クラウドセキュリティ

導入後に改めて考えるCISベンチマークのすすめ ~
Microsoft 365のセキュリティ対策~ クラウドセキュリティ診断の活用方法

Written by 前田 誉彦

2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。

導入後に改めて考えるCISベンチマークのすすめ ~<br>Microsoft 365のセキュリティ対策~ クラウドセキュリティ診断の活用方法

3分でわかる!クラウドセキュリティ診断

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

Microsoft 365の普及

Microsoft 365 とは、マイクロソフト社が提供する業務用アプリケーションを、クラウド上で提供するサービスの総評です。

コロナ禍によって普及したテレワークにより、Microsoft 365の利用が増加しました。2020年にわずか数カ月で利用が3倍増加したWeb会議ツール「Teams」も、Microsoft 365の一つのアプリケーションです。
また、マイクロソフト社の提供するOfficeを使用していた企業も、近年の働き方改革やクラウドシフトの波でMicrosoft 365に切り替える企業が増加しております。
国内のほとんどの企業がWord、Excel等のOffice製品を利用していると考えられるため、いざクラウドに移行しよう、という際もマイクロソフト社のサービスであるMicrosoft 365を選択する企業が圧倒的に多い、ということもあるでしょう。

Microsoft 365のプランや機能

ひとくちにMicrosoft 365とはいっても、従来のOffice製品やTeams以外にも、SharePoint(情報共有サービス)やOneDrive(オンラインストレージ)、Exchange(電子メールサービス)など、提供しているサービスは多岐にわたっています。
また、提供するサービスはプランによって異なります。

Microsoft 365のプラン


※ 2023年6月時点の情報 詳細はマイクロソフト社のサイトでご確認ください

Microsoft 365はどのプランにおいても非常に多機能なサービスが提供されるため、導入時の検討要素は広範囲になります。
また、各機能によって管理設定項目が数多く存在するため、管理者が一元管理しこれらの設定をセキュアな状態に維持し続けることが、大変困難です。
コロナ禍で緊急的に導入された企業の方は、いち早く利用開始できることに注力するあまり、セキュリティ面がおろそかになることが想定されますが、セキュリティ対策は大丈夫でしょうか?

Microsoft 365 設定不備によるセキュリティリスク

Microsoft 365を導入している企業にとっては、Microsoft 365は企業が守るべき機密情報などがふんだんに詰まった倉庫であり、クラウドサービスであるが故に、倉庫の前までは誰でもアクセスすることが可能です。
設定次第では容易に倉庫の中に入られ、情報を好きなように入手・改ざんされる可能性があるでしょう。
「うちはMicrosoft 365に機密情報など置いていないから」と安心してはいけません。
ユーザーの利用方法によっては、機密情報を配置していなくとも、さまざまなリスクが存在します。

・アカウントを乗っ取り、お客様などの関係者に対しての詐欺行為に使用される
・SharePoint外部共有リンクを通して攻撃者に情報を取得される
・カレンダーが外部公開され、機密情報が外部に漏えいする
・外部ドメインへメールを転送してしまい、情報が漏えいする
・フィッシングメールの踏み台となり、スパムメールを配信する

情報の倉庫という観点のリスク以外にも、さまざまなリスクが存在するMicrosoft 365を安全に利用するため、
しっかりとセキュリティ対策を実施したいという企業は多いです。
セキュリティ対策のベースラインを決め、確認をおこなっていく必要があると考えます。

Microsoft 365 の CISベンチマーク

そこで、CISベンチマークと呼ばれるものをご存知でしょうか?
Center for Internet Security が公開しているベストプラクティス集で、クラウドやシステムを安全に構成するための基準などを取りまとめたドキュメントです。
OSやソフトウェアからクラウドサービスまで、さまざまな環境に対するベストプラクティスがまとめられています。

 CIS Benchmark – CIS (Center for internet Security)

その中でも、今回はMicrosoft 365のCISベンチマークをご紹介します。
項目が6分類されており、分類毎に確認内容が細かく定義されています。
Microsoft 365を安全に使用するために、一体何からどう手を付ければよいのか困っている管理者にとっては大変有益な情報となり、活用していくべきドキュメントです。

