2018年3月に警察庁が発表した情報によると、2017年に事業者から報告を受けたサイバー攻撃(標的型メール攻撃)は6,027件と引き続き増加しているとされています。しかしこれはあくまで連携事業者等からの報告だけをまとめたものであり、実際のところは氷山の一角に過ぎないでしょう。
また、情報セキュリティ会社やメディアなど多方面から「今後のサイバー攻撃はより巧妙、より狡猾になる」と予測されています。こういった情報を受け、自社のセキュリティに対し不安を隠せない経営者が多いでしょう。
近年では中小企業も多くターゲットとなっており「うちをターゲットにする奴はいないよ」などとは言っていられない状況ですね。そして、組織内の情報が最も集まるシステムと言えばグループウェアではないでしょうか?
ファイル共有、メール、チャット、ワークフローなど、グループウェアは機密情報から日常の情報まで全てが集約されているシステムです。このため最もセキュリティ要件などを意識しなければならない場所でもあります。
海外はもとより国内でもユーザ企業の多い「Office 365」ですが、こちらのグループウェアを導入している企業や検討段階にある企業は同製品のセキュリティ要件が気になるところでしょう。そこで今回は、Microsoftが発行している「Microsoft Office 365セキュリティホワイトペーパー」をもとに、Office 365のセキュリティ要件について紹介していきます。
Office 365がデータセキュリティでお客様に保証していることは?
まず、クラウドで提供されているということもあり、最も気になるのが「Microsoftは顧客データをどのように取り扱うか?」かと思います。Microsoftでは顧客データの取り扱いに対し、以下の4点を提示しています。
“お客様が購入されたサービスを提供する以外の目的で、お客様のデータをマイニングすることはありません。”
これはつまりOffice 365のデータサーバ上に管理されている顧客データに対し、Microsoftがそれを独自に利用することはないということです。
”お客様がサービスの購入を中止することを選択した場合、お客様はデータを完全な形で引き取ることができます。”
Microsoftではサービス利用を停止した場合、データ以降に90日間の猶予を設けています。ユーザー企業へのデータ移行が完了した、あるいは猶予期間を過ぎると回復不能な状態でデータは破棄されます。
”データの保管場所、アクセス履歴、およびアクセス状況をお伝えします。”
データがどこに保管されているか?誰がアクセスしたか?もしくは現在しているか?これらの情報は全てユーザー企業に開示されます。
”データへのアクセスは厳しく制限されており、非破壊的なもので、ログに記録され監査されます。”
第三者による監査がある際も、アクセスが厳重に管理され顧客データを堅牢に守ります。
Office 365のデータセンターは安全な保守運用ができているのか?
Office 365を使用しているユーザー企業のデータは全てMicrosoftが運営するデータセンターで管理されているわけですが、どのような保守運用を行っているかをまとめてみました。
多層防御により階層レベルで不正侵入をシャットアウト
多層防御とは増加するサイバー攻撃に対する有効的な対策であり、何枚もの防御壁により不正侵入などをシャットアウトします。ちなみに以下のように10のセキュリティをカバーしています。
- ポートスキャンと修復
- 境界脆弱性のスキャン
- OSセキュリティ修正プログラム
- ネットワークレベルのDDoS(※1)検出と防止
- 多要素認証によるアクセス
- 全てのオペレーター及び管理者に対する操作の監査
- 管理者のアクセス許可を無期限にしない
- 必要に応じたジャストインタイムなアクセス許可
- 運用アクセス環境と従業員メール環境の分離
- 高度な権限アクセスに対し、人手による詳細な認証プロセスを実施
※1:DDoSとは攻撃対象となるコンピューターに対し、複数のマシンから大量の処理負荷を与えたサービス停止に陥らせるサイバー攻撃のこと。
国内データセンターで施設及びネットワーク共に堅牢な設計
クラウドプラットフォームである「Microsoft Azure」に続き、2014年にはOffice 365のデータセンターが国内に設置されています。バッジとスマートカード、生体スキャナー、セキュリティ責任者、継続的なビデオ監視、多要素認証、複数の認証プロセスにより物理環境が検討にガードされています。また、ネットワークに関してもファイアウォールやポート制御などセキュリティ対策は万全です。
懸念すべき米国パトリオット法(愛国者法)に対するMicrosoftの姿勢
