Office 365の脅威と企業ネットワークの逆転

Office 365の脅威と企業ネットワークの逆転

Office 365の脅威と企業ネットワークの逆転

Office 365の脅威と

企業ネットワークの逆転

Office 365の脅威と

企業ネットワークの逆転

By:
投稿者:
Oliver Tavakoli
January 6, 2021

2020年は、ヘルスケアからホスピタリティ、航空業界に至るまで、あらゆる分野の企業にとって大きな課題に直面する年でした。大半の組織は、支出の削減、人員削減もしくは補填、運営モデルの変更など、経営戦略に関してなんらかの適応を余儀なくされました。

2020年に発生した新型コロナウイルス感染症(COVID-19)のパンデミックがテクノロジー産業に与えた影響は、他のセクターに比べると少ないものの、大きな変化があったことに変わりはありません。多くの組織は、急速に広がったリモートワークという働き方に対応するために、デジタルトランスフォーメーションを加速し、実施することを余儀なくされました。

堅牢なオンプレミス型セキュリティアーキテクチャの開発と構築に多額の投資を行ってきた組織は、オフィス外で使用される資産に対する脅威からの保護のために、セキュリティ戦略を大幅に転換し更新する必要がありました。実際、2020年のセキュリティに関する最大の気づきと教訓の1つは、従業員のデバイス、インターネット上での行動、企業で使うアプリケーションへのアクセスを保護するためのセキュリティは、従業員がどこにいるかに関係なく、従業員と共に移動できる必要があるということです。

家から働く取り組みが加速した直接的な結果として、2020年にはクラウドやSaaS(Software-as-a-Service)アプリケーションの採用と日常的な利用が急増し、多くの新たな脅威が明るみに出ました。SaaSやクラウドのユーザーアカウントを標的とした攻撃は、COVID-19によって大規模かつ急速にリモートワークへの移行を余儀なくされる以前から、組織にとっては最も急速に普及してきた問題の1つでした。

クラウドソフトウェアの利用が増加したことで、Office 365などのアプリケーションが業務において大きな力を持ち始めました。Office 365プラットフォームは、毎月2億5,000万人以上のアクティブユーザーがおり、企業のデータ共有、ストレージ、コミュニケーションの基盤となっています。

2020年にはOffice 365が攻撃者の注目の的となり、多要素認証やその他のセキュリティ対策を行なったのにも関わらず、金銭的にも評判にも大きな損失を被ったのは当然の流れとも言えるかもしれません。Office 365に関連する侵害の中で、アカウントの乗っ取りが最も急速に増加し、一般的な攻撃手法となっています。

攻撃者は現在、対象の環境への足掛かりを得るために、Eメールの侵害ではなく、アカウントの乗っ取りに焦点を当てています。最近の調査によると、Office 365 環境内での不審な振る舞いの最も一般的なカテゴリはラテラルムーブであり、コマンド&コントロールを確立しようとする試みがこれに続いています。攻撃者にとって価値のあるツールとして新たに注目されているのが、Power AutomateとeDiscovery Compliance Searchの2つのOffice 365ツールです。

Microsoft Power Automate(旧Microsoft Flow)は、Office 365とAzureの両方で日々のユーザータスクを自動化し、すべてのOffice 365においてデフォルトで有効になっています。このツールでユーザーが特定のタスクを達成するための時間と労力を削減することができますが、PowerShellと同様に、攻撃者もまたタスクを自動化したいと考えているのです。350以上のアプリケーション・コネクタが利用可能なため、Power Automateを利用するサイバー攻撃者にとっての選択肢は膨大です。Office 365 eDiscovery Compliance Searchは、1つのシンプルなコマンドを使って、すべてのOffice 365コンテンツ全体の情報を検索することができます。これらの技術はいずれも現在積極的に利用されており、攻撃のライフサイクル全体にわたって頻繁に併用されています。

