エムオーテックス株式会社（本社：大阪市淀川区、代表取締役社長：徳毛 博幸、以下MOTEX）は、企業の情報システム担当者約1,000名を対象に実施した「Microsoft 365 の利用における企業のセキュリティ対策に関する実態調査」を発表しました。

■ 調査背景

昨今、多くの企業・組織で導入が進んでいる「Microsoft 365」。さまざまなアプリケーションの利用を通じて、業務の効率化や生産性の向上を期待できる一方で、外部からの不正アクセスや管理者の設定ミス、利用する従業員による内部不正など、クラウドサービスならではのさまざまな情報漏洩リスクが存在しています。
 
そこで今回、MOTEXでは、Microsoft 365 を利用している企業の情報システム担当者 約1,000名を対象に、「Microsoft 365 の利用におけるセキュリティ対策の実態調査」を実施しました。

■ 「Microsoft 365 の利用におけるセキュリティ対策の実態調査」の概要

【調査内容】

• Microsoft 365 を社内利用するうえで、利用規程やルールを定めていますか？
• Microsoft 365 のセキュリティ対策として、現在対策中、または対策を検討しているものを教えてください
• Microsoft 365 のセキュリティ設定として実施しているものはありますか？
• Microsoft 365 の外部共有リンクの設定について、対象ユーザーをどの範囲まで許可していますか？
• Microsoft 365 のゲストユーザー招待の設定はどの範囲まで許可していますか？
• Microsoft 365 を運用する中で、過去にヒヤリハットはありましたか？
• Microsoft 365 の監査ログを定期的に確認していますか？
• 監査ログの定期的な確認ができていない理由は何ですか？
• 現在お使いのMicrosoft 365 のプランを教えてください
• Microsoft 365 の監査ログについて、何日以上の保管が必要だと考えていますか？

【調査方法】

調査期間	2025年2月13日（木）～2025年2月17日（月）
調査方法	インターネット調査
調査人数	1,062名
調査対象	企業・組織に所属している情報システム担当者、かつPC管理の担当者 （従業員規模300名未満 ／ 従業員規模300名～1,000名未満 ／従業員規模1,000名以上）
モニター提供元	PRIZMAリサーチ
調査機関	株式会社PRIZMA

■ TOPIC1：Microsoft 365 の利用規程やルールについて

～Microsoft 365 の利用規程やルールを定めている組織は8割以上～

本調査では、はじめに、Microsoft 365 を社内利用するうえで、利用規程やルールを定めているかについてお伺いしました。

この質問に対しては、『利用規程やルールを作成し、全社に周知している（58.6％）』と回答した方が最も多く、『利用規程やルールはあるが、全社に浸透しきれていない（24.5％）』、『現在、利用規定やルールの制定を検討している（6.0％）』、『特に規定やルールは定めていない（10.9％）』という回答結果になりました。
 
調査ではさまざまな従業員規模の企業の担当者の方にご回答いただきましたが、Microsoft 365 の利用規程やルールを定めている組織は8割以上となっており、Microsoft 365 に対するセキュリティ意識が高まっていることが分かります。

■ TOPIC2：Microsoft 365 の外部共有リンクの設定について

～ゲストユーザーや組織外のユーザーへのデータ共有を許可している組織は半数以上～

また、本調査では、Microsoft 365 のセキュリティ対策として押さえておきたい各種設定の状況についてもお伺いしました。

このうち、「Microsoft 365 の外部共有リンクの設定について、対象ユーザーをどの範囲まで許可していますか？」という質問に対しては、『自分の組織内のユーザーのみ（45.6％）』と回答した方が最も多く、『自分の組織内のユーザーと特定の組織外ユーザー（42.1％）』、『自分の組織内のユーザーと招待済みのゲストユーザー（9.4％）』、『把握していない（2.9％）』という回答結果になりました。
 
SharePoint・OneDrive・Teamsなどでのデータ共有については、情報漏洩対策として自組織内に限定している組織が約4割でした。一方、同じくらいの割合で外部共有を許可している組織もあり、共有の際には、特定の組織外のユーザーや招待済みのゲストユーザーに対してデータ共有する設定を行っていることが分かります。
 
