Microsoft 365(旧Office 365)は便利なクラウドサービスですが、社外からの不正アクセスを防ぐためにはIPアドレス制限によるアクセスコントロールが重要です。
特に中小企業やスタートアップでは、限られたリソースで効果的なセキュリティ対策を講じる必要があります。
本記事では、Microsoft 365で利用できるIP制限(条件付きアクセスを含む)の機能と設定方法、IP制限がもたらすセキュリティ上の意義、固定IPアドレスの必要性、そしてロリポップ!固定IPアクセス(月額539円~で利用できる固定IP提供サービス)の活用メリットについて解説します。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
Microsoft 365におけるIPアドレス制限機能と条件付きアクセス
Microsoft 365はIPアドレスによるアクセス制限が可能です。
標準機能として、ポータルサイトのSharePoint OnlineやクラウドストレージのOneDrive for Businessでは追加コストなしでIPアドレス制御を設定できます。
具体的には、SharePoint管理センターの「アクセス制御」からアクセスを許可するグローバルIPアドレスの範囲を指定することで、指定外のIPからはSharePoint/OneDriveにアクセスできないように設定できます。
この機能により、自社オフィスの固定IPアドレスからのアクセスのみに限定し、社外ネットワークからの利用をブロックするといった運用が可能です。
ただし注意点として、SharePointのIP制限を有効にするとSharePoint管理センター自体も同じIP制限が適用されるため、設定ミスにより管理者までアクセス不能にならないよう慎重な設定が必要です(管理者のIPは必ず許可リストに入れておくこと)。
一方、TeamsやExchange Onlineを含むMicrosoft 365全体でIP制限を行いたい場合は、Azure AD(Microsoft Entra ID)の条件付きアクセス機能を利用します。
条件付きアクセスを使えば、ユーザーやアプリケーション単位で詳細なアクセス制限ポリシーを設定可能です。
例えば「特定のIPアドレスからのみ全クラウドアプリへのサインインを許可する」ポリシーを作成すれば、許可されたネットワーク以外からのMicrosoft 365アクセスを一括で遮断できます。設定手順の概要は次のとおりです
- 信頼できる場所(Named Location)の登録: Azure AD管理画面で自社オフィスや許可したい拠点のグローバルIPアドレス範囲を「信頼できる場所」として追加登録します。
たとえば
AAA.BBB.CCC.DDD/32のように固定IPを入力して定義します。 - 条件付きアクセスポリシーの作成: 条件付きアクセスの新規ポリシーを作成し、対象ユーザーやグループを選択します(まず一部のテストユーザーで適用し、問題ないことを確認してから全体適用するのが安全策です)。 条件に「場所」を指定し、「すべての場所」をブロック対象に設定したうえで例外として先ほど登録した「信頼できる場所」を除外します。 アクセス制御の動作は「アクセスをブロック」を選択し、このポリシーを有効化すれば完了です。 これにより許可した固定IP以外からのサインイン試行はすべて拒否されます。
このAzure AD条件付きアクセスを用いたIP制限を利用するには、対応するライセンス契約が必要な点にも注意しましょう。
条件付きアクセスはMicrosoft Entra IDの有償機能であり、一般にAzure AD Premium P1以上のライセンスが必要です。
中小企業向けでは、例えばMicrosoft 365 Business PremiumやEnterprise E3/E5といったプランにはAzure AD Premium P1相当の機能が含まれるため条件付きアクセスが利用できます。
一方、Business StandardなどAzure AD Premiumを含まないプランの場合でも、必要に応じてAzure AD Premium P1ライセンスを追加購入すれば条件付きアクセスを有効化可能です。
ライセンス要件を満たしているか確認した上で、この強力なセキュリティ機能を活用するとよいでしょう。
IP制限によるセキュリティ強化の意義
クラウドサービスを安全に使う上で、IP制限は基本的なセキュリティ対策の一つです。
その主な意義は次のとおりです。
