～自宅PC (Windows/Mac OS) でOffice 365を安全に利用しよう！～

情報セキュリティの 3 大要素 - CIA

本セッションのテーマ

2

総務省 - テレワークの 6 種類のパターンテレワークセキュリティガイドライン (総務省)http://www.soumu.go.jp/main_content/000545372.pdf

MCAS/ M365 E5 で双方の欠点を解決！

専用ブラウザのインストールが必要

ローカルへのデータ保存をブロックできない

3

Microsoft Cloud App Security (MCAS) – A uniquely integrated CASB

Discover Shadow IT Threat ProtectionUser Entity Behavior Analytics (UEBA)

Microsoft Defender ATP との統合Microsoft Defender ATP が CASB エージェントとしてMCAS に Shadow IT を可視化するためのアクセス情報を提供します。エンドポイントの通信履歴をもとに、企業が承認したアプリ・企業が未承認のアプリへのアクセス状況を把握することができます。

企業が未承認のアプリへのアクセスをブロック企業が未承認のアプリに対するアクセス制御のポリシーをエンドポイントに直接配信することが出来ます。

検出されたアプリのリスクスコアの可視化16,000 以上のアプリカタログを保有し、検出した各アプリのリスクスコアの可視化やビルトインのポリシーを通して大量データのアップロードなどの異常行為を可視化します。

Firewall/ Proxy Log collector

Shadow IT

MicrosoftDefender ATP

Endpoints

User

IP Address

Machine

MCAS

Azure AD

IdentityProtection

Azure ATP

MCASアラート統合

Cloud identity threats

On-premises identity threats

Application sessionsThreats (API Connected)

ユーザーアクティビティの監視と制御 (API 接続)既定で用意されているビルトインのポリシーを利用して API 接続されたクラウドサービス上のユーザーの行動を監視します。以下のような通常とは異なる行動を検知した場合は管理者への通知や事前に定義された対処の自動化を実現します。

ユーザーアクティビティポリシーの利用例：・大量のファイルダウンロード・疑わしい受信トレイの転送・複数回のログイン試行の失敗・不審な IP アドレスからのアクティビティなど

ユーザーリスクのスコアリングユーザーのリスクをスコアリングし、調査の優先度が高いユーザーを可視化します。

Azure AD Identity Protection & Azure ATP との統合オンプレミスの AD の資格情報に対する攻撃や不正アクセスを検知する Azure ATP とOffice 365 で利用される Azure AD 上の資格情報に対する攻撃や不正アクセスを検知するAzure AD Identity Protection のアラートを MCAS に統合することが可能です。

Cloud Discovery Dashboard

Application Catalog

User Risk Score

Unified Identity Investigation

Microsoft Cloud App Security (MCAS) – A uniquely integrated CASB

Protect sensitive files in the cloud Session ControlLimited Access

ファイル共有の監視と制御 (API 接続)テンプレートからポリシーを作成して API 接続されたクラウドストレージ上に保存されたファイルを監視します。ポリシーに違反・合致するファイルを検出した場合は管理者への通知または検疫フォルダへの移動や共有設定の削除を自動で処理します。

ファイルポリシーの利用例：・DLP エンジンを利用した機微なデータの検出・外部共有設定を持つ機微なデータの検出・広範囲の共有設定を持つファイルの検出など

Azure Information Protection との統合DLP エンジンを利用した機微なデータの検出時の対処として Azure Information Protection による自動暗号化が可能です。

セッション制御 - Azure AD 条件付きアクセスの拡張Azure AD と ID (SAML) 連携している SaaS アプリや Azure AD App Proxy で公開されているオンプレ Web サービスに対する Azure AD 条件付きアクセスの機能を拡張し、条件に応じたセッションの制御を実現します。デバイスの管理形態 (BYOD など) や利用場所の条件に応じた制限付きのアクセスを許可し、セキュリティと業務継続性の両立を実現します。※セッション制御の対象はブラウザーのみに限定されます。

セッション制御の利用例：・BYOD (Unmanaged Device) からのアクセスを許可するがファイルのダウンロードは禁止する

・BYOD (Unmanaged Device) からのアクセスを許可するがファイルのダウンロード時はAzure Information Protection による暗号化を強制する

