ITpro Special
週間WEEKLY ITpro Special ITpro

システム管理者を膨大なログ分析から解放

いかに信頼できるパブリッククラウドサービスであっても、ユーザー企業側での運用管理は欠かせない。また、外部からのサイバー攻撃や内部犯行から企業のシステムとデータを守るには、日頃のセキュリティ管理に加え有事の際の迅速な対応が必要だ。そのために活用できるのが、2016年6月から提供が始まった「Microsoft Office 365 Advanced Security Management(ASM)」だ。機械学習、行動分析、ビッグデータなどの最新の技術が応用されているので、管理工数はぎりぎりまで抑制できる。

Office 365のログを可視化して
セキュリティ管理を容易にする

 セキュリティ対策でも「管理」が重要なことは分かっているのだが、手間がかかるので、ついついおろそかになってしまっているというシステム管理者は、けっして珍しくないだろう。Microsoft Office 365の場合、管理用のログはクラウド側が自動的に取得しており、システム管理者はOffice 365の管理コンソールで内容を見たりダウンロードしたりできる。ただ、このログは生データなので、そこから何かの兆候を読み取るのは多少難しい。日本マイクロソフトのプロダクトマーケティングマネージャーである広瀬友美氏も、「外部からの侵入や内部犯行の形跡を素早く見つけるには、時系列に沿って整理する必要があります」と話す。

 2016年6月より、マイクロソフトは「Microsoft Office 365 Advanced Security Management(ASM)」の提供を開始している。ASMはMicrosoft Office 365 E5サブスクリプションに標準で含まれているほか、単体でも一人あたり月額3米ドル(約300円)で利用が可能。
 ASMの最大の特長は、「システム管理者が膨大なログを分析しなくてよい」(広瀬氏)ということ。不正が疑われるアクセスの制御も自動化できるので、管理工数を最小限に抑制する効果も期待できる。

全ての管理作業は管理コンソールから
管理者の手間は最小限

 ASMは、状況把握→脅威の検出→制御と進むサイクリックな管理プロセスを想定したソリューションとなっている。まず、ユーザーの行動を監視して、リスクの分析と脅威を可視化し、必要な場合アクセス制御により企業の情報漏洩事故を未然に防ぐ手助けとなる機能。全ての管理作業は、ASMの管理コンソールから可能だ。
 全てが順調なら、ASMの管理コンソールは平穏な状態のまま。状況把握フェーズでシステム管理者が行うべきことは何もない。アラートをメールで受信する設定をしておけば、管理コンソールに毎日ログインする必要もない。
 「ASMは時間、距離、可能かどうかといった観点からユーザーの行動を分析し、リスクを分析します。例えば、あるユーザーが東京からログインしたわずか5分後に同じユーザーが香港からログインしたという場合。5分で東京から香港に移動することは物理的に不可能ですので、IDが盗まれているなど不正アクセスのリスクの可能性が高いです。また、1人のユーザーが短時間に大量のデータをダウンロードしているような場合も不正ではないか注意が必要です。ASMは、管理者の手間を最小限に、早期に必要な気づきを与えられます」と、広瀬氏。
 こうして検出された脅威に対し措置を取るのが、制御のフェーズだ。システム管理者が手動で処置する場合は、ASMの管理コンソールからワンクリックでアクセス権の停止が可能。ポリシーで事前に設定することで自動化もできる。

ASMの管理コンソール
ワンクリックでアクセス権を停止できる
図
[画像のクリックで拡大表示]
Microsoft Office 365 Advanced Security Managementの管理プロセス
状況把握→脅威の検出→制御と進むサイクリックな管理プロセスでOffice 365のセキュリティ管理を実行
図
[画像のクリックで拡大表示]

リスク値に機械学習と行動分析を
加味して脅威を検出

 ASMの判定は、Office 365 内のユーザーアクティビティを検出し、ビッグデータを活用した情報収集を行い、機械学習と行動分析により脅威を検出する仕組みだ。
 ユーザーアクティビティの検出には、Office 365 Management Activity APIが使用されている。ユーザーや管理者がOffice 365にアクセスをすると、Activity APIがそれを検出する。例えばファイルのダウンロードやOffice 365サービスへのログインだ。現時点で検出対象となっているのはExchange Online、SharePoint OnlineそしてAzure Active Directoryで、約150種類のアクティビティを検出する。
 こうして検出されたアクティビティには、評価を開始する前に情報の追加が行われる。その際に使用されるのがIntelligence feedsとMicrosoft Threat Intelligence Centerだ。Intelligence feedsはアクティビティに含まれるIPアドレスや位置情報から、場所や地域、あるいは利用しているISPなどの情報をリアルタイムで探し出して追加する。例えば、日本からのアクセスであるとか、どこのISPを利用しているといった情報だ。
 そしてMicrosoft Threat Intelligence Centerからは、既知の脅威に関する情報が追加される。Microsoft Threat Intelligence Centerは、世界中から脅威に関する情報を収集・分析、情報提供している組織だが、そこからの情報として、例えば使用されているIPアドレスが既に危険IPとして登録されていないかなどの情報が付加される。
 「加えて、管理者も独自にIPアドレスを分類・定義できますので、特定のIPアドレスからのアクセスがあった場合にアラートを上げるといった設定も可能です。このようにして情報が追加されたアクティビティを機械学習を利用して分析し、リスクの高い異常行動を検出します」と広瀬氏は説明する。

