APACにおけるMicrosoft 365・Entra IDセキュリティ監査:チェック内容と重要性の完全ガイド
Microsoft 365とEntra IDセキュリティ監査が実際に何をカバーするか、APACの規制当局・投資家がますます求める理由、そしてBrocentのクイックセキュリティチェックがどのように役立つかを解説する実用ガイドです。
公開日
要点まとめ: Microsoft 365およびEntra IDセキュリティ監査では、Secure Score、条件付きアクセスポリシー、MFAカバレッジ、Purview DLPルール、メールボックスの堅牢化、Intuneデバイスコンプライアンス、管理者ロールの乱立、ゲストアクセス、レガシー認証プロトコルという、攻撃者と規制当局が実際に注目する9つの領域を確認します。APAC地域全体で、監査は等保(MLPS)、PDPA、PDPO、APPIへの準拠にますます不可欠となっており、投資家や保険会社によるデューデリジェンスでも標準項目になっています。
Microsoft 365およびEntra IDセキュリティ監査とは何か
Microsoft 365およびEntra IDセキュリティ監査とは、貴社のクラウドID・生産性環境の設定方法を構造的にレビューするものです——ペネトレーションテストでも、一度きりのチェックリスト作業でもありません。Microsoft 365を利用するほとんどの企業は、2019年当時は妥当だったデフォルト設定のまま運用を続け、その後一度も見直していません。一方でMicrosoftは四半期ごとにテナントへ新しいセキュリティ制御を追加していますが、そのほとんどは自動的に有効化されることはありません。
監査の役割は、貴社テナントの実際の設定——ID、メール、デバイス、データ——を既知の適正基準と比較し、すべてのギャップを洗い出し、実際の悪用可能性に基づいて優先順位付けすることです。適切に実施されれば、誰も読まない40ページのコンプライアンス資料ではなく、優先順位付けされた是正リストが得られます。監査と脆弱性スキャンサービスの一般的な費用相場について詳しくは、姉妹編の料金ガイドをご覧ください。
実務上、ほとんどの組織はこの種のレビューを気まぐれにスケジュールするわけではなく、何か具体的なきっかけがあります。BrocentがAPAC全域の顧客で最もよく目にするきっかけは、予定されている規制評価(等保の測定評価サイクル、SFC検査など)、資金調達ラウンドやM&Aで技術デューデリジェンスが差し迫っている、昨年より質問項目が厳しくなったサイバー保険の更新、あわや成功しかけたフィッシング被害を受けて経営陣が「実際に突破されていたらどうなっていたか」と問い始めた、あるいは単に急速な人員増加により、会社が今より小規模だった頃に構築したID統治体制が追いついていない、といったものです。
なぜ今APAC企業にこれが必要なのか
2つの力が同時にAPAC企業に迫っています。データ保護法の強化と、取引の前提としてセキュリティ衛生の証明を求める取引先の増加です。どちらも机上の空論ではなく、いずれもMicrosoft 365とEntra IDに直結しています。APACのミッドマーケット企業の多くが、メール・ファイル・IDをそこで管理しているからです。
中国:等保2.0(网络安全等级保护制度)
中国の等級保護制度(等保2.0)の下では、レベル2以上の情報システムの運用者は、ID管理、アクセス制御、データ保護、監査ログにわたって、文書化・テスト済みのセキュリティ制御を実証することが求められ、認可された測定評価機関により定期的に評価されます。中国向けのMicrosoft 365テナントを運用する外資系企業(あるいはオンプレミスのActive DirectoryとEntra IDを橋渡しするハイブリッドID環境)は、アクセス制御とログ記録の状態がこの評価に耐えうるものである必要があり、公式評価前に内部監査を行うことがサプライズを避ける標準的な方法です。
香港:PDPO
香港の個人データ(プライバシー)条例(PDPO)は、データ利用者に対し、個人データを不正または偶発的なアクセスから保護するために「実行可能なあらゆる措置」を講じることを求めており、プライバシーコミッショナーのガイダンスでも、アクセス制御と従業員デバイス管理が期待される実行可能な措置として明示されています。SFCライセンスを保有する資産運用会社やその他の規制対象となる香港事業体については、さらにハードルが高く、SFC自身のサイバーセキュリティ通達では、MFA、特権アクセス制御、パッチ管理を単に主張するのではなく、実証可能であることが求められています。詳しくはSFC第9号ライセンスとITセキュリティのガイドをご覧ください。