<Microsoft 365のCISベンチマーク(ver2.0.0)の概要>
項目 確認項目の概要(日本語訳)
1 アカウント/認証 1-1 Azure ADでセキュリティの既定値群を無効に設定
1-2 管理者権限を持つユーザーに対する多要素認証の設定
1-3 管理者権限を持つユーザーに対するサインインの頻度やブラウザーセッション永続化に関する設定
1-4 全てのユーザーに対する多要素認証の設定
1-5 Microsoft Authenticatorで多要素認証疲労攻撃からの保護設定
1-6 管理者の「耐フィッシング多要素認証」の設定
1-7 2人から4人のユーザーに全体管理者権限を付与
1-8 「セルフサービスパスワードリセット」の設定状況
1-9 カスタムの禁止パスワードの有効設定
1-10 オンプレミスADでパスワード保護機能を有効に設定
1-11 レガシー認証をブロックするため条件付きアクセスポリシー設定
1-12 ハイブリッド展開のためにパスワードハッシュ同期の有効設定
1-13 Azure AD Identity Protectionサインインリスクポリシー設定
1-14 Azure AD Identity Protectionユーザーリスクポリシー設定
1-15 ロール管理で「Privileged Identity Management」設定
1-16 組織に管理/承認されたパブリックグループのみが存在するか確認
1-17 許可されたドメインへのみコラボレーションの招待が送信可能であることを確認
1-18 「LinkedIn 接続」の無効設定
1-19 サインインしたままにするオプションの非表示設定
1-20 Azure AD 管理ポータルへのアクセスを制限する設定
1-21 「Microsoft Azure Management」へのアクセスが管理者権限を持つユーザーに限定
1-22 管理者以外のユーザーによるテナント作成を制限する設定
2 Exchange Onlineへの先進認証の設定
3 SharePointへの先進認証の設定
4 「パスワード有効期限ポリシー」が「パスワードを無期限に設定する (推奨)」に設定されていることを確認
5 管理者アカウントは分離され、クラウド専用であることを確認
6 2つの緊急アクセス用アカウントを作成
7 管理対象外デバイスの「アイドル セッション タイムアウト」が「1 時間 (またはそれ以下)」に設定されていることを確認
2 アプリケーションの権限 1 管理者の同意ワークフローが有効であることを確認
2 サードパーティのアプリケーションの許可状況
3 外部ユーザーとのカレンダーの詳細共有の設定
4 安全なリンク機能の有効化設定
5 SharePoint、OneDrive、およびTeamsに対する安全な添付ファイル機能の有効化設定
6 SharePointにて、感染したファイルのダウンロード禁止設定
7 企業データにアクセスするアプリに対するユーザーの同意許可設定
8 ユーザーによるOutlook アドインのインストールの禁止設定
9 ユーザーによるWord,Excel,PowerPoint アドインのインストールの禁止設定
10 Formsの内部フィッシング保護有効設定
11 Swayに対する外部共有禁止設定
12 SharePointおよびOneDriveのAzure AD B2Bとの統合有効確認
3 データマネジメント 1 カスタマーロックボックス機能の設定
2 SharePointにて、データ分類ポリシーの設定
3 Teamsにて、外部ドメインの許可設定
4 DLPポリシーの有効化設定
5 Teamsに対してDLPポリシー有効化設定
6 SharePointに対して外部ユーザーが、自分が所有していないファイル、フォルダー、およびサイトの共有を禁止する設定
7 Teamsでの外部ファイル共有サービスの許可設定
4 Email セキュリティ/Exchange Online 1 共通添付ファイルのフィルタ設定
2 Exchange Onlineスパムポリシーの設定
3 全ての形式のメール転送がブロックまたは無効であることを確認
4 メールトランスポートルールにおけるホワイトリストに登録設定
5 安全な添付ファイルポリシーの設定
6 フィッシング対策ポリシーの設定
7,8,9 すべてのExchange OnlineドメインでDKIM/SPFレコード/DMARCレコードの設定
10 マルウェア検知に伴う内部ユーザへの通知設定
11 エンドユーザーに対してメールヒントの有効設定
12 優先アカウント保護機能の有効設定
13 優先アカウントに「厳密な保護」適用設定
5 監査 1-1 ゲストユーザーの「アクセスレビュー」設定
1-2 管理者などの権限を持つロールの「アクセスレビュー」設定
2 Microsoft 365監査ログ検索の設定
3 すべてのユーザーのメールボックス監査の設定
4 Azure ADの「危険なサインイン」レポートの少なくとも毎週確認
5 アプリケーションの使用状況レポートの見直し状況を少なくとも毎週確認
6 セルフサービスのパスワードリセットアクティビティレポートを少なくとも毎週確認
7 ユーザー役割グループの変更を少なくとも毎週確認
8 メール転送ルールの見直しを少なくとも毎週確認
9 The Threat protection status reportの全てのセキュリティ脅威を少なくとも毎週確認
10 アカウントプロビジョニングアクティビティレポートを少なくとも確認
11 非全体管理者の役割グループの割り当て状況を少なくとも毎週確認
12 なりすましドメインレポートの毎週確認
13 Microsoft Defender for Cloud Appsの設定
14 「制限付きエンティティ」レポートを毎週確認
15 ゲストユーザー状況を少なくとも隔週で確認
6 ストレージ 1 SharePointにて、ドキュメントの共有がホワイトリストまたはブラックリストによる制御がされていることを確認
2 管理対象外デバイスからのOneDrive for Business同期ブロック設定
3 外部共有リンクの有効期限の設定
4 サードパーティのストレージサービス制限設定
5  Outlookで追加のストレージプロバイダー制限設定

