Microsoft 365等クラウドアプリの
セキュリティ対策Microsoft 365など
クラウドアプリ利用者の
「盲点」となる脅威に対策を
クラウドアプリとは?
クラウドアプリとは、「クラウドアプリケーション」の略語で、一般的には「ユーザーが主にインターネット経由でアクセスするソフトウェアで、その一部がユーザーのローカルマシンではなく、サーバーによって管理されるもの」を指します。(メーカーによって細かい定義は異なります)
ソフトウェアは一般的にクライアント側からHTTP経由でサーバーにページ要求を送り、サーバー側が要求されたページをユーザー側のクライアントに送信することで情報をやり取りします。ユーザーは、WebブラウザやAPIを介してクラウドアプリとやり取りすることが基本原則ですが、クライアント側とサーバー側の間で何を処理するかによって、その形式は異なります。
近年一般的になっているSaaS (Software-as-a-Service)は、Webアプリケーションとその基盤となる ITインフラとプラットフォームをユーザーに提供します。主にカスタマイズを最小限にとどめたい、基盤のメンテナンスを行いたくない、サブスクリプションモデルで利用したいユーザー向けの形式で、代表的なものにMicrosoft社の「Microsoft 365」や、Googleの「Google Workspace」などがあります。
クラウドサービス利用者にとっての
脅威は「SLA」
大手ベンダーの運営するクラウドサービスには、ハッキングや不正アクセス等に対しては鉄壁ともいうべき保護がなされており、データそのものも保全される仕組みが整えられているため、クラウドサービスの利用者として「脅威」を感じることはほとんどありません。
クラウドサービス利用者として気になることは、突然サービスにアクセスできなくなる等の障害が挙げられますが、これまで実際に起こったクラウドサービスのトラブルを見ても、数時間レベルでのサービス停止や一時的なスペック低下などは事例として存在するものの、いずれもメーカーが推奨する冗長構成をとることで回避可能なものが多く、復旧不能なレベルの大規模な被害は発生していません。
法的な観点でも、メーカーとユーザー間のサービス利用における契約はSLAで規定されており、定められた稼働率を下回ると返金される規定があることや、外資系ベンダーであっても日本国内での裁判を規定する規約があるなど、日本国内でサービスを利用する際にも安心して利用できる内容となっています。
しかし、実はこの「規定」、すなわちSLAの部分に、クラウドアプリ利用者にとって注意が必要な部分が隠れています。
SLAで自社の責任範囲を
明確に把握してデータを保護する
SLAにおいて注意が必要な部分とは、「ユーザーの責任と提供者側の責任が、クラウドサービス事業者ごとに定められている」という点です。
たとえば、「提供者側は48時間しかユーザーのデータを保管しません」とSLAに記載されている場合、提供者側はそれ以上のデータ保全を担保しません。そのため、ユーザー側がそれ以上の期間データを守りたい場合は、個別にバックアップを取得するなどの対策が必要になります。
Microsoft365を提供しているMicrosoft社の場合だと、「クラウドにおける共同責任」と呼ばれるドキュメントで規定しているものがそれにあたります。
※クラウドにおける共同責任 – Microsoft Azure _ Microsoft Docs https://docs.microsoft.com/ja-jp/azure/security/fundamentals/shared-responsibility https://azure.microsoft.com/ja-jp/resources/shared-responsibility-for-cloud-computing/
このドキュメントは、いわば家電製品の取扱説明書における「必ずお読みください」と記載されている部分にあたり、ユーザーは上記のドキュメントをよく読み、サービス提供における担当範囲を把握し、運用上の責任を仕分けして、どこからが自社の責任範囲となるのかを明確に知っておくことが、現在のクラウドサービス利用者として必ず実施すべき事項となります。
サービス提供者側と利用者側の責任範囲を明示したドキュメント例
提供者側の責任
- 短期間以内で発生したユーザー誤操作
- 短期間以内で管理者の誤操作により削除されたメール
- ボックスやグループの復元
- ハードウェアやインフラの故障によるサービス停止
- 自然災害やデータセンターの故障によるサービス停止
サービス利用者側の責任
- 長期間通過した誤操作による削除の特定領域の復元
- 退職者やアカウントが無効化されたユーザーのデータ削除