- 社外からの不正アクセス防止 あらかじめ許可したネットワーク(社内LANや企業VPNなど)のみMicrosoft 365にアクセス可能とすることで、攻撃者や第三者が勝手にログインを試みてもブロックされます。 言い換えれば、許可していないIPアドレスからの通信を自動的に遮断できるため、リスクの高い外部ネットワーク経由のサイバー攻撃からOffice 365のデータを守るのに役立ちます。 たとえユーザーのパスワードやトークンが漏えいしても、社外からではログインできない仕組みになっていれば被害を大幅に抑止できます。
- 従業員のアクセス管理・利用状況統制 IP制限により「どこからアクセスして良いか」を制限することで、従業員が許可された環境(例えば会社オフィスや指定のVPN経由の接続)でのみMicrosoft 365を利用するよう促せます。 これにより、従業員が私物PCや公共Wi-Fiなどセキュリティリスクの高い環境から業務データにアクセスすることを防ぎます。 アクセス元ネットワークを統制することは、情報漏えいや誤用のリスク低減に繋がります。
- コンプライアンス強化・情報漏えい防止 業種によっては規制や社内ポリシーで、「機密データは社内ネットワークからのみアクセス可能にする」ことが求められる場合があります。 IPアドレス制限を活用すれば、業務内容や扱う情報の機密度に応じてアクセスを許可する場所を限定でき、「必要のない場所からはアクセスさせない」体制を作れます。 クラウドサービスは基本的にインターネット経由でどこからでもアクセスできますが、「便利だからといって何でもどこからでも使わせてよいのか」という点に対し、IP制限は一種のセーフガードとなります。 重要情報へのアクセス経路を物理的に(ネットワーク的に)絞り込むことで、万一認証情報が漏洩した場合でも情報が好き勝手に持ち出されるリスクを低減できます。
このように、IPアドレスによるアクセス制御は「いつでもどこでも利用できる」クラウドの利便性と引き換えに生じるセキュリティリスクに対処する有効策と言えます。
社外アクセスを一律禁止するか、あるいは社外アクセス時に追加の多要素認証やデバイス制限を組み合わせるかなど、運用ポリシーに応じて柔軟に活用できるのも条件付きアクセスの利点です。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
Microsoft 365でIP制限を有効にするには「固定IP」が不可欠
IP制限を実際に導入する際に直面するのが「許可するIPアドレスを固定できるか」という問題です。
Microsoft 365側でアクセスを許可するIPアドレスを設定しても、利用者側のグローバルIPが頻繁に変わってしまっては意味がありません。
多くの中小企業や個人向けインターネット回線では、接続のたびに割り当てられるIPアドレスが動的に変わる(いわゆる動的IP)ケースが一般的です。
また近年はIPv6接続(IPoE方式)も普及し、自宅からのアクセスがIPv4ではなくIPv6経由になる場合も増えています。
そのため、自社オフィスやテレワーク環境のグローバルIPが固定でない場合、どのIPを許可リストに登録すべきか特定できず、現実的にIP制限運用が困難になります。
具体的には、たとえば社員が在宅勤務で家庭用プロバイダからインターネット接続している場合、時間帯やルーター再起動などにより外向きのIPアドレスが変わることがあります。
「月曜は○○.○○.○○.10だったのに、翌日には○○.○○.○○.25に変わっていた」ということが起こりうるのです。
このように接続元の環境やタイミングによってIPアドレスが変化するため、Microsoft 365側で許可するIPを特定するには利用者全員が利用できる固定の送信元IPアドレスを用意する必要があります。
社内ネットワークからのみ利用させるのであればオフィスの固定回線(固定IP付き)を使えばよいですが、テレワークや外出先からも使わせたい場合は各自のアクセスを一旦共通の固定IP経由に乗せ換える仕組みが必要になります。
解決策の一つとして、企業はVPN(仮想プライベートネットワーク)を導入し、リモートユーザーにVPN接続を経由させてからクラウドサービスにアクセスさせる方法を採ります。
VPNサーバー側に固定IPを割り当てておけば、そのIPだけMicrosoft 365に許可する設定にすることで、利用者は場所を問わず常に固定IP経由でアクセスできるようになります。
このアプローチはセキュリティ面で有効ですが、自前でVPN環境を構築・維持するにはコストや運用負荷がかかります。
自社サーバーやファイアウォール機器の準備、固定IPアドレスの契約料、VPNクライアント設定のサポートなど、中小企業にとってはハードルが高い場合もあるでしょう。
⇒【ロリポップ!固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料!
