2020年07月13日 05時00分 公開
特集/連載

「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?CISAが報告書で指摘

「Microsoft 365」(旧「Office 365」)の不適切な設定が、脆弱性につながる可能性がある。どのような設定が不適切なのか。

[Johna Till Johnson,TechTarget]

 Microsoftが提供するオフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)を安全に利用するためには、ユーザー企業のIT担当者の努力と注意が必要だ。Microsoft 365の導入を支援するサードパーティーによる設定が不適切な場合にも、セキュリティリスクが増大することがある。

 米国土安全保障省(DHS)の傘下のセキュリティ専門機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、2019年5月に発表した報告書AR19-133Aで、メールシステムをMicrosoft 365に移行する際に発生するリスクを指摘した。CISAによると、多くの企業がMicrosoft 365で不適切な設定を使用しており、こうした設定が原因で脆弱(ぜいじゃく)性が発生していた。

Microsoft 365の“不適切な設定”とは

 Microsoft 365の不適切な設定としてCISAが指摘した主な項目は、次の通りだ。

  • メールボックス監査が無効になっている(2019年1月以降はデフォルトで有効)。これによりメール関連のセキュリティ侵害の根本原因解析が困難または不可能になる。
  • 統合監査ログが無効になっている。こちらも同様の問題があり、セキュリティ侵害の根本原因解析が困難または不可能になる。
  • 多要素認証が無効になっている。管理者権限を持つアカウント「管理者アカウント」に多要素認証を使用しないと、攻撃者が管理者アカウントを乗っ取る危険がある。

 CISAが指摘した問題に加え、Microsoft 365の導入や運用に携わるサードパーティー事業者が、不適切な設定や運用方法を持ち込む危険もある。

 Microsoft 365は広く普及しているために、攻撃者が標的にしやすい問題がある。Barracuda Networksの報告によると、Microsoft 365アカウントは乗っ取りの標的になりやすい。偽サイトへの誘導で個人情報を搾取する「フィッシング」の一種であり、特定の標的を狙う「スピアフィッシング」、クリックしただけでマルウェアに感染するWeb広告「マルバタイジング」など、さまざまな攻撃に悪用されているという。企業のIT担当者は、技術的な管理と従業員の意識の両面から対策を強化する必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

ITmedia マーケティング新着記事

news060.jpg

「高齢者のデジタルシフト」「応援消費」他、コロナ禍が変えた消費行動と今後の「個客」との付き合い方
コロナ禍で起きた消費行動の変化とはどのようなものか。変化に対応するために企業が取る...

news024.jpg

なぜあのブランドは「離脱」されないのか?
「ITmedia マーケティング」では、気になるマーケティングトレンドをeBookにまとめて不定...

news056.jpg

急成長のデジタルライブエンターテインメント市場、2024年には約1000億円規模に――CyberZとOEN調査
音楽や演劇などライブコンテンツのデジタル化が急速に進んでいます。今後の見通しはどう...