- 悪意ある社員やハッカーによるデータ削除 / 破損
- 悪意あるプログラムやランサムウェアによるデータ破損
- 長期に渡るサービス停止時のBCP対策
※出典:https://azure.microsoft.com/ja-jp/resources/shared-responsibility-for-cloud-computing/ より一部抜粋
クラウドサービス利用者の
勘違いから起こりがちなミス
クラウドサービスを運用していく上でありがちな事故や、勘違いから起こりがちな事故について例示します。
いずれのケースも、サービス内容の理解・確認をしていれば、発生しにくい事故です。
事例①エディションに含まれている
サービス内容を勘違いするケース
たとえば、Microsoft 365には、E3/E5/F3等、複数のエディションがありますが、各エディションによって含まれているサービス内容は異なります。自社の契約しているエディションに合わせてアプリ保護の対策を立てる必要がありますが、自社の契約しているエディションでカバーされているにもかかわらず追加の対策をしてしまうケース、逆に自社の契約しているエディションでカバーされていると思い込んでしまい、必要な対策を施さないケースが散見されます。メーカーのサービスドキュメントを確認し、自社のサービス内容をきちんと把握することが必要です。
事例②SLAの改定に気が付かないケース
クラウドサービスのSLAは改定が加えられることが多く、都度毎にメーカーからのメールやWEBサイトで案内があります。重要な改定は繰り返しのお知らせが行われますが、中にはその改定に気が付かず、契約当初のSLAのままと思っているケースも散見されます。改定内容がユーザーにとってプラスとなるものであれば良いのですが、中にはサービス内容の縮小となる改定が行われることもあるので、メーカーからの案内は、定期的に確認しておくことが必要です。
その他の注意すべき
データ喪失のケース
データ喪失のリスクとして他に注意すべきケースとしては、次のような例が挙げられます。
事例①保存されていると思っていたデータが
なくなっていたケース
誤操作によりデータが喪失した際に、データを復旧させようと思っても、保存期間が過ぎており、結果的にデータの復旧ができないケースです。SaaSの利用において、ユーザーの誤操作によるデータ喪失は最も多い事故の一つとして挙げられています。このようなことにならないよう日頃からバックアップを取得しておくことが重要になります。
事例②退職前の社員が
データを削除するケース
退職前の従業員が嫌がらせで重要なデータを削除するケースや、過去にした不正の証拠となりそうなファイルやメールを計画的に削除してしまうケースも存在します。このようなケースに関しても、日頃からバックアップやメールアーカイブを行うことで対策することができます。
事例③従業員による誤操作や
不正アクセスにより喪失するケース
悪意のない従業員による重要データの削除や誤送信、第三者によるログインIDやパスワードの乗っ取りにより、データを喪失または漏洩してしまうケースがあります。このようなケースへの対策として、SaaS認証基盤やDLPソリューションを導入することで防ぐことができます。
クラウドアプリ保護には
バックアップと情報漏洩対策を
クラウドアプリのデータを守るための対策の基本は、各サービスごとのSLAを参照し、自社の基準と照らし合わせて、予め必要な対策を講じておくことです。データ保全対策として、「バックアップの取得」は最も有効な対策となりますが、加えて、不正アクセスや誤操作への「情報漏洩対策」を行うことでより強固なデータ保全対策が可能です。
クラウドアプリの主なデータ保全対策
- Microsoft 365の機能内、もしくは追加オプションやライセンスレベルをアップグレードする
- サードパーティ製品・サービスを利用してバックアップをとる
- 重要データの監視・情報漏洩対策を行う
①はMicrosoft 365内部で完結するメリットがありますが、Exchange、OneDrive、 SharePointなど各サービスごとにバックアップの取得方法やリカバリーのポイントが異なるため、各サービスごとにバックアップ方法を細かく検討する必要があります。
②のサードパーティ製品・サービスを利用する方法は、バックアップを目的に開発された別の製品を導入する形式です。一つのインターフェースでさまざまなクラウドアプリのバックアップを一括して取得可能で、きめの細かい設定ができるため、自社の状況に合わせて柔軟にバックアップを取得したい際は、サードパーティ製のバックアップツールの利用がお勧めです。