シンガポール・マレーシア:PDPA
シンガポールのPDPAとマレーシアのPDPAはいずれも「合理的なセキュリティ対策」を求めるデータ保護義務を課しており、両国の規制当局(シンガポールのPDPC、マレーシアの個人データ保護局)は、MFAの欠如、過剰な権限を持つアカウント、監視されていない管理者アクセスが原因となった執行事例を公表しています——これらはまさにM365/Entra ID監査が検出対象とするカテゴリーです。シンガポールのPDPCは文書化されたデータ侵害管理計画も求めており、実際の露出状況を把握しないままでは説得力のある計画を作成することは困難です。
台湾:個人情報保護法
台湾の個人情報保護法は、保有するデータの機微性に応じた「適切なセキュリティ措置」を求めており、各業界の規制当局(特に金融機関を対象とする金融監督管理委員会)は、アクセスログやID制御を含むより具体的な技術要件を上乗せしています。台湾のPDPAの執行は単一の中央当局ではなく業界別の規制当局を通じて行われることが多いため、実務上求められる要件——証明可能なアクセスガバナンス——はEntra ID監査が評価する内容と非常に近いものになります。
日本:個人情報保護法(APPI)
日本の個人情報保護法(APPI)は、事業者に対し個人データについて「必要かつ適切な」安全管理措置を講じることを求めており、個人情報保護委員会のガイドラインではアクセス制御、アクセス監視、物理的・技術的安全対策が具体的なカテゴリーとして挙げられています。APPIの個人情報保護委員会への漏えい報告義務も、インシデントが発生して開示を強いられる前に、自社の実際のセキュリティ態勢を把握しておく強い動機となります。
投資家・保険会社によるデューデリジェンス
規制の問題を別にしても、2つの商業的な力が同じ方向に働いています。サイバー保険会社は、契約締結や更新の前に、MFAの強制、条件付きアクセス、特権アカウント制御などを含むセキュリティ質問票の完了をますます求めるようになっており、侵害発生後にはまさにこれらの分野の不備を理由に保険金請求を拒否することもあります。資金調達やM&Aに先立って技術デューデリジェンスを行う投資家は、対象企業の中核SaaS環境におけるID統治の証跡を日常的に要求します。Microsoft 365こそが、実際に顧客データ、知的財産、財務記録が存在する場所だからです。クリーンで最新の監査結果があれば、どちらの場面も土壇場の対応から形式的な確認事項へと変わります。
M365・Entra ID監査で実際にチェックされる内容
適切にスコープ設定された監査は9つの領域にわたって行われます。それぞれが異なる攻撃経路に対応しているため、いずれか1つでも省略すれば、それは理論上ではなく実在するギャップとなります。
1. Secure Scoreベースライン
Microsoft Secure Scoreは単一の数値ですが、それは目標ではなく出発点です。監査では基となる推奨事項を精査し、貴社のライセンス階層やビジネスモデルに該当しない項目を除外したうえで、残りをスコアそのものを追いかけるためではなく、優先順位付けされたバックログとして扱います。
2. Entra ID条件付きアクセスポリシー
条件付きアクセスは、誰が、どこから、どのデバイスで、どのリスク条件下でサインインできるかを決定するポリシーエンジンです。監査では、ポリシーがすべてのユーザーを実際にカバーしているか(ブレークグラスアカウントを除外するポリシーは問題ありませんが、営業チームの半数を静かに除外しているポリシーは問題です)、レガシーの「セキュリティ既定値群」がテナント固有のポリシーに置き換えられているか、高リスクなサインインが何もしないのではなくステップアップ認証をトリガーするかを確認します。
3. MFAカバレッジ
「MFAが有効かどうか」ではありません——管理コンソール上で技術的に有効になっている割合と、実際に強制されているカバレッジは、しばしば大きく異なる2つの数値です。監査ではユーザーごとの実際の強制状況を測定し、サービスアカウントや共有メールボックスが静かに除外されていないか(よくある危険なギャップです)を確認し、特権アカウントに対してフィッシング耐性のある認証方式が特に利用可能になっているかを検証します。
4. Purview DLP(データ損失防止)
