米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、管理者に対し、Microsoft の Office 365 プラットフォーム上でセキュリティのベストプラクティスを実装するよう訴えた最新の政府機関となった。
英国の国家サイバーセキュリティセンター(NCSC)も2018年12月に同様の呼びかけを行った。しかし、ほとんどのユーザーがタブレットを持参していないという証拠がある。
例えば、Office 365で多要素認証(MFA)を有効にしている人はどれくらいいるでしょうか?MFAでは、パスワードだけでなく、携帯電話に送信されるテキストメッセージ(傍受される危険性が高いため好ましくありません)や認証アプリから取得するコードなど、2つ目の要素も必要です。Office 365の基本的なセキュリティ対策として、MFAは最優先事項です。
正確な数字を入手するのは困難ですが、Microsoft は Office 365 管理者が利用できるセキュリティ ダッシュボードを通じて、ユーザーのセキュリティ実践に関する情報を公開していることがわかりました。
現時点での「セキュリティスコア」の最大値は707ですが、InTuneなどの他のMicrosoftサービスの使用を前提としているため、あまり深刻に捉えるべきではありません。ただし、Office 365の平均スコアはわずか37であり、これは懸念すべき点です。
セキュアスコア表を見ると、MFAオプションをすべて有効にするだけで100ポイント獲得できます。実際、OneDriveにドキュメントを1つか2つアップロードするだけでも、Microsoftは10ポイントを付与します。また、有効期限のないパスワードでも10ポイントが付与されますが、これは以前のアドバイスとは逆です。結論として、一般的なOffice 365アカウントは、セキュリティのベストプラクティスという点では大きく遅れをとっています。
典型的なOffice 365のセキュリティ設定は非常に低い
この世界平均は、数百万もの小規模アカウントによって引き下げられていることは間違いありませんが、シート数が増えるにつれて改善されるでしょう。シート数が6~99の場合、平均はなんと46にまで増加します。提供されている膨大なセキュリティオプションの導入については、ほとんど何も行われていないと言っても過言ではありません。
CollabTalkは先月、Microsoftと他4団体の委託を受け、Office 365のセキュリティとコンプライアンスの実践に関する調査結果を発表しました。調査対象は、世界中のITプロフェッショナル、経営幹部、コンプライアンス担当者です。また、2017年にコンサルタントと中小企業を対象に実施した調査結果も参考にしています。
以前の調査によると、次のとおりです。
しかし面白いことに、
レポートでは、「Office 365 環境の全体的なガバナンスは、テクノロジーよりも、導入する実践と手順に大きく関係している」と結論付けています。
ある程度までは確かにその通りですが、提供されるサービスの複雑さと、ほとんどのユーザーがデフォルト設定を受け入れているという事実が問題の一因となっています。これらのデフォルト設定は絶えず変更されており、メールボックス監査などの便利な機能は新規顧客向けにはデフォルトで有効になっていますが、既存顧客向けには自動的に有効になっていません。
コストも問題です。例えば、Office 365 Advanced Threat Protection (ATP) はいかがでしょうか?このサービスは、メールの添付ファイルやリンクにマルウェアが含まれていないかチェックし、SharePoint Online 内の悪意のあるファイルをブロックし、フィッシング攻撃の検出を試みます。ATP は、上位プランの E5、Education A5、または Microsoft 365 Business プランに含まれています。それ以外のプランでは、プラン 1 はユーザーあたり月額 2 ドル(1.51 ポンド)、プラン 2 は自動調査と対応機能が追加され、月額 5 ドル(3.80 ポンド)です。
マイクロソフトはAzure Active Directoryのパスワードポリシーを洗練させるために多大な努力を払っている
続きを読む
Office 365で使用されているIDシステムであるAzure Active Directory(AAD)でも同様です。バンドル版にはMFAが含まれているため、言い訳はできません。例えば、デバイスの状態に基づく条件付きアクセスなどの追加機能が必要な場合は、追加料金でPremium P1、または追加のID保護が必要な場合はPremium P2が必要になります。つまり、Office 365のセキュリティは機能であると同時に製品でもあり、利益を目的としたプランのアップセルによって、組み込みセキュリティの範囲が制限されているのです。
MFA のもう 1 つの問題は、たとえばユーザーが携帯電話を紛失した場合にアカウントがロックアウトされることを心配し、サインアップ、認証アプリの設定、追加のセキュリティ プロンプトへの応答のプロセスが複雑で面倒だと感じることです。
これらは、セキュリティ侵害の潜在的な影響に比べれば些細な不便です。ユーザーは、巧妙に誘導されたメール内のリンクをクリックすることで、簡単にログイン情報を提供してしまう可能性があります。すべてのフィッシングメールがメールフィルターに確実に捕捉されると確信していない限り、MFAは当然のことと思われるかもしれません。しかし、そのような確信は誤りです。こうした悪意のあるメールの中には、実際にハッキングされた本物の連絡先から送られてきたものもあるかもしれません。
Office 365のセキュリティを強化する最善の方法は何でしょうか?確かに、熱心な管理者は必要ですが、それでは多くのユーザーが不利な状況に陥ってしまいます。最も効果的な変更はデフォルト設定の改善ですが、MFA®のような侵入的なシステムでは、特に複雑な問題が生じる可能性があります。