③の重要データの監視・情報漏洩対策を行う方法は、各ユーザー認証およびログトレースを取ることができる環境を整備することを指します。複数のクラウドサービスを横断的に利用している場合、情報漏洩などの非常時に各ユーザーのログからどのような情報が漏洩したかを判断するためには、認証系の仕組みは複数のクラウドに対応しているものを使う必要があります。
サードパーティ製の
バックアップツールの選び方
バックアップツールを選ぶ際にチェックすべきポイントは次の通りです。
要件によって、各ポイントの重要性や優先度は相対的に異なりますが、ツール選定時のご参考になさってください。
自社の要件をきちんと満たしているか
データの保護はユーザー側で担保すべきという原則に立って、自社の利用しているサービスがきちんと保護対象になっているかや、RPOやRTOを満たすことができるかなど、設定項目の柔軟性を考慮に入れる必要があります。
運用しやすいか
自社でバックアップを運用する場合、日々のバックアップやリストアのしやすさ、使い勝手の良さも重要なポイントになります。他にも日本語のマニュアルが充実しているか、サポートの品質や日本語対応可能な時間帯等についても事前に確認をしておくことが重要です。
ベンダーの信頼性
定期的にアップデートがなされ、直近2~3年のマーケットにおいて実績のある製品かどうかなど、継続的に利用する観点では、ベンダーの信頼性も重要なポイントです。
おすすめのクラウドアプリ保護製品
Barracuda Cloud to Cloud Backup
Barracuda Networks社が提供する「Barracuda Cloud to Cloud Baukup」は、Microsoft SharePoint、Teams、Exchange Online、OneDriveのデータを簡単にバックアップ可能で、Microsoft 365のデータを保護するための高い拡張性と迅速なパフォーマンスの確保を可能とします。簡単な設定で多くのデータをバックアップすることができます。特に、容量、期間ともに無制限にバックアップが可能な点、ユーザ数に応じたライセンス購入、保存先リージョンを選択して、アカウントを紐付けるだけで運用可能なシンプルさは、他の製品には見られない点です。
Barracuda Archiving Service
Barracuda Networks社が提供する「Barracuda Archiving Service」は、Office365専用のメールアーカイブソリューションです。全ての送受信メール、添付ファイル、連絡先などが容量無制限に保存できます。優れた検索機能により、簡単に必要なメールを検索、復元可能なため、様々なコンプライアンス要件をカバーすることができます。SaaS型のため、初期費用を抑え、低コストでメールのバックアップと管理を行いたい企業におすすめです。
AvePoint Cloud Backup
AvePoint社が提供する「AvePoint Cloud Backup」は、SaaS プラットフォームのバックアップソリューションです。Microsoft 365, SalesforceⓇ, Dynamics 365, Google Workspace などのマルチクラウドに対応し、各社のニーズに合わせて最小単位でのバックアップ・リカバリーを可能にします。ユーザーエラー、権限設定のミスによるデータロスに備え、事業の継続性を向上します。複数のクラウドアプリを一括で保護したい場合におすすめです。
Acronis Cyber Protect Cloud
Acronis社が提供する「Acronis Cyber Protect Cloud」は、次世代バックアップ機能とデータセキュリティ機能を融合したバックアップソリューションです。ランサムウェア等のマルウェア感染時のデータ保全を目的としたバックアップ機能から、アンチマルウェア機能やパッチ管理など、高度なマルウェア対策も可能です。バックアップだけではなく、セキュリティ対策まで、1つのプラットフォームで包括的に運用されたい方におすすめです。
HENNGE One
HENNGE社が提供する「HENNGE One」は、Microsoft 365、Google Workspace、Boxなどのクラウドサービスに対して、横断的にセキュアなアクセスとシングルサインオン機能などを提供するSaaS認証基盤(IDaaS)と、クラウドメールに対する誤送信や標的型攻撃対策、PPAP対策などメールセキュリティが統合して行えるソリューションです。複数のクラウドサービスを併用する中で、より安全なアクセス環境と利便性を追求する方におすすめです。
クラウドアプリ保護ならTD SYNNEX
TD SYNNEXでは、お客様の課題に沿ったクラウドアプリ保護ツールをご提案させていただきます。
クラウドアプリ保護の製品選択にお悩みの際は、ぜひ以下のボタンからお問い合わせください。
よくある質問
- クラウドアプリとは何ですか?
