「Microsoft 365」のパスワード同期に潜む“意外な危険”と対策は?:Microsoft 365のセキュリティ対策12選【中編】
「Microsoft 365」の導入と運用に伴うセキュリティリスクにどう対処すればよいのか。米国のセキュリティ機関による勧告を基にした対策など、6つの対策を紹介する。
前編「『Microsoft 365』の“セキュリティ専任チーム”が担うべき役割とは?」は、オフィススイートのサブスクリプションサービス「Microsoft 365」(旧「Office 365」)の導入、運用時における12項目のセキュリティ対策のうち、3つを紹介した。中編となる本編は、続く6つを取り上げる。
対策4.多要素認証の有効化
併せて読みたいお薦め記事
Microsoft 365(Office 365)のセキュリティ対策
- 「Microsoft 365」を脆弱にする“不適切なセキュリティ設定”とは?
- 「Office 365」のセキュリティ対策、忘れると危険な3つのポイント
- 「Office 365」はなぜ遅くなるのか? SaaSが引き起こすネットワーク問題
クラウドサービス利用時のセキュリティ対策
米国土安全保障省(DHS)の傘下のセキュリティ専門機関であるサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が2019年5月に公開した報告書は、Microsoft 365のID管理サービス「Azure Active Directory」(Azure AD)の管理者アカウントにおいて、多要素認証(MFA)がデフォルトで有効になっていない点を指摘した。管理者アカウントは最高水準の権限を持つため、その保護は重要だ。デフォルト設定を変更して、管理者のMFAを必須とすれば、セキュリティ強化に向けて大きく前進できる。
対策5.メールボックス監査の有効化
CISAの同報告書は、2019年1月までMicrosoft 365の「メールボックス監査」機能がデフォルトで有効になっていなかったことも指摘した。この機能は、エンドユーザーの操作履歴を記録し、ポリシーに違反した操作がないかどうかを検査できるようにする。セキュリティチームは、この機能がデフォルトで有効になっていることを確認しなければならない。
対策6.パスワード同期の必要性の判断
「Azure AD Connect」は、オンプレミスのディレクトリサーバ「Active Directory」(AD)とAzure ADの設定を同期するツールだ。オンプレミスの「Microsoft Office」からMicrosoft 365に移行する際、デフォルトではAzure AD Connectが、オンプレミスADのパスワードでAzure ADのパスワードを上書きする。つまり、もしオンプレミスADのIDが不正アクセスされていた場合、攻撃者は同期の際に、クラウドサービスでの侵害行為につなげられる。パスワードの同期が必要な場合は、クラウドサービスに対するオンプレミスのインフラ起因の攻撃や、オンプレミスのインフラに対するクラウドサービス起因の攻撃の危険性について、入念に検討する必要がある。
対策7.レガシープロトコルからの脱却
「POP3」(Post Office Protocol 3)や「IMAP4」(Internet Mail Access Protocol 4)といったレガシーなメールプロトコルを利用している場合、MFAの利用を強制できない場合がある。CISAはこうしたレガシープロトコルの利用を停止するよう勧告している。
対策8.ソフトウェアとOSの更新
「Office 2007」のような古いバージョンのソフトウェアには既知の脆弱(ぜいじゃく)性がある。Microsoft 365に移行する前に、移行対象のソフトウェアを現行バージョンに更新すべきだ。
対策9.サードパーティーアプリケーションのテスト
Microsoft 365をサードパーティーアプリケーションと組み合わせて使用する場合は注意を要する。社内で開発したものであれ、社外開発のものであれ、Microsoft 365と連携させる前にセキュリティテストを実施しなければならない。
後編は、残りの10〜12個目の対策を紹介する。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.