なぜ中小企業に Business Premium なのか
- 年現在、従業員 10〜300名規模の中小企業における Microsoft 365 導入は、もはや単なるメールとOfficeアプリのためのツールではない。ランサムウェア攻撃と内部不正の増加を背景に、ID管理・デバイス管理・脅威対策を統合したプラットフォームとしての位置付けに移行している。Business Premium(1ユーザー 月額 2,750円前後)は、Exchange Online、SharePoint、Teams、Intune、Defender for Business、Entra ID P1 を一つのライセンスに束ねており、同機能を個別調達する場合の 3〜4割のコストで収まる。中小企業庁の 2025年「中小企業白書」によれば、セキュリティ侵害を経験した中小企業の平均被害額は 4,200万円に達しており、投資対効果の観点でも Business Premium の導入は合理的な選択肢だ。
KGA IT が都内の 80名規模の製造業に導入した事例では、移行期間 6週間、ヘルプデスク問い合わせのピークは導入 2週目、4週目以降は旧環境比で問い合わせ件数が 40% 減少した。重要なのは「ライセンス割当 → デバイス登録 → ポリシー適用」の順序を崩さないことだ。
Teams と SharePoint の初期設計
Teams のチーム構造を組織図と 1対1で作るのは失敗パターンの典型だ。部署単位のチームは情報のサイロ化を生み、横断プロジェクトでの情報共有を阻害する。推奨は「部署チーム(恒久)」と「プロジェクトチーム(期限付き)」の二層構造で、プロジェクトチームには終了日を設定して SharePoint サイトごとアーカイブへ移すライフサイクルを確立する。
SharePoint のサイト設計では、Communication Site(社内ポータル、人事情報、経営メッセージ)と Team Site(部署のドキュメント共同編集)を明確に分離する。ゲストアクセスは「サイト単位で許可/拒否」を設定可能なので、外部協業が必要なサイトのみ opt-in する方針が安全だ。機密度ラベル(Sensitivity Labels)を「Public/Internal/Confidential/Strictly Confidential」の 4階層で定義し、Confidential 以上にはダウンロード禁止・透かし・暗号化を適用する。
Intune によるデバイス管理
Intune の導入で最初にぶつかる壁は「既存 PC の扱い」だ。既に社員が使っている Windows 11 PC を MDM 登録する場合、Autopilot での再プロビジョニングではなく、Entra ID への Hybrid Join または Co-management(SCCM 併用)で段階移行する方が現実的だ。新規 PC は Autopilot で「ゼロタッチ」導入し、社員が初回起動時に会社アカウントでサインインするだけでポリシーが適用される設計に揃える。
最低限適用すべきコンプライアンスポリシーは次の 5項目。BitLocker 暗号化必須、Windows Defender リアルタイム保護有効、OS 更新 14日以内、スクリーンロック 15分、ローカル管理者権限の制限。iOS / Android については「App Protection Policy」で社用データと個人データを分離し、私物端末(BYOD)でも情報漏洩リスクを抑える。
Defender for Business と脅威対策
Defender for Business は Business Premium に含まれるが、初期状態では検出モードが弱いため、導入直後に「Next-generation protection」「Attack surface reduction(ASR)」「Endpoint detection and response(EDR)」を全て有効化する。特に ASR ルールのうち、「Office アプリからの子プロセス作成をブロック」「Office アプリによる実行可能コンテンツの作成をブロック」「難読化スクリプトのブロック」の 3つは、マクロマルウェア経由の侵入に対する効果が極めて高い。
メール経由の脅威に対しては、Exchange Online Protection に加えて Safe Attachments(添付ファイルのサンドボックス解析)と Safe Links(URL のリアルタイム再スキャン)を有効化する。フィッシング対策として「impersonation protection」に経営層 5〜10名を登録し、なりすまし攻撃を優先的に検出する設定が効果的だ。
MFA と条件付きアクセスの必須化
- 年の脅威環境において、パスワードのみの認証は事実上破綻している。全ユーザーに Microsoft Authenticator または FIDO2 セキュリティキーによる MFA を必須化することが最初の一歩だ。Conditional Access(Entra ID P1 に含まれる)で「Block legacy authentication」「Require MFA for all users」「Require compliant device for access to SharePoint/Exchange」の 3ポリシーを導入初日に適用する。
運用チェックリスト:①緊急時用の Break-glass アカウント 2つを MFA 除外+強固なパスワードで準備、②MFA 登録のキャンペーン期間 2週間、③登録完了後に条件付きアクセスを強制化、④月次で Sign-in logs を確認し異常アクセスを調査、⑤四半期ごとに Secure Score を見直す。これらを回すだけで、中小企業が直面する攻撃の 9割以上は遮断できる。