クラウドセキュリティ

ここだけは押さえて! クラウドサービスの設定ポイント 「ゲストユーザーの設定編」

Written by 前田 誉彦

2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。

ここだけは押さえて! クラウドサービスの設定ポイント 「ゲストユーザーの設定編」

<Microsoft365の設定解説付き>
クラウドサービスの3つの設定ポイント
~ゲストユーザーの設定編~

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》

背景

近年、テレワークの急速な普及を背景に、AWSやMicrosoft Azure、Microsoft 365などのクラウドサービスを活用してビジネスを行うことがスタンダードになっています。
しかしこれに伴い、クラウドサービスに関するセキュリティの脅威も顕著になっており、不正なログインやデータの漏洩などの被害も多発しています。

本コラムでは、 計3回のシリーズにて、クラウドサービスを利用するにあたり、管理者として「ここだけは押さえてほしい!」といえる設定のポイントを紹介していきます。

過去2回のコラムでは、多要素認証(MFA)と外部とのデータ共有について解説しました。

⇒過去2回のコラムはこちら

 ここだけは押さえて!クラウドサービスの設定ポイント 多要素認証(MFA)編 | wiz LANSCOPE
 ここだけは押さえて!クラウドサービスの設定ポイント「外部組織とのデータ共有編」 | wiz LANSCOPE

最終回の第3回目は、気づかぬうちに増えてしまいがちな、「ゲストユーザー」の設定についてご紹介します。本コラムが皆様のセキュリティインシデントの未然防止に少しでも寄与できれば幸いです。

ゲストユーザーの設定不備によるインシデント

昨今、クラウドサービスの外部公開設定の不備を突いたインシデントが増加しています。下記は、2020年に発生したゲストユーザーの設定不備によるインシデントです。

上記はクラウドサービスのゲストユーザーに関する仕様変更に管理担当者が対処できておらず、発生したインシデントとなっています。その他、同様のインシデントが、複数の金融企業、某玩具企業などで多数発生しています。このようなケースは、ゲストユーザーの設定を正しく制限していれば防げた可能性が高い事故となっています。

ゲストユーザー設定の診断結果 (弊社調べ)

では、ゲストユーザーの設置にリスクがある企業・組織の割合はいったいどれくらいなのでしょうか。
弊社では、企業で契約されているクラウドサービスの設定状況をチェックする、クラウセキュリティ診断を提供しているのですが、ここで、Microsoft AzureとMicrosoft 365の過去2年間の診断結果データを見てみましょう。

診断を実施されたお客様のうち、Microsoft Azureでは41%、Microsoft365では67%しか適切な設定となっておらず、残りのユーザーはゲストユーザーがゲストユーザーを招待できるなど、不適切な設定となっておりました。

ゲストユーザーの設定とは

ここで、ゲストユーザーの設定について解説します。
クラウドサービスでは、外部のユーザーを組織内にゲストとして招待し、それらのユーザーと情報共有や共同作業をする機能があります。
この部分は、設定を誤ると情報漏えいに直結するため、機能の利用有無にかかわらず設定や運用の見直しは非常に重要です。

上記の図のように、外部のユーザーを自社の環境にゲストユーザーとして招待し、ゲストユーザーに対して共有したファイルやチャットなどにアクセス権を付与することで、ゲストユーザーとデータのやり取りが可能になります。

例:MS365:Teamsでの共同作業機能など

例として、Microsoft 365などではTeamsの機能などによりチャットやファイルを共有することができます。そのため、ゲストユーザーをしっかりと管理していないと、意図していないユーザーがデータを閲覧できてしまう状態になってしまう場合があります。

そのため、ゲストユーザーの一覧は定期的に棚卸しを実施し、「本当にそのゲストユーザーが業務に必要か?」「ゲストユーザーに付与されている権限は適切か?」といった部分をしっかりと見直す必要があります。

また、ゲストがゲストを招待できる設定などもありますので、設定部分の見直しも重要となります。
各クラウドサービスのデフォルト設定は必ずしも安全とは限りませんので、この機会に一度ゲストユーザーに関する設定箇所を見直すことを推奨いたします。

まとめ

本コラムでは、クラウドサービスの設定で特に注意すべき点の1つとして、ゲストユーザーの設定を解説しました。最近のクラウドサービスにおけるインシデントや事故からも、クラウドサービスを利用する際には、適切なセキュリティ対策が必要であると言えます。
共有の項目を適切に設定することで、機密情報の漏えいなどのリスクを低減し、安全にクラウドサービスを運用していきましょう。

本内容は2023年6月時点での情報です。
AWSやMicrosoft 365に代表されるクラウドサービスは、提供者側が、提供する設定画面や仕様などを変更することが可能な形態であることに留意してください。

MOTEXでは、ゲストユーザーの設定も含めて、クラウドサービスのセキュリティに関わる管理設定などを、最新の情報で、網羅的に確認できる「クラウドセキュリティ診断」を提供しています。是非ご覧ください。

<Microsoft365の設定解説付き>
クラウドサービスの3つの設定ポイント
~ゲストユーザーの設定編~

資料をダウンロードする《無料》

「クラウドサービスのセキュリティ対策」実態調査

中小企業の情シス1,000人に聞いた

「クラウドサービスのセキュリティ対策」
実態調査結果を発表!

急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。

資料をダウンロードする《無料》