「うちの会社は小さいから、サイバー攻撃なんて関係ない」
攻撃者は有名企業だけを狙っているわけではありません。
インターネット上では 24 時間 365 日、各国から日本国内の Microsoft 365 テナントへの自動化されたサインイン試行(クレデンシャルスタッフィング・パスワードスプレー攻撃) が行われています。
重要なのは「狙われてから対処する」ではなく、「最初から狙わせない」構成を作ることです。
この記事では、日本国内でのみ活動する企業が、
海外からのサインイン試行を国単位で大幅に制限・遮断する「地理制限ポリシー」の設定方法を、
実際の管理センター操作を交えて解説します。
1. まず「見える化」してみましょう
─ 管理センターのサインインログを確認する
設定の前に、まず現状を把握しましょう。
Microsoft Entra 管理センターのサインインログを見ると、自分のテナントに海外から何件の試みがあるかを確認できます。
サインインログの確認手順
- Microsoft Entra 管理センター にサインイン
- [Microsoft Entra ID] > [監視と正常性] > [サインイン ログ] を開く
- フィルターで「場所」や「状態 = 失敗」を指定して絞り込む
ログにはアクセス元の国/地域・IP アドレス・デバイス情報などが記録されています。
失敗したサインインのうち、日本以外の国から来ているものを確認してみてください。
「こんなに来ていたのか」と驚くはずです。
2. 条件付きアクセスとは何か?
─ 基本のおさらい
地理制限の設定に入る前に、条件付きアクセスの基本を押さえておきましょう。
条件付きアクセスは、Microsoft Entra ID が提供するポリシーエンジンです。
「誰が」「どこから」「どのアプリに」アクセスしようとしているかを評価し、アクセスをブロック・MFA 要求・許可などに振り分けます。
重要なポイントは、条件付きアクセスは「許可リスト」ではなく「制御ルール」であるということです。
条件に合致したサインインに対して制御(ブロックや MFA 要求)を適用し、
条件に合致しないサインインには、そのポリシーは適用されません。(他のポリシーの影響は受けます)
ファイアウォールの「全部拒否して一部許可」とは設計思想が異なります。
参考: 改めて知る Microsoft Entra 条件付きアクセス
参考: Entra ID 初学者向けシリーズ第 1 弾 – 条件付きアクセス 入門
3. 地理制限の仕組み
─「ネームドロケーション」と「場所の条件」
条件付きアクセスで地理制限を実現するには、以下の 2 つの概念を使います。
ネームドロケーション(Named Location)
「ブロックしたい国・許可したい国」を名前付きの場所として定義します。
「国/地域」の選択肢から選ぶだけで設定できます。
場所の条件
作成したネームドロケーションを条件付きアクセスポリシーの「条件」として指定します。
「このネームドロケーションからのアクセスをブロックする」というルールを作ります。
場所の判定方法
| 方法 | 説明 |
|---|---|
| IP アドレスによる判定 | Microsoft が定期更新する IP-国マッピングテーブルを使用(デフォルト) |
| GPS 座標による判定 | 一部のシナリオで Microsoft Authenticator の位置情報が補助的に使用されることがありますが、条件付きアクセスの場所判定は基本的に IP アドレスに基づいて行われます |
一部の IP アドレスは特定の国/地域に紐付けられない場合があります。
そのようなアドレスをもブロック対象にしたい場合は、ネームドロケーション設定時に「不明な国/地域を含める」にチェックを入れましょう。
4. 実際の設定手順
Step 1: ライセンスと権限の確認
まず前提条件を確認してください。
| 項目 | 要件 |
|---|---|
| ライセンス | Microsoft Entra ID P1 以上 |
| 管理者権限 | 条件付きアクセス管理者・セキュリティ管理者・またはグローバル管理者 |
Step 2: ブレークグラス(緊急アクセス)アカウントの準備
これは最も重要な準備作業です。
設定を誤ると全管理者がロックアウトされる可能性があります。
ブレークグラスアカウントとは、条件付きアクセスポリシーから除外しておく「非常用管理者アカウント」のことです。
事前に以下を確認・作成してください。
- MFA を強制しないクラウド専用アカウントを 最低 2 つ用意する
- 通常の業務には使用しない
- アカウントの認証情報は物理的に安全な場所に保管する
- 定期的にサインインテストを行い、使えることを確認する
Step 3: ネームドロケーションの作成(ブロック対象の国を定義)
- Microsoft Entra 管理センター にサインイン
- [Microsoft Entra ID] > [保護] > [条件付きアクセス] > [ネームド ロケーション] を開く
- [+ 国の場所] をクリック
- 名前を設定する(例:Block-HighRisk-Countries)
- ブロックしたい国/地域を選択する
「不明な国/地域を含める」も有効にするかどうかは、業務要件に応じて判断してください。
- [作成] をクリック
参考: 場所ごとにアクセスをブロックする
Step 4: 条件付きアクセスポリシーの作成
- [条件付きアクセス] > [ポリシー] > [+ 新しいポリシー] をクリック
- ポリシー名を入力する(例:CA-Block-HighRisk-Countries)
[割り当て] セクション:
| 項目 | 設定値 |
|---|---|
| ユーザーまたはワークロード ID > 含める | すべてのユーザー |
| ユーザーまたはワークロード ID > 除外 | ブレークグラスアカウント(必須) |
| ターゲット リソース > 含める | すべてのリソース(旧: すべてのクラウド アプリ) |
[ネットワーク] セクション:
| 項目 | 設定値 |
|---|---|
| 構成 | はい |
| 含める | 選択されたネットワークと場所 |
| 場所の選択 | Step 3 で作成した Block-HighRisk-Countries |
[アクセス制御] セクション:
| 項目 | 設定値 |
|---|---|
| 付与 | アクセスのブロック |
- [ポリシーの有効化] を最初は 「レポート専用」 に設定する(重要!)
