リモートワークが普及する昨今では、ビジネスコミュニケーションツールのセキュリティ強化が急務です。本記事では、Microsoft 365のセキュリティリスクチェックツールであるOffice 365 Risk Checkの概要やプランについて詳しく説明していきます。
Office 365 Risk Checkとは
新型コロナウイルスの影響でテレワークの普及が進み、社外からクラウド上で仕事をする機会も増えている中、企業にはネットセキュリティに対する新たなリスクマネジメントが求められています。セキュリティソリューションに特化したPSC社が提供するOffice 365 Risk Checkは、このような時流に即した問題を解決するために役立つセキュリティ診断ツールです。
Office 365 Risk Checkは、メール、デバイス、認証、そしてMicrosoft 365で利用するさまざまなデータのマルウェア感染や攻撃状況、セキュリティホールを可視化してレポートします。リスクチェックを定期的に行うことは、社内外からの不正アクセスや情報漏洩、データ改ざんといった、インシデント被害の対策において非常に重要です。
リスクチェックで可視化できる内容とは
Office 365 Risk Checkが可視化できる内容としては、主に次のものが挙げられます。
メールにおける脅威可視化
社内連絡から顧客とのやり取りまで、いまや業務において不可欠な電子メールですが、実はそのセキュリティリスクは大きなものがあります。
その一例が、「ワーム」や「トロイの木馬」に代表される、メールに添付された一見安全そうなファイルに紛れ込んで隠れて悪さをするマルウェアです。マルウェアに感染すると、プログラムが異常行動を起こしたり、不正アクセスするためのバックドアを作られたりと、データの保全を脅かすさまざまなリスクが生じます。
また、メールにおける代表的な脅威としては、アカウント情報を狙ったフィッシングメール(なりすましメール)も挙げられます。不特定多数を狙ったフィッシングメールならば一見して見破ることも可能な場合もありますが、最近では特定のターゲットを狙った「標的型攻撃」(スピア型メール)の被害が増えています。これは攻撃相手に合わせてごく自然な件名や文面のメールを送って相手を油断させ、重要なデータや個人情報などを盗もうとする手法です。メール自体は何の変哲もないのに、そこに添付されたファイルやURLを開いたら、マルウェアに感染したり、不正サイトに誘導されたりするのです。
仕事では当然ながら、見知った社内の人間からだけでなく、顧客や関係企業など、外部からのメールも頻繁に届きます。日常的に数多く届くそんなメールの中から、巧妙に偽装された悪意あるメールを見抜くことは至難の業です。そこで、Office 365 Risk Checkの真価が発揮されます。Office 365 Risk Chekは、悪意あるメールの存在やその脅威度を可視化し、セキュリティが脅かされていることを教えてくれるのです。
ID/認証における脅威可視化
業務用のパソコンや社内ネットワークなどにアクセスする際は、ID認証を課している企業がほとんどでしょう。しかし、上記のようなマルウェアやフィッシングなどの悪意ある攻撃や、社員の不注意などの人為的ミスによって、この重要な認証情報が外部に漏れてしまう場合があります。特に、会社の管理の目が行き届かないテレワークではそのリスクの増大が懸念されますが、そうしたリスクマネジメントを社員全員が徹底できるとは限りません。ユーザーIDやパスワードの漏洩はすなわち、顧客の個人情報も含むあらゆる情報資産の危機に繋がります。それは直接的な金銭リスクのみならず、その企業の社会的信用の失墜にも直結する深刻な問題です。
Office 365 Risk Checkは、Microsoft 365の情報に対する不正アクセス情報も可視化し、その脅威をお知らせします。定期的な診断により、不審なサインインやユーザーをいち早く探知できれば、早い段階でのリスク対応が可能になります。
Microsoft 365のデータにおける脅威可視化
標的型攻撃や不正アクセスは、いわばその企業を狙い撃ちした攻撃です。となると、そこで懸念されるのは、社内の重要なデータの不正入手や情報漏洩、データ改ざん、削除行為などが挙げられます。また、情報漏洩は何も悪意ある人間からのみ起こるとは限りません。たとえばMicrosoft 365内のデータを外部共有するときに、メールアドレスなどの共有先をうっかり間違えたりすることでも情報漏洩は起こります。
Office 365 Risk Checkは、Microsoft 365内の管理データに対する、そのような不審な動きの形跡も明らかにします。大量のデータダウンロードや削除行為といった異常行動がアプリ内で行われた場合、それを時系列で脅威度を可視化して、システム管理者に知らせてくれるのです。
つまりOffice 365 Risk Checkは、(1)フィッシングメールやマルウェアなどの侵入者の監視をはじめ、(2)不正流出したIDなどの認証情報のチェック、(3)さらにはMicrosoft 365内のデータ保全に至るまで、何重にも監視の目を広げてセキュリティの安全性を点検し、セキュリティの穴を明らかにしてくれるのです。
Office 365 Risk Checkのプラン
Office 365 Risk Checkには、以下の(1)スタートアッププラン、(2)スタンダードプラン、(3)プロフェッショナルプランの3つのプランが用意されています。それぞれのプランによって搭載機能が異なりますので、ご利用になるシーンや、下記の説明を参考にしながら最適なプランをご検討ください。