 異常行動の検出のために、ASMは2種類のポリシーを用意している。
 一つは、マイクロソフトが定義した「一般的な異常検出ポリシー」。これは「ログオンの失敗」「遠く離れた複数の場所からの同時利用」「短期間に何回も繰り返し実行」「信頼されていないデバイスの利用」など、7種類の脅威を定義している。

ASMの異常検出ポリシー
マイクロソフト側であらかじめ7種類を定義している
図
[画像のクリックで拡大表示]

 もう一つはユーザー企業のシステム管理者が定義できる「アクティビティポリシー」だ。現在、5種類のテンプレートがあり、「ログオンに何回も失敗」「一人で大量ダウンロード」「危険なIPアドレスからのログオン」などの条件が既定で設定されている。テンプレートを使わずに、企業側で固有のポリシーを設定することも可能だ。

ASMのアクティビティポリシー
5種類のテンプレートを使用してシステム管理者が定義できる
図
[画像のクリックで拡大表示]

 Office 365 標準の監査ログの保存期間は現在90日となっているが、ASMではアクティビティログは180日間保存される。また、異常行動として検出されたアラートはASMに無期限に保管されるので、必要な時に過去に逆のぼって調査することも可能だ。

非公認アプリを検出して
潜在的なトラブルを排除

 このようなセキュリティ管理機能の一環として、ASMにはその企業で使われているアプリを検出する「アプリの検出ダッシュボード」も用意されている。ある調査データによると、73%の企業がSaaSの採用を妨げている理由としてセキュリティを上げている一方で、従業員の80%は会社が承認していないSaaSアプリを業務で使用していると認めている。このデータからも、便利なものはたとえ禁止しても使ってしまうというのが現状であることが分かる。だからといって、この状況を放置しておくと情報漏洩事故につながりかねない。「アプリの検出ダッシュボードはOffice 365と同じ機能を持つSaaSアプリの組織内での使用状況を可視化し、使われているSaaSアプリケーションの種類、データの転送量、利用元の地域を把握することができます。つまり、シャドーITを管理者が簡単に見つけ、対処することができるということです」(広瀬氏)。

 潜在的なトラブルの原因はなるべく排除しておいたほうがよいことからも、状況を可視化できるダッシュボードは管理者にとって嬉しい機能だ。

アプリの検出ダッシュボード
アプリ検索ダッシュボードを使うと、その企業で使われている“生産性アプリ”を調べ上げることができる
図
[画像のクリックで拡大表示]

 また、Office 365以外のクラウドサービスを併用している企業には、ASMの上位版に相当するクラウドアプリ監視サービス「Microsoft Cloud App Security (CAS)」の利用もお勧めできる。それぞれを個別のツールで管理するよりも、CASで一元化したほうが金銭的にも作業リソース的にもメリットがあることは言うまでもない。
 「システム管理者の作業は、三つだけ。(1)ASMを有効にする、(2)アラートが上がったら管理コンソールで確認する、(3)確認の結果、問題となるアクセスを制御する―この三つだけです。とても簡単です。また、分かりやすいUIで誰もが簡単に作業できるようになっていますので、高いITスキルがなくても対応できます。ASMを使えば、最小限のリソースで企業のセキュリティ環境をさらに強固にすることが可能です」と、広瀬氏は説明する。企業の情報を守るためのさらなるセキュリティ対策として、ぜひ活用いただきたい機能である。ASMはOffice 365 E5試用版で試すことができる。ぜひお試しいただきたい。https://aka.ms/trye5

企業がASMを活用すべき三つの理由

  1. 1.最小限のリソースで不審な挙動を検出。迅速な対処が可能
  2. 2.リアルタイムに更新されるので常に最新の脅威情報で企業の情報を保護
  3. 3.組織のセキュリティ強化に役立つダッシュボードによる可視化
お問い合わせ
  • 日本マイクロソフト株式会社

    TEL:0120-166-400

    URL:https://www.microsoft.com/ja-jp/

    (営業時間:9:00-17:30 営業日:月曜日~金曜日(指定休業日を除く))