Security365管理センター活用シナリオ
多様な業務環境でSecurity365管理センターをどのように活用できるかを紹介しま�す。
1. Microsoft 365環境統合管理
状況
Microsoft 365を使用する組織のセキュリティサービス管理
多くの組織が直面する問題:
- Microsoft 365ユーザー情報とセキュリティサービスユーザー情報の二重管理
- 新規入社者/退職者発生時に各サービスに個別反映が必要
- Azure AD組織構造とセキュリティサービスグループ構造の不一致
- Microsoftアカウント以外の別途セキュリティサービスアカウント作成の負担
Security365管理センター活用
構成案
1. Microsoft 365同期設定
- 設定 > インバウンドプロビジョニングに移動
- Microsoft 365同期を有効化
- 全体同期または指定グループ同期を選択
2. 自動同期周期設定
- 毎日午前6時に自動同期設定
- 人事変動をリアルタイム反映
3. Microsoftアカウント認証を有効化
- 設定 > ユーザー認証設定に移動
- Microsoftアカウント認証使用を有効化
- ユーザーは既存のMicrosoftアカウントでログイン
4. ライセンス自動割り当て設定
- ライセンス管理 > 自動割り当てを有効化
- 同期されたユーザーに自動的にライセンス��を付与
期待効果
- 管理効率化: Azure AD情報の自動反映により二重管理を排除
- ユーザー利便性: MicrosoftアカウントでSSOログイン
- リアルタイム反映: 人事変動を即座にセキュリティサービスに適用
- 一貫性維持: 組織構造とセキュリティポリシーグループの自動同期
2. 在宅勤務アクセス制御
状況
リモート勤務環境でのセキュリティアクセス管理
在宅勤務セキュリティ課題:
- 社内と同一のアクセス権限付与時のセキュリティリスク
- 個人ネットワーク環境での接続統制の困難さ
- 勤務時間外の非認可接続の懸念
- 海外出張時の接続ポリシー�の別途管理が必要
Security365管理センター活用
構成案
1. 位置条件登録
- 条件項目 > 条件追加
- 社内IP帯域: 10.0.0.0/8 → "社内ネットワーク"
- 登録された在宅IP: 個別登録 → "在宅ネットワーク"
2. 時間条件登録
- 平日 09:00~18:00 → "正規勤務時間"
- 平日 18:00~22:00 → "延長勤務時間"
3. 条件付きポリシー生成
ポリシー1: 社内勤務
- 条件: 社内ネットワーク + 正規勤務時間
- アクセスポリシー: 許可
ポリシー2: 在宅勤務
- 条件: 在宅ネットワーク + 正規勤務時間
- アクセスポリシー: 許可 + OTP認証
ポリシー3: 夜間接続
- 条件: 延長勤務時間
- アクセスポリシー: 許可 + メール認証
ポリシー4: 基本ブロック
- 条件: なし (すべての場合)
- アクセスポリシー: ブロック
期待効果
- 柔軟なアクセス: 勤務環境に合わせた差別セキュリティ適用
- 追加認証: 外部接続時の本人確認強化
- 時間ベース制御: 非正規時間接続の追加検証
- セキュリティ強化: 未登録環境からの接続を根源的にブロック
3. 協力企業接続管理
状況
外部協力会社人材のシステムアクセス管理
協力企業管理の困難さ:
- プロジェクトごとに異なる協力企業の参加
- 協力企業人材の変動が頻繁
- プロジェクト終了後の権限回収漏れのリスク
- 協力企業ごとのアクセス範囲の差別適用が必要
Security365管理センター活用
構成案
1. 協力企業別ポリシーグループ生成
- グループ管理 > ポリシーグループ > ポリシーグループ登録
- グループ名: "プロジェクトA - 協力会社B"
- 構成員: 該当協力企業ユーザーを追加
2. 協力企業専用条件設定
- 条件項目 > 位置条件登録
- 協力企業事務所IPを登録
3. 条件付きポリシー生成
- 対象: 協力企業ポリシー��グループ
- 条件: 協力企業IP + 平日勤務時間
- サービス: プロジェクト関連サービスのみ選択
- アクセスポリシー: 許可 + OTP認証
4. プロジェクト終了時の処理
