Office365 メールのセキュリティについて

キーワード検索で、Office365メールセキュリティというのがあったので、投稿していきたい。

私が勤めている会社にも東日本大震災前に検討し、2011年4月末に導入した。導入事例は掲載されていないが(会社の意向で)。
個人的にも2年前ぐらいに導入し、99%スパム(ドメインを所有している関係上、スパムが多い)だったのが、今や0%に近い。
Office365の導入事例は、こちらを参考して欲しい。先日、ニトリが採用を発表。その他、カネカJAL丸紅らが採用。つまり、大手ほどセキュリティ重視なわけだが、利用されていることは、安心して利用できる!というところだ。

FISMA認証
米国連邦情報セキュリティマネジメント法(FISMA:US Federal Information Security Management Act )のこと。この連邦法は、情報と情報システムを無許可のアクセスから守るためのフレームワークを規定しており、米国経済と国家の安全にとってのデータ保護の重要性を認めている、セキュリティにとっては、非常に難関な認証とのことだ。

このFISMA認証を2012年にOffice365は取得していると公表している。政府機関が必要とするセキュリティレベルで利用できることから、Office365のセキュリティは、非常に「安心」だといえる。

但し、システムは安心だけれども、利用者の運用は、別問題だ。利用者が、パスワードを定期的に変更しなくてもいいように、PowerShellでパスワードの無期限化を実施させたり、パスワードをPCに貼って、誰でも見ながら利用できる、という、セキュリティ以前の運用を業務の中でやっていれば、元も子もない。システムは完璧だけれど、利用で欠陥だらけでは、セーフティではないので、注意しよう。

結局、会社での運用もそう。しっかり整備したとしても、利用者が日本語変換の辞書にパスワードを登録している人もいたり、デスクトップ上のメモ帳にパスワードを記入してコピペで対応する人もいたりして、個人レベルのセキュリティのなさが目に付く。個人個人のセキュリティのリテラシーをあげなければ、いくらいいものを入れても、穴だらけになる。

Microsoft Technet ブログに、こんな記事が投稿されている。
利用しているクラウド サービスでは、セキュリティに最高レベルの国際標準が設定されていますか

2012年のブログを引用してみた。
データ セキュリティの国際標準認定である ISO 27001 を取得
Office 365 がEU 標準契約条項対応を担保する最初かつ唯一のサービスに

情報の機密性(C:Confidentiality)・完全性(I:Integrity)・可用性(A:Availability)の情報セキュリティ3要素(CIA)をバランスよくマネジメントすることで、企業は保有する情報資産を有効できるとされている。ISO27001を取得していることは、このCIAが的確に処理されていることを意味する。

またOffice365セキュリティのホワイトペーパーが用意されているので、これも参考になるだろう。コンプライアンスはこちらを参考に。データの機密性についてはこちら

Office365を安心で利用できる10か条たるものも公開されていた。BPOSから利用しているが、BPOSのときよりも、公開情報が整備されてきており、更に遣いやすくなって期待のではないか?と考えられる。

私としてもOffice365ユーザであり、仲間を広げていきたい。マイクロソフトの人間ではないが、クラウドを利用するにあたってのセキュリティは豊富、第三機関による監査もしっかりしていながら、コストパフォーマンスになるとともに、最新技術をすぐに利用できる点から、Office365をどんどん「いいね!いいね」として紹介していきたい。