スタートアッププラン
スタートアッププランは、45万円から導入を始められる一番お手軽なプランです。利用シーンとしては、Microsoft 365を利用開始するタイミングでの事前脅威の簡易調査をしたいときにおすすめです。
≪注意事項≫
- 本プランでは有償ライセンスの評価版を利用し、追加コストなしでリスク評価を実施することを想定しています。
- 評価版の利用はテナントごとに1 回限りであることにご注意ください。
- 実際のリスクや攻撃を分析するため、本番環境において評価を実施することを想定しています。
- 管理者アカウントや、環境調査等の事前準備が必要になります。
- 打ち合わせ、社内調整、検証、評価などの作業にご対応いただける担当者のアサインをお願いします。
スタンダードプラン
スタンダードプランは、90万円からツールを導入できます。利用シーンとしては、「サイバーキルチェーン」と呼ばれる、標的型攻撃の各工程の脅威を可視化したい場合、あるいは、脅威対策のレポーティングが欲しいなどの要望がある場合などにおすすめです。
≪注意事項≫
- 本プランでは有償ライセンスの評価版を利用し、追加コストなしでリスク評価を実施することを想定しています。
- 評価版の利用はテナントごとに1 回限りであることにご注意ください。
- 実際のリスクや攻撃を分析するため本番環境において評価を実施します。
- 管理者アカウントや、環境調査等の事前準備が必要になります。
- 打ち合わせ、社内調整、検証、評価などの作業にご対応いただける担当者のアサインをお願いします。
- 本プランの診断を実施するためには、以下のライセンスを利用している必要があります。 「Microsoft 365 E5」 または 「Office 365 Advanced Threat Protection(ATP)Plan 2」
- アタックシミュレーターの操作には以下の権限を保有したアカウントが必要です。
-多要素認証が有効になっている「全体管理者」または「セキュリティ管理者」のアカウント
プロフェッショナルプラン
プロフェッショナルプランは、120万円からツールを導入できる、最も本格的なプランです。利用シーンとしては、不正アクセスの侵入経路となり得るウィークポイントを把握したい場合や、社内ネットワークをターゲットとした実践的な侵入テストを実施したい場合におすすめです。ネットセキュリティを万全にしたい企業の方には、本プランをおすすめします。
≪注意事項≫
- 本施策では有償ライセンスの評価版を利用し、追加コストなしでリスク評価を実施することを想定しています。
- 評価版の利用はテナントごとに1 回限りであることにご注意ください。
- 実際のリスクや攻撃を分析するため、本番環境において評価を実施することを想定しています。
- 管理者アカウントや、環境調査等の事前準備が必要になります。
- 打ち合わせ、社内調整、検証、評価などの作業にご対応いただける担当者のアサインをお願いします。
- 本プランの診断を実施するためには、以下のライセンスを利用している必要があります。 -「Microsoft 365 E5」 または 「Office 365 Advanced Threat Protection(ATP)Plan 2」
- アタックシミュレーターの操作には、以下の権限を保有したアカウントが必要です。
-多要素認証が有効になっている「全体管理者」または「セキュリティ管理者」のアカウント - 貴社内ネットワークへ診断用端末を接続するための環境準備をお願いします。
申し込みから作業の流れ
Office 365 Risk Checkの申し込みから作業の流れは、基本的に以下のようになります。基本的な流れは3つのプランとも同様ですが、プロフェッショナルプランの場合、診断期間など、一部で違いがありますのでご注意ください。
(1)お申し込み
最初にお申し込みフォームからお申し込みください。
(2)ヒアリングシートの記入
お申し込み受諾後、ヒアリングシートをお送りしますのでご記入ください。
(3)ご契約
上記の工程で確定した料金で契約いたします。契約の過程で、その他のオプションを追加することも可能です。
(4)診断準備
診断に必要な準備をご依頼します。Office 365における設定作業を行っていただきます。プロフェッショナルプランの場合、オンサイト対応の日程調整および貴社内へのアクセス環境の準備を実施していただきます。
(5)診断実施
診断用データの収集を2~3週間ほど実施します。診断用データはお客様の方で取得していただきます。プロフェッショナルプランの場合、手動診断については、オンサイトにて5営業日を診断期間とさせていただきます。
(6)診断レポートの提出
診断用データが出そろったタイミングから、10営業日(プロフェッショナルプランの場合は15営業日)をレポート作成期間とさせていただきます。報告書作成完了後、メールにて提出いたします。報告会が必要な場合はオプションを選択していただくことで可能となります。
まとめ
テレワークを積極的に導入している企業で、特に自社のコミュニケーションツールとしてMicrosoft 365を利用している場合、Office 365 Risk Checkは、セキュリティ診断ツールとして非常に有用です。ぜひ下記の製品ページもご参考の上、導入をご検討ください。