top of page
検索

Microsoft 365導入後、最初の3ヶ月で整えておきたい社内ルール


――静岡の中堅企業・一人情シス向けチェックリスト

前回までの記事で、

  • 取引先から届く情報セキュリティチェックシートへの向き合い方

  • ChatGPTなどAIサービス利用ルールの考え方

を整理してきました。

今回は、実際に多くの会社で導入が進んでいる**Microsoft 365(以下、M365)**をテーマにします。

M365は

  • メール(Exchange Online)

  • ファイル共有(OneDrive / SharePoint)

  • チャット・会議(Teams)

など、会社の“情報の入り口”がほとんど集約される基盤です。

その一方で、認証や共有の設定が甘いと、情報漏えいに直結することも、各社の解説やサービスでも繰り返し指摘されています。

「とりあえずライセンスを買って、メールとTeamsは動いている」という状態から、

“きちんとルールに守られたM365環境”に育てていく最初の3ヶ月

で何を整えておくべきか、一人情シス視点で整理してみます。

なぜ“設定”だけでなく“社内ルール”が必要なのか

M365には、Microsoftが推奨するセキュリティ設定やベストプラクティスが豊富に用意されています。

しかし、技術的な設定だけでは守りきれない部分があります。

  • OneDriveで「とりあえず社外共有リンク」を発行してしまう

  • Teamsでゲストユーザーを安易に招待してしまう

  • 社外秘の情報を個人のOneDriveにだけ保存して退職する

といったものは、「人の行動」の部分であり、社内ルール(ポリシー)と教育がセットになっていないと防ぎにくいからです。

特に静岡の中堅企業で一人情シスをされている方からは、

  • 「設定を頑張っても、社員の使い方で台無しになるのでは…?」

  • 「全部を細かく管理する時間がない」

という声をよく聞きます。

そこで本記事では、**“ここさえ決めておけば、あとは徐々に整えていける”**という最初の3ヶ月のポイントに絞ってお話しします。

最初の3ヶ月で整えておきたい社内ルール 5つ

① アカウントと認証のルール

――「誰が」「どうやって」M365に入るのか

1つ目はID・パスワード周りのルールです。

Microsoft自身も、M365環境のセキュリティ対策として、まず「多要素認証(MFA)の有効化」「管理者アカウントの保護」「最小権限」の3つを特に重視しています。

社内ルールとしては、次のようなことを決めておくと良いでしょう。

  • 全ユーザーにMFAを必須とする

    • 少なくとも、管理者アカウントと外部から利用するユーザーは必須

  • 管理者アカウントは“人+役割”を明確に分ける

    • 「普段使いのアカウント+管理専用アカウント」を分ける

    • グローバル管理者は最低限の人数に絞る(Microsoftも“最大5アカウント程度”を推奨)

  • パスワード共有の禁止

    • 共用メールボックスを使う場合も、「個人アカウント+共有メールボックスの権限付与」を原則にしてID共有は避ける

これらは、設定+ルール+教育の3点セットで考えるとスムーズです。

② ファイルの“置き場所”と“共有範囲”のルール

――OneDriveとSharePointをどう使い分けるか

M365導入後に一番トラブルになりやすいのが、ファイル共有のルールです。

まずは、次のような方針を決めて、A4一枚の図にしてしまうのがおすすめです。

1. どのファイルをどこに置くか

  • 個人のメモ・作業途中の資料→ OneDrive(個人用)

  • 部署で共有する資料→ 部署用のSharePointサイト/Teamsのチャネル

  • 全社共有の規程・マニュアル→ 全社ポータル用のSharePointサイト

「社内の正式資料は、原則SharePoint(チームサイト)に保存する。OneDriveだけに置いたままにしない。」と決めておくだけでも、退職時のデータ引き継ぎがぐっと楽になります。

