Microsoft 365 のセキュリティ

Microsoft 365 Securityとは、絶えず進化するサイバー脅威や悪意のある活動から、お客様の環境、ユーザー アカウント、およびデータを保護するために設計された、包括的なツール、機能、および機能セットのことです。

Microsoft 365 Securityは、保護機能を強化しリスクを軽減することで、防御体制を強化し、組織が法的および業界のコンプライアンス基準を満たすことを支援します。これにより、セキュリティを確保しつつ、規制要件に対応することが可能になります。

マイクロソフトはほぼ 世界のオフィススイート市場の半分、米国だけでも130万社以上の企業がMicrosoft 365を利用しています。この人気の高さにより、マイクロソフトは、変化し続ける顧客のコンプライアンスやセキュリティへの要求に迅速に対応せざるを得ません。同時に、この広範なユーザーベースが、Microsoft 365をサイバー攻撃の格好の標的にしています。

マイクロソフトは、さまざまな規制への準拠に取り組んでいます。当社は、組織がサイバー脅威から身を守り、データと完全性を保護し、さまざまな規制や基準に準拠できるよう、幅広いコンプライアンスおよびセキュリティツールを提供しています。しかし、Microsoft 365は安全なのでしょうか？

マイクロソフトは"責任の分担このモデルでは、導入形態(オンプレミス、クラウド、ハイブリッド)およびサービスモデル(Software-as-a-Service、Platform-as-a-Service、Infrastructure-as-a-Service)に応じて、セキュリティ上の責任がユーザーとマイクロソフトの間で分担されます。 しかし、マイクロソフトは、すべてのサービスおよび導入形態において、データ保護、エンドポイントセキュリティ、アカウント管理、アクセス制御といった領域が引き続きユーザーの責任範囲であることを明確に示しており、ユーザーが自らの環境の保護において積極的な役割を果たすよう促しています。

つまり、マイクロソフトはデータコンプライアンス、プライバシー、およびセキュリティのためのツールを提供していますが、これらのソリューションがユーザーの具体的なセキュリティ要件を満たし、環境を適切に保護できるかどうかを判断し、その責任を負うのはユーザー自身であるということです。

注記. Microsoftは、PurviewおよびDefenderポータルにおいて、情報保護およびデータ損失防止のためのツールを提供しています。2024年には、Exchange、SharePoint、OneDriveのデータ向けに専用のMicrosoft 365 Backupソリューションもリリースされました。しかし、これらのツールには 機能が制限されているMicrosoft 365 のデータを完全に管理するには、次のような包括的なサードパーティ製バックアップソリューションが必要です。 NAKIVO Backup & Replication.

Microsoft 365 のすべてのセキュリティツールやサービスを使いこなすのは容易ではありません。第一に、機能がツールやソリューションへと進化し、名称が変更される場合があります。第二に、これらは Microsoft 365 のプランや導入形態によって異なります。

さまざまなツールとその相互関係をより深く理解するために、Microsoftの主要なソリューションをいくつかのカテゴリに分類することができます:

• アイデンティティおよびアクセス管理(IAM)ハイブリッドワークやハイブリッド環境の普及により、メール、データ、アプリケーションなど、組織のあらゆるリソースへの安全なリモートアクセスを維持する必要がある管理者にとって、IAMの管理はより困難なものとなっています。IAMサービスを利用することで、管理者はユーザーの身元確認、多要素認証(MFA)の設定、および必要なアクセス権限の構成を行うことができます。マイクロソフトは、IAM機能を標準搭載しているほか、専用のIAMソリューションである"Microsoft Entra ID"も提供しています。
• 脅威からの保護。 マイクロソフトは、オンプレミス環境とクラウド環境の両方を保護するように設計された、多層的なサイバーセキュリティ対策を提供しています。Microsoft 365 脅威対策には、以下の 2 つの主要なソリューションが含まれています:
  • Microsoft Defender XDR(旧称:Microsoft 365 Defender)は、"XDR"がeXtended Detection and Response(拡張型検知・対応)を意味するもので、Microsoftのセキュリティツールのほとんどにアクセスできる包括的なクラウドベースのポータルです。
  • Microsoft Sentinel は、組織のネットワーク内のさまざまなソースからイベントログデータを収集・分析するように設計されたセキュリティ情報およびイベント管理(SIEM)サービスです。

  さらに、マイクロソフトは脅威の検知とインシデント対応を強化するため、AIを搭載したアシスタント"Copilot"を導入しました。

• データガバナンスとコンプライアンス。 これには、コンプライアンス・マネージャー、データ損失防止(DLP)、eディスカバリーなどのMicrosoft Purviewツールが含まれます。

Microsoft Defender XDR:リスクの検出と軽減

Defender XDRは、Microsoftの脅威管理および対応機能のほぼすべてを統合した包括的なセキュリティポータルです。Defenderの主な構成要素は以下の通りです:

