Office 365 で中小企業が構築したいセキュリティの情報をまとめる
(前置き) 今回は、中小企業がいいかんじにセキュリティを強くするためのOffice365の使い方の情報のメモをまとめてます。別記事にかいたけど、IPAとか世の中の良いとされているオーソリティの情報が、LANとかIPSとかFireWallとかのバウンダリの話題がでてくる(オンプレ前提な)ので全く参考にならないことが多いのでなるべく若い企業向けに情報をシェアします。
良さそうな企業・組織
- 設立5年以内
- チームのITの仕組みはこれから
- Google Drive, Slack, Chatworkなどのツールは一通り普通に触ったことがある
- 今後の社内統制に Microsoft のツールはありだと思っている。(監査対応や中途採用など色々な理由で)
主な出典はなるべく、Microsoftの公式を参照していますが、独断と偏見で間違っていることをいうかもしれませんが、結構加工しています。僕の印象で、Microsoftの公式ドキュメントは、用語がわかりにくく、ちょっとお堅い感じがしたのが理由です。(ただし MS-900のモジュール2にも出る最低限は抑える)
セキュリティから考える、Office 365のライセンス
昔、Office の価格というと、ユーザー側のソフトウェアの機能の差異が、ごちゃごちゃしてましたが、いまはシンプルです。
判断ポイントは以下の通り。
- クライアント(PC)にOfficeのアプリを導入したいかどうか?
- 個人のファイルスペースとしてのクラウド(OneDrive)を使いたいかどうか?
- グループウェア系のサービス(Teams、Sharepointなど)を使いたいかどうか?
- 端末の管理、文書の管理をしっかり仕組みでやりたいかどうか?
全部、Yesだと、Microsoft 365 Business Premium になります。
よく忘れられるポイントなのですが、Office 365を購入する一番の理由、顧客メリットは、管理ポータルです。
これが使えること、管理者が、メンバー(社員、社長含む)に対してどのようなライセンスを付与するべきか、どのような利用状況をしているのか? 万が一パスワードがわからなくなった場合のリセットは? といった管理業務ができること、、ということなので、基本売り切りライセンスはあんまりお勧めできません。
一人の組織だったとしても、セキュリティとかITの仕組みを常識的に身につけた方がいいと思うので普段から、買い切りではなく、Office 365をお勧めします。
ちなみに、Premiumはセキュリティが向上するのですが、セキュリティ機能は単体でも購入が可能で、Azure AD P1として購入できます。
パターン1 個人事業主
個人事業主は、Microsoft 365 Apps 900円でよいかとおもいます。だれかとシェアするものが少ないので。。
パターン2 ハーフコミットの集まり
ハーフコミットといえど、情報のシェア、チャットの履歴の保管、セキュリティなどをきにするとおもうので、
基本は、Business Basic が安くていいとおもいます。
Office アプリはきっと本業?でもっているとおもうので省略。
パターン3 少人数の組織(👈大抵の場合はここ)
Standard が良いと思います。端末セキュリティや文書セキュリティの機能がついていないのですが、
数人の組織で、信頼関係でお互いのモバイル端末が、パスコードをかける、といったことを声がけで
なんとか運用できるなら、仕組みを無理やりはめなくても大丈夫。
パターン4 次のフェーズ(数十人への成長)を意識し始めたら
いわゆる情報システム部を置いて、社内のいろいろなことを管理しないといけないとなると、Microsoft 365 Businesses Premiumが一番コスパがいいです。ライセンスだけ考えるとちょっと高く見えるかもしれませんが、Azure AD P1の機能がフルで使えるなら、結果的に安くなります。
Microsoft 365 Business Premium
= [ Microsoft 365 Business Standard ] +
[ EMS {Intune + + AIP P1 } ] +
[ Windows 10 Business ]
もし、Standardのまま、社員のセキュリティを担保しようとしたら・・・。たとえば、EMS(Enterprise Mobility+Security) を別に購入したり、シングルサインオン、HENGEといった高度な認証ソリューションを(別費用で)買うことになり、一つ一つを積み重ねていくとトータルでは、割と高くつきます。
パターン5 IPOとかMAの準備で特定の課題がでてきたとき
以下の機能表をみると、最後は、Microsoft 365 E5にしないと全ての機能が使えないようなのです
https://www.microsoft.com/en-us/download/details.aspx?id=103006
が基本的には Microsoft 365 Business Premium でできることが多いので、ほとんどの中小企業は、Business Premium のままでも大丈夫だと思います。ですので、基本的にPremium でもいいような気がしますが、もしかしたら、AIによる脅威検知をオプションで追加しても良いかもしれません。その場合は、Microsoft Defender for Office 365 というのがあります。さらに増えてもIDごとに、月額で六百円程度です。 https://docs.microsoft.com/ja-jp/microsoft-365/security/office-365-security/overview?view=o365-worldwide セキュリティは、Microsoft 365になるべく寄せた方がコストが安くなります。
オプション系のサービスも一応みてみる(試験対策)
基本は、 Microsoft 365 Business Premium でセキュリティはいいかんじんなりますが、オプション系でどんなものがあるのかと言う情報は整理しておいた方が良いです。この知識は、MS-900にも出るかもしれないのでどちらかと言うと試験対策にまとめました。
Microsoft 365 の ID およびアクセス管理機能について説明する