「SecureOWL」は2022年4月1日付で、 京セラコミュニケーションシステム株式会社(KCCS)から エムオーテックス株式会社(MOTEX)へ事業統合されました。

Microsoft 365 ここだけは要確認!
Microsoft 365の基本認証と先進認証 ~前編~ クラウド

2022年7月13日

前編:「情報漏えい事故を防ぐ肝! 基本認証・先進認証って何?」

はじめに

テレワークの急速な推進を背景として、Microsoft 365や Slackなどのクラウドサービスを活用する企業や組織が急増しています。
反面、クラウドサービスの普及が進むとともに、クラウドサービスの情報漏えい事故なども増加しています。
本コラムでは、 特に利用が進むMicrosoft 365のインシデント事例と特に多い設定不備の例として、前編で基本認証と先進認証を、
後編で適切な設定例を解説していきます。セキュリティインシデントの未然防止に少しでも寄与できれば幸いです。

クラウドサービスのインシデント・事故

ここで挙げているインシデント事例は、全てMicrosoft 365で発生しており、いずれもアカウントの乗っ取りやなりすましなどに起因するものです。

これらは、全て、認証関連の設定部分にてユーザー側の設定の甘さや、設定不足な部分を突いた攻撃となります。とりわけ右側に記載されている
「古い仕様の認証」については、多要素認証を設定していたにも関わらず、設定の不備を突かれて攻撃を受けた事例がありました。

クラウド責任共有モデル

さて、「ユーザー設定の甘さ」という点についてどこまでがユーザー責任なのか? という責任範囲の考え方として、
「クラウド責任共有モデル」というものがあります。Microsoft 365のようなSaaSサービスでは以下のモデルとなります。

左側に記載されている通り、ユーザー側の責任範囲は一見小さいように見えますが、実際はアカウント・権限などのID管理、
共有設定などのアクセスコントロール、データに対する設定の管理、ログの運用など、様々な管理設定が存在します。
大切なのは「機能を提供するのはクラウド事業者ですが、機能を正しく設定して利用するのは、ユーザー側の責任ですよ」という点です。

Microsoft 365の診断結果

では、どのような設定ミスや不備が実際にあるのか?ここからは、弊社のMicrosoft 365の設定診断の結果を踏まえて解説していきます。

※未実施の割合診断した全件数のうち、問題のある設定、もしくは不足している設定であった社数の割合
 例えば、一番上の数字は100社診断したら79社ほどが設定に問題があったことを示す。


上記は、ここ2年ほど、弊社にてお客様のMicrosoft 365を診断した際、主に検出される設定の不備や設定不足であった部分を一部ピックアップしています。
01や02の例の通り、認証関連の設定が不十分なケースが多くなっています。

基本認証・先進認証について

特に設定不備が多い、01の例の先進認証・基本認証についてご説明します。
過去のMicrosoft製品では、基本認証と呼ばれる認証が使われており、各サービスの認証に利用されてきました。しかし、MicrosoftはExchange Onlineでの基本認証を2022年10月1日より、廃止すると発表しています。廃止については、実は、これまで何度か延長されていますが、今回も延長されるかどうかは分かりませんので、対応を進める必要があります。

基本認証の廃止についての詳細は以下のアナウンスを参照してください。

基本認証とは、アプリケーションやサービスの認証などの際に、ユーザー名とパスワードを送信して認証する方式です。 通信の中にユーザー名やパスワードが含まれてしまうため、通信が解読されてしまうと、資格情報が簡単に盗まれてしまいます。

インシデントの例でも少し触れましたが、この部分を狙った攻撃も発生しているようです。そのため、現在の状況で基本認証を利用し続けるのはリスクが高いと考えられます。 先進認証は、 Microsoft 365 にログインした際に発行されるOAuthトークンによる認証です。 初回のみはユーザー名とパスワードが必要となりますが、このトークンを先に持っておけば、各サービスへの接続の際、毎回ユーザー名やパスワードをやりとりしなくても、トークンで認証されるという仕組みです。 ※トークンの期限が切れた場合は再度ユーザー名とパスワードの送信が必要となります。
※このように、先進認証を利用することにより、通信にユーザー名やパスワードが含まれる頻度を減らすことができるため、リスクを大幅に下げることが可能となります。

それでは、コラム後編でそれぞれの具体的な設定について、詳しく見てみましょう。 後編:「設定の詳細を学ぼう」を読む別ウィンドウで開きます

著者プロフィール
前田 誉彦(まえだ のりひこ)

セキュリティエンジニアとして、クラウドセキュリティ診断サービスを立ち上げ、
以後、クラウドセキュリティ診断サービスに従事。
お客様のクラウドサービスの設定状況をチェックし、 よりセキュアに利用できるようお手伝いします。

関連サービス/ソリューション

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