AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます(8) Office 365のセキュリティを一手に引き受ける「Secure Score」「ASM」(前編)

Office 365は、WordやExcelといったオフィスソフトに加え、メールサービスの「Microsoft Exchange」、組織内のコラボレーションやドキュメント管理を行う「Microsoft SharePoint」など、さまざまなサービスを提供しています。

同時に、監査ログや文書暗号化といったさまざまなセキュリティ機能・設定も用意していますが、各サービスのセキュリティ設定・運用・脅威状況は一括で管理できます。セキュリティ設定をアセスメントして組織の保護対策を管理する機能が「Office 365 Secure Score」、脅威の検出と対応を行う機能が「Advanced Security Management(ASM)」です。

総合アセスメントをスコアで表示

組織で設定しているセキュリティ機能が「ベストプラクティスに沿っているか」「不足している項目はないか」などの「アセスメント」を行い、見直すことがセキュリティ運用の重要なポイントです。しかし実際のところ、設定項目が膨大なことから、見直しできない、管理コストがかさむといった管理者も多いことでしょう。

先ほど紹介したOffice 365 Secure Scoreは2月にリリースしたばかりの機能です。現在のセキュリティ構成や利用可能なセキュリティ機能を一括で把握し、数値化された総合評価で組織のセキュリティ状況を診断できます。

Secure Score 画面、セキュリティ評価

オレンジで表示されている値は部分的、あるいは全面的に設定されているセキュリティ構成に基づいた、組織のセキュリティアセスメントの評価値です。下に表示される黒字の値は、利用しているOffice 365のプランで使用可能なすべてのセキュリティ設定を構成した場合に得ることができる評価値です。今回の例では、273点中35点であることが分かります。

評価の値はセキュリティ設定が与える「リスク低減への重要度」などから算出されており、実施している設定項目の単純な数ではありません。Secure ScoreではOffice 365における各サービスの設定のうち、セキュリティリスクの低減に役立つ77個の設定状況を洗い出し、リスク低減に対する効果に応じてポイントを設定しています。管理ポータルのみならずAPI経由でも利用可能なため、Microsoft GraphやSIEM、CASBとの連携で既存環境の管理に統合できるほか、マルチクラウドにも対応可能です。

各サービスの設定を一元管理、改善アクションへ

Secure Scoreは現在のセキュリティ構成を評価するだけでなく、目標レベルを設定して改善に必要なアクションを結び付けられます。目標値は、基本(Basic)とバランス(Balance)、高レベル(Aggressive)に分けられており、組織の運用状況と、扱っている内容のリスクに応じた目標設定が可能になります。

設定項目は一覧で表示されますが、優先順位やリスクを緩和できる分野の絞り込みなどが可能です。セキュリティ効果が高く、エンドユーザーの仕事に影響が及びにくい項目ほど優先表示されるため、対応判断の助けになります。各項目の詳細表示では、設定の概要や効果、ユーザーへの影響がわかり、実際の設定画面へのリンクが表示されますから、すぐに設定の効果や影響度を把握できます。

これまで、組織のセキュリティ設定を把握して成熟度を測る場合は、専門の会社にアセスメントを依頼するか、管理者が膨大な設定管理を洗い出して設定の効果を調査することが必要でした。調査の結果次第では、改善アクションの影響調査も必要となるため、コストと時間が非常にかかります。Office 365 Secure Scoreの大きなメリットは、これらの諸問題を解決しつつ、よりセキュアな環境を構築できる点にあります。

セキュリティ性という点では、セキュリティ設定の成熟度をベストプラクティスと比較・数値化して管理できることが大きなメリットです。というのも、一般的にセキュリティの運用・管理における効果測定は、一筋縄ではいきません。Office 365 Secure Scoreでは過去の「セキュリティ総合アセスメント評価指標」を記録していますから、過去の状況と比較して改善状況を示すこともでき、上層部への報告に役立ちます。

こうしたセキュリティ運用の数値化は、組織のレベルを図る指標として取り入れられつつあります。海外の事例ですが、損害保険会社「The Hartford」ではセキュリティ管理の改善を支援するために、顧客のOffice 365 Secure Scoreを参照する予定です。これは、サイバー保険を引き受けるプロセスの一環として参照するのです。

次回は、実際に組織のOffice 365で発生している脅威の検出・対応を行う「Advanced Security Management(ASM)」を紹介します。