• Entra ID 保護 これにより、組織はユーザーIDをきめ細かく管理し、脆弱性を検知し、不審なサインインに対して自動的に対応できるようになります。
• Exchange Online Protection (EOP) スパム、フィッシング攻撃、マルウェアから組織のメールを保護するフィルタリングサービスです。EOPは、Microsoftのインフラストラクチャ内におけるMicrosoft 365のメールセキュリティを支える基盤層です。
• Defender for Office 365(旧称:Office 365 Advanced Threat Protection) フィッシングやマルウェア攻撃をリアルタイムで検知・軽減します。本ソリューションの機能には、メール、SharePoint、OneDrive、Microsoft Teamsにおけるフィッシング対策や悪意のある添付ファイルの検知が含まれます。上位プランでは、攻撃シミュレーションや自動調査などの追加機能も利用可能です。
• クラウドアプリ向けディフェンダー。 本ソリューションは、クラウドアクセスセキュリティとアプリケーションガバナンスに重点を置き、アラートとアクションを自動化することで、SaaS横断環境におけるアプリケーションへのアクセス、データ共有、および利用状況をより適切に管理できるようにします。
• エンドポイント向けディフェンダー は、エンドポイントセキュリティを管理するための重要なツールであり、組織がデバイスの脆弱性を分析し、調査と修正を自動化し、攻撃対象領域を縮小することを可能にします。このツールはDefender for IoTと連携することで、接続されたデバイスもカバーできます。

  管理者は、エンドポイント検出および対応(EDR)機能を備えたMicrosoft 365の行動ベースの保護を有効にすることもでき、さらにEDR機能を強化するために Defenderの脆弱性管理これにより、組織のデジタル資産を可視化し、修復ツールを活用し、侵害の可能性を評価することが可能になります。

• Defender for Identity(旧 Azure Advanced Threat Protection) Active Directory サーバーから信号を収集し、ID に関連する脅威をリアルタイムで検知・調査します。これにより、ハイブリッド環境において、侵害された ID や内部者による脅威を迅速に特定することができます。

Defenderの各ツールが連携して多層的なセキュリティを構築する仕組みをよりよく理解するために、フィッシング攻撃の事例を想定してみましょう。

1. EOPおよびDefender for Office 365は、フィッシングメールを受信するリスクを軽減するのに役立ちます。
2. そのメールが送信先に届き、ユーザーが悪意のある添付ファイルを開いた場合でも、Defender for Endpoint はマルウェアを検知し、ユーザーのエンドポイントデバイスへの侵入を阻止します。
3. マルウェアがユーザーのIDを標的とした場合、Defender for Identityは不審なサインインを検知します。
4. Defender for Cloud Apps は、攻撃者が侵害されたIDを利用して、Microsoftクラウドに保存されている組織のデータにアクセスすることを防ぎます。

Microsoft Sentinel:セキュリティインシデントの一元管理

Microsoft Sentinelは、セキュリティ情報およびイベント管理(SIEM)サービスと、セキュリティオーケストレーション、自動化、および対応(SOAR)技術を統合したものです。

SIEMは主に、さまざまなソースからのイベントログデータを収集・分析するために設計されていますが、SOARはあらかじめ設定されたポリシーを通じて実際の脅威を可視化し、脅威の検知能力を強化することで、インシデントの迅速な解決を支援します。

Microsoft Sentinel と Defender XDR を併用することで、インフラストラクチャ全体にわたるより広範な可視性が得られ、具体的には以下の点が挙げられます:

• Defender XDRプラットフォーム 攻撃の調査を支援し、ランサムウェアやフィッシングなどのサイバー脅威からデータを保護し、自動化された修復機能を通じて迅速な対応を実現します。
• Sentinel SIEMプラットフォーム 統一されたダッシュボードからサイバーセキュリティの管理を支援し、組織が特定のセキュリティインシデントやイベントに関連するデータを収集・分析できるようにします。

Microsoft Purview:データのコンプライアンスとガバナンス

Microsoft Purview は、組織が規制要件を満たし、データ管理とガバナンスを強化するためのツールおよびソリューションのセットです。Purview ポータルで利用できる主な機能には、次のようなものがあります:

