Microsoft 365(旧Office 365)は業務効率化やテレワーク推進の一環により多くの企業で利用されていますが、中には「クラウドサービスは情報漏えいなどのセキュリティ面に不安があるため、なかなか導入に踏み切れない。」という方もいらっしゃると思います。実際にクラウドサービスによる情報漏えいのリスクを考えずに導入したことでトラブルが発生するケースもあります。クラウドサービスを安全に利用するためには、昨今巧妙化するサイバー攻撃のセキュリティリスクの現状を把握したうえで、強固なセキュリティ対策を講じる必要があります。
今回はクラウドサービスの中でも人気のあるMicrosoft 365の概要・考えられるセキュリティリスクとMicrosoft 365が講じている強固なセキュリティ対策についてご紹介します。
まず、Microsoft 365とはどんなサービスなのか、旧Office 365との違いについてご紹介します。
Microsoft 365(旧Office 365)はMicrosoftが提供しているクラウドサービスです。Microsoftは2011年に「Office 365」を、2017年に「Microsoft 365」をそれぞれ異なる製品としてリリースしていましたが、重複した機能や似通ったネーミングなどによりユーザーの混乱を招くことから2020年4月にOffice 365はMicrosoft 365へと統合されました。
Microsoft 365は旧Office 365に搭載されていた全機能が含まれ、さらに最新のWindows OS・ストレージサービスのOneDrive・コミュニケーションツールのMicrosoft Teams・セキュリティソリューションのEMS(Enterprise Mobility + Security)などの機能がクラウド上で利用できます。
※ただし、現在も大企業向けの一部プランにおいてプラン名「Office 365」を存続したまま提供されているサービスもあります。
旧Office 365とMicrosoft 365との大きな違いは料金体系にあります。従来のOffice 365は買い取り型の製品でしたがMicrosoft 365はサブスクリプション型の製品です。また、Office 365は最新版へのアップグレード機能がなくサポート期間が定められている永久ライセンスを購入するため、サポート期間終了後はセキュリティリスクや使用上の不具合に対するリスクが生じていました。一方、Microsoft 365は自動でアップグレード対応するため、常に最新バージョンで利用できる・初期費用が掛からない・場所やデバイス問わず利用できるなどのメリットがあります。
次に、企業がMicrosoft 365を導入することで得られるメリットについてご紹介します。
Microsoft 365は最低限の初期コストで導入することができる・サブスクリプション型の製品のため不要になったユーザー分を停止することで余分なコストをカットできる・自動でアップグレードするためアップグレード作業の管理コストはかからないなど、無駄なコストをかけずに運用することができます。また、法人向けのMicrosoft 365にはさまざまなプランがあり、ライセンス数や使用したいツールなどビジネス用途にあったプランをお選びいただけます。
Microsoft 365はスパムメール(迷惑メール)やマルウェアの自動検出、データ漏えいやデータ損失を防ぐためにDLP(Data Loss Prevention/データ損失防止)機能やデータ転送時の暗号化など多種多様なセキュリティ機能が備わっています。特にさまざまあるプランの中でも一般企業向けの上位プランや大企業向けのプランを導入している場合はより強固なセキュリティ環境を構築することができます。
コラボレーションツールのSharePointを利用してファイル共有を行うことで、アクセス権を持つユーザーは同時にファイルの編集・閲覧することが可能です。また、ファイルごとに細かいアクセス権を設定することもできます。
Microsoft 365ではオンラインストレージ領域への自動保存が可能なため、ハードウェアが故障した際もファイルの復旧が可能です。ただし、あくまでオンライン環境での利用を想定したサービスのため、オフライン時は自動保存や同時編集はできません。
次に、Microsoft 365などのクラウドサービスを利用している企業においても注意すべき代表的なセキュリティリスクについてご紹介します。
Outlookメールを使用している中で標的型攻撃やランサムウェアなど、スパムメール(迷惑メール)に攻撃される危険性があります。スパムメールの有名な手口として、実在するネットバンキングやクレジット会社、有名ブランドを装いメールを送り付け、メールに添付したURLより偽サイトに誘導した上でクレジット情報や暗証番号といった個人情報を入力させて情報を窃取する「なりすましメール」、特定の組織をターゲットとし、ウイルス付きの添付ファイルやメール自体を開封させてマルウェアに感染させることで機密情報を窃取する「標的型攻撃」、ウイルス付きの添付ファイルを開封させることでデータを暗号化・ロックし、復元と引き換えに身代金を要求する「ランサムウェア」などが挙げられます。
Microsoft 365では、クラウド上にデータ保存しているため簡単にデータ共有することができるメリットがある一方、外部から不正アクセスされるリスクもあります。万が一、パスワードの流出や適切でないパスワード・権限の設定によってパスワードが突破された場合、情報漏えいやサービスの不正利用・システムの改ざんなどの被害を受ける危険性があります。
データ漏えいが発生する原因は不正アクセスによるものだけではなく、メール送信ミスや操作ミスなどのヒューマンエラーにより意図せず相手に情報が漏れてしまうケースや社員が外部にデータを持ち出したことによりデータ漏えいするケースもあります。実際に某大手飲食チェーン店の社長が競合他社の内部データを不正に持ち出した疑いで逮捕された事件もあります。
次に、過去にクラウドサービスを利用している中で発生した情報漏えいの事例をご紹介します。