- [作成] をクリック
Step 5: レポート専用モードでの検証(2〜4週間)
いきなり「オン」にするのは危険です。
まずは「レポート専用モード」で動作確認を行いましょう。
レポート専用モードでは、ポリシーは実際に適用されませんが、「もしこのポリシーが有効だったらどうなったか」 がサインインログに記録されます。
確認方法
- [Microsoft Entra ID] > [監視と正常性] > [サインイン ログ] を開く
- 対象のサインインを選択 > [条件付きアクセス] タブを確認
- ポリシー名の横に「レポート専用: ブロック」と表示されていれば、実際に有効化したときにブロックされます
2〜4週間のモニタリングで、正規のユーザーが誤ってブロックされないかを確認してから、次のステップに進みます。
Step 6: ポリシーを「オン」に切り替える
レポート専用モードで問題がないことを確認したら、ポリシーの有効化トグルを 「レポートのみ」から「オン」 に切り替えます。
以降、設定したネームドロケーションに該当する国からのサインイン試行は、原則として自動的にブロックされます。(IP 判定の精度に依存)
5. よくある疑問と落とし穴
Q: 海外出張するユーザーがいる場合は?
特定のユーザーグループだけポリシーの除外対象にする、または出張期間中は一時的に除外グループに追加する運用が有効です。
グループベースの除外を活用しましょう。
Q: VPN 経由のアクセスはどうなる?
国内企業の VPN を経由している場合、出口 IP が日本であれば地理制限ではブロックされません。
ただし、信頼済みロケーションとして明示的に登録しておくことが推奨されます。(信頼済み IP にしないと別ポリシーで影響を受ける可能性あり)
地理制限はあくまでも「防御の1層」として位置づけ、MFA との併用が推奨されます。
Q: 条件付きアクセスはファイアウォールの代わりになる?
なりません。
条件付きアクセスはサインイン時のトークン発行を制御するもので、ネットワークトラフィックそのものは制御しません。
DoS 攻撃のような防御の最前線にはなれませんが、認証レイヤーでの強力なフィルタリングとして機能します。
Q: 「不明な国/地域」は含めるべき?
Tor 出口ノードや判定不能な匿名 IP を完全にブロックしたい場合は含めましょう。
ただし、正規のユーザーが特殊なプロキシを使っている場合に影響が出る可能性があります。
まずはレポート専用モードで影響を確認することを強くおすすめします。
6. さらに強固にするための次のステップ
地理制限はゼロトラスト実現に向けた「第一歩」です。
以下の追加施策と組み合わせることでより強固なセキュリティを実現できます。
| 施策 | 概要 | 必要ライセンス |
|---|---|---|
| 多要素認証(MFA)の全社適用 | パスワード漏洩があっても不正アクセスを防ぐ | Entra ID P1 |
| ID Protection との連携 | 不審なサインイン(あり得ない移動・匿名 IP など)を自動検知してブロック | Entra ID P2 |
| レガシー認証のブロック | SMTP 認証・POP3 など MFA を回避できる旧プロトコルを遮断 | Entra ID P1 |
| デバイスコンプライアンス要求 | 会社管理外の端末からのアクセスをブロック | Entra ID P1 + Intune |
まとめ
| やること | ポイント |
|---|---|
| サインインログで現状把握 | 海外からどれだけアクセスが来ているかを「見える化」する |
| ネームドロケーションを作成 | ブロック対象の国/地域をリスト化する |
| 条件付きアクセスポリシーを作成 | 「すべてのユーザー」に適用し、ブレークグラスアカウントは必ず除外 |
| レポート専用モードで検証 | 2〜4週間かけて誤ブロックがないか確認してから有効化 |
| MFA と組み合わせる | 地理制限だけに頼らず多層防御を実現する |
「うちは狙われない」ではなく、「そもそも狙わせない」──地理制限ポリシーはその第一歩です。
設定自体は数十分で完了します。
ぜひ今日からサインインログを確認するところから始めてみてください。
免責事項:Microsoft 365の機能や仕様は変更される可能性がありますので、実施前には最新の公式ドキュメントをご確認ください。
