Microsoft BSMを通じて、管理者は単一のダッシュボードから設定状況や改善優先度を迅速に把握でき、影響レポートやシミュレーション(What-if)評価を組み合わせて変更がユーザーやアプリに与える影響を確認した後、「スイッチ式ガバナンス」により安全なデフォルト設定や高リスク機能のグローバルブロックを集中して有効化できます。
古い認証フローの遮断:POP(Post Office Protocol)、IMAP(Internet Message Access Protocol)、SMTP(Simple Mail Transfer Protocol)、旧版EWS(Exchange Web Services)など、MFA(多要素認証)や条件付きアクセスに対応していない旧プロトコルのアクセスを無効化し、高リスクのログイン経路を直接遮断します。
Teams Roomsリソースアカウントによる会議資料アクセスの制限:Teams Roomsデバイス上のリソースアカウントによるM365ファイルの閲覧を禁止または制限し、未承認の内容閲覧やダウンロードを防ぎます。
これらの設定により、会議室環境のセキュリティを大きく向上させ、会議資料や機密情報を保護します。
Microsoft BSMの機能紹介
Microsoft BSMの今後の展望
Microsoft BSMの第一弾リリース——Microsoft BSM 2025は、5つの主要アプリケーションにおいて20のベースライン設定を展開済みです1。Microsoft Digitalは、これらの機能の検証と展開を企業規模で支援しています。次のアップデートもすでに開始されており、規模はより大きく、46の機能を含み、第一弾の2倍以上となります。Microsoft BSMの製品チームは、より深いプロトコル制限や広範なアプリ制御、より細粒度のアイデンティティ検証戦略の拡充に注力しています。
三、セキュリティベースライン導入の一般的な課題とMicrosoft BSMの対応
Microsoft BSMは、脅威検知や対応、データガバナンスなどの完全なセキュリティ体系を置き換えるものではなく、「土台」をしっかり築くことを優先します。より強力なデフォルト設定により攻撃者の侵入口を減らし、影響シミュレーションや診断データを活用して、企業がビジネスの許容範囲内で改善を進められるよう支援します。
Microsoft 365の門を半開きにしないでください:BSMの「神の視点」を活用して安全リスクを正確に特定し、潜在的な脅威や脆弱性を見逃さないようにしましょう。
デジタル化リスクがますます複雑化する今日、企業はどのようにして安全脅威を事前に感知し、受動的防御から能動的管理への飛躍を実現できるのか?Microsoftは2025年末に最新のベースラインセキュリティモード(Baseline Security Mode、以下Microsoft BSM)をリリースし、世界中の企業のネットワークセキュリティアーキテクチャの進化において重要な方向性となっています。
Microsoftの戦略的アライアンスパートナーであるプライスウォーターハウスクーパース(PwC)は、Microsoft BSMの導入初期から深く関与し、実践を積み重ねてきました。また、複数の実践シナリオにおいて最先端の適用経験を蓄積しています。PwCは、自身の複雑なアーキテクチャに基づくセキュリティ実践を通じて、Microsoft BSMを活用し、組織がMicrosoft 365(以下M365)やEntra IDで使用されている歴史的に高リスクな設定やプロトコルを特定・収束させるのを支援しています。影響レポートや評価を通じて依存関係やビジネスへの影響を把握し、コントロール可能なペースでベースラインの強化を推進し、古いシステムの防護課題を解決し、安全基準を堅固にする具体的な道筋を提供しています。
このため、私たちは特に本稿を整理し、初公開します。Microsoft BSM分野における先行的な洞察と実践の総括を、導入を検討中または計画中の企業に共有し、セキュリティ構築において一歩先を行き、知恵を絞る支援を目的としています。
一、なぜ「セキュリティベースライン」が今、より緊急性を増しているのか?
