアカウント乗っ取りリスク
- フィッシング攻撃による資格情報の盗用
- 高リスク作業時に追加本人確認が必要
- ユーザーの便宜とセキュリティレベルのバランス
Security365 管理センター活用
構成案
1. 基本認証設定
- 設定 > ユーザー認証設定
- Security365 認証 + Microsoft アカウント認証を有効化
- ユーザーの選択に応じてログイン方式を選択
2. パスワード強化ポリシー
- 設定 > アカウント設定 > パスワードルール
- 最低 10 文字以上
- 英字大文字 + 小文字 + 数字 + 特殊文字の組み合わせ
- 90 日ごとに変更必須
- 最近の 5 つのパスワード再使用禁止
3. 条件付き追加認証
- 条件付きポリシーで状況に応じた追加認証設定
状況 1: 外部 IP 接続
→ OTP 認証追加
状況 2: 管理者ページ接続
→ メール認証追加
状況 3: 敏感システム接続
→ OTP 認証追加
4. アカウントロックポリシー
- 5 回認証失敗時に 10 分ロック
- ブルートフォース攻撃防止
期待効果
- 階層的セキュリティ: 状況別認証強度の差別化適用
- 脱臭防止: パスワードだけではアクセス不可
- 利便性の維持: 低リスク状況では簡易認証
- 攻撃遮断: アカウントロックによるブルートフォース攻撃防御
8. 管理者権限の分離
状況
管理者権限集中によるリスク
権限管理課題:
- 一人の管理者がすべての権限を保持
- 管理者アカウントの奪取時の全システムの危険
- 業務別の管理責任の分散が必要
- 監査時の役割分離証明要求
Security365 管理センター活用
構成案
1. 役割別管理者指定
最高管理者 (1~2名)
- ITセキュリティ責任者
- 全体システム管理および管理者権限付与
編集管理者 (部門別)
- 各部門IT担当者
- 所属部門ユーザー・グループ管理
- ポリシー設定および修正
照会管理者 (必要時)
- セキュリティモニタリング担�当者
- 現状照会のみ可能、修正不可
ログ照会管理者 (監査用)
- 内部監査チーム
- ログのみ照会可能
2. 管理者アクセスポリシー設定
- 最高管理者: 社内IP + 勤務時間 + OTP
- 編集管理者: 社内IP + 勤務時間
- ログ照会管理者: ログ照会時通知送信
3. ログ照会通知の活性化
- ログ照会管理者ログイン/ログアウト時
- 最高管理者にメール通知
期待効果
- 権限分散: 単一管理者依存度の除去
- 責任の明確化: 役割別管理範囲の明示
- リスクの軽減: アカウント乗っ取り時の被害範囲制限
- 感謝対応: 役割分離原則遵守証明
9. SCIサーバー連携環境
状況
Document Security 使用組織の統合管理
SCI Server 環境 課題:
- Document SecurityとSecurity365サービスの併用使用
- SCI Server 人事情報と別途管理負担
- 既存の社員番号体系とメール形式の不一致
- 二つのシステム間でユーザー情報の同期が必要
Security365 管理センター活用
構成案
1. SCI Server 連携設定
- 設定 > インバウンドプロビジョニング > SCI Server 同期
- SCI サーバー IP / Port 入力
- 連携テスト実行
2. ドメイン設定
- 社員番号形式をメール形式に変換
- 例: ドメイン "company.com" 設定
- 結果: hong123 → hong123@company.com
3. 自動同期設定
- 毎日早朝自動同期
- SCI Server 人事変動自動反映
4. グループパス表示設定
- パス表示基準グループ設定を有効化
- ログでユーザー所属部署パス確認
- 例: 本社/営業部門/営業1チーム/홍길동
期待効果
- 統合管理: SCI Server + Security365 単一コンソール管理
- 自動変換: 社員番号→メール形式自動処理
- リアルタイム同期: 人事異動即時反映
- 部門追跡: ログから組織パスを確認可能