・BYOD (Unmanaged Device) からのアクセスを許可するが企業データの印刷やコピー & ペーストを禁止する

Protect Sensitive files in the cloud

User uploads a sensitive

file to a cloud app

A classification label is automatically applied to

protect the file

User tries to share sensitive file with external users

External user is not able toaccess the file due to

classification and protection

CLOUD APPS

MCAS

Policy

SessionProxy

Limited access

Session Control / Limited Access

Azure ADConditional Access

本セッションのテーマ

会社に管理された会社の PC 会社に管理されていない個人所有の PC

MicrosoftCloud App Security

制限のないセッション

Office 365 を制限なく利用可能

制限されたセッション・多要素認証 (MFA) による本人確認の強制・ブラウザのみアクセスを許可・ファイルのダウンロード/アップロードを禁止・コピー & ペースト & 印刷を禁止

Office 365 を制限下で利用可能

M365 E5 で実現出来る安全なリモートワークの利用 (例)

デバイスの管理状態に応じてOffice 365 セッションを制御

ユーザーが所有する個人デバイスを設定無しで利用可能

Azure ActiveDirectory Premium P2

6

Active Directory

セッション制御 - 5 つのメリット

7

・個人所有の使い慣れた PC から Office 365 が安全に利用でき、ローカルデバイスへのファイルのダウンロードなどが禁止可能

・専用デバイスや専用アプリ不要のため、デバイスの調達・管理・運用にかかるコストが発生しない

・インターネット経由での利用が可能 (VPN 設備は不要)

・VDI よりも安価でスケールアウト/スケールインが容易

・アクティビティログの取得/禁止行為の監査

セッション制御 - 利用のために必要な設定

Azure Active Directory条件付きアクセスポリシー

Cloud App Securityセッションポリシー

・対象とするユーザー向けのポリシーを Azure AD と Cloud App Security 上で作成

8

Azure AD の条件付きアクセスポリシーの実装 (例)

多要素認証 (MFA)OR

Managed Device・Intune Compliant

・Hybrid Azure AD Join

(1) 対象ユーザーが社外で利用するWindows/MAC OS からの

Office 365 のアクセス要件を確認するAzure AD 条件付きアクセスポリシー

Managed Device・Intune Compliant

・Hybrid Azure AD Join

Native AppOR

Browser

(2) 対象ユーザーが社外で利用する管理されていない Windows/MAC OS のOffice クライアントからの Office 365アクセスをブロックするポリシー

Browser

Custom Session Control Policy

(3) 対象ユーザーが社外で利用する管理されていない Windows/MAC OS のブラウザからの Office 365 アクセスを

制限下で利用を許可するポリシー

Non-Managed Device+ MFA + Browser

Cloud App Security のセッションポリシーの制御下で

Office 365 を利用可能

Non- Managed Device+ MFA + Native App

9

Non - Managed Device + MFA

Managed Device

Non- Managed Device

Office 365 を制限なく利用可能

Cloud App Security のセッションポリシーで制御できないため利用をブロック

Cloud App Security セッションポリシー実装 (例)

10

操作の制限コピー & ペースト/印刷

Custom Session Control Policy

Non-Managed Device+ MFA + Browser

ファイルダウンロードの制限

ファイルのダウンロード

コピー & ペースト印刷

Non- Managed Device

ブラウザからのメール、チャット、ファイルの参照

Office Online でのファイルの編集

Office 365 上でのアクティビティの監視

11

「いつ」「誰が」「どのロケーションから」「どんなデバイスで」「どのファイルに」「何をしたか」をアクティビティログとしてロギング。条件検索も可能

制限されたアクティビティ発生時のアラート

12

セッションポリシーで定義された制限されたアクティビティの発生をアラートで通知

セッション制御 - 考慮すべきセキュリティのポイント

13

・スクリーンショットの取得- VDI 利用時と同等

・デバイスのセキュリティレベル- VDI 利用時と同等

- デバイスを管理しないことによって得られる利便性確保と引き換えにリスク受容が必要な部分

- 個人で利用されているデバイスがマルウェアに感染している可能性があるため、

例えば、キーロガーによるOffice 365 のパスワード盗難などが発生する可能性がある

- パスワードの盗難に備え、後述の Azure AD Premium P2 の Identity Protection のユーザーリスクポリシーの有効化やリスイベントの監視を推奨