• ポリシーベースの データの暗号化 カスタム暗号化キーを使用する。
• 顧客用ロックボックス マイクロソフトの従業員が、組織の承認を得ずに顧客データにアクセスできないようにするため。
• ログ監査 コンプライアンスおよび法的調査のためです。プレミアムプラン(旧称:Microsoft 365 Advanced Audit)では、ログを最大1年間保存でき、ユーザーアクティビティに関連する監査記録に対してカスタマイズ可能な保存ポリシーを設定できます。
• eディスカバリー 社内外の調査に必要なコンテンツの保存、分析、およびエクスポートに関するエンドツーエンドのワークフローをサポートします。
• エンドポイント情報漏洩防止(エンドポイントDLP) 機密データの意図しない過剰な共有など、不審なデータ活動や望ましくないデータ活動を検知し、警告を発します。
• 内部リスク管理 規制や社内ポリシーに違反する可能性のある不審なユーザー活動を監視・管理し、組織内の潜在的なセキュリティ脅威を特定するのに役立ちます。
• コンプライアンス・マネージャー 一般的な基準や規制に対応した既成の評価ツールを提供し、段階的なガイダンスを示すとともに、リスクベースのコンプライアンススコアを算出することで、組織が規制遵守状況を把握できるよう支援します。
• 情報バリア 組織が特定のユーザーやグループ間の通信、コンテンツの検索、および検出を制限するために設定できるポリシーです。
• 情報保護 組織は、管理者による設定とポリシーに基づく設定の両方を通じて、ドキュメント、グループ、メール、サイトなどの機密性の高いコンテンツにラベルを付けることができます。
• データ分類分析 "Content Explorer"や"Activity Explorer"といったツールを使用して、機密データを監視します。"Content Explorer"は、ラベルや機密性タイプに基づいて機密データをインデックス化し、フィルタリングします。一方、"Activity Explorer"は、ラベルの編集や共有など、機密データをリスクにさらす可能性のあるユーザーの活動をハイライト表示します。
• データライフサイクル／記録管理(旧:Microsoft Information Governance) 組織が、規制に基づくデータ保存、アーカイブ、および削除の要件を確実に遵守できるよう、保存ポリシーやラベルの設定を支援します。

さまざまなプランやソリューションにまたがる幅広いセキュリティツールがあるため、Microsoft 365 で強固なセキュリティ戦略を構築するのは困難な場合があります。以下に、重点を置くべき重要な分野を挙げます。

セキュリティ要件を評価する

Office 365のすべてのセキュリティツールを利用できることはメリットのように思えるかもしれませんが、上位プランは高額になる可能性があります。さらに、複数のセキュリティツールを管理することは、管理業務の負担やミス発生のリスクを増大させるため、セキュリティ要件と予算、運用効率とのバランスをとることが不可欠です。

包括的なセキュリティ戦略は、組織の具体的なニーズや予算の制約に合わせて策定すべきです。セキュリティ要件を評価し、ITチームに過度な管理負担をかけないよう、必要なツールの導入に重点を置くことが重要です。

ゼロトラストを導入する

ゼロトラストセキュリティモデルでは、管理者は"決して信用せず、常に検証する"というアプローチを採用し、あらゆるリクエスト、特に信頼できないネットワークや管理外のネットワークからのリクエストは、セキュリティ上の脅威となる可能性があるという前提に立つ必要があります。すべてのアクセスリクエストを検証することで、組織は不正アクセスや情報漏洩のリスクを最小限に抑えることができます。

多要素認証(MFA)を設定する

MFAを導入することで、ユーザーがネットワークにアクセスする前に本人確認を行うことが義務付けられ、Microsoft 365におけるID盗難に対する保護がさらに強化されます。MFAはログインのセキュリティを大幅に高め、認証情報の漏洩による不正アクセスのリスクを低減します。

セキュリティポリシーの管理

Microsoft 365 では、保存ポリシー、条件付きアクセスポリシー、ラベリングポリシー、暗号化ポリシーなど、さまざまなセキュリティポリシーが提供されています。これらのツールはデータセキュリティをきめ細かく制御できますが、定期的な設定、メンテナンス、および更新が必要です。このプロセスを自動化することで、管理負担を軽減し、一貫した管理を実現できます。

継続的な監視と改善

強固なセキュリティ体制を維持するには、継続的な監視と積極的な改善が必要です。パッチ管理戦略を導入し、環境、デバイス、および Microsoft 365 アプリケーションが最新のセキュリティパッチや更新プログラムで常に最新の状態に保たれるようにしてください。これにより、脆弱性を軽減し、サイバー攻撃のリスクを低減することができます。

NAKIVO Backup & Replication Exchange Online、SharePoint Online、OneDrive for Business、およびMicrosoft Teamsのデータ向けに、専用のMicrosoft 365バックアップソリューションを提供します。バックアップデータをMicrosoftのインフラ内のみ保存するMicrosoftの標準的なバックアップとは異なり、NAKIVOのソリューションでは、ユーザーが選択した複数の場所にデータのコピーを保存することができます。 対応する保存先には、パブリッククラウドやプライベートクラウド、ローカルフォルダー、NAS、およびリムーバブルデバイスが含まれます。この柔軟な保存オプションにより、3-2-1バックアップ戦略を容易に実装でき、単一障害点によるリスクを排除できます。

さらに、NAKIVOのソリューションは、幅広い仮想および物理プラットフォームに対応しており、データ保護業務を一元的に管理できるWebベースのダッシュボードを提供します。この効率的なアプローチにより、インフラ全体に対する管理と可視性が向上し、セキュリティと運用効率の全体的な向上につながります。