Office 365ユーザーやその他の類似プラットフォームを標的とした脅威の数は、2021年も増加し続けることは間違いありません。ユーザーのアクセス不正使用を特定するには、従来、保護をベースとしたポリシー中心のアプローチを使用したり、潜在的な脅威を発生時に特定するアラートに頼ったりして対処してきましたが、これらの方法では適切なタイミングでの対応ができていませんでした。これらの従来のアプローチは、承認されたアカウントがリソースへのアクセスに使用されていることを示すだけで、リソースがどのように利用されているのか、なぜ利用されているのか、観察された振る舞いが攻撃者にとって有用かどうかについての深い洞察までは提供しないために、その情報を次に生かすことができませんでした。

2021年、セキュリティ担当は、Office 365のようなSaaSアプリケーション内で、ユーザがどのように特権行動(実際に観察された特権)を利用しているかについて、より詳細な概要を入手する対策を導入することに注力すべきです。これは、ユーザーがどのように Office 365 リソースにアクセスしているのか、どこからアクセスしているのかを理解することにつながります。これに必要なのは、静的なアクセス・ポリシーを定義することではなく、利用パターンや振る舞いを理解することです。

SaaSデータへのユーザー・アクセスが悪用されているかどうかを監視することの重要性は、実際の攻撃でもよく見られることからも明らかです。SaaSプラットフォームは攻撃者のラテラルムーブの巣窟であり、ユーザーのアカウントやサービスへのアクセスを監視することが最重要課題となっています。

2021年に向けて、組織が準備すべきセキュリティ上の注意事項としては、その他にどのようなものがあるのでしょうか。世界中の多くの企業が、生産性の向上、経費の削減、従業員に対する柔軟性の向上を目的に、より長期的なハイブリッド型または完全リモートワーク構造の採用に注力しているため、企業ネットワークの転換という考え方が引き続き優勢であると考えられます。取扱注意のデータや機密性の高いデータをオンプレミスで保管するのはもはや常識ではなく、保護ファイアウォールポリシーで少数の例外を設けてアウトバウンド通信を可能にすべきです。

2021年には、組織のネットワークの非境界化がようやく標準として受け入れられるようになると考えます。これは何年も前から予想されていたことではありますが、パンデミックによって加速しました。その代表的な指標として、Active Directory(オンプレミスのレガシーアーキテクチャ)から、すべてのアイデンティティをAzure AD(クラウド対応の最新技術)に移行している企業が挙げられます。

2021年のセキュリティ課題に備えるために組織ができる最善の方法の1つは、ネットワーク検知および対応(NDR)に投資し、ゼロトラスト・アーキテクチャを介してユーザーアクセスを提供することです。企業は、最も重要なデータがどこに置かれているのか(クラウドやSaaSアプリケーションの中にある可能性が高い)を考え、攻撃者が重大な被害をもたらす前に、セキュリティ担当がこれらの場所から攻撃者を発見するのにどれだけ効率的なソリューションを構築できているかの判断を行う必要があります。

NDRとゼロトラストが組織の目標達成にどのように役立つかを、デモを通してご体験いただけます。デモもしくはお問合せがある場合はこちらまでご連絡ください。

また、「2020年 Office 365 スポットライトレポート(2020 Spotlight Report for Office 365)」(サマリー版事例)を発行しています。そちらも合わせてご確認ください。 

このブログはpostedon VMblog.comでも紹介された内容の翻訳となります。

About the author

Oliver Tavakoli

Oliver Tavakoli is chief technology officer at Vectra. Oliver is a technologist who has alternated between working for large and small companies throughout his 25-year career – he is clearly doing the latter right now. Prior to joining Vectra, Oliver spent more than seven years at Juniper as chief technical officer for the security business. Oliver joined Juniper as a result of its acquisition of Funk Software, where he was CTO and better known as developer #1 for Steel-Belted Radius. Prior to joining Funk Software, Oliver co-founded Trilogy Inc. and prior to that, he did stints at Novell, Fluent Machines and IBM. Oliver received an MS in mathematics and a BA in mathematics and computer science from the University of Tennessee.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

The Year in Review—and the Year to Come

November 30, 2020
Read blog post
Security operations

Office 365 Threats and Inversion of the Corporate Network

January 6, 2021
Read blog post
Security operations

Office 365の脅威と企業ネットワークの逆転

January 6, 2021
Read blog post