・Office 365 へのファイルのアップロード- マルウェアに感染したファイルがアップロードされる可能性がある

- MCAS のセッションポリシーでアップロード行為を制御可能

パスワードの漏洩対策は Azure AD Identity Protection

14

Azure AD Identity Protection のユーザーリスクポリシーでユーザーのリスク(低/中/高)を監視

ユーザーのリスクレベルの高の意味：侵害された可能性が高く

リスクレベル高となったユーザーがサインインするとアカウントが危険な状態であることを警告

ユーザーのリスクレベルが管理者が定義したユーザーリスクレベルを超えた場合は動的なアクションを実施

マルウェアに感染したデバイスからのサインインの監視

15

感染したデバイスからのサインインリスクイベントの意味：ボット サーバーと頻繁に通信していることがわかっている、マルウェアに感染したデバイスからのサインイン。ボット サーバーと接触していた IP アドレスに対してユーザーのデバイスの IP アドレスを関連付けることによって決定される。

モバイルデバイス (iOS/Android) を利用するなら・・

16

Managed App

Non-Managed AppMicrosoft Intune MAM Policy

保存・コピー・共有操作を禁止

モバイルアプリケーション管理機能(MAM)

MicrosoftIntune

アプリ利用時のパスワードを強制

Word/Excel/PowerPointOneDrive/Outlook/Teams

などを安全に利用可能

・Mobile Office App のコンテナ化・Microsoft Edge のコンテナ化・セレクティブワイプ

Azure AD 条件付きアクセス

MAM 対応アプリのみアクセスを許可

Azure AD 条件付きアクセス Policy

・Azure AD 条件付きアクセスで MAM ポリシーが適用されたアプリからのみ Office 365 へのアクセスを許可・Microsoft Intune MAM 機能の利用により Office 365 向けモバイルアプリ上のデータを安全に閲覧・編集可能・ユーザーによる悪意のある行為、意図しない誤操作を通した情報漏洩を未然にブロック・デバイスの管理 (MDM) が無くても利用可能であり、個人利用でのモバイルデバイスでの対応も可能

会社の Windows 10 PC を持ち出すなら・・

17

Microsoft Defender Antivirus により既知/未知のマルウェアの侵入を防止します。また、 Microsoft Defender ATP により高度な脅威の侵入や振る舞いを監視し、脅威の検知と自動駆除を実現することも可能です。

未知のマルウェア/フィッシングメール対策Office 365 ATP Safe Attachment / Safe Links

Azure AD 条件付きアクセスにより Office 365 にアクセスするデバイスのセキュリティ状態を評価し、危険な PC からの Office 365 接続を防御できます。Microsoft Defender Antivirus や Microsoft Defender ATP との連携による検疫も可能です。

Office 365 ATPの利用により、サンドボックス機能を通して未知のマルウェアが添付されたメールをリアルタイムでブロックします。また、メール本文や、添付ファイル内の URL の安全性をクリック時にチェックすることで、資格情報の窃取やデバイス侵害のリスクの侵入機会をブロックします。

Microsoft Intune の利用により Windows 10 のリモートワイプが可能となり、PC 紛失時の万が一の対策が可能となります。また、USBドライブや Bluetooth 等を通したデータの持ち出しを防止するためのポリシー配信も可能です。 安全性と利便性を両立した

セキュアな持ち出し PC によるOffice 365 の活用

Office 365

・デバイスの利用場所に依存しないセキュリティレベルの確保と維持 - Office 365 ATP & Microsoft Defender ATP・持ち出した PC を紛失した場合の情報漏洩対策 – Microsoft Intune・安全なデバイスのみ利用可能とする検疫機構 – Azure Active Directory 条件付きアクセス

M365 E5 で実現出来る安全なリモートワーク

20

Intune MAM Policy

MCAS Session

Control