Microsoft 365の設定状況、把握できていますか?
Microsoft 365(旧称Office 365)とはマイクロソフト社が提供する業務用アプリケーションを、クラウド上で提供するサービスの総評です。
Microsoft 365はクラウドベースの生産性ツール市場ではトップシェアを占めています。
Gartnerの見解によると、自社運用のオンプレミスからクラウドベースの生産性ツールへの移行を計画する企業の約3分の2がMicrosoft 365を選び、残りの3分の1はGoogle社が提供するG Suiteを選んでいると言われています。
Microsoft 365を選択するユーザー企業が増加するなか、意図していないMicrosoft 365の管理設定不備により、攻撃を受けて情報漏えいするケースが増加しています。
2019年2月
アクセストークンの窃取を試みるフィッシングキャンペーンが登場。二要素認証の有効化やパスワードの変更では回避不可
2018年5月~2019年2月
複数の大学でMicrosoft 365アカウントを狙ったフィッシング被害が発生
個人情報漏えいおよびアカウント乗っ取りによる迷惑メール不正送信の被害
2017年7月
国立高等専門学校機構にて、全国の高専全体でデータが共有される設定になっていたとして、システムを緊急停止
また、Microsoft 365では上記のようなセキュリティ事故以外にも、管理設定の不備に起因するさまざまなリスクが存在します。
| 設定値 | リスク |
|---|---|
| アカウント設定 | アカウント設定に不備が存在し、管理者アカウントを乗っ取られた場合、情報漏えいなどにつながる |
| アプリケーション設定 | サードパーティー製のアプリケーションの連携を許可している場合、乗っ取られたアカウントを無効にしてもサードパーティー製のアプリケーションから情報漏えいにつながる |
| カレンダー設定 | 意図せずカレンダーが外部に共有される設定となっていた場合、組織の機密情報が外部に漏えいする |
| メール設定 | 意図せず外部ドメインへメールをを転送する設定となっていた場合、攻撃者に情報を外部へ送る手段に利用され情報漏えいにつながる |
| SharePoint設定 | 外部共有リンクに有効期限を設定しない場合、乗っ取られたアカウントを無効にしても、共有リンクを通して攻撃者に情報を取得される |
Microsoft 365が提供するサービス はExcelやWordといったOffice製品からオンラインストレージであるOneDriveまで多岐にわたっています。
それぞれのアプリケーションによって管理設定項目が数多く存在するため、管理者が一元管理しこれらの設定をセキュアな状態に維持し続けることが難しい状況となっています。
また、クラウドサービスだからといっても安心ではありません。
サービス提供者と利用者の責任範囲の分界点上、SaaSの管理設定ミスによりセキュリティ事故がおきた場合、ユーザー側の責任となりかねません。
Microsoft 365 セキュリティ診断サービスとは、このようなクラウドサービスを安全にご利用いただくため、Microsoft 365の設定に攻撃を受けるリスクが存在しないか、確認する診断サービスとなります。
本サービスはMicrosoft 365の管理設定に対して、上記「概要」に記載したさまざまなリスクを防ぐセキュアな設定となっているかどうか、CISベンチマークに基づいたセキュリティ診断を実施します。
以下に診断項目を抜粋して記載します。
| カテゴリ | チェック項目例(抜粋) |
|---|---|
| アカウント / 認証 | MFA(多要素認証)の設定がされていること |
| パスワードの有効期限が切れないように設定していること | |
| アプリケーションの権限 | サードパーティー製のアプリケーションが接続されていないこと |
| 外部ユーザーへカレンダー共有がされていないこと | |
| データマネジメント | DLPポリシーを設定および有効にしていること |
| 外部ユーザーが所有していないファイルなどの共有を禁止していること | |
| Email セキュリティ / Exchange Online | Exchange Onlineの「送信迷惑メールフィルターポリシー」を有効にしていること |
| 外部ドメインへメールを転送するルールが登録されていないこと | |
| 監査 | Microsoft 365監査ログが有効になっていること |
| すべてのユーザーのメールボックス監査が有効であること | |
| ストレージ | 外部共有リンクに対して有効期間を設定していること |
| モバイルデバイス管理 | 脱獄またはルート化されたデバイスからユーザーが接続できないこと |
本診断はMicrosoft 365の管理設定に対して、CISベンチマークに準拠したセキュリティアセスメントを実施します。
当社セキュリティアナリストがCISベンチマークに基づき診断を実施し、分析結果をレポートします。
本レポートのエグゼクティブサマリーではお客様のMicrosoft 365環境のCISベンチマークの準拠状況や診断結果概要、対策方法や手順を把握することが可能です。
報告書イメージ
診断先Microsoft 365の管理者アカウント情報(管理者権限を持つアカウント)のご提供をお願いします。
※ ご提供いただけない場合、お客様先での作業となりますので、オンサイト対応費用が発生します。
当社診断ツールからMicrosoft 365環境に対して診断を実施するため、Microsoft 365側の設定を実施いただきます。
(別途、設定マニュアルを提供します。)
診断ツールや管理画面閲覧での診断実施時、お客様環境によっては情報が取得できない項目があります。
管理者の方へヒアリング項目をお送りしますので、設定内容のご記入をお願いします。
診断実施時、MFA(2要素認証)などがかかっている場合は環境へのログインのためにご連絡する日時をご指定いただく場合がございます。
セキュリティに関する
お問い合わせ
サイバーセキュリティのさまざまな領域に対し、
セキュリティプロフェッショナルの知見を活かした
「セキュリティ診断」と「セキュリティ製品・ソリューション」で、巧妙化するサイバー攻撃などのリスクから組織を守ります。
ヘルプデスクサポート
平日 9:30 - 12:00、13:00 - 17:30
(祝祭除く)