2020年12月にインターネットサービスなどを提供している某大手グループ会社は、148万件超の企業や個人の情報が流出した可能性があることを発表しました。個人情報を管理するシステムに設定不備があったことが原因で外部から不正アクセスされていたようです。最大138万1735件が不正アクセスされた可能性があり、そのうち208件は実際に不正アクセスされた形跡があったと言われています。
この被害は社外のセキュリティ専門家からの指摘により判明しました。
2021年3月に某大手メーカーグループ会社は2020年11月にサイバー攻撃を受け、約9,700件の取引先情報や個人情報が流出したことを発表しました。攻撃者は某大手メーカーグループ会社の子会社を経由して不正アクセスした後、入手した従業員のアカウントをもとに管理者ユーザーになりすまし操作していたと言われています。
この被害は導入していたクラウド監視システムが不正アクセスを検知したことにより判明しました。
2019年1月に某大手クラウドストレージが不正アクセスの被害を受け、約500万件におよぶ個人情報が流出しました。「氏名・住所・メールアドレス・ログインID・パスワード」などのデータが暗号化されていない状態で管理されていたため、ログイン情報を入手した第三者が簡単にデータを閲覧できる状態でした。このような被害に遭わないために企業側はサービスを選定する際に、情報セキュリティ管理基準などに沿った運用が行われているかなど、安全性を確認した上で導入する必要があります。
次に、安全にクラウドサービスを利用できるようにMicrosoft 365が採用しているセキュリティ対策についてご紹介します。
前述のようにクラウド上で保存しているMicrosoft 365は、外部から不正アクセスされて情報漏えいするリスクが高いです。そのため、Microsoft 365では2段階認証(多要素認証)を採用することで第三者からの不正アクセスを防止しています。1段階目のIDやメールアドレス・パスワードの入力による認証を通過後、2段階目で音声通話やSMSによる認証が求められるようになりました。2段階目の音声通話やSMSによる認証は基本的に端末を所有している本人しか認証を通過することができないためIDやメールアドレス・パスワードなどの情報のみで行う認証に比べて安全性が高いです。また、不正アクセスの防止として機密情報など重要なデータは特定のユーザーのみにアクセス権限を付与する方法もあります。
情報漏えいが起こる原因は、第三者の不正アクセス以外にも操作ミスや不注意など社内で発生するヒューマンエラーや社外へのデータ持ち出しによるケースもあります。社外へのメール送信時は二重チェックをする・機密文書の印刷やダウンロードを禁止するなどの手段もありますが、より有効的な対策はユーザー毎に制限をかける方法です。Microsoft 365では管理者がライセンス管理を行うため、ユーザーの追加や削除などログインできるユーザーを詳細に制限することができます。また、データ損失防止機能が搭載されており、Outlookなどのアプリから機密情報を送信した場合に警告アラートが表示されます。さらに、トランスポートルールを利用することで社外へのメール送信を禁止する・上司の承認がないとメールを送信できないようにするなどのルールを設定することもできます。その他、監査ログを記録する機能が搭載されているため、不審な動きがあるアカウントや原因を速やかに特定できる・1か月以上アクティブ化(ログイン)されていないデバイスは利用できる機能が大きく制限されるなど、万全なセキュリティ機能が搭載されています。
Microsoft 365ではデータを保護するために定期的なスキャンやマルウェアの検出・予防、検出されたマルウェアのアラート・クリーニング・軽減策などを行っています。また、メールサービスのExchange Onlineを利用すると既知のマルウェアを検知・削除することができるため、既に存在が知られているウイルスがメールから侵入することを限りなく0にすることができます。さらに送信するメールにもマルウェアのスキャンが行われ、マルウェアが検出された場合はメッセージが削除されます。
クラウドに保存しているデータをアクセス制限することで許可していないIPアドレスからのアクセスを拒否することができます。その他、アクセスの許可をパソコンのみに限定しスマホからの閲覧を禁止する・特定の端末からは接続させないなど、設定によってさまざまな運用が可能です。また、セキュリティグループを作成するとユーザー単位でアクセス権を制御することもできます。
最後に、より安全にMicrosoft 365を利用するために押さえておくべきポイントについてご紹介します。
上記に記載したようにMicrosoft 365には監査ログを記録する機能が備わっています。定期的に監査ログを確認し、不審な動きがないかをチェックした上でアクセス制御の見直しやアップデートを行うことで、よりセキュリティレベルを強化することができます。また、定期的に監査ログを確認することで、万が一情報漏えいが発生した際も迅速に察知し、対処することができます。
ユーザーがファイルを共有した際にリアルタイムで通知を受け取ることができるため、第三者や社員が機密情報を持ち出そうとした際も迅速に対処することができます。
以上、Microsoft 365の概要・考えられるセキュリティリスクとMicrosoft 365が講じている強固なセキュリティ対策についてご紹介しました。
― Microsoft 365とは
― Microsoft 365のメリット
― Microsoft 365のセキュリティリスク(課題)とは
― クラウドサービスによる情報漏えいの事例
― Microsoft 365のセキュリティ対策
― Microsoft 365をより安全に利用するためのポイント
Microsoft 365は便利なクラウドサービスが抱えるセキュリティリスクへの対策として多種多様な機能が備わっています。これらの機能を厳格に設定し活用することで不正アクセスや情報漏えいのリスクを大きく軽減することができます。セキュリティ対策をしっかり行い、自社の大切なデータを安全に利用・管理しましょう。
ソニックスではメールバスターやUTMなど、さまざまなセキュリティ対策のサービスを取り扱っております。セキュリティ面にお悩みがある方やクラウドサービスをご検討されている方はお気軽にソニックスにお問い合わせください。
< マルウェアの関連記事はこちら >