この様に、CISベンチマークは、網羅的にセキュリティに関する設定について、確認するべき項目が整理されています。

ベンチマークを活用した確認ポイント

多くの事例をみてきた中で、特に注意すべきポイントをピックアップして説明します。

(1) 多要素認証

弊社が最も重要と捉えている項目は「認証」に関わる項目です。今や常識となってきている多要素認証の設定はしっかりとチェックをしておくべき重要ポイントとなります。
お客様によっては、ユーザビリティが悪くなる事を懸念されている場合があります。
しかし、クラウドサービス提供者との責任範囲の分界点上、認証を疎かにしてセキュリティ事故がおきた場合、クラウド利用企業の責任になってしまいますので、対応が必要な項目であると考えます。

(2) 外部共有リンク

SharePointを使用した際において、外部共有リンクに関する確認項目があります。
クラウド特有の便利な機能であるものの、リンクの共有期間が長くなると、意図したユーザー以外にアクセスされるリスクが高まります。
ユーザーは意識せず共有リンクを利用している場合が多いので、有効期限の設定を見直すことが推奨されています。
共有相手のダウンロードが終われば直ぐに共有リンクを解除するべく、最低限の共有期限を設定する、ということが本項目での重要なポイントとなります。

(3) ゲストユーザー

また、ゲストユーザーに関する項目も確認しておく必要があります。
ゲストユーザーを活用すると、Teamsで共同作業を行うなど、社外のユーザーとのコラボレーションが可能となり、業務やプロジェクトなどを円滑に進める事が可能です。
ゲストユーザーを利用した共同作業も外部共有と同じくクラウド特有の便利な機能ではありますが、誰がゲストユーザーを招待する権限を持っているのかという点は確認が必要です。
また、ゲストユーザーの一覧は、定期的にチェックし、必要最低限のユーザーのみが登録されていることを確認してください。

(4) 運用に関する項目

CISベンチマークでは、セキュリティリスクに関する確認項目だけでなく、「各種レポート機能をどのような運用で確認していくか」といった日々の運用に関する確認項目も存在します。
弊社でCISベンチマークをもとにお客様の環境を確認した際、「運用方法まで検討する時間がなく放置していたので、このようなアドバイスはありがたかった」と、お客様よりお言葉をいただいたことがありました。

最後に

CISベンチマークについて、今回は確認ポイントを4点を抜粋してご紹介しましたが、CISベンチマークはSaaSセキュリティ設定の有効なベースラインとして、無償で活用することができます。
網羅的にセキュリティ設定の確認が可能で、システムの設定項目だけでなく、日々の運用に潜むリスクにも着目した確認が可能となり、管理者にとっては大変有益な情報を提示してくれます。
なお、Microsoft 365をはじめとするクラウドサービスは、さまざまな設定やサービスがユーザーの意思とは関係なく次々と追加されますので、ご留意ください。
今回はMicrosoft 365のCISベンチマークをご紹介しましたが、その他OSやサーバーなど、さまざまな種類のCISベンチマークが提供されておりますので設定状況の確認が必要な際には、是非ご確認ください。
項目数の数が多く英語表記となるため「定期的な確認が困難だ」という場合には是非弊社にご相談ください。
Microsoft 365セキュリティ診断の詳細については、こちらをご確認ください。

エムオーテックス株式会社
クラウドセキュリティ診断チーム

掲載されている情報は、投稿日の情報です。最新の情報と異なる場合がありますのでご了承ください。

3分でわかる!クラウドセキュリティ診断

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》