Office 365の脅威と企業ネットワークへの侵入

2021年1月6日
Oliver Tavakoli
Chief Technology Officer
Office 365の脅威と企業ネットワークへの侵入

2020年は、ヘルスケアからホスピタリティ、航空まで、あらゆる分野の企業に難題の津波をもたらした。どの企業も、支出削減、人員削減、大量採用、事業モデルの変更など、戦略の何らかの変更を余儀なくされた。

リモートワーカーに直面するデジタルトランスフォーメーション

2020年のCOVID-19パンデミックがテクノロジー業界に与えた影響は、他のセクターと比較すると遅れているが、それでもかなりの変化があった。多くの組織は、急速に展開するリモートワーカーに対応するため、デジタルトランスフォーメーションの取り組みを実施し、加速する必要に迫られた。

堅牢なオンプレミス・セキュリティ・アーキテクチャの開発・構築に多額の投資を行ってきた組織は、オフィスの壁の外で使用される資産の脅威から保護するために、セキュリティ戦略を大幅に変革し、更新しなければならなかった。実際、2020年における最大のセキュリティ上の気づきと教訓の1つは、従業員のデバイス、インターネットとのやり取り、企業アプリケーションへのアクセスを保護するセキュリティは、従業員がその時点でどこにいても、一緒に移動できなければならないということだ。

クラウド、SaaSの導入がセキュリティ状況に与える影響

在宅勤務への取り組みが加速した直接の結果として、クラウドと SaaS (サービスとしてのソフトウェア) アプリケーションの採用と日常的な利用が 2020 年に急増し、多くの新たな脅威をもたらしました。SaaSやクラウドのユーザーアカウントを標的とする攻撃は、COVID-19によってリモートワークへの大規模かつ急速なシフトが余儀なくされる以前から、組織にとって最も急成長し、最も一般的な問題の1つでした。

組織がクラウドソフトウェアの利用を増やし、Office 365 のようなアプリケーションが生産性の分野を席巻した。Office 365プラットフォームは、毎月2億5,000万人以上のアクティブユーザーを抱え、企業のデータ共有、ストレージ、コミュニケーションの基盤となっています。

多要素認証や攻撃者の障害となることを意図したその他のセキュリティ管理の採用が進んでいるにもかかわらず、2020年にOffice 365が攻撃者の焦点となり、莫大な金銭的損失と風評被害につながったことは驚くべきことではなかった。Office 365が関与する侵害の中で、アカウントの乗っ取りは最も急速に増加し、最も一般的な攻撃手法でした。

Office 365環境で攻撃者に悪用されるツール

攻撃者は現在、電子メールの漏洩よりもアカウントの乗っ取りに重点を置いて、ある環境に最初にアクセスしています。最近の調査によると、Office 365 環境内での不審な行動としては、横方向の移動が最も一般的で、コマンド アンド コントロール通信を確立しようとする試みがこれに続いています。攻撃者にとって貴重なものとして浮上している2つのOffice 365ツールは、Power AutomateとeDiscovery Compliance Searchです。

Microsoft Power Automate(旧Microsoft Flow)は、Office 365とAzureの両方で日々のユーザータスクを自動化するもので、すべてのOffice 365テナントでデフォルトで有効になっている。PowerShell と同様に、攻撃者はタスクの自動化も望む傾向があります。350を超えるアプリケーション・コネクタが利用可能なため、Power Automateを使用するサイバー攻撃者の選択肢は膨大です。Office 365 eDiscovery Compliance Searchは、1つのシンプルなコマンドを使用して、すべてのOffice 365コンテンツにわたる情報の検索を可能にします。これらのテクニックはすべて現在積極的に使用されており、攻撃のライフサイクル全体にわたって頻繁に併用されています。

Office 365ユーザーやその他の類似プラットフォームを標的とする脅威の数は、2021年も間違いなく増え続けるだろう。ユーザーアクセスの不正使用を特定するためには、従来は予防ベースのポリシー中心のアプローチで取り組むか、潜在的な脅威が発生したときにそれを特定するアラートに頼ってきたため、適切に対応する時間がほとんどなかった。これらのレガシー・アプローチは、承認されたアカウントがリソースにアクセスするために使用されていることを示すだけで、リソースがどのように、またはなぜ利用されているのか、そして観察された行動が攻撃者にとって有用かどうかについての深い洞察を提供しないため、今後も失敗し続けるだろう。

2021年、セキュリティチームは、Office 365のようなSaaSアプリケーションにおいて、ユーザがどのように特権的なアクション(観察された特権として知られている)を利用しているかをより詳細に把握するための対策を実施することに注力しなければならない。これは、ユーザーがどこからどのようにOffice 365リソースにアクセスするかを理解することにつながります。これは、静的なアクセスポリシーを定義するのではなく、利用パターンと行動を理解することです。

SaaSデータへのユーザー・アクセスの悪用を監視することの重要性は、現実の攻撃で多発していることを考えると、いくら強調してもしすぎることはありません。SaaSプラットフォームは攻撃者の横移動の巣窟であり、アカウントやサービスへのユーザーのアクセスを監視することが最も重要です。

今後のセキュリティ対策と留意点

2021年に向けて、企業が準備すべきその他のセキュリティ上の考慮事項にはどのようなものがあるでしょうか。世界中の多くの企業が、生産性の向上、諸経費の削減、従業員の柔軟性の向上を実現するため、より恒常的なハイブリッドワークや完全リモートワークの採用を目指しているため、企業ネットワークの逆転現象は今後も優勢であり続けるでしょう。機密性の高いデータはオンプレミスにのみ保管され、ファイアウォールの保護ポリシーで少数の例外を設けてアウトバウンドの通信を許可する、というようなことはもはやありえない。

2021年には、組織のネットワークの非周囲化がようやく当たり前のこととして受け入れられるだろう。これは、何年も前から予想されていたことであり、パンデミックが加速していることでもある。その先行指標のひとつが、Active Directory (オンプレミスのレガシー・アーキテクチャ) を捨て、すべてのアイデンティティをAzure AD (最新のクラウド対応テクノロジー) に移行する企業だ。

2021年のセキュリティ課題に備えるために組織ができる最善のことの1つは、ネットワーク検知と対応 (NDR)に投資し、ゼロトラスト・アーキテクチャによってユーザー・アクセスを提供することだ。企業は、最も重要なデータがどこにあるかを考え (クラウドと SaaS アプリケーションにある可能性が高い)、攻撃者が実質的な損害を与える前に、セキュリティチームがこれらの場所すべてから攻撃者を見つけ出せるかどうかを判断する必要がある。

NDRとZero Trust の両方が、組織がこれらの目標を達成するためにどのように役立つかについては、今すぐデモをご予約ください。

よくあるご質問(FAQ)