- ポリシーグループから構成員を削除
- またはポリシーグループ全体を削除
- ライセンス自動回収
期待効果
- 範囲制限: 必要なサービスのみアクセス許可
- 位置制限: 指定された場所からのみ接続可能
- 履歴追跡: すべての協力企業活動ロ��グを記録
- 自動回収: グループ削除時に権限を一括回収
4. 大規模ユーザーオンボーディング
状況
新規入社者大量発生時のアカウント管理
大規模オンボーディング課題:
- 公募、買収合併などで数百名が同時入社
- 個別アカウント生成時に多くの時間を要する
- 入力エラーによるアカウント問題の発生
- 部署別権限設定の複雑さ
Security365管理センター活用
構成案
1. CSVテンプレート準備
- ユーザー管理 > 一括登録 > テンプレートダ��ウンロード
- 人事チームで新規入社者情報を入力
- 必須項目: 名前、メール
- 選択項目: ID、グループ
2. 一括登録実行
- 作成されたCSVファイルをアップロード
- 有効性検証を自動実行
- 重複/欠落項目を確認後登録
3. ライセンス自動割り当てを有効化
- ライセンス管理 > 自動割り当て設定
- "有効化されたユーザーに自動割り当て"を選択
4. 条件ベースポリシーグループ活用
- 新規入社者共通条件でグループ生成
- 例: 入社日基準でフィルタリング
- 新入社員教育期間中は制限されたアクセスポリシーを適用
期待効果
- 迅速処理: 数百名の同時登録が可能
- エラー防止: 自動有効性検証により入力エラーを最小化
- 自動化: ライセンスの手動割り当てが不要
- 一貫性: 同一条件のユーザーに同一ポリシーを自動適用
5. コンプライアンス監査対応
状況
情報セキュリティ監査および規制遵守要求
コンプライアンス要求事項:
- 個人情報アクセス履歴記録の義務
- 管理者活動ログの保存
- アクセス権限最小化原則の証憑
- 監査資料の迅速提出
Security365管理センター活用
構成案
1. ログバックアップ設定
- 設定 > ログ設定 > ログバックアップ設定
- バックアップ周期: 毎日
- 収集期間: 90日
- アーカイブファイル数: 12個 (1年分保管)
2. 外部送信設定
- バックアップログの外部送信を有効化
- 別途ログサーバ��ーへ自動送信
- 元のログの整合性を保証
3. ログ照会管理者指定
- 監査担当者を"ログ照会管理者"として指定
- ログ以外の他のメニューへのアクセス不可
- ログ照会通知を有効化
4. 役割ベース権限証憑
- 管理者リストおよび権限現況をダウンロード
- 条件付きポリシーリストをダウンロード
- 最小権限原則適用の証憑資料を提出
期待効果
- 完全な記録: すべてのアクセス活動の詳細ログ
- 整合性保証: ログの改ざん・変造を防止
- 迅速対応: 監査資料を即座に抽出可能
- 役割分離: ログ照会専任管理者として監査の独立性を確保
6. セキュリティ等級別データ分類
状況
組織内データセキュリティ等級体系の確立
データ分類の必要性:
- すべてのデータに同一のセキュリティレベルを適用することは非効率
- 機密/敏感/公開データの差別管理が必要
- データタイプ別アクセスポリシーの差別化
- セキュリティ事故時の影響度把握基準が必要
Security365管理センター活用
構成案
1. セキュリティ等級生成
- セキュリティ分類ラベル > ラベル等級 > 等級生成
等級1: 機密 (赤色)
- 定義: 漏洩時に組織に深刻な被害
- 例: 人事情報、財務情報、営業秘密
等級2: 敏感 (オレンジ色)
- 定義: 漏洩時に業務に支障
- 例: 顧客情報、プロジェクト文書
等級3: 公開 (緑色)
- 定義: 外部共有可能
- 例: マーケティング資料、公開文書
2. 詳細ラベル生成
- 各等級下位に具体的なラベルを登録
機密等級:
- 人事情報
- 給与情報
- 経営戦略
敏感等級:
- 顧客DB
- 契約書
- 内部会議録
3. 連動サービスで活用
- SHIELDrive: フォルダ/ファイルにラベルを適用
- Document Security: 文書暗号化時に等級連動
期待効果
- 体系的分類: 明確な基準でデータを分類
- 視覚的区別: 色でセキュリティレベルを即座に認識