Microsoft PurviewのDLPエンジンは、メール、Teams、SharePoint/OneDrive経由でテナント外に出ようとする機微なデータをブロックまたはフラグ付けできますが、それは貴社の業務にとって重要なデータ種別(顧客の財務記録、ソースコード、PDPA/PDPO/APPIの対象となる個人データ)に対してポリシーが実際に設定されている場合に限られます。監査では、既定のテンプレートだけでなく、貴社の実際のデータ種別に対するポリシーのカバレッジを確認します。
5. Exchange Onlineとメールボックスの堅牢化
メールボックスルールは、すでに侵入した攻撃者が好んで使う永続化手段の一つです——サイレントな転送ルールがあれば、誰にも気づかれずに何か月もの間、すべての請求書や契約書を外部に流出させることができます。監査では、受信トレイの転送ルール、メールフローコネクタ、フィッシング対策・なりすまし対策ポリシー(SPF/DKIM/DMARC)、外部送信者警告をレビューします。
6. Intuneデバイスコンプライアンス
デバイスが登録・準拠状態になっていなければ、デバイスの状態に依存する条件付きアクセスポリシーは実質的に何も強制できません。監査では登録カバレッジ、コンプライアンスポリシーの厳格さ(ディスク暗号化、OSパッチレベル、脱獄/root検出)、そして非準拠デバイスが実際に企業データへのアクセスをブロックされているのか、単に警告されているだけなのかを確認します。
7. 管理者ロールの乱立
常設のグローバル管理者は、それ自体が常設のリスクです。監査では、誰がEntra IDの特権ロールを保持しているか、そのうち何件が恒久的な割り当てで何件がPrivileged Identity Management(PIM)によるジャストインタイムなのか、そして退職者や取引終了済みのベンダーが、誰も取り消すのを忘れていたロールを保持したままになっていないか(驚くほどよくある発見です)を棚卸しします。
8. ゲストアクセスと外部共有
B2Bコラボレーションは本当に有用であると同時に、本当にリスクも伴います。監査では、ゲストユーザーのライフサイクル(プロジェクト終了時にレビュー・削除されているか、それとも無期限に蓄積し続けているか)、SharePoint/OneDriveの既定の外部共有設定、そして「リンクを知っている全員」という共有オプションがテナント全体で既定で利用可能になっていないかをレビューします。
9. レガシー認証プロトコル
POP、IMAP、旧式のExchange ActiveSync接続などのレガシープロトコルは最新の認証をサポートしておらず、条件付きアクセスやMFAで保護することが一切できません——これがMicrosoft 365テナントに対するクレデンシャルスタッフィング攻撃で最も一般的な侵入経路になっている理由です。監査では、レガシー認証が優先度を下げられているだけでなく完全にブロックされているかを確認し、静かに裏口を開けたままになっているレガシーアプリ登録がないかをチェックします。
セルフサービス型スキャンツール vs. マネージド型M365監査
どちらのアプローチも発見事項は洗い出せますが、その後の対応が異なります。
セルフサービス型ツール(Qualys/Tenable系スキャナー): テナントに対して自動チェックを実行しレポートを返しますが、多くの場合、汎用的な深刻度ラベルの付いた数百件もの発見事項があるだけで、貴社のビジネスにとって実際に重要なものがどれかという文脈も、Microsoft自身の相矛盾する推奨事項を解釈する助けもありません。トリアージ、優先順位付け、そしてすべての修正の実装は、依然として貴社側の誰かが行う必要があります。
Brocentのマネージド監査: 資格を持つエンジニアが、貴社の実際のライセンス、ビジネスコンテキスト、規制上のリスク露出に照らして同じ9つの領域をレビューし、汎用的なCVSSスコアではなく実際の悪用可能性に基づいて優先順位付けされた発見事項レポートを提供し、必要であれば合意した是正措置を、単なるリストの提供ではなく直接実装することもできます。専任のセキュリティ担当者を持たないAPACのミッドマーケット企業の多くにとって、この違いこそがサービスの価値そのものです。
Brocentのクイックセキュリティチェックの流れ
