AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます(9) Office 365のセキュリティを一手に引き受ける「Secure Score」「ASM」(後編)

企業が重要情報をクラウド上で管理する場合、最大のリスクと捉えられるポイントが「情報漏洩」です。もちろん共有設定を誤ったまま、ユーザーが機密情報をクラウドで共有して情報漏えいに繋がったというケースが過去に報道されたことがあります。

これまでのオンプレミス環境では、企業の重要データを保存したサーバーのアクセス制限・監視によってリスクコントロールしていました。しかし、クラウドサービスでは複数の事業者の異なるサービスを利用するケースが多く、「どうリスクコントロールするべきか」に管理者は頭を悩ませています。

こうした課題を解決する技術として注目されているのが、Cloud Access Security Broker(CASB)です。CASBは、クラウドにおけるユーザーの利用状況を可視化し、保護する「ブローカー(仲介)」として、企業組織におけるクラウドサービスの管理を手助けします。

組織ユーザーのアクセス領域のコントロールや重要データの暗号化、アクセスログの保持、不審なアクティビティーの監視・対応といったセキュリティコントロールを、異なる事業者のクラウドサービスにまたがって実現できます。

Microsoft はCASBとして、2016年4月にクラウドSaaSアプリ監視サービス「Cloud App Security Service」の提供を開始し、Office 365向けに最適化した「Microsoft Office 365 Advanced Security Management(ASM)」もあわせて用意しました。ASMはOffice 365の利用状況を監視、可視化することで、セキュリティリスクが高いユーザーの操作や脅威を洗い出し、管理者がすぐに対応できます。

脅威を検出するASM

ASMは「状況把握」「脅威の検出」「制御」という3つのフェーズを意識した管理プロセスになっています。まず、ユーザーがOffice 365内で行っている約150種類のアクティビティ(ログインやファイルのダウンロードなど)を、Management Activity APIを利用して検出します。検出された各アクティビティは「Intelligence feeds」という機能によって、アクティビティが行われている位置情報、IPアドレスといった情報が追加されます。

また、世界中から脅威に関する情報を収集・分析している「Microsoft Threat Intelligence Center」によって、検出したアクティビティが既知の脅威に合致していないか、チェックします。それだけでなく、この情報をもとに、マイクロソフトが定義している一般的な異常検出のポリシーに合致しているかどうかも判断します。

例えば、東京からのログインと南米からのログインが同時に行われている「複数の場所の同時利用」や、信頼されていないデバイスからの利用といったものです。脅威と判断されたアクティビティは管理者に通知が行われ、ASMの管理コンソールからユーザーアカウントを停止できるほか、ポリシーの定義によっては自動化も可能です。

ポリシーで利用状況を検出。シャドーITも検出

管理者を悩ますのは外部からの攻撃だけでなく、内部脅威も考慮しなければならない点です。例えば社内規定で利用を許可していない外部サービスやBYODで、ユーザーが社内情報を扱ってしまう、いわゆる「シャドーIT」などです。

こうした課題に対し、ASMでは外部脅威だけでなく、管理者が独自にルールを設定する「アクティビティポリシー」でユーザーを制御できます。例えば、社外秘の情報が暗号化されていない状態で保存されている場合、管理者へ通知する、あるいは強制的に暗号化処理するといった、個々の企業のポリシーに応じたコントロールが可能となります。

このほかにも、未承認のクラウドアプリが利用されているか確認できる「アプリの検出ダッシュボード」によって、使われているアプリの種別、データの転送量を把握できます。

少ない管理工数で最大のメリットを

ASMを利用するメリットの一つは「管理工数の削減」です。利用状況を監視し、状況に応じた措置を行う重要性は理解しているものの、膨大なログの解析が手間になる上に、外部侵入の形跡などは専門知識が必要とされるため、一般の管理者には負担が大きいのが現状です。

Office 365における通常の管理コンソールでも、自動的に取得されているログをダウンロードできるものの、管理者自身で分析する必要があります。ASMではログ取得のみならず、マイクロソフトが収集している脅威情報をもとにした評価・分析が行われるため、セキュリティの専門知識を持たない管理者でも対応できるようになります。

ポリシーに抵触するアクティビティをポータルサイトから一覧で確認可能

このユーザーのアクティビティの詳細を確認し、危険だと判断した場合、この通知から即座に該当ユーザーの使用を停止することも可能

まとめ

クラウドサービス、特にSaaSアプリケーションなどは、ユーザー側の負担が少なく、すぐに利用できる点から「セキュリティ対策もすべてクラウドサービス側で実施してくれる」という誤解が散見されます。

もちろん、データセンターなどの設備やインフラ、サービスと、それらのセキュリティはクラウド事業者の責任範囲です。しかし、アカウントやユーザーが保存したデータの管理や、安全を保つ責任はユーザーにあります。ASMのようなCASBをうまく活用することで、管理工数を抑えつつ、セキュリティ管理を徹底してみてはいかがでしょうか。

Office 365のセキュリティを一手に引き受ける「Secure Score」「ASM」(後編)

脅威を検出するASM

ポリシーで利用状況を検出。シャドーITも検出

少ない管理工数で最大のメリットを

まとめ

この連載の前後回

AIが勧める、あなたのための会員限定記事

2026年の半導体市場はメモリ高騰で前年比62.7％増へ、Omdiaが予測を上方修正

工学院大など、M87近傍からの相対論的ジェットに伝播する「横波」を発見

OISTなど、藤原定家の文献と年輪から鎌倉時代の太陽プロトン現象を特定

ソニー半導体事業率いた清水照士氏、AI Powerに参画　次世代セキュリティ半導体ATOM展開へ

NEC、通期決算は増収増益　AI戦略「SaaS is dead」時代を追い風に

富士通、2025年度決算は減収増益で過去最高益を更新 - 次期中計にも時田CEOが言及

米国、ポケット型Wi-Fiも規制へ　対象拡大で何が変わる？

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第4回第4回クラウドによるEDIのセキュリティ強化ポイント — 6つのチェックポイント（①〜⑥）で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第3回第3回なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第2回第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策第1回第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか

Google Cloud×Wizのエージェント型防御 - マシンスピードで「AI」を守る

このカテゴリーについて

Office 365のセキュリティを一手に引き受ける「Secure Score」「ASM」(後編)

この連載の前後回

AIが勧める、あなたのための会員限定記事

2026年の半導体市場はメモリ高騰で前年比62.7％増へ、Omdiaが予測を上方修正

工学院大など、M87近傍からの相対論的ジェットに伝播する「横波」を発見

OISTなど、藤原定家の文献と年輪から鎌倉時代の太陽プロトン現象を特定

ソニー半導体事業率いた清水照士氏、AI Powerに参画 次世代セキュリティ半導体ATOM展開へ

NEC、通期決算は増収増益 AI戦略「SaaS is dead」時代を追い風に

富士通、2025年度決算は減収増益で過去最高益を更新 - 次期中計にも時田CEOが言及

米国、ポケット型Wi-Fiも規制へ 対象拡大で何が変わる？

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第4回 第4回 クラウドによるEDIのセキュリティ強化ポイント — 6つのチェックポイント（①〜⑥）で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第3回 第3回 なぜ★4でEDIが注目されやすくなるのか ―取引データと取引継続を守る“セキュリティ上の要”としてのEDI

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第2回 第2回 SCS評価制度★3をEDI視点で整理する

SCS評価制度に備える! EDIとセキュリティの統合で進めるサプライチェーンセキュリティ対策 第1回 第1回 SCS評価制度とは? — なぜEDIは無関係ではないのか