Office365のID保護を検討する

2019-12-09

19:00

Office365, Tech

Facebook にシェア
このエントリーをはてなブックマークに追加
Pocket

この投稿は Office365 Advent calendar 2019 の12/9の記事です。

昨今Office365の資格情報を窃取しようとする攻撃が多くみられ、企業のIT管理者は自社のテナントが攻撃にさらされていないか、攻撃者からテナントを守るためにどうするべきか思案している方もいられると思います。

この投稿ではOffice365のIDを保護するための方法を紹介します。

Office365 ID保護のための手段

ここではOffice365のID保護のために以下の3つの手段を説明します。

  • ネットワークの場所
  • 多要素認証
  • デバイス管理

ネットワークの場所(IP制御)

Office365に限らず様々なサービスでとられている最も一般的な手段です。
接続を許可するIPレンジを定め、それ以外からのアクセスを拒否することで外部からの攻撃を防ぎます。

Office365でログインIPによる制御をするためにはAzureAD P1を購入するかADFSを構築したクレームルール、またはサードパーティのIdPと連携したフェデレーション構成が必要です。

費用感としてはAzureAD P1が最も高く、次いでサードパーティのIdp、ADFSの順となるのが一般的です。

構築・運用の難易度としては費用感の逆でADFSが最も難しく、AzureAD P1での制御が最も楽に管理ができるでしょう。

ユーザーから見た際には利用可否がシンプルにわかる一方、モバイルデバイスでの利用ができなかったり利用のためにいちいち社内へのVPN接続設定をする必要があるなど、ネットワーク制限のみによる管理では社外利用における利便性は低いでしょう。

また、ネットワーク制限においては内部ネットワークに侵入された場合や内部ユーザーが不正な端末を持ち込むことについては防ぐことができません。

多要素認証(MFA)

ID/パスワードに加えて別の認証手段を提示することでログインを許可する手段です。MFAの手段は複数ありますが一般的なのはスマートフォンや専用デバイスでOTPを生成する方式と証明書を提示する方式です。

OTPでの認証は主にOffice365標準のMFA機能を利用するか、またはサードパーティIdPのうちOTP機能を提供しているものがあります。
※Microsoft Authenticatorによるデバイス通知はOTPではありませんが、設定方法としては標準のMFA機能のうち、他のOTP認証とほぼ同じです

証明書認証としてはUSBトークン等にインストールしてPCに接続するものやPC自体に発行・インストールさせるものがあり、サードパーティIdP内の機能やADFSの場合ADの証明機関から発行する手段などがあります

費用はOffice365標準のMFA機能またはADFS+証明書とするのが追加コストがかからず、サードパーティのものはベンダによって費用はまちまちです。

構築・運用のコストとしては証明書認証が高く、OTPは比較的容易です。

ユーザーから見た際にはどちらもデバイスの初期設定が必要で、サインイン時に追加でスマホやデバイスを取り出すのが面倒、という声はよく聞きます。

MFAによる制御では社外ネットワークでもセキュアにOffice365を利用でき、「不正なユーザーによる社外からのアクセス」はかなりの割合で防ぐことが可能です。
ただし、証明書がエクスポート可能である場合はユーザーが適切でない端末(自宅PC、ネットカフェ等)から利用することを防ぐことはできません。

デバイス管理(MDM)

あらかじめデバイスをシステムの管理下に置き、承認されたデバイスからのみのアクセスを許可する方式です。

Office365ではEMS(AzureAD P1 + Intuneその他)を購入することで利用できるほか、サードパーティIdPのうちMDM機能を持っている・オプションで付けられるサービスがあります。

費用は他の方法と比較すると高額になりがちですが、3つの手法のうち最も安全性が高い環境を構築可能です。

構築・運用も他の手順と比べると難易度は高めです。自動化を含めて構築ができると運用が楽になります。

ユーザーから見た際には、管理者の定めるポリシーを守ってデバイスを登録している限りにおいてはどこにいても変わらずに利用することができます。

デバイス管理で制御することによって適切なユーザーが適切な端末からのみアクセスをすることを許可でき、不正ユーザーからのアクセスや不適切な端末からのアクセスを防ぐことが可能です。

ただし、内部犯行には効果が薄いためそれらに対してはID保護ではなくデータの保護やログの管理等で対応していく必要があります。

ざっくり松竹梅


  • EMSを購入してIntune + AAD P1でデバイス管理
    一番高いけど一番セキュア、そのほかにもいろいろできる

  • サードパーティIdP等で証明書認証 or MFA
    お安めで運用コストが低めな対策

  • ADFSでネットワーク制御+MFA
    費用は一番安く済む、管理コストは大き目

実際どうすればいいのか

いくつかID保護の手法を上げましたが、利用する企業の規模や予算、確保すべきセキュリティレベルによってとるべき対応は変わります。
紹介した手法はそれぞれ排他的なものでなく、すべてを組み合わせて利用することが通常の運用であり、とるべき手段によってコストは変わります。

ただし、どんなに費用がなく従業員数の少ない企業でも特権アカウントを多要素認証で保護することだけは必ず実施しましょう。
特権IDを奪取された場合全ユーザー・全データの流出・損失が起こりえます。

まとめ

端的にいうと自社の規模と予算を考えて適切なプランを選びましょう、となります。
もちろんEMSを導入できるのが一番いいのですが、予算の都合やベンダロックを懸念する場合など必ずしもその企業においてEMSが最適の選択ではない場合がありますので他のプランも提示しました。

実際サードパーティのIdPは費用もこなれていて使いやすいものが多く、Sier等に相談するとIdP込みでプランを提示してくることが多かったように思います。

繰り返しになりますが何が何でも特権IDだけはMFAで保護しましょう。MFAを使える環境でMFAの設定をしないのはただの怠慢です。

Facebook にシェア
このエントリーをはてなブックマークに追加
Pocket