米国パトリオット法とは、米国内にある企業のデータは全て政府の監視下にあり、令状があれば直ちに開示しなければならないというものです。ちなみに米国内データセンターに限らず、米国企業が運営するデータセンターであれば国外でも同じように適用されますつまりMicrosoftやGoogle、Amazonといった米国でクラウドプラットフォームを事業を展開している企業のサービスを利用している限り、データセンターが日本にあろうと欧州にあろうと適用範囲内にいるということです。
しかしMicrosoftではこのパトリオット法に対し毅然とした姿勢を見せており、日本マイクロソフト株式会社は以下のようにコメントしています
たとえ政府機関からのデータ開示要求であったとしても、正当な理由や手続きを踏んでいない場合は、マイクロソフトは要求に応じることはない。正当な手続きに対してデータを提供する場合は、法的に禁止されていない限り、お客様に通知後に提供を行っている。なお、こうした手順は契約書の中にも明記している。
また、2013年12月には「アイルランド・ダブリンで保管されている顧客データを開示せよ」と令状が下った際は法廷で争っています。判決は「管理者はデータセンターの場所に関わらず開示義務がある」とデータの開示を求めましたが、Microsoftはすぐに上訴するなど徹底的な姿勢から信頼感を集めています。Microsoftではここで紹介したセキュリティ対策以外にも様々な対策を取っているので、セキュリティ専門家のいない企業では「Office 365でデータ管理をした方がむしろ安全」と言えるくらいです。
ユーザー視点から見たOffice 365のセキュリティ性は?
Microsoftのセキュリティ対策はもちろんのこと、ユーザー企業がOffice 365を導入することでどんな対策を取れるか?も非常に重要なポイントです。
DLP(データ損失防止)によるユーザーエラーでの損失防止
なおもサイバー攻撃による被害が深刻化している現代ですが、実際サイバー攻撃による情報流出は全体の20%未満です。実は情報流出の原因として最も多いのがユーザーエラー(内部犯行や過失)であり、ユーザー企業としては内部セキュリティ体制を強化する必要があります。
例えばOffice 365のDLPでは、メール文内の機密情報やクレジットカード情報などを特定しユーザーに警告を行います。警告だけでなく送信許可設定や送信防止設定をかけることも可能なので、データに応じて柔軟なセキュリティ体制が構築可能です。また、管理者は全てのメールと添付ファイルをスキャンして「誰が誰に、何を送ったか?」を可視化することができます。
監査ポリシー活用によるイベントログの記録
Office 365の監査ポリシーを活用すればメール、チャット、ドキュメント、タスクリスト、問題のリスト、ディスカッショングループ、スケジュールなどの表示・編集・削除のログを常に監視することが可能です。
アプリケーション単位でのアクセス権限設定
Office 365ではメーラーのExchange Onlineやファイル共有のSharePoint Online、などコミュニケーションに必要なアプリケーションを多数提供しています。そのほとんどでアクセス権限設定を行えるので、よりセキュアなグループウェアを構築することができるのです。
まとめ
いかがでしょうか?最後に、Microsoftが提供している情報セキュリティに関するグローバルスタンダードを列挙しておきます。
- IOS27001(情報セキュリティマネジメント)
- ISO27018(情報セキュリティ第三者認証)
- FISMA(米国情報管理法)
- HIPAA BAA(提携事業者契約)
- EUモデル条項(標準契約条項)
- CSA(クラウドセキュリティアライアンス)
これらはいずれも、情報セキュリティに関する一定の世界水準をクリアしているという意味を持ち、Microsoftのセキュリティに対する姿勢がよく分かります。皆さんの企業では現在どんなセキュリティ対策を取っていますか?実は多くの企業でサイバー攻撃や内部犯行・過失への対策が、未だに不十分と言われています。クラウドベンダーのセキュリティ対策は当然のことながら、自社対策もきちんと取っておかなければ未知の脅威に対抗することはできません。
これからグループウェアを導入するという企業、リプレースを考えている企業、またはセキュリティ対策を強化したいという企業は、堅牢なセキュリティを持つOffice 365で対策を取ってみてはいかがでしょうか?情報流出が起きてしまってからでは遅すぎるので、早めの段階で自社のセキュリティ環境を見つめ直すことをおすすめします。本稿が皆さんのセキュリティ意識を高めるきっかけになれば幸いです。