Microsoft 365ネイティブセキュリティにおけるトレードオフ
Microsoft社の最大の攻撃対象領域を保護
企業内効率化のためのテクノロジーは、アクセスしようとする悪性アクターにも同じ効果をもたらすことが多いと気付かず、つい導入してしまいます。
Microsoft 365やGoogle Workplaceのようにビジネスの生産性を高め協働を促す製品スイートは、まさにこういったトレードオフの例です。それらの製品スイートには、データへのアクセスとその使用や移動が容易になるよう設計された実に多様なアプリケーションが含まれていますが、その結果、攻撃対象領域が大きくなり、ラテラルムーブメントがしやすく、いったん侵入した攻撃者にとっては不正アクセスが容易になります。
これらのアプリケーションスイートが普及すればするほど、攻撃者にとってその脆弱性を見つけるインセンティブが増します。競合サービスの約2倍(最近のOktaの調査より)の顧客数を誇るMicrosoft 365は、特に高価値の標的になります。
だからといってMicrosoft 365の使用を避ける理由にはなりません。Microsoftはセキュリティに多額を投資し、ネイティブのセキュリティを365スイートの一環として提供しています。むしろ、Microsoftの人気とそれに伴うリスクが、同社の共同責任モデルで示唆された追加セキュリティサービスでスイートを補完する理由といえるでしょう。補完によって、Microsoftの個々の脆弱性とシステムの弱点の両方に対して企業のセキュリティポスチャーを強化することができます。
まず最初に取り組むべき重要ステップは何でしょうか?そして、Microsoft 365がもたらした効率を損なうことなくそのステップを踏むには、どうすればよいのでしょうか?
ステップ1:フィッシング対策の強化
サイバー攻撃の大部分(最近の研究では90%超)はフィッシングから始まります。
フィッシングを防止するために、Microsoft 365はネイティブのメールスキャニングによって悪質なメッセージを除去しています。ただ、このサービスですべての攻撃が阻止されるわけではないことが、データで判明しています。Cloudflareは、2020年に90万件を超えるフィッシングメールがMicrosoft 365のネイティブセキュリティをすり抜けていたことを突き止めました。見逃されたメールの約50%は新規創設ドメインに関わるもので、さらに15%に悪性URLが含まれていました。
また、Microsoftメールは多くのクラウドメールプロバイダーと同様に、他の種類の攻撃に対しても脆弱です。
遅延フィッシング:攻撃者は、当初は良性サイトに誘導するリンクを含むメールを送ってきます。そのメールが標的の受信箱に届くと、攻�撃者はリンク先のURLを悪性サイトへリダイレクトします。
Microsoftインフラストラクチャの悪用:攻撃者は、Microsoftのクラウドサービスを使って悪性ページをホストします。この戦術は、Microsoftのメールスキャン機能を搔い潜ることが時々あります。
攻撃を阻止するには、Microsoftの「共同責任」の考え方に従い追加の保護層を設ける必要があるかもしれません。出発点として重要なのは:
メールリンクの分離:フィルターをすり抜けたり配達後に良性から悪性へすり替わったりする悪性リンクからユーザーを守るために分離します。Microsoftでは一般的なブラウザー分離機能をプラグインとして提供していますが、ローカルでの分離実行はメモリー集約的で、ユーザーエクスペリエンスを鈍化させかねません。代替としてより堅牢なサービスを検討しましょう。クラウドで稼働し、高トラフィックのスクリーンストリーミングは使用せず、ユーザーが非承認サイトへのログイン情報入力などの潜在的に危険な行動をとることを予防するサービスです。
高度なクラウドメールセキュリティ:これに含まれるセンチメント分析、送信者トラストグラフ、自動ブロッキング、その他のツールは、Microsoft 365が見逃すと判明している悪性メールの捕捉用に��調整できます。
ステップ2:マルウェアのスキャニングを強化
フィッシングの阻止は重要なセキュリティステップですが、それだけでは不十分です。他の攻撃タイプも、エンドポイントデバイスと統合ネットワークインフラにマルウェアを仕込むのに使われるからです。メール経由の場合もありますし、ダウンロードを自動実行する悪性Webサイトや、その他の手段がとられることもあります。
Microsoft 365の主なアンチマルウェアサービスはDefenderと呼ばれ、エンドポイントデバイスにインストールされます。ブラウザープラグインのApplication Guardも、悪性Webサイトとあらゆるマルウェアを確実にサンドボックス化することによって防御に役立ちます。
セキュリティ全般に対するMicrosoftのコミットメントに違わず、マルウェア検出にかけてはDefenderは結構優秀です。しかし、その検出率は類似製品に劣ることがいくつかの調査でわかっています。また、その機能の特定要素が潜在的ギャップを生じさせます。
このサービスでは��、ユーザーがシステム上の特定ロケーションをマルウェアスキャンの対象から除外することができます。非標準コードを使ったアプリではよくあることですが、潜在的リスクであることには変わりはありません。さらに、Windowsオペレーションシステムの特定バージョンでは、除外されたロケーションのリストが保護されず保存されていることを、セキュリティリサーチャーが突き止めています。これはつまり、ローカルアクセスを得た攻撃者には、どのシステムロケーションにマルウェアをインストールすれば検出を回避できるかがわかってしまうということです。
DefenderはデフォルトでMicrosoft Edgeブラウザーでのみ機能するようになっており、他のブラウザ向けにはプラグインが提供されています。しかし、ユーザーが何らかの理由でプラグインをインストールしなければ、それらの他のブラウザが弱点になり得ます。
