※ブログの内容を含めた詳細な解説を動画で紹介しています。

Office 365 基本のセキュリティ設定、セキュリティの既定値群とは

Office 365 は 2011 年の登場以来、手軽にメールやポータルなどのサービスを利用できることなどから現在では多くの企業でご利用いただいています。また、Microsoft Teams や OneDrive for Business を利用した企業間でのコラボレーションも活発に行われるようになりました。一方、多くの人が利用するサービスに対して、サイバー攻撃も増えてしまうことは頻繁に発生しますが、Office 365 も例外ではありません。

Office 365 におけるサイバー攻撃として、ユーザー名とパスワードを総当たりで入力するなどの Office 365 の ID を盗む方法が多く報告されています。こうした事実を踏まえ、Office 365(厳密には Azure Active Directory) では、  「セキュリティの既定値群」と呼ばれるサービスを標準で実装しました。

セキュリティの既定値群の設定は、Office 365のみで使用でき、既定で最小限これだけは設定して欲しいというセキュリティ設定を最初から実装してくれるものです。「Office 365 を導入したけど、セキュリティの設定は後回し」となってしまっている企業でも、最小限の設定については後回しにせずに簡単に実装することができます。
 

■セキュリティの既定値群を設定するには?

2019 年 10 月 22 日以降に作成されたテナントの場合、既定でセキュリティの既定値群の設定は有効になり、導入直後から利用可能になっています。一方、それ以前に作成したテナントの場合は管理者が設定を有効化する必要があります。設定は https://aad.portal.azure.com に Office 365 のグローバル管理者ユーザーでサインインし、[Azure Active Directory] - [プロパティ] - [セキュリティの既定値群の管理] にアクセスし、[オン] をクリックすることで利用開始できます。

img_1

それでは、具体的にどのような設定が用意されているか、ご紹介します。
 

■多要素認証の初期設定

多要素認証とはユーザー名/パスワードの入力に加えて、携帯電話などを利用して追加の本人確認を行うサービスです。追加の本人確認方法には無料で Microsoft Authenticator と呼ばれるiOS/Android 用アプリを利用でき、ユーザー名とパスワードを入力するときに Microsoft Authenticator アプリに通知が届くので、その通知に応答するだけで簡単に多要素認証を完了できるものです。

 

img_2

こうすることで、ユーザー名/パスワードの情報が盗まれてもMicrosoft Authenticator がインストールされた携帯電話が一緒に盗まれて、さらにパスコードロックを解除しない限り、不正アクセスできないようになります。

ただし、多要素認証を利用するためには事前に自身のスマートフォンに Microsoft Authenticator をインストールし、初期設定を行わなければなりません。そこでセキュリティの既定値群では、すべてのユーザーに 14 日以内に多要素認証の初期設定を行うことを強制します。

img_3

■管理者ユーザーに多要素認証の利用を強制

Office 365 では管理者ユーザーの不正アクセスが発生すると、クラウドに保存されている、すべてのデータへのアクセスができてしまう可能性があります。そのため、セキュリティの既定値群の設定では管理者として設定されたユーザーには毎回多要素認証を利用するように強制します。

また、Azure ポータル (https://portal.azure.com) サイトへのアクセスや Azure PowerShell, Azure CLI プログラムのように、管理者ユーザーによる利用が想定されるアクセスもセキュリティの既定値群の設定によって多要素認証を強制します。

多要素認証が強制される管理者の種類については「セキュリティの既定値群とは」(https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-security-defaults) を参照してください。

 

■レガシー認証をブロック

レガシー認証と呼ばれる、Office 2010 のようなアプリケーションや SMTP, POP, IMAP などの古いプロトコルを利用した Office 365 へのアクセスは多要素認証が利用できないなどの理由から不正アクセスの温床になっていると言われています。上記のアプリケーションやプロトコルを使ったアクセスは2021年中に廃止される予定ですが、いち早くこの課題に対応できるよう、セキュリティの既定値群ではレガシー認証をブロックするように設定します。

 

■まとめ

お客様がセキュリティ対策を実施しなければならない範囲は多岐にわたり、お客様は自組織の環境に基づくセキュリティ上の要求を満たすソリューションを検討いただく必要があります。マイクロソフトは、Enterprise Mobility + Security や Microsoft 365 E3、Microsoft 365 E5 といったソリューションのご提供を通じて、お客様の様々なセキュリティに関するニーズにお応えしています。そのようなセキュリティソリューションを導入していなくとも、どのような企業や組織であっても押さえておくべきポイントがあります。「うちのOffice 365の設定は大丈夫か?」と心配されている方は、まずはセキュリティの既定値群の設定を通じて基本を押さえていただければ幸いです。