Exchange Onlineのセキュリティ対策|中小企業が今すぐやるべき設定と選び方
結論からお伝えすると、Microsoft 365のメール基盤「Exchange Online」は、契約しただけで一定のセキュリティ(迷惑メール・ウイルスの自動排除)が働きますが、標準のままでは中小企業を狙う巧妙な攻撃を防ぎきれません。とくに「なりすましメール対策(SPF・DKIM・DMARC)」と「多要素認証(MFA)」は、追加費用なしで今すぐ設定できる必須対策です。この記事では、Exchange Onlineで何が標準で守られ、何を追加で設定・導入すべきかを、中小企業の情報システム担当者・経営者向けに、優先順位をつけてわかりやすく解説します。
Exchange Onlineのセキュリティ対策はなぜ必要?標準で守れる範囲は?
Exchange Onlineとは、Microsoft 365に含まれるクラウド型のメールサービスです。契約すると標準で「Exchange Online Protection(EOP)」というメール防御機能が有効になり、受信・送信するすべてのメールと添付ファイルを検査して、ウイルスや明らかな迷惑メールを自動でブロック・隔離します。
ただし、近年の攻撃は「取引先や自社の社長になりすましたメール」「本物そっくりの偽サイトへ誘導するフィッシング」など、人をだます手口が中心です。これらは標準のフィルターだけではすり抜けることがあり、中小企業でも被害(不正送金・情報漏えい・ランサムウェア感染)が現実に起きています。
そこで、「標準でできること」と「追加で対策すべきこと」を切り分けて考えることが重要です。全体像を下の表で整理します。
| 対策 | 標準(EOP)で可能か | 中小企業の優先度 |
|---|---|---|
| ウイルス・迷惑メール排除 | ◯ 標準で有効 | ― |
| なりすまし対策(SPF/DKIM/DMARC) | △ 設定が必要(追加費用なし) | ★★★ 最優先 |
| 多要素認証(MFA) | △ 設定が必要(追加費用なし) | ★★★ 最優先 |
| 不審リンク・添付の高度検査 | × 上位プラン(Defender)が必要 | ★★ 推奨 |
| 情報漏えい防止(DLP)・暗号化 | × 上位プランが必要 | ★★ 推奨 |
標準機能(EOP)の詳細は、Microsoftの公式ドキュメントでも確認できます。
Exchange Online Protection公式情報 ➡
まず押さえる「なりすまし対策」3点セット(SPF・DKIM・DMARC)とは?
中小企業がメールセキュリティで最初に取り組むべきなのが、なりすまし対策の3点セットです。これは自社のドメイン(@会社名.co.jp)を勝手に使った偽メールを、相手のメールサーバーに「これは偽物だ」と判断してもらうための仕組みです。追加費用はかからず、DNS(ドメインの設定情報)への登録で行います。
| 仕組み | 役割(やさしく言うと) |
|---|---|
| SPF | 「うちのメールを送れるのはこのサーバーだけ」と宣言する |
| DKIM | メールに電子的な「封印(署名)」を付け、改ざんを見抜く |
| DMARC | 偽物だった場合の扱い(隔離・拒否)を指示する |
Exchange Onlineでは、SPFは契約時にほぼ自動で設定され、DKIMはMicrosoftの管理画面(Defenderポータル)から有効化、DMARCはDNSへの追加登録で設定します。とくにGmail・Yahoo!などは、なりすまし対策が未設定のドメインから届くメールを迷惑メール扱いや受信拒否にする動きを強めており、自社のメールが取引先に届かなくなるリスクもあります。攻撃対策と「届けるため」の両面で必須の設定です。
DNSの設定はミスがあるとメール不達につながるため、不安な場合は専門家に確認しながら進めることをおすすめします。仕組みの詳細は、下のかみ砕いた解説記事も参考にしてください。
多要素認証(MFA)と条件付きアクセスでアカウントを守るには?
