「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?CISAが報告書で指摘

「Microsoft 365」(旧「Office 365」)の不適切な設定が、脆弱性につながる可能性がある。どのような設定が不適切なのか。

2020年07月13日 05時00分 公開
[Johna Till JohnsonTechTarget]

 Microsoftが提供するオフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)を安全に利用するためには、ユーザー企業のIT担当者の努力と注意が必要だ。Microsoft 365の導入を支援するサードパーティーによる設定が不適切な場合にも、セキュリティリスクが増大することがある。

Microsoft 365の“不適切な設定”とは

 米国土安全保障省(DHS)の傘下のセキュリティ専門機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、2019年5月に発表した報告書AR19-133Aで、メールシステムをMicrosoft 365に移行する際に発生するリスクを指摘した。CISAによると、多くの企業がMicrosoft 365で不適切な設定を使用しており、こうした設定が原因で脆弱(ぜいじゃく)性が発生していた。

 Microsoft 365の不適切な設定としてCISAが指摘した主な項目は、次の通りだ。

  • メールボックス監査が無効になっている(2019年1月以降はデフォルトで有効)。これによりメール関連のセキュリティ侵害の根本原因解析が困難または不可能になる。
  • 統合監査ログが無効になっている。こちらも同様の問題があり、セキュリティ侵害の根本原因解析が困難または不可能になる。
  • 多要素認証が無効になっている。管理者権限を持つアカウント「管理者アカウント」に多要素認証を使用しないと、攻撃者が管理者アカウントを乗っ取る危険がある。

 CISAが指摘した問題に加え、Microsoft 365の導入や運用に携わるサードパーティー事業者が、不適切な設定や運用方法を持ち込む危険もある。

 Microsoft 365は広く普及しているために、攻撃者が標的にしやすい問題がある。Barracuda Networksの報告によると、Microsoft 365アカウントは乗っ取りの標的になりやすい。偽サイトへの誘導で個人情報を搾取する「フィッシング」の一種であり、特定の標的を狙う「スピアフィッシング」、クリックしただけでマルウェアに感染するWeb広告「マルバタイジング」など、さまざまな攻撃に悪用されているという。企業のIT担当者は、技術的な管理と従業員の意識の両面から対策を強化する必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

髫エ�ス�ス�ー鬨セ�ケ�つ€驛「譎擾スク蜴・�。驛「�ァ�ス�、驛「譎冗樟�ス�ス驛「譎「�ス�シ驛「譏懶スサ�」�ス�ス

製品資料 サイバーソリューションズ株式会社

PPAPに潜む3つの危険を回避、安全なファイル送受信に移行する2つのステップとは

ファイル共有のセキュリティ対策として広く浸透している「PPAP」だが、昨今、その危険性が指摘され、PPAPを廃止する企業が急増している。PPAP問題とは何かを考えながら、“脱PPAP”を実践する2つのステップを紹介する。

製品資料 スカイゲートテクノロジズ株式会社

まだ多いゼロトラストへの誤解、「そもそも必要な理由」から考える成功への筋道

セキュリティ強化を目指す企業が増える中、ゼロトラスト推進の難しさが浮き彫りになってきた。テレワーク対応などをゴールにするのでなく、「なぜゼロトラストが必要なのか」という原点に立ち返ることで、成功への筋道が見えてくる。

製品資料 スカイゲートテクノロジズ株式会社

SIEM/UEBAとSASEのシームレスな連携、日本企業に最適なセキュリティ基盤とは

クラウド活用の進展と働き方の多様化に伴い、従来の境界型防御モデルでは対処しきれないセキュリティ課題が浮上している。本資料では、国内環境に最適化されたセキュリティ基盤を活用し、これらの課題に対応する方法を紹介する。

製品資料 株式会社大塚商会

バックアップデータもランサムウェアに狙われる時代、今求められる対策とは?

情報セキュリティにおいて、ランサムウェアは最大級の脅威だ。バックアップはランサムウェア対策の最後の砦ともいえるが、昨今はバックアップデータへの攻撃も目立ってきた。そこで、ストレージによる対策のアプローチを紹介する。

製品資料 日本ヒューレット・パッカード合同会社

脅威の一歩先を行く対策を、エッジからクラウドまで網羅するデータセキュリティ

データの増大やサイロ化に伴い、セキュリティ対策の重要性が高まっている一方、サイバー脅威の高度化もとどまるところを知らない。こうした中、エッジからクラウドまで網羅するデータセキュリティは、どうすれば実現できるのか。

郢晏生ホヲ郢敖€郢晢スシ郢ァ�ウ郢晢スウ郢晢ソスホヲ郢晢ソスPR

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

繧「繧ッ繧サ繧ケ繝ゥ繝ウ繧ュ繝ウ繧ー

2025/05/17 UPDATE

  1. 窶懷ス薙◆繧雁燕窶昴�荳榊y縺悟、ァ蝠城。後€€莨∵・ュ縺ォ繧医¥縺ゅk5縺、縺ョ閼�シア諤ァ縺ィ蟇セ遲�
  2. 窶懈勸騾壹�繧「繝励Μ窶昴′蜊ア縺ェ縺�シ溘€€荳也阜繧呈昭繧九′縺呎眠蝙九せ繝代う繧ヲ繧ァ繧「縺ョ豁」菴�
  3. 譛ャ蠖薙↓蜉ケ縺�※縺�k�溘€€莨∵・ュ縺ョ繧サ繧ュ繝・繝ェ繝�ぅ驕狗畑縺ョ窶懃峇轤ケ窶�
  4. 縲瑚コォ莉」驥代r謾ッ謇輔≧縲堺サ・螟悶�繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「蟇セ遲悶�譛ャ蠖薙↓縺ゅk縺ョ縺具シ�
  5. 縺ゥ繧後□縺代〒縺阪※縺�k�溘€€縺セ縺輔°縺ョ縲後ョ繝シ繧ソ豬∝�縲阪r髦イ縺絶€�11蛟九�隕∫せ窶�
  6. 窶懆、�尅縺ェ繝代せ繝ッ繝シ繝俄€昴h繧翫€後ヱ繧ケ繝輔Ξ繝シ繧コ縲阪r蟆る摩螳カ縺悟匡繧√k逅�罰
  7. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「髮�屮Black Basta縺ョ莨夊ゥア縺梧オ∝�縲€譏弱i縺九↓縺ェ縺」縺滓判謦�€��窶懈悽髻ウ窶�
  8. IPA縲梧ュ蝣ア繧サ繧ュ繝・繝ェ繝�ぅ10螟ァ閼�ィ√€阪r蜊倥↑繧九Λ繝ウ繧ュ繝ウ繧ー縺ァ邨ゅo繧峨○縺ェ縺�婿豕�
  9. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「謾サ謦��窶懷庶逶岩€昴′30��ク帙€€遞シ縺偵↑縺上↑縺」縺溽官鄂ェ閠��隱、邂�
  10. 繝ゥ繝ウ繧オ繝�繧ヲ繧ァ繧「縺ォ謔ェ逕ィ縺輔l縺溪€弩indows縺ョ遨エ窶昴→縺ッ�溘€€繝代ャ繝√〒逶エ繧峨↑縺�ф蠑ア諤ァ繧�

「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?:CISAが報告書で指摘 - TechTargetジャパン セキュリティ 隴�スー騾ケツ€髫ェ蛟�スコ�ス

ITmedia マーケティング新着記事

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。