また中には、共有状況を把握できていないという回答も見受けられますが、データの外部共有については、特定の組織外のユーザーに対してのみに制限されていたとしても、操作としては機密情報も共有可能となってしまうため、情報漏洩対策の観点から定期的なモニタリングを実施し、自社の状況をしっかりと把握する運用が必要と言えます。

■ TOPIC3：インシデントの発生状況について

～不正アクセスの兆候や不審なメール経由でのマルウェア感染といった外部脅威が上位に～

Microsoft 365 の運用に関しては、運用の中でどのようなインシデント（ヒヤリハット）が発生しているかを調査しました。

「Microsoft 365 を運用する中で、過去にヒヤリハットはありましたか？（複数回答可）」という質問に対しては、『第三者による不正アクセスの兆候があった（回答数：359）』と回答した方が最も多く、次いで『スパムメールによりマルウェア感染につながった（回答数：318）』、『重要なデータをユーザーが誤って削除・移動していた（回答数：279）』、『退職者による機密情報の持ち出しがあった（回答数：257）』などが続きました。
 
上位に挙がったのは、不正アクセスの兆候や不審なメール経由でのマルウェア感染といった外部脅威でした。また、内部脅威についても、ユーザーの誤操作や、退職者・退職予定者による情報持ち出しといった事案が多く発生している実態があることから、セキュリティ対策は必須と言えます。

■ TOPIC4：監査ログの管理状況について

～監査ログの確認が不十分な組織は3割以上、その大きな理由はリソース不足～

そして、前述したデータ共有状況のモニタリングやインシデント事案などへの対処に有効な「監査ログ」の管理状況についても調査を行っています。

「Microsoft 365 の監査ログを定期的に確認していますか？」という質問に対しては、『確認している（66.5％）』、『確認していない（17.0％）』、『わからない（16.5％）』という回答結果となりました。
 
監査ログの定期的な確認を行っている組織は6割以上となっており、多くの企業で監査ログをセキュリティ対策に活用していることが分かりました。
その一方で、定期的な確認はできていない、確認しているかどうか分からないという回答が3割以上あり、追加でお伺いした「監査ログの定期的な確認ができていない理由は何ですか？（複数回答可）」という質問に対しては、『管理者のリソースが足りていないため（回答数：57）』、『確認方法が分からないため（回答数：42）』といった理由が挙がり、運用におけるハードルも多く存在していることが分かりました。

調査全編は、多くの企業・組織で導入が進むMicrosoft 365 について、他社のセキュリティ対策状況やセキュリティ意識の高まり、具体的な設定や運用の状況から、運用・管理上の課題や背景がよく分かる内容となっております。ぜひ資料をダウンロードいただき、ご確認ください。
皆様がMicrosoft 365 を利用されるうえで、より良いセキュリティ体制を構築できるよう、本調査結果がお役に立てば幸いです。

■ MOTEX会社概要

社名	エムオーテックス株式会社
所在地	〒532-0011 大阪市淀川区西中島5-12-12 エムオーテックス新大阪ビル
代表	代表取締役社長 徳毛 博幸
事業内容	サイバーセキュリティに関するプロダクト開発・サービス事業
資本金	2,000万円
株主	京セラコミュニケーションシステム株式会社（資本比率：100%）​
URL	コーポレートサイト：https://www.motex.co.jp/ プロダクト・サービス総合サイト：https://www.lanscope.jp/

• 記載の会社名およびプロダクト名・サービス名は、各社の商標または登録商標です。
• プロダクトの仕様・サービスの内容は予告なく変更させていただく場合があります。
• 記載の内容は発表日時点のものです。最新の情報と異なる場合がございますのでご了承ください。

＜お客様からのお問い合わせ＞
関連するプロダクト・サービスサイトよりお問い合わせください。
▶ 「LANSCOPE セキュリティオーディター」に関するお問い合わせはこちら
https://www.lanscope.jp/security-auditor/
▶ 「LANSCOPEプロフェッショナルサービス」に関するお問い合わせはこちら
https://www.lanscope.jp/professional-service/

＜報道機関からのお問い合わせ＞
エムオーテックス株式会社 ブランドコミュニケーショングループ 広報担当
E-mail：press@motex.co.jp