メール被害の多くは「IDとパスワードの盗難」から始まります。多要素認証(MFA)とは、ログイン時にパスワードに加えて、スマートフォンの認証アプリやワンタイムコードなど「本人だけが持つ2つ目の鍵」を求める仕組みです。パスワードが漏れても、それだけでは侵入されにくくなります。
MFAはMicrosoft 365の全プランで追加費用なく利用でき、管理画面の「セキュリティの既定値(Security Defaults)」を有効にするだけでも全社に適用できます。まず全ユーザーでMFAを必須にすることが、最も費用対効果の高い対策です。
さらに上位プランで使える「条件付きアクセス」を組み合わせると、「社外の見知らぬ国からのアクセスはブロック」「会社が許可した端末だけ許可」といった、より細かい制御ができます。テレワークで社外からアクセスする機会が多い企業ほど効果的です。
標準では足りない?Microsoft Defender for Office 365で多層防御
巧妙なフィッシングや、開いた瞬間に感染する添付ファイルなど、標準のEOPだけでは防ぎにくい攻撃に備えるのが「Microsoft Defender for Office 365」です。中小企業でとくに役立つのが次の2機能です。
- 安全なリンク(Safe Links):メール内のURLをクリックした瞬間に安全性を再チェックし、偽サイトへの誘導をブロックします
- 安全な添付ファイル(Safe Attachments):添付ファイルを隔離環境で実際に開いて検査し、未知のウイルスを見つけます
Defender for Office 365には「プラン1」と「プラン2」があり、中小企業はまず上記の防御が含まれるプラン1で十分なことが多いです。プラン1は「Microsoft 365 Business Premium」に標準で含まれているため、Premiumを選べば追加購入は不要です。プランごとの違いは下の比較記事が参考になります。
Defender for Office 365 プラン比較を見る ➡
情報漏えいを防ぐ設定(DLP・暗号化・誤送信対策)はどうする?
外部からの攻撃だけでなく、社内からの情報漏えいへの備えも欠かせません。Exchange Onlineと連携するMicrosoft 365の機能で、次のような対策ができます。
| 機能 | できること |
|---|---|
| DLP(情報漏えい防止) | マイナンバーやカード番号を含むメール送信を自動で警告・ブロック |
| メール暗号化 | 重要メールを暗号化し、宛先以外が中身を読めないようにする |
| 送信トレイの保留 | 送信を数分遅らせ、誤送信に気づいたら取り消せる |
| 監査ログ | 誰がいつメールを操作したかを記録し、調査に使える |
DLPやメール暗号化は上位プランの機能ですが、誤送信対策(送信の遅延)や監査ログは比較的すぐに着手できます。自社の扱う情報(個人情報・取引先情報)の重要度に応じて、必要な機能を見極めましょう。
ライセンス別セキュリティ機能の違いと中小企業の選び方は?
