Microsoftは、Microsoft 365(M365)の全テナントに対して「Baseline Security Mode」の展開を開始した。これはM365管理センター内に新設されたダッシュボードで、Office、SharePoint、Exchange、Teams、Microsoft Entraにまたがる推奨セキュリティ設定を一元管理できる機能だ。
Ignite 2025で発表、2026年1月末に全世界展開予定
この機能はMicrosoftの年次カンファレンス「Ignite 2025」(2025年11月)で発表されたもので、オプトイン形式で提供される。2025年12月時点では一部テナントの「組織の設定 > セキュリティとプライバシー」から確認できる状態で、2026年1月末までに全世界へのロールアウトが予定されている。GCC(政府機関向けクラウド)、DoD、GCCH環境への展開は2026年3月までに完了する見通し。
18〜20のポリシーで3領域をカバー
Baseline Security Modeは、Microsoftの脅威インテリジェンスおよび20年超にわたるインシデント対応センターのデータをもとに設計された18〜20のポリシーを、以下の3領域に適用する。
認証ポリシー(12項目)
- Basic認証、Exchange Web Services(EWS)、IDCRLといったレガシープロトコルをブロック
- 管理者アカウントに対してFIDO2やパスキーを用いたフィッシング耐性のあるMFA(多要素認証)を必須化
ファイル保護
- HTTP/FTPなど非セキュアなプロトコル経由でのドキュメント開閉を制限
- ActiveX、DDE、レガシーファイル形式をProtected View外で開くリスクのある操作をブロック
- 2026年に廃止が予定されているMicrosoft Publisherの脆弱な機能を無効化
管理者への影響はゼロから始められる
セキュリティロールまたはグローバル管理者権限を持つ管理者は、2つのモードで利用を開始できる。**「デフォルトポリシーを自動適用」を選択すると影響度の低い7つのコントロールが即時適用され、残りのポリシーについては「レポートを生成」**によりシミュレーションを実行できる。監査ベースの影響データは24時間以内に確認可能で、管理者が承認するまでテナントへの変更は発生しない。設定状況は「リスクあり」または「標準を満たしている」のステータスで追跡できる。
将来的にはPurview・Intune・Azureへも拡張
この機能はMicrosoftが推進する「Secure Future Initiative(セキュアフューチャーイニシアティブ)**」の一環であり、クレデンシャルスタッフィング、フィッシング、サプライチェーン攻撃などで悪用される設定の誤りを体系的に解消することを目的としている。今後はMicrosoft Purview、Intune、Azureへの拡張も予定されており、AIを活用した脅威への対策強化が見込まれる。
日本のM365管理者にとっても、複雑化するセキュリティ設定の標準化・一元管理という観点から注目すべき機能といえる。特にランサムウェアやAPT(高度持続的脅威)攻撃が増加している昨今、設定の抜け漏れを防ぐ「デフォルトで安全」なアプローチは有効な防御策となるだろう。
元記事: Microsoft Rolls Out Baseline Security Mode for Office, SharePoint, Exchange, Teams, and Entra