運用要件の最後はセキュリティです。
システム要件なのか業務要件か微妙なところなので、運用要件として、ここでは扱います。

主に本番環境に対する要件のみです。

・標準アカウントは無効化。作業アカウントを用意して作業を行うこと。
・監査ログはログイン・ログアウトのみ取得すること。
・個別ドメインの割り当てはせず、ログインのセキュリティを確保すること。
・ウイルス対策、脆弱性対策など一般的なセキュリティソフトウェアは導入すること。
・可能な限りは変更監視を施すこと。
・余計なソフトウェアは導入せず、Webブラウジングさえ許可しない。

今どきはランサムウェアなどにかかったら最悪ですから、できる限りのことはやりましょう。

特に、個別ドメインなどを取らないとしても、クラウドサービスを使う以上は公開サーバとなってしまうことは間違いありません。

過剰だろう？と思うかもしれませんが、実は最近の事情ではこれくらいはやって当然です。
攻撃者にとっては個人だろうが企業だろうが関係ないのが実情だそうです。

とはいっても、そんなに難しい対策をしようとしているわけではないので、しっかり施していきたいと思います。