今日のネットワーク脅威は「AI加速」の新段階に入っています。攻撃者は大規模モデルや自動化ツールを駆使し、露出面のスキャンや脆弱点の特定をより迅速かつ正確に行い、企業環境内で高い機動性を持って攻撃目標を達成します。その結果、ネット犯罪グループは歴史的なセキュリティの弱点から突破口を見つけやすくなっています。これらの弱点は従来の古いシステムだけでなく、多くの組織が依然として保持しているM365やMicrosoft Entraアイデンティティプラットフォームの歴史的設定やプロトコルにも存在します。これらの高リスク設定とマルチクラウド/ハイブリッドアーキテクチャが重なると、防御側は追いつくのに疲弊し、攻撃者はより大胆になります。
こうした状況に打ち勝つには、企業は複雑で相互依存する環境において「全体像の可視化」を構築する必要があります。クラウド上のテナントやアプリケーションだけでなく、アイデンティティやアクセスの重要な制御ポイントも含めてです。現実的な課題は、歴史的設定の「隠蔽性」と「依存性」が非常に高いことです。これらは長年の反復的な継承により蓄積されている一方、継続的な棚卸しや収束の仕組みが欠如しています。更新や強化のペースが追いつかない場合、攻撃者はこれらを迂回し、権限拡大や横展開・縦展開を進めるための抜け道として利用します。同時に、クラウド設定の偏移やシステム間の統合に伴うリスクポイントなどの根本的な問題も広く存在し、新技術を持つ対抗者はこれらのリスク上限をさらに引き上げています。
PwCの「2026年グローバルデジタル信頼洞察」調査もこの傾向を裏付けています。クラウド関連の脅威は、企業が最も準備不足と感じるネットワーク脅威のトップです。さらに、歴史的設定とサプライチェーンは、企業が直面する最も脆弱なポイントの上位2つに位置し、半数以上の回答者はこれらの攻撃に対して「ぎりぎり対応できている」と答えています。したがって、業界ごとに関心事は異なるかもしれませんが、効果的な対策は基本的なセキュリティ実践に立ち返る必要があります。すなわち、安全基準をしっかりと築き上げることが、防御体制の安定した土台となるのです。
こうした背景のもと、「セキュリティベースライン」の設定を推進する際に、組織が直面しやすい痛点は以下の通りです。
二、Microsoft BSM:Microsoftが提供する「Security-by-defaultベースライン」機能
M365およびそのCopilot支援ツールが、フォーチュン500企業の90%以上に展開されている現状1において、Microsoftは2025年末にM365を基盤とした新たなセキュリティ製品Microsoft BSMをリリースしました。この機能は、M365管理センターに深く組み込まれ、企業向けのM365とMicrosoft Entraアイデンティティシステムのセキュリティベースライン設定機能です。従来、Office、Exchange、Teams、SharePoint/OneDriveなど複数のアプリや管理入口に散在していた重要なセキュリティ設定を一元化し、Microsoftの実際の攻撃データ分析に基づき、最も頻繁に悪用される歴史的/高リスク設定を優先的にカバーしています。
Microsoft BSMを通じて、管理者は単一のダッシュボードから設定状況や改善優先度を迅速に把握でき、影響レポートやシミュレーション(What-if)評価を組み合わせて変更がユーザーやアプリに与える影響を確認した後、「スイッチ式ガバナンス」により安全なデフォルト設定や高リスク機能のグローバルブロックを集中して有効化できます。
この重点は、Microsoft 365アプリやMicrosoft Entra内に多くの企業が保持しているが、攻撃者に悪用されやすい歴史的設定を集中管理により排除することにあります。
Microsoft BSMの現時点のコアサービス分野
アイデンティティと権限:資格情報攻撃と横展開の成功率低減
旧式の認証プロトコルやトークンは依然として最も一般的な侵入経路の一つです。Microsoft BSMは、Exchange、SharePoint/OneDrive、Teams、M365アプリなどのサービスにおいて旧プロトコルの露出を減らし、関連する歴史的設定の一括無効化を推奨しています。これにより、フィッシングやクレデンシャルリスト攻撃、パスワードスプレーのリスクを低減します。
古い認証フローの遮断:POP(Post Office Protocol)、IMAP(Internet Message Access Protocol)、SMTP(Simple Mail Transfer Protocol)、旧版EWS(Exchange Web Services)など、MFA(多要素認証)や条件付きアクセスに対応していない旧プロトコルのアクセスを無効化し、高リスクのログイン経路を直接遮断します。