- ポリシー連動: 等級別差別アクセスポリシーを適用
- 監査容易: 敏感データのアクセス履歴を追跡
7. 多要素認証体系構築
状況
単一パスワード認証のセキュリティ限界
認証セキュリティ課題:
- パスワード漏洩時のアカウント奪取リスク
- フィッシング攻撃による資格証明の盗用
- 高リスク作業時の追加本人確認が必要
- ユーザー利便性とセキュリティレベルのバランス
Security365管理センター活用
構成案
1. 基本認証設定
- 設定 > ユーザー認証設定
- Security365認証 + Microsoftアカウント認証を有効化
- ユーザー選択に応じてログイン方式を選択
2. パスワード強化ポリシー
- 設定 > アカウント設定 > パスワード規則
- 最小10文字以上
- 英字大文字小文字 + 数字 + 特殊文字の組み合わせ
- 90日周期での変更必須
- 最近5個のパスワードの再利用禁止
3. 条件付き追加認証
- 条件付きポリシーで状況別追加認証を設定
状況1: 外部IP接続
→ OTP認証を追加
状況2: 管理者ページ接続
→ メール認証を追加
状況3: 敏感システム接続
→ OTP認証を追加
4. アカウントロックポリシー
- 5回認証失敗時に10分間ロック
- 総当たり攻撃を防止
期待効果
- 階層的セキュリティ: 状況別認証強度の差別適用
- 奪取防止: パスワードのみではアクセス不可
- 利便性維持: 低リスク状況では簡便な認証
- 攻撃ブロック: アカウントロックで総当たり攻撃を防御
8. 管理者権限分離
状況
管理者権限集中によるリスク
権限管理課題:
- 1名の管理者がすべての権限を保有
- 管理者アカウント奪取時の全システムリスク
- 業務別管理責任の分散が必要
- 監査時の役割分離証憑要求
Security365管理センター活用
構成案
1. 役割別管理者指定
最高管理者 (1~2名)
- ITセキュリティ責任者
- 全システム管理および管理者権限付与
編集管理者 (部署別)
- 各部署IT担当者
- 所属部署ユーザー・グループ管理
- ポリシー設定および修正
照会管理者 (必要時)
- セキュリティモニタリング担当者
- 現況照会のみ可能、修正不可
ログ照会管理者 (監査用)
- 内部監査チーム
- ログのみ照会可能
2. 管理者アクセスポリシー設定
- 最高管理者: 社内IP + 勤務時間 + OTP
- 編集管理者: 社内IP + 勤務時間
- ログ照会管理者: ログ照会時に通知送信
3. ログ照会通知を有効化
- ログ照会管理者のログイン/ログアウト時
- 最高管理者にメール通知
期待効果
- 権限分散: 単一管理者への依存度を排除
- 責任明確化: 役割別管理範囲を明示
- リスク減少: アカウント奪取時の被害範囲を制限
- 監査対応: 役割分離原則遵守の証憑
9. SCI Server連動環境
状況
Document Security使用組織の統合管理
SCI Server環境課題:
- Document SecurityとSecurity365サービスの並行使用
- SCI Server人事情報と別途管理の負担
- 既存社員番号体系とメール形式の不一致
- 2つのシステム間のユーザー情報同期が必要
Security365管理センター活用
構成案
1. SCI Server連動設定
- 設定 > インバウンドプロビジョニング > SCI Server同期
- SCIサーバーIP / Portを入力
- 連動テストを実行
2. ドメイン設定
- 社員番号形式をメール形式に変換
- 例: ドメイン "company.com" を設定
- 結果: hong123 → hong123@company.com
3. 自動同期設定
- 毎日早朝に自動同期
- SCI Server人事変動を自動反映
4. グループパス表示設定
- パス表示基準グループ設定を有効化
- ログでユーザー所属部署パスを確認
- 例: 本社/営業部門/営業1チーム/홍길동
期待効果
- 統合管理: SCI Server + Security365の単一コンソール管理
- 自動変換: 社員番号→メール形式の自動処理
- リアルタイム同期: 人事変動を即座に反映
- 部署追跡: ログで組織パスを確認可能