Brocentは、テナントのユーザー数に応じた段階制料金のMicrosoft 365セキュリティ監査(クイックセキュリティチェック)を提供しており、貴社の成長に応じて料金が予測可能な形でスケールするため、毎回改めて見積もりを取る必要がありません。監査では、貴社の実際のテナント設定に対して上記9領域すべてを確認し、貴社が属するAPAC法域における悪用可能性と規制上の関連性に基づいて優先順位付けされた発見事項レポートを作成します。ご希望であれば、Brocentが優先度の高い修正を書類だけ渡すのではなく直接実装することも可能です。
オンプレミスまたはMicrosoft 365と並行してハイブリッドインフラを運用する組織には脆弱性スキャンとの組み合わせが自然に適合し、単発の確認ではなく継続的な監視を求めるチームには、より広範なマネージドITセキュリティサービスとの組み合わせが適しています。包括的なセキュリティベースラインを構築している企業は、両方の監査タイプをまとめて導入することもあります——パッケージオプションについてはセキュリティスターターバンドルをご覧ください。
監査開始前の準備事項
監査自体は貴社側でほとんど準備が不要ですが、いくつかの情報を事前に共有いただくことで、進行が大幅にスピードアップし、より的確な発見事項レポートが得られます。
テナント管理者アクセス: 監査担当者には、Entra ID、Exchange Online、Intune、Purviewの設定を確認できる、一時的でスコープが限定された読み取り専用ロール(グローバル閲覧者、または同様に制限された組み込みロール。常設のグローバル管理者権限は不可)が必要です。何も変更できない状態でレビューを行います。
ライセンス棚卸し: 購入済みではなく実際に割り当てられているMicrosoft 365およびEntra IDのライセンス階層を把握することで、監査担当者は「未設定」の発見事項と「プランで利用不可」の発見事項を切り分けることができ、これは優先順位付けにおいて非常に重要です。
規制上のコンテキスト: 貴社のデータがどの法域に関わるか(中国本土、香港、シンガポール、マレーシア、台湾、日本、またはその組み合わせ)によって、どの発見事項がコンプライアンス上の重みを持ち、どれが単なるベストプラクティスなのかが変わります。これを事前に伝えていただくことで、レポートは汎用的なチェックリストではなく、貴社の実際の義務に直接対応した内容になります。
社内の担当責任者の指名: Brocentが是正措置を直接実装する場合でも、ステップアップ認証の展開や、少数の旧式デバイスが依然として依存しているレガシープロトコルのブロックなど、ユーザー体験に影響する変更を承認する権限を持つ担当者が貴社側に必要です。監査開始前にこの担当者を指名しておくことで、発見事項レポート到着後に是正フェーズが停滞するのを避けられます。
これらはいずれも監査開始時点で完璧である必要はありません——監査の役割の一部は、棚卸し自体のギャップも含め、貴社自身の可視性のギャップをまさに洗い出すことです。Microsoft 365テナントについて一度もセキュリティレビューを行ったことがない組織は、初回監査で以降の四半期チェックよりも多くの発見事項が出ることを想定しておくべきです。それは正常なことであり、まさに監査が確立しようとしているベースラインそのものです。
監査後に何が起こるか
未読のまま受信トレイに眠る監査レポートは、リスクを低減しません。発見事項は3つのトラックに落とし込むべきです。数日以内に実装できるクイックウィン(レガシー認証のブロック、明白なゲストアクセスのギャップの解消)、変更管理やユーザーへの周知が必要な範囲を定めた是正計画(フィッシング耐性MFAの展開、条件付きアクセスの強化)、そして定期的なレビューサイクル(通常は四半期ごと)——Microsoft自身が推奨するベースラインは新機能のリリースに伴い変化し続けるためです。等保、PDPA、PDPO、またはAPPIの義務を負う組織は、監査レポートと是正の証跡を保管しておくべきです。それはまさに規制当局、保険会社、投資家が確認を求める内容だからです。
証跡は装飾的なものではなく実用的なものにしておきましょう。日付入りの発見事項レポート、何がいつ変更されたかを示す是正ログ、そして規制当局や保険会社が直接確認を求めることが最も多い一部の制御項目(条件付きアクセスポリシー、MFA強制、DLPルール)のスクリーンショットやエクスポートした設定のスナップショットです。四半期ごとのレビュー後に更新され続けるこうした資料フォルダは、事後に作られた見栄えの良いスライド資料よりも、実際のデューデリジェンスの場ではるかに価値があります。
よくある質問
Microsoft 365・Entra IDセキュリティ監査にはどのくらいの期間がかかりますか?
