Microsoft 365 (旧称Office 365)セキュリティ診断サービス Microsoft 365の設定状況、把握できていますか?
概要
Microsoft 365(旧称Office 365)とはマイクロソフト社が提供する業務用アプリケーションを、クラウド上で提供するサービスの総評です。
Microsoft 365はクラウドベースの生産性ツール市場ではトップシェアを占めています。
Gartnerの見解によると、自社運用のオンプレミスからクラウドベースの生産性ツールへの移行を計画する企業の約3分の2がMicrosoft 365を選び、残りの3分の1はGoogle社が提供するG Suiteを選んでいると言われています。
Microsoft 365を選択するユーザー企業が増加するなか、意図していないMicrosoft 365の管理設定不備により、攻撃を受けて情報漏えいするケースが増加しています。
アクセストークンの窃取を試みるフィッシングキャンペーンが登場。二要素認証の有効化やパスワードの変更では回避不可
2018年5月~2019年2月
複数の大学でMicrosoft 365アカウントを狙ったフィッシング被害が発生
個人情報漏えいおよびアカウント乗っ取りによる迷惑メール不正送信の被害
2017年7月
国立高等専門学校機構にて、全国の高専全体でデータが共有される設定になっていたとして、システムを緊急停止
また、Microsoft 365では上記のようなセキュリティ事故以外にも、管理設定の不備に起因するさまざまなリスクが存在します。
| 設定値 | リスク |
|---|---|
| アカウント設定 | アカウント設定に不備が存在し、管理者アカウントを乗っ取られた場合、情報漏えいなどにつながる |
| アプリケーション設定 | サードパーティー製のアプリケーションの連携を許可している場合、乗っ取られたアカウントを無効にしてもサードパーティー製のアプリケーションから情報漏えいにつながる |
| カレンダー設定 | 意図せずカレンダーが外部に共有される設定となっていた場合、組織の機密情報が外部に漏えいする |
| メール設定 | 意図せず外部ドメインへメールをを転送する設定となっていた場合、攻撃者に情報を外部へ送る手段に利用され情報漏えいにつながる |
| SharePoint設定 | 外部共有リンクに有効期限を設定しない場合、乗っ取られたアカウントを無効にしても、共有リンクを通して攻撃者に情報を取得される |
Microsoft 365が提供するサービス はExcelやWordといったOffice製品からオンラインストレージであるOneDriveまで多岐にわたっています。
それぞれのアプリケーションによって管理設定項目が数多く存在するため、管理者が一元管理しこれらの設定をセキュアな状態に維持し続けることが難しい状況となっています。
また、クラウドサービスだからといっても安心ではありません。
サービス提供者と利用者の責任範囲の分界点上、SaaSの管理設定ミスによりセキュリティ事故がおきた場合、ユーザー側の責任となりかねません。
Microsoft 365 セキュリティ診断サービスとは、このようなクラウドサービスを安全にご利用いただくため、Microsoft 365の設定に攻撃を受けるリスクが存在しないか、確認する診断サービスとなります。
サービス内容
本サービスはMicrosoft 365の管理設定に対して、上記「概要」に記載したさまざまなリスクを防ぐセキュアな設定となっているかどうか、CISベンチマークに基づいたセキュリティ診断を実施します。
以下に診断項目を抜粋して記載します。
| カテゴリ | チェック項目例(抜粋) |
|---|---|
| アカウント / 認証 | MFA(多要素認証)の設定がされていること | パスワードの有効期限が切れないように設定していること |
| アプリケーションの権限 | サードパーティー製のアプリケーションが接続されていないこと | 外部ユーザーへカレンダー共有がされていないこと |
| データマネジメント | DLPポリシーを設定および有効にしていること | 外部ユーザーが所有していないファイルなどの共有を禁止していること |
| Email セキュリティ / Exchange Online | Exchange Onlineの「送信迷惑メールフィルターポリシー」を有効にしていること | 外部ドメインへメールを転送するルールが登録されていないこと |
| 監査 | Microsoft 365監査ログが有効になっていること | すべてのユーザーのメールボックス監査が有効であること |
| ストレージ | 外部共有リンクに対して有効期間を設定していること |
| モバイルデバイス管理 | 脱獄またはルート化されたデバイスからユーザーが接続できないこと |
- 本サービスは情報漏えいなどにつながる以下のサービスが対象になります。
・Exchange Online ・SharePoint Online ・OneDrive for Business
・Skype / Teams ・Azure Active Directory ・intune
本診断はMicrosoft 365の管理設定に対して、CISベンチマークに準拠したセキュリティアセスメントを実施します。
■Center for Internet Security (CIS) ベンチマーク
CIS セキュリティベンチマークプログラムは、組織がセキュリティを評価して強化できるようシステム設定等を明確に定義し、提供されています。
■Microsoft 365セキュリティ診断と脆弱性診断との違い
本サービスの診断対象は、Microsoft 365で設定する管理設定が対象となります。OSやアプリケーション自体の脆弱性を評価するものではありません。
レポートイメージ
当社セキュリティアナリストがCISベンチマークに基づき診断を実施し、分析結果をレポートします。
本レポートのエグゼクティブサマリーではお客様のMicrosoft 365環境のCISベンチマークの準拠状況や診断結果概要、対策方法や手順を把握することが可能です。
報告書イメージ
サービスフロー
診断サービス関する注意事項・補足事項
診断先Microsoft 365の管理者アカウント情報(管理者権限を持つアカウント)のご提供をお願いします。
※ ご提供いただけない場合、お客様先での作業となりますので、オンサイト対応費用が発生します。
当社診断ツールからMicrosoft 365環境に対して診断を実施するため、Microsoft 365側の設定を実施いただきます。
(別途、設定マニュアルを提供します。)
診断ツールや管理画面閲覧での診断実施時、お客様環境によっては情報が取得できない項目があります。
管理者の方へヒアリング項目をお送りしますので、設定内容のご記入をお願いします。
診断実施時、MFA(2要素認証)などがかかっている場合は環境へのログインのためにご連絡する日時をご指定いただく場合がございます。
- 関連するサービス/ソリューション
- SaaSセキュリティ診断サービス/Microsoft 365診断/Zoom診断/Box診断/Google Workspace診断
価格
「お問い合わせ・資料請求」より、お問い合わせください。
エムオーテックス株式会社は、セキュリティブランド「SecureOWL」を展開しています。
鋭い眼光と広い視野で暗闇でも見通すフクロウ(OWL)をブランドのキャラクターとしました。お客様の環境を監視し、大切な情報を守るためのセキュリティソリューションを提供します。