これまで紹介した対策の多くは、契約するMicrosoft 365のプランによって「使える/使えない」が分かれます。中小企業でよく検討される2プランを比べると、セキュリティ面では大きな差があります。
| 機能 | Business Standard | Business Premium |
|---|---|---|
| EOP・MFA・なりすまし対策 | ◯ | ◯ |
| Defender for Office 365 プラン1 | ×(別途追加) | ◯ 標準で含む |
| 条件付きアクセス・DLP | × | ◯ |
| 端末管理(Intune) | × | ◯ |
つまり、セキュリティをしっかり固めたいなら「Business Premium」が中小企業にとって有力な選択肢です。Standardより1人あたりの月額は上がりますが、Defender・条件付きアクセス・端末管理を個別に買い足すより割安になるケースが多いです。最新の料金やプラン構成は変わるため、下の料金記事と公式情報で必ず確認してください。
Microsoft 365そのものの導入・運用のご相談は、中小企業向けのクラウドサービス紹介サイトもご覧ください。
中小企業がまず取り組むべき優先順位は?(補助金の活用も)
「あれもこれも」と一度に進める必要はありません。費用対効果の高い順に、段階的に進めるのが現実的です。
| ステップ | 取り組む内容 | 費用 |
|---|---|---|
| STEP1 | 全員のMFAを必須にする | 追加費用なし |
| STEP2 | SPF・DKIM・DMARCを設定する | 追加費用なし |
| STEP3 | Defender(安全なリンク・添付)を有効化 | プラン費用 |
| STEP4 | DLP・暗号化・条件付きアクセスを整備 | プラン費用 |
STEP1・2は今すぐ無料で着手すべき対策です。STEP3以降でBusiness Premiumへの切り替えや専門的な設定が必要になりますが、こうしたセキュリティ強化を含むクラウドツールの導入費用は、デジタル化・AI導入補助金の対象となる場合があります。ただし補助金の要件・対象は年度ごとに変わるため、最新の公募要領の確認や専門家への相談が必要です。
「自社のメールセキュリティが今どのレベルか不安」「Business Premiumへの移行と補助金活用をまとめて相談したい」という場合は、ぜひ一度ご相談ください。設定状況の確認から、補助金を活用したコスト削減までご支援します。
クラウド型・ゲートウェイ型など、Microsoft 365標準以外のメールセキュリティ製品と比較検討したい場合は、中小企業向けの選び方ガイドも参考になります。
よくある質問(Q&A)
Q. Exchange Onlineは契約するだけで安全ですか?
A. 最低限のウイルス・迷惑メール対策は標準で働きますが、なりすまし対策(SPF・DKIM・DMARC)と多要素認証(MFA)は別途設定が必要です。この2つは追加費用なしでできるため、まず最優先で設定してください。
Q. 多要素認証(MFA)は無料で使えますか?
A. はい。Microsoft 365のどのプランでも追加費用なく利用できます。管理画面の「セキュリティの既定値」を有効にすれば、全ユーザーに一括で適用できます。
Q. Microsoft Defender for Office 365は必ず必要ですか?
A. 必須ではありませんが、巧妙なフィッシングや未知のウイルス付き添付ファイルへの備えとして強く推奨されます。中小企業はプラン1が含まれるBusiness Premiumを選ぶと、追加購入なしで利用できます。
Q. 設定を自社だけで行うのが不安です。
A. SPF・DKIM・DMARCはDNS設定のミスがメール不達につながるため、不安な場合は専門家に確認しながら進めるのが安全です。アーデントでは設定状況の確認から補助金活用までご支援していますので、お気軽にご相談ください。
Microsoft 365の導入、プランの切り替え等をお考えの方
弊社を通してMIcrosoft365を導入頂くと以下のメリットがあります。
①デジタル化・AI導入補助金を活用して2年間半額で導入可能
②複数ツール導入で公式価格より3%お値引き
③他ITツールとの各種API連携もご提案可
④MIcrosoft365の導入、使い方もサポート対応可
まずは以下のフォームもしくはお電話でお問い合わせくださいませ。
お問い合わせはこちら⇒ 株式会社アーデント 03-5468-6097
※「Microsoft 365の記事を見た」とお伝え下さい。
Microsoft365お問い合わせフォーム
※法人向けサービスのみ対応しております。個人向けサービスは対応できませんので、ご注意ください。
必要な項目のすべてをご入力いただき、「アーデントに問い合わせる」ボタンをクリックしてください。必須のついている項目は必須入力項目です。
関連記事
・Microsoft365の安全なセキュリティ設定を解説・Teamsのウェビナーと会議の違いを分かりやすく解説!
・Power AppsとPower Automateの違いとは?
・Copilot in Power Appsとは?何ができるのかを詳しく解説!
・OneNoteの共有方法をわかりやすく解説!
・Microsoft Bookingsとは?機能、メリット・デメリットを徹底解説
・Exchange Onlineとは?機能、メリット・デメリットを徹底解説
・Sharepointとは?機能、メリット・デメリットを徹底解説
・OneDrive for BusinessとOneDriveとの違いとは?