2. 社外共有のルール

  • 社外共有リンクを発行してよいのは

    • 「どの部署か」

    • 「どういう情報か」

  • 期限付き共有を原則にするか

  • パスワード付きリンクを必須にするか

など、「外に出してよいかどうか」の判断基準を決めておきます。

ルール例:

社外秘情報を含むファイルを、リンク共有(だれでもアクセス可)で送信してはならない。 社外共有が必要な場合は、部門長または情シスの承認を得て、期限付きリンク・パスワード付きリンクを使用する。

③ Teams・グループの作り方と“増やし方”のルール

――「Teamsがぐちゃぐちゃ」を防ぐ

M365導入直後に多いのが、

「Teamsのチームやチャネルが乱立して、どれが本物か分からない」

という状態です。

Teamsのチームは、その裏側でMicrosoft 365グループ+SharePointサイト+メールボックスなどが自動的に作られます。放置すると「よく分からないグループ」が大量にできてしまい、管理が難しくなります。

最初の3ヶ月で決めておきたいのは、例えばこんなルールです。

  • チーム・グループを作成できる人

    • 全社員OKにするか、部門長以上に絞るか

  • チーム名のルール

    • 「部署名‐用途(例:営業部‐案件管理)」など、命名規則を決める

  • 使われていないチームの整理方法

    • 半年使われていないチームは通知→削除候補、など

ルール例:

新しいTeamsチームを作成する場合は、情シスへの申請を行うこと。 チーム名は「部門名‐プロジェクト名」の形式とし、略称は使用しない。 長期間更新のないチームは、情シスが年1回棚卸しを行い、オーナーと相談のうえ整理する。

④ メール・デバイス利用のルール

――「どこから」「どの端末で」M365に触ってよいか

M365はクラウドサービスなので、インターネットがあればどこからでもアクセスできるのがメリットですが、同時に大きなリスクにもなります。

そこで、最初の3ヶ月で次のようなルールを決めておくと安心です。

1. メール(Outlook)の利用ルール

  • Webメール(Outlook on the web)をどの範囲で許可するか

  • 会社支給PC以外からのアクセスを許可するか/条件付きアクセスで制限するか

  • 添付ファイルを直接送るのではなく、SharePoint/OneDriveへのリンクを基本とするかどうか

2. モバイルデバイスのルール

  • スマホ・タブレットからのアクセスは

    • 会社支給端末のみ/私物端末(BYOD)もOK か

  • 紛失時には

    • どこに連絡するか

    • リモートワイプ等の対応をどこまで行うか

3. メールセキュリティの“社員側の役割”

Microsoft Defender for Office 365などの機能を使えば、ある程度自動でメールを守ってくれますが、最終的には怪しいメールを開かない・報告する社員側のルールも重要です。