標準的なテナントレビューは、キックオフから最終的な発見事項レポートまで、通常1~2週間程度です。テナントの規模や、9つのレビュー領域のうちいくつが貴社のライセンス階層に該当するかによって変動します。複雑なハイブリッドID環境(オンプレミスADとEntra IDの同期)は、より長くかかる傾向があります。
この監査が有用であるために、特定のMicrosoft 365ライセンス階層は必要ですか?
いいえ。Business StandardやBusiness Premiumのテナントでもメリットがあります。9領域のほとんど(MFA、メールボックスの堅牢化、ゲストアクセスレビュー、レガシー認証)は、ライセンス階層に関わらず利用可能です。上位階層(E5、あるいはEntra ID P2やPurviewのアドオンなど)では、リスクベースの条件付きアクセスやより高度なDLPといった、より高度な制御が利用可能になり、監査では該当する場合、それらをすでに保有している前提ではなく推奨アップグレード事項としてフラグ付けします。
これはペネトレーションテストと同じですか?
いいえ。ペネトレーションテストは外部から貴社環境を積極的に侵害しようと試みるものですが、M365/Entra ID監査はテナント自体の設定とガバナンスのレビューです。両者は補完関係にあり、多くの組織はまず設定監査で明白なギャップを解消し、その後ペネトレーションテストで残存リスクを検証します。
実際にこの種の監査を求めているAPACの法規制はどれですか?
等保、PDPA(シンガポール/マレーシア/台湾)、PDPO(香港)、APPI(日本)のいずれも「Microsoft 365監査」を名指ししているわけではありません——これらが求めているのは、個人データおよび業務データに対する実証可能で適切なセキュリティ制御です。Microsoft 365とEntra IDは、APACのミッドマーケット企業にとって、そうしたデータが通常存在する場所であるため、監査はこれらの法律が実際に求める証拠を生み出す実務的な方法となります。
これらの監査で最も一般的な発見事項は何ですか?
MFA強制の不完全さです。多くの組織は、ほとんどのユーザーに対して有効になっているという理由で「MFAはオンになっている」と考えていますが、サービスアカウント、共有メールボックス、あるいは一部のレガシープロトコル接続が静かに除外されていることに気づいていません。レガシー認証が塞がれていないことが僅差で続きます。
Brocentは監査で見つかった問題を修正できますか、それとも報告のみですか?
どちらも可能です。クイックセキュリティチェックには発見事項レポートが含まれており、Brocentは合意した是正措置を、貴社の社内チームに委ねるのではなく、同じ契約の中で直接実装することもできます。
どのくらいの頻度で監査を再実施すべきですか?
ほとんどのミッドマーケットテナントでは四半期ごとを妥当な既定頻度とし、加えて大きな変化(M&A、新たな規制義務、大幅な人員変動、組織内のどこかでのセキュリティインシデント)の後には臨時の監査を追加で実施することを推奨します。
この監査はオンプレミスのインフラもカバーしますか?
クイックセキュリティチェックは、Microsoft 365およびEntra IDのクラウドテナントに範囲を限定しています。オンプレミスおよびハイブリッドインフラについては、脆弱性スキャンと組み合わせるか、ゼロからベースラインを構築する場合は統合されたセキュリティスターターバンドルから始めてください。
貴社が中国、香港、シンガポール、マレーシア、台湾、日本のいずれかで事業を展開しており、過去12か月間にMicrosoft 365およびEntra IDの設定を見直していない場合、そのギャップは規制当局、保険会社、投資家に先に指摘される前に埋めておく価値があります。貴社テナント向けのクイックセキュリティチェックの範囲を検討するにはお問い合わせください。Brocentのすべてのセキュリティサービスの現在の料金もご覧いただけます。
共有:
今すぐ行動を
インサイトをビジネスのITロードマップへ。
APACのITエキスパートと15分間の無料相談をご予約ください。現在の環境を確認し、24時間以内にカスタマイズされたITロードマップを提供します。
無料チェックリスト
中国大陸へのIT展開前に確認すべき10の重要事項
PIPL準拠、ネットワーク分割、バイリンガルヘルプデスクの設定など、中国での初日に必要なすべてのIT準備。
チェックリストを申請 →📬 アジアIT月報
中国コンプライアンス情報、サイバーセキュリティ警報、APACチーム向けITのヒントを毎月お届けします。
スパムなし。いつでも配信停止できます。