導入後に改めて考えるCISベンチマークのすすめ
~Microsoft 365のセキュリティ対策~ OWL Eyes製品・サービスの活用方法

2020年9月9日

Microsoft 365の普及

Microsoft 365 (旧称Office 365) とは、マイクロソフト社が提供する業務用アプリケーションを、クラウド上で提供するサービスの総評です。
昨今のコロナ禍によるテレワークの推進もあり、Microsoft 365は3月中旬から爆発的に利用が増加しました。わずか数カ月で利用が3倍にまで増加したWeb会議ツール「Teams」も、Microsoft 365の一つのアプリケーションになります。
また、マイクロソフト社の提供するOfficeを使用していた企業も、近年の働き方改革やクラウドシフトの波でMicrosoft 365に切り替える企業が増加しております。
国内のほとんどの企業がWord、Excel等のOffice製品を利用していると考えられるため、いざクラウドに移行しよう、という際もマイクロソフト社のサービスであるMicrosoft 365を選択する企業が圧倒的に多い、ということもあるでしょう。

Microsoft 365のプランや機能

ひとくちにMicrosoft 365とはいっても、従来のOffice製品やTeams以外にも、SharePoint(情報共有サービス)やOneDrive(オンラインストレージ)、Exchange(電子メールサービス)など、提供しているサービスは多岐にわたっています。
また、提供するサービスはプランによって異なります。

<Microsoft 365のプラン>
機能Microsoft 365 E5
¥6,200
ユーザ/月
Microsoft 365 E3
¥3,480
ユーザ/月
Microsoft 365 F3
¥1,090
ユーザ/月
Office
Outlook
Exchange
Bookings
Microsoft Teams / SharePoint / Yammer /OneDrive for Business / Microsoft Stream / Sway for Microsoft 365 / Power Apps / Power Automate / Planner / To Do / MyAnalytics / Microsoft Intune
MyAnalytics / Power BI Pro
Advanced eDiscovery、Privileged Access Management

※ 2020年6月 時点の情報

Microsoft 365はどのプランにおいても非常に多機能なサービスが提供されるため、導入時の検討要素は広範囲になります。
また、各機能によって管理設定項目が数多く存在するため、管理者が一元管理しこれらの設定をセキュアな状態に維持し続けることが、大変困難です。
コロナ禍で緊急的に導入された企業の方は、いち早く利用開始できることに注力するあまり、セキュリティ面がおろそかになることが想定されますが、セキュリティ対策は大丈夫でしょうか?

Microsoft 365 設定不備によるセキュリティリスク

Microsoft 365を導入している企業にとっては、Microsoft 365は企業が守るべき機密情報などがふんだんに詰まった倉庫であり、クラウドサービスであるが故に、倉庫の前までは誰でもアクセスすることが可能です。
設定次第では容易に倉庫の中に入られ、情報を好きなように入手・改ざんされる可能性があるでしょう。
もし「うちはMicrosoft 365に機密情報など置いてないから」と安心してはいけません。
ユーザの利用方法によっては、機密情報を配置していなくとも、さまざまなリスクが存在します。

・アカウントを乗っ取り、お客様などの関係者に対しての詐欺行為に使用される
・SharePoint外部共有リンクを通して攻撃者に情報を取得される
・カレンダーが外部公開され、機密情報が外部に漏えいする
・外部ドメインへメールを転送してしまい、情報が漏えいする
・フィッシングメールの踏み台となり、スパムメールを配信する

情報の集積所という観点のリスク以外にも、さまざまなリスクが存在するMicrosoft 365を安全に利用するため、しっかりとセキュリティ対策を実施したいという企業は多いです。
セキュリティ対策のベースラインを決め、確認をおこなっていく必要があると考えます。

Microsoft 365 の CISベンチマーク

そこで、CISベンチマークと呼ばれるものをご存知でしょうか?
Center for Internet Security が公開しているベストプラクティス集で、クラウドやシステムを安全に構成するための基準などを取りまとめたドキュメントです。
OS/ソフトウェアからクラウドサービスまでのさまざまな環境に対するベストプラクティスがまとめられています。

その中でも、今回はMicrosoft 365のCISベンチマークをご紹介します。
項目が7分類されており、分類毎に確認内容が細かく定義されています。
Microsoft 365を安全に使用するために、一体何からどう手を付ければよいのか困っている管理者にとっては大変有益な情報となり、活用していくべきドキュメントです。