  • 不審メールを受け取った場合の報告方法

  • 添付ファイル・リンクを開く前のチェックポイント

を簡単にまとめておくとよいでしょう。

⑤ AI機能・拡張機能を使うときのルール

――Copilotなど「M365の中のAI」をどう扱うか

最近は、M365の中にもCopilotなどのAI機能がどんどん増えています。

外部のChatGPT等と同じく、

  • 何を入力してよいのか

  • どのような用途まで許容されるのか

  • 出力結果をそのまま社外文書に使ってよいのか

といった点について、利用ルールを決めておく必要があります。

ここは、先日書いた「ChatGPTなどAIサービス利用ルール」の記事と重なりますので、詳細はそちらに譲りつつ、M365向けには例えばこんなルールが考えられます。

  • Copilotには、顧客名や未公開の取引条件などを含むプロンプトを入力しない

  • Copilotが生成した文章・分析結果は、あくまでたたき台として扱い、人間が必ず確認する

  • 社外向けの重要な資料(契約書・見積条件など)にAI生成物を使う場合は、上長の承認を得る

「設定」と「ルール」を一緒に進めるとラクになる

ここまで読むと、

「やることが多すぎて手が回らない…」

と感じられたかもしれません。

ポイントは、

技術的な設定(セキュアスコアやベストプラクティス)と、社内ルール(ポリシー・運用)を“同時並行”で少しずつ進める

ことです。

Microsoftは、M365管理者向けに

  • セキュリティのベストプラクティス集

  • Secure Score や各種アセスメント機能

などを提供しており、推奨設定をチェックできる仕組みを用意しています。

これらのチェック結果を見ながら、

  • 「この機能をオンにするなら、社内ルールもこう変えよう」

  • 「ここは社員の使い方の問題だから、運用ルールと教育でカバーしよう」

と整理していくと、一人情シスでも少しずつ前に進めるはずです。

一人情シスでも今日からできる“3ステップ”

最後に、「まず何から始めるか」の目安として、最初の3ヶ月でやりたい3ステップをまとめます。

ステップ1:現状の使われ方をざっくり把握する

  • どの部署が

  • どの機能(メール/Teams/OneDrive/SharePoint)を

  • どのように使っているか

をヒアリングやログでざっくり把握します。ここでの目的は、「危なそうな使い方」を見つけることです。

ステップ2:A4一枚の「M365利用ルール(暫定版)」を作る

本記事で挙げた5つのポイントのうち、

  1. アカウント・認証

  2. ファイル保存・共有

  3. Teams・グループ

  4. メールとデバイス

  5. AI機能

について、最低限のOK/NG例をA4一枚にまとめて社内に共有します。

完璧でなくても、「まずはここから」という叩き台があるだけで、社員の行動は大きく変わります。

ステップ3:ルールと設定を3ヶ月かけて“すり合わせ”する

  • 月に1回くらいのペースで

    • Secure Scoreや外部診断レポート

    • ルール違反・ヒヤリハット事例

を振り返りながら、

  • ルールを少し直す

  • 設定を少し強化する

というサイクルを回していきます。

山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティを専門として、

  • Microsoft 365 / Azureを導入したばかりの企業さま

  • 情報セキュリティチェックシートへの回答が求められている企業さま

からのご相談を多くいただいています。

M365導入後の「最初の3ヶ月」に関しては、例えば次のようなサポートが可能です。

  • 貴社のM365環境(ライセンス・利用状況)を踏まえたM365利用ルール(ポリシー)案の作成

  • OneDrive / SharePoint / Teamsの使い分けを整理した「ファイルの置き場所ルール」「社外共有ルール」のひな形作成

  • Microsoft推奨設定とのギャップを整理し、情報セキュリティチェックシートにも使える説明文の作成

  • 「AI利用ルール」(前回記事の内容)と整合したM365 Copilot等のAI機能利用ルールの整備

「とりあえず動いてはいるが、ルールが追い付いていない」「チェックシートでM365の利用状況を書けと言われて困っている」

といった段階でも、遠慮なくご相談ください。

静岡県内の企業さま向けには、オンライン・訪問のどちらでも対応可能です。

お問い合わせの際に、

  • 「M365導入後の社内ルール相談希望」

  • おおよその従業員数と、利用しているM365プラン名(分かる範囲で)

をお知らせいただければ、貴社の状況に合わせて、

  • どこから手を付けるべきか

  • どの部分を山崎事務所でお手伝いできるか

  • 概ねどのくらいの費用感になりそうか

を、分かりやすくご提案いたします。

 
 
 

コメント

Instagram​​

x

note

You Tube

info@shizuoka-yamazaki-jimusho.com

Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。
本ページは一般的な情報提供を目的とし、個別案件は状況に応じて整理手順が異なります。

※本ページに登場するイラストはイメージです。
Microsoft および Azure 公式キャラクターではありません。

Microsoft, Azure, and Microsoft 365 are trademarks of Microsoft Corporation.
We are an independent service provider.

​所在地:静岡市

©2024 山崎行政書士事務所。Wix.com で作成されました。

bottom of page