【連載】甲田章子の Microsoft 365 セキュリティとコンプライアンス 第2回
2020年は、コロナウィルスの世界的な流行により私たちの生活が大きく変わりました。仕事はテレワーク、会議はオンライン、各種クラウドサービスの利用増など、働き方が大きく変化しました。しかしながら、環境が変わったのは私たちの生活だけではありません。
サイバー攻撃を行う攻撃者の環境や手法も大きく変わっているのです。攻撃するために使用するサービスがダークウェブなどのアンダーグラウンドマーケットで、低価格で流通しています。例えば、ユーザー ID への侵害を行うサービスは、400万 ID で、約 15,600 円(1,000 ID あたり約120円)といわれています。
このように攻撃者の環境や攻撃に使用する手法が変化する中で、防御する側の私たちが今まで通りのセキュリティ対策に頼っていては、組織の重要なリソースを守ることはできません。
そこで連載第 2 回目の今回は、Microsoft 365 サイバーセキュリティ&コンプライアンス 実践編。今、何に対してどのようなセキュリティ対策が必要なのかを見ていきます。
記事の最後には、甲田講師のトレーニングテキストの内容のチラ見もご用意しています。
では、「何」に対して「どのような」セキュリティ対策が必要でしょうか。
最初に「何」から確認します。必要なのは「認証(ID)」、「データ」、「脅威対策」、「シャドー IT 対策」の4つです。
図1 組織で必要とされるセキュリティ機能
では、これらの4つに対して「どのような」対策が必要でしょうか。必要な対策は、攻撃の手法や段階によっても異なります。
ここでは「標的型攻撃」を例として考えてみます。
標的型攻撃とは、特定の組織のリソース(機密情報など)を窃取するために行われる攻撃です。攻撃者が電子メールにマルウェアを添付して組織のユーザーに送信し、その添付ファイルをユーザーが開いたことでマルウェアがインストールされ、攻撃が開始されます。以下の図は、標的型攻撃のプロセスと、その対策を示したものです。
図2 標的型攻撃のプロセスとその対策
電子メールがきっかけになる場合、送信元のドメインや IP アドレスのレピュテーション(社会的評価)をチェックしたり、マルウェア対策エンジンを使用してマルウェアであるかをチェックしたりする必要があります。
また、特権の昇格やクラウドサービスへの不審なサインインなどを検出したり、データへの不正アクセスを防ぐためにアクセス許可や暗号化の設定なども必要です。さらに、ユーザーの端末における振る舞いやクラウドサービスを利用する際のアクティビティなどは常に監視される必要があります。
このように、たった 1 種類の攻撃でも行わなければならない対策は山のようにあるのです。
これだけの多くの対策をさまざまなベンダー製品で行うのは非常に大変なことですが、Microsoft 365 があれば、必要な対策をすべて行うことができます。
下図は、Microsoft 365 が持つ標的型攻撃に対する対策機能を記載したものです。
赤は Office 365、水色は Windows 10、青は Enterprise Mobility + Security が持つ機能です。
このように、多くの機能を利用して、サイバー攻撃から防御を行います。
図3 Microsoft 365 が持つセキュリティ機能
Microsoft 365 では、組織をサイバー攻撃から守るために多くのサービスが用意されています。ここではその代表的なものを紹介します。
Office 365 で扱われる電子メールやデータに含まれる脅威を検出し、保護します。
ドメインコントローラーの挙動を監視し、不審なアクティビティを検出します。
ユーザーの端末(エンドポイント)のふるまいを監視し、不審なアクティビティを検出します。
ユーザーのクラウドアプリの利用を可視化し、異常なアクティビティがあれば検出し、ポリシーで制御します。
これらの脅威対策サービスをまとめて「Microsoft 365 Defender」と呼びます(以前は、Microsoft Treat Protectionと呼ばれていました)。
ここでは、エンドポイントのふるまいを監視して、不審なアクティビティを検出する Microsoft Defender for Endpoint とほかのサービスの連携について紹介します。
Microsoft Defender for Endpoint は、Microsoft 365 のさまざまなサービスと連携することができます。下図は、連携可能なサービスを表したものです。
図4 連携可能なサービス
たとえば、Azure Active Directory と Microsoft Intune を Microsoft Defender for Endpointと連携すると、クラウドアプリのアクセス時に、Microsoft Defender for Endpoint で設定されたデバイスのリスクレベルを確認し、リスクレベルの高いデバイスからの接続をブロックするといったことが可能です。
図5 Microsoft Defender for EndpointとAzure Active Directory、Microsoft Intuneとの連携
■ 研修テキスト サンプルダウンロード
Microsoft 365 のサイバーセキュリティ対策について、もう少し詳しく知りたい方は、研修テキストのサンプルをダウンロードしてみませんか。研修の内容がどんなものかご興味のある方も、ぜひお気軽にのぞいてみてください。
エディフィストラーニングでは、Microsoft 365 が持つセキュリティおよびコンプライアンス機能を総合的に学べる研修コースをご用意しています。
コースでは、この記事でご紹介した脅威対策はもちろん、認証、データ保護など、さまざまなセキュリティおよびコンプライアンス対策を紹介します。さらに、それらのサービスを連携して活用していく方法も学習します。
たとえば認証では、Azure AD Identity Protection、Azure AD Privileged Identity Management などの機能を、データ保護では Azure Information Protection、データ損失防止、Windows Information Protection などの機能を取り上げます。
現時点では開催日程を設定しておりませんが、一社様向けに個別開催しております。ぜひお問合せください。
お問合せはこちら
■コース情報
・コース名:「Microsoft 365 サイバーセキュリティ&コンプライアンス実践編」
・期間:1日
■コースフロー
Office 365 + Microsoft 365 コースフロー
講師紹介 甲田章子
Microsoft 365 トレーニングの第一人者。マイクロソフト Windows Insider MVP アワード を 2021年まで6 年連続受賞。
マイクロソフト認定トレーナー(MCT)としてマイクロソフト認定コース(Microsoft University)の実施や、マイクロソフト社主催のパートナー向けトレーニング(mstep)では、Microsoft 365 のセキュリティやコンプライアンス関連、Azure Sentinel、Windows Virtual Desktop など数多くのセミナー用のコンテンツ開発および登壇をしている。開発した mstep コンテンツは概念や考え方、プロセスなどが多くの図を用いて表現されているため視覚的に分かりやすいと評価を得ている。
担当製品は、Microsoft 365、Microsoft Azure、Windows Server、Windows クライアントなど。
セミナーでは、解りやすい図で正しく機能を理解していただくことと、運用環境どう活用できるかを説明することを心がけている。
詳しいプロフィールはこちら
【連載】甲田章子の Microsoft 365 セキュリティとコンプライアンス
・第1回 内部情報漏洩からブランドと信用を守る Microsoft 365 コンプライアンス
・第2回 Microsoft 365 サイバーセキュリティ実践編 ―変化するサイバー攻撃。いま必要なセキュリティ対策とは(本記事)
・第3回 Microsoft 365 Enterpriseセキュリティ基礎と応用 Win10編
他にも、Microsoft 365 に関する記事が多数あります。ぜひご覧ください。
クラウド技術者を育てたい企業様へ
エディフィストの実務に活かせるIT研修