基本認証の警告抑制:従来の「ユーザ名/パスワード入力」ポップアップをブロックし、ユーザが安全でない警告画面で資格情報を入力するリスクを低減します。
ファイルとコラボレーション:悪意あるドキュメントや過去のファイル特性による攻撃面の削減
Word、Excel、PowerPointなどのM365アプリは効率性向上に寄与しますが、旧版Officeファイル形式(例:Wordの.doc)やActiveXコントロールの埋め込みは重大なセキュリティリスクをもたらします。Microsoft BSMは、より現代的で安全なファイル形式への段階的移行を推奨し、ActiveXを含む高リスクファイルの動作を制限・排除することで、攻撃面の源を削減します。
詳細な診断データの取得に同意した場合、Microsoft BSMは細粒度の可視化も提供します。例えば、過去28日間にActiveXを含む旧ドキュメントを使用しているユーザ数や、そのファイルが開かれた回数などを把握し、管理者によるユーザ教育や戦略の収束を支援し、安全基準の実現を加速します。
会議室と共有デバイス:盲点資産をコントロール下に戻す
Microsoft BSMは、会議室デバイスのシナリオにおいて、次の2つの重要なベストプラクティスを実施し、会議環境の乱用やデータ漏洩リスクを低減します。
未管理デバイスやリソースアカウントによるM365アプリへのログインを阻止:未管理端末や会議室アカウントなどのリソースアカウントの直接ログインを制限し、侵用の入口を減らします。
Teams Roomsリソースアカウントによる会議資料アクセスの制限:Teams Roomsデバイス上のリソースアカウントによるM365ファイルの閲覧を禁止または制限し、未承認の内容閲覧やダウンロードを防ぎます。
これらの設定により、会議室環境のセキュリティを大きく向上させ、会議資料や機密情報を保護します。
Microsoft BSMの機能紹介
Microsoft BSMの今後の展望
Microsoft BSMの第一弾リリース——Microsoft BSM 2025は、5つの主要アプリケーションにおいて20のベースライン設定を展開済みです1。Microsoft Digitalは、これらの機能の検証と展開を企業規模で支援しています。次のアップデートもすでに開始されており、規模はより大きく、46の機能を含み、第一弾の2倍以上となります。Microsoft BSMの製品チームは、より深いプロトコル制限や広範なアプリ制御、より細粒度のアイデンティティ検証戦略の拡充に注力しています。
三、セキュリティベースライン導入の一般的な課題とMicrosoft BSMの対応
Microsoft BSMは、脅威検知や対応、データガバナンスなどの完全なセキュリティ体系を置き換えるものではなく、「土台」をしっかり築くことを優先します。より強力なデフォルト設定により攻撃者の侵入口を減らし、影響シミュレーションや診断データを活用して、企業がビジネスの許容範囲内で改善を進められるよう支援します。
セキュリティベースライン導入の課題とMicrosoft BSMの対応策
四、Microsoft BSMが適用できる典型的なシナリオ
企業のデジタルワークフロー全体のセキュリティニーズに合わせて、Microsoft BSMの能力は多様なコアビジネスや操作シナリオに正確に適用可能です。アカウント、認証、スクリプト、伝送、コントロール、デバイスログインなどの重要ポイントにおいて効果的な防護策を構築し、日常のセキュリティ管理の痛点に十分対応します。
五、Microsoft BSMと他のMicrosoftセキュリティ製品との違い:よくある誤解の回避
多くの企業は、Microsoft Secure Score、Microsoft Entra Access、Microsoft Defenderシリーズや各種ベースラインスクリプトを導入済みであり、「Microsoft BSMは重複しているのでは?」と疑問を持ちます。私たちの提案は、役割と機能の差異を理解し、混同を避けることです。
Microsoftセキュリティ製品の比較一覧
六、「設定」から「実装」へ:PwC自身の実践経験
規模が大きく複雑なPwC自身も、「歴史的設定」に伴う潜在リスクに長年直面しています。脅威環境の変化により、これらが新たな攻撃入口となる可能性もあります。そこで、PwCはMicrosoftとのInner Circleパートナーシップを活用し、より高度な協力と実践の整合性を図っています。最近、世界の企業の中で最初にMicrosoft Baseline Security Mode(BSM)を試験導入した一つとして、先行検証と蓄積を重ね、今後の大規模展開に向けた再利用可能な方法論と提供ルートを確立しています。
試験導入で得たものは何か?