Application Guardにも同じプラグインの問題があります。ローカルブラウザー分離によるデバイスパフォーマンスの低下がよく起こり、ユーザーが単純に分離機能をオフにしてしまう可能性があります。
そのあたりの保護を強化するために、企業はいくつかの対策を検討すべきでしょう:
補完的なエンドポイント保護:可能な限り高度な脅威インテリジェンスを基にした保護で、ルールセットやブロックリストをユーザーが簡単に無効化できないようになっています。
多要素認証(MFA):アプリケーションへのアクセスを提供する際に、ユーザー名とパスワードの組み合わせだけでなく他の要素も使います。他の認証「要素」には、ハードウェアセキュリティトークンやユーザーの電話へのワンタイムコード送信などがあります。攻撃者がマルウェアをインストールできたとしても、そのマルウェアを使って企業アプリケーションにアクセスすることをMFAが阻止します。
メールリンク分離:上述したように、分離されたWebアクティビティはクラウドで実行されます。あらゆるブラウザーで機能し、最新テクノロジーでサイトの破壊を回避します。
ステップ3:権限昇格の阻止
企業は、強力なメー�ル保護とマルウェア対策を実装しても、自社のMicrosoft 365インスタンスに攻撃者が何らかの形でアクセスしてくることを覚悟して対策しなければなりません。そうした事前対策は最新セキュリティの中心理念であり、ネットワーク内のあらゆるロケーション間を移動するリクエストを「決して信頼せず、すべて検証する」Zero Trustの原則として要約されるのが通常です。
Microsoft 365では、ユーザーのアクセスと許可を管理するためのサービスをいくつか提供しています。しかし、BeyondTrustの調査によれば、近年のMicrosoft 365の脆弱性で最もよく悪用されるのは権限昇格だといいます。それらのインシデントでは、攻撃者がユーザーアカウントへのアクセス権限を獲得し、アクセスできたさまざまなシステムと設定を拡張して、ラテラルムーブメントや資格情報の窃盗、標的アプリケーションへの侵入を容易にしてしまいます。
阻止に向けた重要なステップの1つはロジスティクス関係で、可能な限り多くのユーザーから管理者権限を剥奪することです。過負荷に苦しむIT部門では、効率改善とサポートチケット減少のために過度のアクセス権限をユーザーに与えたくなるかもしれません。しかし、そういった措置は短期的には有用に見えるかもしれませんが、ユーザーにはできる限り少ない権限を与えることが最新セキュリティのもう一つの重要理念なのです。さらに、前出のBeyondTrustは、管理者権限の剥奪がサポートチケットの全般的減少につながる可能性もあるとし、「とにかくコンピューターは、破壊する権限をユーザーが持たない方がうまく機能する」とレポートに記しています。
また、企業はクラウドアクセスセキュリティブローカー(CASB)システムも検討するかもしれません。このシステムを使うと、ユーザーがMicrosoft 365のようなクラウドサービスにどのようにアクセスし、どのファイルやデータを共有しているかまで、可視化して制御することができます。MicrosoftはネイティブのCASBサービスを提供していますが、より広範なZero TrustプラットフォームにビルトインされたサードパーティCASBで、他のZero Trustサービスと統合でき、セキュリティポスチャに別の脅威インテリジェンスを適用するものを選ぶ方がよいでしょう。
効率への影響を最小化
企業は通常、チーム全般の生産性と技術効率を上げるためにMicrosoft 365を採用します。ですから、上記の推奨事項の実行によってユーザーの日常業務に面倒な手順が増えないか、インターネットが遅くならないか、一部のアプリケーションが全く使えなくなるのではないかと懸念するのも�わかります。
Microsoftの集中型ネイティブセキュリティだけを使うのが、最も効率的なアプローチのように見えるかもしれません。しかし、適切な補完的サービスを利用することによって、効率を下げることなく残存ギャップを解消することができます。企業は次のようなセキュリティサービスを探すとよいでしょう。
こうした特性を兼ね備えたサービスによって、企業と従業員は柔軟性と強力なネットワークパフォーマンスを手に入れ、セキュリティ最新化が大いに進めやすくなります。
今後の見通し
Cloudflareは、クラウド型メールセキュリティ、メールリンク分離、クラウドアクセスセキュリティブローカー、MFAプロバイダーとの統合など、より広範なZero Trustセキュリティサービスの一部として、上記のセキュリティ機能の多くを提供します。
しかし、前述したように、Microsoft 365のネイティブセキュリティを補完するには、効率の維持に焦点を合わせる必要があります。Cloudflareは、以下により、この効率を実現するために独自設計されています。
高度に相互接続されたネットワークは、インターネットユーザーの約95%から数ミリ秒以内にあり、どこにいても従業員がMicrosoftサーバーへの高速な直接アクセスを維持できるようにします。
すべてのセキュリティサービスがどこでも実行できる同一構造のネットワークファブリックで、Cloudflareを通過するトラフィックが新たな遅延に悩まされないようにします。
Microsoftとの強力なパートナーシップにより、CloudflareのセキュリティサービスはMicrosoft 365とシームレスな統合を提供します。
Cloudflare Zero Trustについてさらに学び、独自のアーキテクチャがセキュリティとビジネスの効率を両立させる方法をご覧ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
MicrosoftおよびMicrosoft 365は、Microsoftグループ企業の商標です。
記事の要点
この記事を読めば、以下が理解できます。
Microsoft 365のネイティブセキュリティ保護
Microsoftの共同責任モデル
従業員の効率を損なうことなく、Microsoft 365のセキュリティ基盤を補完するための戦略