この記事を読んでいて、オフィス365利用を少し怖いと感じました。
securityboulevard.com
サイバー犯罪者がMicrosoftのサービスや製品を何十年もの間標的にしてきたことは否めませんが、企業のデータがファイアウォールの外側に広がっていることから、Office 365はさらに大きな標的となっています。ある調査によると、クラウドに保存されている機密データの58.4%がオフィスの文書に保存されています。
このため、クラウドセキュリティは、機密データをクラウドに移行する際の組織にとっての最大の関心事となっています。クラウドが組織にとって便利なストレージユニットであることは秘密です。従業員は簡単に共有できます 任意のデバイス上の任意の場所からファイルをコラボレーション、保存、およびアクセスする。
実際、5人に1人の従業員に1人がOffice 365クラウドサービスを使用しており、100人を超えるOffice 365ユーザーを抱える組織の91.4%がクラウドベースのソフトウェアを利用しています。この大幅な成長はまた、情報セキュリティおよびコンプライアンスチームにとって大きな頭痛の種となりました。これらのファイルへのアクセスは非常に簡単に共有されるため、悪意のあるユーザーに簡単に届く可能性があります。これが、Office 365インスタンスを保護する際に必要な予防措置を講じることが重要である理由です。
Office 365の急速な拡大に伴い、ますます多くのアカウントが危険にさらされています。
600の企業にわたる2700万人のユーザーを対象とした2016年の包括的な調査では、ビジネスOffice 365ユーザーの71.4%が毎月少なくとも1つの侵害されたアカウントを持っていることが明らかになりました。
システムをOffice 365に移行するときは、1.サードパーティESP組織がサードパーティの電子メールサービスを利用する場合、フィッシング、なりすまし、およびその他の電子メールベースのサイバーセキュリティの脅威がOffice 365の主な脆弱性です。
(Securityboulevard記事より引用)※機械翻訳
◆キタきつねの所感
先日、マイクロソフトがセキュリティ機能を強化する事についての記事を書きましたが、今回の記事を読む限り、状況はかなり深刻だった事がわかります。また、併せてハッカー(攻撃)側がなぜ、オフィス文章を標的型攻撃で狙ってくるのかについても、腑に落ちた気がします。
オフィス365の安全性向上 - Fox on Security
上記記事は機械翻訳なので少し日本語が読みづらくなってますが、衝撃だったのが、2016年時点の調査で既にOffice365ユーザ(企業)の70%以上が毎月1件以上のメールアカウント侵害を認識している部分です。わかっているなら、なぜ2要素認証などを入れないのか?と疑問に思ってしまうのですが、他のメールアカウント侵害でもパスワードの使いまわしからのデータ漏洩が未だに出ていますので、従業員教育の方にウェイトを置いたのかも知れません。
個人的には、いくら従業員教育をしても、一定レベルまでのセキュリティは向上しますが、そもそも従業員が何故パスワードを使いまわしているのかを考慮せず(※覚えられないからです)、パスワードは複雑なものを各サービス毎にセットしましょう・・・といった現実から目をそらしただけのアリバイ作りの教育も多いので、私は従業員教育は、緩和策にしかならないと思います。
多要素認証以外の対策では、DMARC等のドメイン(あるいは個人証明書を使った)認証強化も良いと思いますが、他のサービス連携でも機能が強化されてしまう(平たく言うとサービスが使えなくなる)可能性があるので、自社での導入というより、(先日発表された)マイクロソフトの正規セキュリティ強化サービスを待っていた組織も多いのかも知れません。
時代はクラウド。世の中がクラウドに動いている事は間違いありませんが、便利になった、あるいはコストメリットが出てきた事に比例して、新たなリスクも顕在化してきた訳ですから、ただ導入すれば良い・・・という考えを捨ててセキュリティのPDCAを廻す=リスク対策を先手、先手で打っていく事が求められているのも忘れてはいけないのだと思います。
更新履歴