・法人向けMicrosoft365のプラン、料金をとにかく分かりやすく解説
・Microsoft 365 Business StandardとE3プランの違いとは?
・Microsoft365とは?初心者向けに分かりやすく解説
・Teamsの使い方を初心者向けに分かりやすく解説!
株式会社アーデントは、デジタル化・AI導入補助金の支援事業者を行っております!
アーデントからデジタル化・AI導入補助金を使ってクラウドツールを導入するメリットは以下の通りです。
メリット①対象ツールを2年間、半額、もしくは1/4で利用可!
メリット②会計、経費精算、請求書処理、受発注ツール導入なら、PCやタブレットの購入も補助が受けられ半額!
メリット③補助期間終了後は、公式価格よりお値引き!
メリット④各種IT活用、DX、保守サポートでより貴社のIT化を促進、生産性を向上します!
【弊社取り扱いクラウドツール】
🔹オフィスソフト・グループウェア: Google Workspace※、Microsoft365、desk'nets NEO※
🔹ノーコード業務改善:kintone、Zoho※、楽楽販売、JUST.DB※、サスケworks
🔹コミュニケーション: サイボウズオフィス、Chatwork、LINE WORKS、zoom
🔹会計・経費管理: マネーフォワード、freee、楽楽精算、楽楽明細、楽楽請求、invox
🔹電子契約・文書管理: freeeサイン、クラウドサイン、GMOサイン、Adobe Acrobat
🔹セキュリティ対策: sophos、SentinelOne、ESET、ウイルスバスタークラウド
🔹バックアップ: syscloud、Avepoint
🔹RPA・自動化: RoboTANGO、DX-Suite、Yoom※、バクラクシリーズ
🔹勤怠・労務管理: 勤革時、楽楽勤怠、マネーフォワード
🔹物流・在庫管理: ロジザードZERO
🔹教育・マニュアル作成管理: iTutor、NotePM、leaf
🔹PBX・電話システム: INNOVERAPBX※、MOTTEL※
🔹端末管理:LANSCOPE、clomo
🔹リモートデスクトップ:RemoteOperator在宅
🔹受付ipad:ラクネコ※
🔹タスク管理、その他:Adobe creative cloud、Noota、JOSYS、backlog※
など
※こちらのツールは補助期間終了後の値引不可
また、上記以外のツールも取り扱いできるものが多々ありますので、一度ご相談ください。
デジタル化・AI導入補助金2026の詳細、お問合せはお電話頂くか、以下の記事を御覧ください↓
デジタル化・AI導入補助金お問合せ:03-5468-6097
以下の動画では、採択のポイントや申請にあたっての注意点などを詳しく解説していますので、
あわせてご覧ください!
株式会社アーデント 代表取締役。2006年にオフィス専門不動産会社アーデントを創業。その後、オフィス賃貸仲介、ワークプレイス作りに10年以上携わり、合計500社以上のオフィス移転をサポート。2018年よりクラウドPBXを中心にネットワーク、通信分野を専門に400社以上の電話、ネット環境づくりをサポート。2022年より100以上のクラウドサービスの販売を開始。
デジタル化・AI導入補助金を使って、150社以上にクラウドツールを提供。IT活用による業務改善のDXコンサルを提供。ノーコードツールを使ったExcelやAccessからの基幹システム移行によるDX実績多数。
アマゾンで出版している書籍はこちら!
「AppSheetで作る中小企業の基幹システム」 ~Excel限界からの脱出。GoogleWorkspaceを使って、失敗しない業務アプリ導入を解説~
「Google Workspace完全活用マニュアル」 ~Google Workspaceをフル活用する方法を徹底解説!~
amzn.to/3w5zWfT
「中小法人向け サイバーセキュリティ完全ガイド」~サイバーセキュリティ対策で、特に中小企業が 守るべきポイントを網羅!~
amzn.to/3Y9Nm5n
ぜひチェックしてください!