まず、Microsoft BSMは、より集中化された操作・管理インターフェースを提供します。従来の類似設定は複数のコントロールパネルや場所に分散し、個別に整理・設定が必要でしたが、Microsoft BSMを通じて、組織内で使用中の歴史的設定を一つのビューで把握し、必要に応じてシンプルな「スイッチ」戦略で全体的に高リスクを収束・遮断できるようになりました。これにより、「点在的なガバナンス」から「体系的なガバナンス」へとリスクを移行させることが可能です。
ただし、Microsoft BSMが提供するのは「ワンクリックで全てを受け入れる」設定リストではありません。試験導入の中で観察したのは、多くの提案が現状のビジネス環境に大きな影響を与える調整項目であることです。これらを有効化すると、既存のアプリ依存や認証方式、過去のプロトコルの使用習慣に影響を及ぼすため、既存の変更管理やリスク評価のプロセスに組み込み、段階的な改善計画を策定しています。定期的にMicrosoft BSMの影響データを振り返り、影響を受ける可能性のあるユーザやアプリを事前に把握し、ビジネス責任者と代替案や移行期間、例外戦略を調整しながら、安全基準の向上とビジネスの継続性を両立させることを目指しています。
私たちの価値は、企業のビジネスプロセスやシステム依存を理解した上で、Microsoft BSMの「セキュリティ提案」を実行可能な改善計画や変化のペース、責任体制に落とし込み、最終的に安全基準の向上とビジネス継続性の両立を実現することにあります。
運用方法はどうするか?
Microsoft BSMは必要なデータを直接生成しますが、私たちは、ユーザが求めるのは明確で実行可能な具体的な施策であると認識しています。自身の実践経験をもとに、次のような支援策を開発しました。
自動化技術:カスタムツールやダッシュボードを作成し、Microsoft BSMのデータ解釈、改善優先度の設定、リスク低減の進捗追跡を支援。
サポートセンター:計画から実装までのリソースと技術支援を提供
標準操作マニュアル:実践に基づく操作手順を作成し、Microsoft BSMの提案を効率的に実施できるよう指導。
これらの施策と実践経験を活用し、PwCは企業のMicrosoft BSMなどのセキュリティ機能を実効性のある成果に変え、データ洞察からリスク管理までの閉ループを実現します。
PwCのMicrosoft BSM導入支援サービスの全体像
PwCが開発したBSMアクセラレーター(Accelerator)は、Microsoft BSM内の散在し、逐一クリックしてダウンロードが必要な影響レポートを一元収集し、Microsoft Entraのユーザ・アプリケーションメタデータと連携します。これにより、アプリIDや責任者・ビジネス責任の情報が欠落していた影響情報を、ビジネスライン、アプリ、責任者、影響範囲を含む図に変換します。これにより、セキュリティチームは、ビジネス部門やアプリ、責任者ごとに影響範囲を把握し、同一アプリの複数コントロールの重複連絡を避けられます。また、可視化された変更追跡により、リスク低減の進捗を継続的に測定し、経営層への定期報告を支援します。Microsoft BSMの導入は、一度きりの設定作業から、「協働・追跡・完結」可能な推進プロジェクトへと進化します。
七、結び:Microsoft BSMを用いて「デフォルト安全性」を組織の共通言語に
企業は今や、歴史的設定やプロトコルの脆弱性を迅速に特定できます。Microsoft BSMは、安全チームに能動的な遮断メカニズムを提供し、高リスクな歴史的コンポーネントの使用を根源から防止します。監査機関や規制当局の企業安全対策に対する監査も厳格化しており、この種の投資はコンプライアンスを満たすだけでなく、企業の戦略的優位性に変わりつつあります。
高度に相互接続された現代の環境では、企業の安全の弱点がシステムリスクを引き起こす可能性があります。Microsoft BSMなどの能動的防御策への投資は極めて重要です。基礎的なセキュリティ対策は、もはや企業内部だけの問題ではなく、業界全体の責任です。エコシステム全体の安全性は、各段階の堅牢さにかかっており、全体最適化を進めることで、セキュリティ基準の向上を促進できます。
PwCのサイバーセキュリティチームは、ネットワークセキュリティ、データコンプライアンス、デジタル信頼の分野に深く関わり、Microsoft BSMに関するセキュリティ理念と実践を核に、世界の最先端経験と国内展開力を融合させ、さまざまな業界の顧客に対し、戦略立案から運用までの全ライフサイクルにわたるセキュリティサービスを提供し、企業のデジタル変革における安全基盤の強化を支援します。