ロリポップ!固定IPアクセスで簡単・低コストに実現する固定IP利用
上記の課題を解決する手段として注目なのが、GMOペパボ株式会社が提供する「ロリポップ!固定IPアクセス」です。
これは固定IPアドレスを割り当てたクラウドVPNサービスであり、個人から法人まで手軽に利用できます。
ロリポップ!固定IPアクセスを使うと、オフィスだけでなく自宅やカフェなどどこからでも共通の固定IPアドレスでインターネットに接続できるようになります。
つまり、リモートワーク中の社員もこのサービス経由でMicrosoft 365にアクセスすれば、常に決まったIPアドレスからの通信になるため、Microsoft 365側のIP制限と矛盾しなくなります。
社内システムやクラウドサービスのアクセス元IPを特定のアドレスだけに制限し、許可していないIPからの接続はブロックするといったセキュリティ強化も、このサービスにより容易に実現できます。
ロリポップ!固定IPアクセスのメリットは以下のとおりです。
- 低コストで導入可能: サービス利用料金は1ライセンスあたり月額539円(税込)と非常にリーズナブルで、国内最安値クラスの価格設定です。 一般的な固定IPサービスが月額1,000円程度と言われる中、約半額のコストで利用できます。 しかも初回の固定IPアドレスについて最大2ヶ月間の無料お試し期間が用意されており、実際の使い勝手を確認してから本格導入することも可能です。
- 設定が簡単・即日利用可能 利用開始の手続きはオンラインで完結し、事業者登録なども不要で申し込み当日から使えます。 必要なのはVPN接続用の無料アプリ(対応プロトコルは高速で安全な「WireGuard」)を端末にインストールし、発行される設定ファイル(ライセンス情報が入った接続設定)を読み込ませるだけです。 専門知識がなくても数分程度でセットアップが完了し、すぐに固定IPでの通信が開始できます。
- 複数人・複数拠点での利用に対応 1つの固定IPアドレスに対し、追加ライセンスを購入することで複数ユーザーが同時接続することが可能です。 例えば本社と支店の従業員、あるいは在宅勤務中のチームメンバー全員が同じ固定IPアドレスに紐づいたVPNに接続できます。これにより、Microsoft 365側ではその固定IP一つを許可すればよく、拠点ごと・ユーザーごとに異なるIPを管理する手間が省けます。 複数拠点からのアクセス管理を一元化したいケース(系列店舗のシステム等)でも威力を発揮します。
- 必要に応じた柔軟なスケーラビリティ ライセンス(同時接続ユーザー数)は1ライセンス単位で追加・削除が可能で、必要な数だけ契約できます。 利用人数の増減に応じて無駄なく調整できるため、スモールスタートから始めて事業拡大に合わせて拡張するといった運用もしやすく、中小企業・スタートアップに適したモデルです。
- セキュリティ向上と利便性の両立: VPN経由の通信となるため、カフェや公共Wi-Fi利用時でも暗号化された安全な経路で社内リソースにアクセスできます。 「社外からでも安全にアクセスできる環境」を実現できる点で、ゼロトラスト時代のセキュリティニーズに応えるサービスと言えるでしょう。 IP制限された社内の業務ツールやファイルサーバーにも、ロリポップ!固定IPアクセスを使えば在宅や出先からスムーズにアクセス可能になります。
以上のように、ロリポップ!固定IPアクセスはMicrosoft 365のIP制限運用を簡素化し、低コストで実現する強力なソリューションです。
特にテレワーク環境の整備や拠点の分散している企業では、「誰がどこからアクセスしているか」を統制しつつクラウドの利便性を享受できるようになります。
Microsoft 365自体が提供するセキュリティ機能(条件付きアクセス等)と組み合わせれば、場所とデバイスの両面で厳格なアクセス管理が可能となり、企業の情報資産を守る堅牢な防御壁を築けるでしょう。
まとめ: 中小企業やスタートアップにおいて、Microsoft 365のIPアドレス制限は外部からの不正アクセス対策や利用管理に有効な手段です。
もっとも、それを活かすには固定IPアドレスの確保が前提となります。
ロリポップ!固定IPアクセスのようなサービスを利用すれば、手間とコストを抑えて固定IP環境を手に入れることができ、Microsoft 365のセキュリティを一段と強化できます。
ぜひ自社のセキュリティポリシーに合わせてIP制限の導入を検討してみてください。
不特定多数の場所からアクセスできてしまうリスクを減らし、安心してクラウドサービスを利活用するための基盤として、固定IP+IP制限という組み合わせは有力な選択肢となるでしょう。