<Microsoft 365のCISベンチマーク(ver1.0.0)の概要>
項目確認項目の概要(日本語訳)
1 アカウント/認証 ・管理者権限を持つユーザに対する多要素認証の設定
・全てのユーザに対する多要素認証の設定
・2人から4人のユーザに全体管理者権限が付与
・「パスワードリセット」の設定状況
・Exchange Onlineで先進認証の設定
・SharePointで先進認証の設定
・Skype for Business Onlineで先進認証の設定
・Office 365のパスワードの有効期限の設定
2 アプリケーションの権限 ・サードパーティのアプリケーションの許可状況
・外部ユーザとのカレンダーの詳細共有の設定
・O365 ATP SafeLinks for Office Applicationsの有効化設定
・SharePoint、OneDrive、およびMicrosoft Teams用のOffice 365 ATPの有効化設定
3 データマネジメント ・ロックボックス機能の設定
・SharePoint Onlineのデータ分類ポリシーの設定
・SkypeまたはTeamsで外部ドメインの許可設定
・DLPポリシーの有効化設定
・外部ユーザが、自分が所有していないファイル、フォルダー、およびサイトを共有設定
・Teamsでの外部ファイル共有サービスの許可設定
4 Email セキュリティ/Exchange Online ・Common Attachment Types Filterの設定
・Exchange Onlineスパムポリシーの設定
・メールトランスポートルールにおける外部ドメインへの転送設定
・メールトランスポートルールにおけるホワイトリストに登録設定
・クライアントルールにおける転送ブロック設定
・Advanced Threat Protection Safe Linksポリシーの設定
・Advanced Threat Protection Safe Attachmentsポリシーの設定
・Exchange Onlineの基本認証の設定
・フィッシング対策ポリシーの設定
・すべてのExchange OnlineドメインでDKIM/SPFレコード/DMARCレコードの設定
・マルウェア検知に伴う内部ユーザへの通知設定
5 監査 ・Microsoft 365監査ログ検索の設定
・すべてのユーザのメールボックス監査の設定
・Azure ADの「危険なサインイン」レポートの確認
・アプリケーションの使用状況レポートの見直し状況
・セルフサービスのパスワードリセットアクティビティレポートの確認
・ユーザ役割グループの変更の確認
・メール転送ルールの見直し確認
・非所有者によるメールボックスアクセスレポートの確認
・マルウェア検出レポートの確認
・アカウントプロビジョニングアクティビティレポートの確認
・非全体管理者の役割グループの割り当て状況の確認
・なりすましドメインレポートの確認
・Microsoft 365 Cloud App Securityの設定
・電子メール権限が制限されているユーザ状況の確認
6 ストレージ ・ドキュメントの共有がホワイトリストまたはブラックリストによる制御設定
・外部共有リンクの有効期限の設定
7 モバイルデバイス管理 ・モバイルデバイス管理ポリシーの設定
・モバイルデバイスのパスワードの再利用/無期限設定
・脱獄またはルート化されたデバイスからの接続設定
・モバイルデバイスが複数のサインイン失敗時のワイプ設定
・モバイルデバイスに複雑なパスワード要求設定
・複数のデバイスをロック設定
・モバイルデバイスの暗号化設定
・アンチウィルスソフトおよびローカルファイアウォールの有効化設定
・モバイルデバイスのパスワード利用設定

この様に、CISベンチマークは、網羅的にセキュリティに関する設定について、確認するべき項目が整理されています。

CISベンチマークを活用した確認ポイント

多くの事例をみてきた中で、特に注意すべきポイントをピックアップして説明します。

(1) 多要素認証
弊社が最も重要と捉えている項目は「認証」に関わる項目です。今や常識となってきている多要素認証の設定はしっかりとチェックをしておくべき重要ポイントとなります。
お客様によっては、ユーザビリティが悪くなる事を懸念されている場合があります。
しかし、クラウドサービス提供者との責任範囲の分界点上、認証を疎かにしてセキュリティ事故がおきた場合、クラウド利用企業の責任になってしまいますので、対応が必要な項目であると考えます。
※下の画像はCISベンチマークをもとにお客様の環境を確認した際のレポートの一部となります。

(2) 外部共有リンク
SharePointを使用した際において、外部共有リンクに関する確認項目があります。
クラウド特有の便利な機能であるものの、リンクの共有期間が長くなると、意図したユーザ以外にアクセスされるリスクが高まります。
ユーザは意識せず共有リンクを利用している場合が多いので、有効期限の設定を見直すことが推奨されています。
共有相手のダウンロードが終われば直ぐに共有リンクを解除するべく、最低限の共有期限を設定する、ということが本項目での重要なポイントとなります。

(3) 運用に関する項目
CISベンチマークでは、セキュリティリスクに関する確認項目だけでなく、「各種レポート機能をどのような運用で確認していくか」といった日々の運用に関する確認項目も存在します。
弊社でCISベンチマークをもとにお客様の環境を確認した際、「運用方法まで検討する時間がなく放置していたので、このようなアドバイスはありがたかった」と、お客様よりお言葉をいただいたことがありました。
このような運用に関する項目は多数ありますが、参考例として、Azure ADのログインに関する項目を掲載します。

最後に

CISベンチマークについて、今回は3点を抜粋してご紹介しましたが、CISベンチマークはSaaSセキュリティ設定の有効なベースラインとして、無償で活用することができます。
網羅的にセキュリティ設定の確認が可能で、システムの設定項目だけでなく、日々の運用に潜むリスクにも着目した確認が可能となり、管理者にとっては大変有益な情報を提示してくれます。

なお、Microsoft 365を始めとするクラウドサービスは、さまざまな設定やサービスがユーザの意思とは関係なく次々と追加されますので、ご留意ください。

今回はMicrosoft 365のCISベンチマークをご紹介しましたが、その他OSやサーバなど、さまざまな種類のCISベンチマークが提供されておりますので設定状況の確認が必要な際には、是非ご確認ください。

項目数の数が多く英語表記となるため「定期的な確認が困難だ」という場合には是非弊社にご相談ください。

Microsoft 365 (旧称Office 365)セキュリティ診断サービスの詳細については、
 こちらをご確認ください。
Microsoft 365 (旧称Office 365)セキュリティ診断サービス

京セラコミュニケーションシステム株式会社
セキュリティ事業部SecureOWL Center
SaaS 診断チーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