「Microsoft 365」の導入と運用に伴うセキュリティリスクにどう対処すればよいのか。米国のセキュリティ機関による勧告を基にした対策など、6つの対策を紹介する。
前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」は、オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時における12項目のセキュリティ対策のうち、3つを紹介した。中編となる本編は、続く6つを取り上げる。
米国土安全保障省(DHS)の傘下のセキュリティ専門機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2019年5月に公開した報告書は、Microsoft 365のID管理サービス「Azure Active Directory」(Azure AD)の管理者アカウントにおいて、多要素認証(MFA)がデフォルトで有効になっていない点を指摘した。管理者アカウントは最高水準の権限を持つため、その保護は重要だ。デフォルト設定を変更して、管理者のMFAを必須とすれば、セキュリティ強化に向けて大きく前進できる。
CISAの同報告書は、2019年1月までMicrosoft 365の「メールボックス監査」機能がデフォルトで有効になっていなかったことも指摘した。この機能は、エンドユーザーの操作履歴を記録し、ポリシーに違反した操作がないかどうかを検査できるようにする。セキュリティチームは、この機能がデフォルトで有効になっていることを確認しなければならない。
「Azure AD Connect」は、オンプレミスのディレクトリサーバ「Active Directory」(AD)とAzure ADの設定を同期するツールだ。オンプレミスの「Microsoft Office」からMicrosoft 365に移行する際、デフォルトではAzure AD Connectが、オンプレミスADのパスワードでAzure ADのパスワードを上書きする。つまり、もしオンプレミスADのIDが不正アクセスされていた場合、攻撃者は同期の際に、クラウドサービスでの侵害行為につなげられる。パスワードの同期が必要な場合は、クラウドサービスに対するオンプレミスのインフラ起因の攻撃や、オンプレミスのインフラに対するクラウドサービス起因の攻撃の危険性について、入念に検討する必要がある。
「POP3」(Post Office Protocol 3)や「IMAP4」(Internet Mail Access Protocol 4)といったレガシーなメールプロトコルを利用している場合、MFAの利用を強制できない場合がある。CISAはこうしたレガシープロトコルの利用を停止するよう勧告している。
「Office 2007」のような古いバージョンのソフトウェアには既知の脆弱(ぜいじゃく)性がある。Microsoft 365に移行する前に、移行対象のソフトウェアを現行バージョンに更新すべきだ。
Microsoft 365をサードパーティーアプリケーションと組み合わせて使用する場合は注意を要する。社内で開発したものであれ、社外開発のものであれ、Microsoft 365と連携させる前にセキュリティテストを実施しなければならない。
後編は、残りの10〜12個目の対策を紹介する。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
