検索
特集/連載

「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?CISAが報告書で指摘

「Microsoft 365」(旧「Office 365」)の不適切な設定が、脆弱性につながる可能性がある。どのような設定が不適切なのか。

Share
Tweet
LINE
Hatena

 Microsoftが提供するオフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)を安全に利用するためには、ユーザー企業のIT担当者の努力と注意が必要だ。Microsoft 365の導入を支援するサードパーティーによる設定が不適切な場合にも、セキュリティリスクが増大することがある。

Microsoft 365の“不適切な設定”とは

 米国土安全保障省(DHS)の傘下のセキュリティ専門機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA:Cybersecurity and Infrastructure Security Agency)は、2019年5月に発表した報告書AR19-133Aで、メールシステムをMicrosoft 365に移行する際に発生するリスクを指摘した。CISAによると、多くの企業がMicrosoft 365で不適切な設定を使用しており、こうした設定が原因で脆弱(ぜいじゃく)性が発生していた。

 Microsoft 365の不適切な設定としてCISAが指摘した主な項目は、次の通りだ。

  • メールボックス監査が無効になっている(2019年1月以降はデフォルトで有効)。これによりメール関連のセキュリティ侵害の根本原因解析が困難または不可能になる。
  • 統合監査ログが無効になっている。こちらも同様の問題があり、セキュリティ侵害の根本原因解析が困難または不可能になる。
  • 多要素認証が無効になっている。管理者権限を持つアカウント「管理者アカウント」に多要素認証を使用しないと、攻撃者が管理者アカウントを乗っ取る危険がある。

 CISAが指摘した問題に加え、Microsoft 365の導入や運用に携わるサードパーティー事業者が、不適切な設定や運用方法を持ち込む危険もある。

 Microsoft 365は広く普及しているために、攻撃者が標的にしやすい問題がある。Barracuda Networksの報告によると、Microsoft 365アカウントは乗っ取りの標的になりやすい。偽サイトへの誘導で個人情報を搾取する「フィッシング」の一種であり、特定の標的を狙う「スピアフィッシング」、クリックしただけでマルウェアに感染するWeb広告「マルバタイジング」など、さまざまな攻撃に悪用されているという。企業のIT担当者は、技術的な管理と従業員の意識の両面から対策を強化する必要がある。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る