Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

オフィス365の安全性向上

マイクロソフトが重い腰を上げた様です。Office365へのセキュリティコンプライアンス改善を4/30に発表しました。

www.microsoft.com

 

Microsoft 365 E5およびE5コンプライアンスにもたらされる新機能

組織外で共有されている暗号化された電子メールを制御する
- 機密性の高い電子メールが組織外で共有されている場合、メッセージを暗号化したにもかかわらず、アクセスをさらに禁止することは困難です。今でOffice 365の高度なメッセージの暗号化、管理者は自動的に有効期限が切れるか、安全なウェブポータルを介して暗号化された電子メールへのアクセスを取り消すための追加のコントロールを持っています。

危険にさらされやすいデータを検索して行動を起こす
- 多くの場合、顧客はデータ漏洩やフィッシング攻撃などのセキュリティおよびプライバシーの問題を迅速に調査する必要があります。Microsoft 365のデータ調査機能により、リスクを検索して対策を講じることができます。

チャットメッセージやチャンネルの会話で機密情報をブロック
- Microsoft Teamsは、チャット、会議、およびより安全で準拠した方法での通話の統合により、職場のコラボレーションを向上させています。チームの使用時に機密情報が意図せずに共有または漏洩するのを防ぐために、データ損失防止や情報の障壁など、チームに新しい機能が最近導入されました。

Microsoft Cloudを超えてコンプライアンスを管理し、セキュリティ管理の自動更新を取得
- 組織のデータはMicrosoft Cloudを超えた異質な世界に存在します。データ資産全体のコンプライアンスを統一的に管理することが重要です。Compliance Managerを使用すると、オンプレミスやマイクロソフト以外のアプリケーションを含む、あらゆる規制や規格に対する独自の評価を作成できます。これにより、1つのクラウドベースのコンプライアンス管理ツールから、データ保護の管理、チーム間の共同作業、監査の準備を行うことができます。

(Microsoft365発表より引用)※機械翻訳

 

◆キタきつねの所感

クラウドベースのオフィス365はIDとパスワードをベースにしている認証が標準なので、パスワードの脆弱性を突かれ、多数のインシデントが継続的に発生しています。

そんな状況において、サードパーティではなく、マイクロソフトが新たなセキュリティ機能を提供する事が待ち望まれていたといっても過言ではないかと思います。今回、マイクロソフト潜在的な情報漏えいを防御する複数の機能を顧客に提供する事は、非常に意義のある事ではありますが、その反面、クラウドベースのサービス事業者としては機能提供が遅すぎたのではないか、という印象も持ちます。

 

発表があった、新しい機能のいくつかを見てみます。(※下記写真はいずれもマイクロソフトサイトから引用)

 

まずは組織外にある機密性の高い電子メールへの有効期限設定ですが、ポリシーによって強制できそうなのが、30日後にメッセージを自動的に暗号化して期限切れにする様な事が可能となるようです。この機能により、例えば不正アクセスで経営層の電子メールが意図せず漏洩するリスクを、(ポリシー設定の)30日以内に限定させる様な運用が可能になりそうです。

f:id:foxcafelate:20190501113926p:plain

 

次に興味を惹いたのは、データ漏洩時の影響調査の機能です。機密情報を含む電子メールの削除やエンドユーザのコンテンツへのアクセス制限なども設定できる様なので、データ漏洩時のみならず、定期チェック(例:自組織のポリシー違反などに対する)にも使えるかと思います。またデータ漏洩時には、被害拡大を抑える為に、一時的に全社員の添付ファイルへのアクセスを禁止・・・といった使い方も期待できるかも知れません。

ã»ã­ã¥ãªãã£ã¨ã³ã³ãã©ã¤ã¢ã³ã»ã³ã¿ã¼ã§ã®é¡§å®¢ãã¼ã¿ã®ã¯ãªã¼ã³ã¢ããã®ç»åã

 

Office365の中で、電子メール(Outlook)やOne Driveに次いで情報漏えいリスクが懸念されるのが、Teamsだと思います。テレビ会議での資料共有もできますし、情報のUpload(ナレッジDB化)、機密情報のチャットなど・・・内部利用を前提としているツールであるが故に、Teamsを使った事がある方は漏洩時の影響が大きい事が分かると思います。このTeamsに対して、機密情報が意図せず共有される、あるいは漏洩する事を防ぐ機能が導入される様です。

サンプル画像では、ポリシー違反でメッセージ(投稿)をブロックしている所が出ています。

Microsoftãã¼ã ã§ãã­ãã¯ãããã¡ãã»ã¼ã¸ã®ã¹ã¯ãªã¼ã³ã·ã§ãã

 

次がCompliance Mangerを使っての全体リスク(コンプライアンス)管理です。管理者向けのダッシュボードで、データ保護の管理やチームでの共同作業の監視を含め、GDPR、ISO、NIST・・・といった様々なセキュリティ規格視点で全体状況の独自調査ができるだけでなく、(リスク値が大きい、あるいは複数規格に不適合の)次の対策を俯瞰して考える事ができるのが大きな特徴と言えるかも知れません。

Service Trust Portalã®è©ä¾¡ã®ã¹ã¯ãªã¼ã³ã·ã§ããã

 

 

英語でしか記事が上がってないという事は、日本語対応にはもう少し時間がかかるのかも知れませんが、Office365導入企業・組織にとって必要不可欠な機能となりそうな気がします。

 

ã³ã³ãã¥ã¼ã¿ã¼ã®ã»ã­ã¥ãªãã£ãã¼ã«ã®ã¤ã©ã¹ã

 

更新履歴

  • 2019年5月1日PM(予約投稿)