- クラウドアプリとは、「クラウドアプリケーション」の略語で、代表的なものには、「Microsoft 365」や「Google Work Space」などがあります。一般的には「ユーザーが主にインターネット経由でアクセスするソフトウェアで、その一部がユーザーのローカルマシンではなく、サーバーによって管理されるもの」を指します。 詳しくはこちらをご覧ください。
- クラウドアプリのデータをSLA記載の期間より長く守りたい場合は?
- 一般的には「①クラウドアプリのライセンスレベルをアップグレードする」方法、または「②サードパーティ製品・サービスを利用してバックアップをとる」方法があります。おすすめのサードパーティ製のバックアップツールはこちらをご覧ください。
その他のセキュリティソリューション
ランサムウェア対策
ランサムウェアは、感染すると端末等に保存されているデータを暗号化して使用できない状態にした上で、そのデータを復号する対価として「身代金」を要求する不正プログラムです。IPA(独立行政法人 情報処理機構)が毎年発表している「情報セキュリティ10大脅威(組織)」では、ランサムウェアによる被害が2021年の第1位にランクインしており、今もなお被害が拡大している警戒すべきマルウェアです。
このページでは、ランサムウェア対策ができるソリューションをご紹介します。
バックアップソリューション
バックアップとは、データの紛失や損失、破損などに備えてコピーを別の環境に保存することを指します。ランサムウェア等のマルウェア感染時や天災の被害を受けた際に、バックアップがなくデータ喪失が起きてしまうと、データが利用できなくなることで企業の業務継続に深刻な影響が及びます。基幹系システムのように、その企業を支えている重要なシステムは、必ずバックアップを取得する必要があります。
このページでは、バックアップによるデータ保全のためのソリューションをご紹介します。
エンドポイントセキュリティ
エンドポイントセキュリティとは、ネットワークの末端に接続されているPCやサーバー、スマートフォンなどに対するセキュリティ対策のことです。従来は企業ネットワークの入り口を防御する境界型のセキュリティが主流でしたが、テレワークの急拡大や攻撃手法の多様化により、企業ネットワークの入り口だけを守るのではなく、企業ネットワーク全体を踏まえて防御する必要性が生じ、昨今エンドポイントセキュリティのニーズが高まっています。
このページでは、エンドポイントにおける検知および隔離のためのソリューションをご紹介します。
脆弱性対策
脆弱性とは、実装されているソフトウェアの弱点や企業ネットワークにおけるセキュリティ上の盲点を指します。セキュリティ上の盲点は、人間の不注意やメンテナンスの不備から発生します。
脆弱性を突いた攻撃には複数の種類があり、主にメールを使った標的型攻撃や添付ファイルの開封によるウィルス感染、社内外のサーバーへ攻撃を仕掛けられるスキとなる不備(古いファームウェアやWebページの不備)があります。脆弱性対策とは、そのようなセキュリティ上のスキがないかを事前に調査し、対策を講じることを指します。
このページでは、脆弱性対策に役立つツールをご紹介します。
ソリューションを組み合わせて包括的なセキュリティ対策を
上記のようなセキュリティソリューションを組み合わせることで、エンドポイントの端末から
クラウドサービスにいたるまで、様々な課題に対するセキュリティ対策が行えます。
セキュリティは一か所でも穴が空いてしまうとそこが弱点となってしまうため、
包括的な視点で対策することが最も重要です。
TD SYNNEXでは、お客様の課題に沿った
最新のセキュリティソリューションをご提案させていただきます。
セキュリティ対策をお考えの際は、ぜひお問い合わせください。
