エンタープライズ向け
MICROSOFT OFFICE 365
を保護するためのガイド
SaaS のセキュリティを確保するためのプラットフォーム アプローチ
ここ数年の間に、クラウドをベースとした Microsoft のコラボレーション スイートで
ある、Microsoft® Office 365® が同社の主力クラウド製品として発表され、合計で 1
億 2,000 万もの商用ユーザーがこの製品を使用しています。さらに、この大手ソフ
トウェア企業は、現状にとどまることなく、現時点における Office 製品の企業顧客
の 3 分の 2 を、2019 年中頃までにクラウドに移行することを目指しています。
1Office スイートの普及、とりわけ Office 365 の導入の急増は、潜在的な問題もは
らんでいます。つまり、この製品がサイバー犯罪者の格好の標的となっているので
す。企業が Office 365 を安全に利用できるようにすることは、今まで以上に重要
になっています。Microsoft のセキュリティ ツールと機能は、手始めに使用するぶ
んには最適ですが、Office 365 への移行を進めている多くの企業では、すべての
クラウド アプリケーションをさらに詳細に制御して、可視性と保護を強化する必要
性を感じています。
パロアルトネットワークス | エンタープライズ向け Microsoft Office 365 を保護するためのガイド | ホワイトペーパー 2
Office 365 に組み込まれたセキュリティ機能を超越する概念
Office 365 の使用によりもたらされるコラボレーション、生産性、コミュニケーション、および創造性を加速させるものは何で しょうか。それは、データ – 厳密には企業のデータ – であり、Office 365 アプリケーションを使用して OneDrive® や SharePoint® などのクラウドに作成、共有、格納されるデータです。実際、一部のレポートでは、全企業データの約半分が、すでにクラウド に格納されていることが判明しています。 Microsoft は、Office 365 アプリケーションを保護するための組み込みのポリシー、制御、およびシステムを提供しています。こ れらの機能は、業界標準の共有セキュリティ モデルによって定義された、SaaS プロバイダが負うべきセキュリティの責任 ( 物理 セキュリティ、ホスト インフラストラクチャ、ネットワーク制御、アプリケーション レベルの制御など ) をサポートするために設 計されました。同モデルにおいて企業が負うべき責任は、データの分類と説明責任です。SaaS プロバイダ ( ここでは Microsoft) と企業の両方が、ID とアクセス管理、およびクライアントとエンドポイント保護の責任を分担して負います。 Microsoft は、以下に示すネイティブの Office 365 のセキュリティ制御機能を提供します。 • ユーザー ID、認証情報、およびアクセス権の管理 • アーカイブ、e ディスカバリ、監査などのデータ コンプライアンス • Microsoft Azure® を使用した権限管理による Office 文書の保護 • スパムおよびマルウェアからの自動保護のためのマルウェア検出 自社の共有セキュリティの責任を果たし、自社で使用している Office 365 アプリケーションとデータのセキュリティを簡素化およ び拡張するには、サードパーティ製品が最適な選択肢となる場合があります。多くの企業は、セキュリティ使用事例における以 下の要件を満たすサードパーティ製品を選択します。 • Office 365 以外のクラウド アプリケーションを保護し、Box、 Salesforce®、Slack®、ServiceNow®、Google® G Suite™、JIVE® などの、企業で許可されたすべてのアプリケーションに対して 同レベルのセキュリティを実現 • クラウド内のすべてのユーザーとデータの活動に対するきめ 細かなアプリケーション制御とインラインの可視性 • クラウド アプリケーション内の機密データを可視化および制 御し、偶発的または悪意に基づくデータ損失を防ぐ、高度なデータ損失防止 (DLP) 機能 • 既知および未知のマルウェアをブロックするためのネットワーク、クラウド、エンドポイント全体の高度な脅威防御 • 検出によるゼロデイ マルウェアからの強力な保護および高度な回避技術を持つ未知のエクスプロイトとマルウェアの阻止
Cloud Access Security Broker の導入
既存のセキュリティ ツールによって Office 365 を保護するためのすべての要件に対処するのは、組織にとってきわめて困難なこ とです。特に、オンプレミス環境の保護を目的として導入済みのセキュリティ ツールの場合はそうでしょう。
その一方で、クラウドアプリケーションの使用状況を可視化および制御し、クラウドベース データのコンプライアンスと保護を実 現するCloud Access Security Broker (CASB) を導入する企業が増え続けています。企業で使用できる他のセキュリティ ツールと 異なる点は、CASB が、組織でクラウド サービスを利用するときのセキュリティのギャップに対処した、クラウド固有の機能を提 供していることです。 CASB は組織の要件に応じて 2 つの異なるモードで導入できることを知っておくことが重要です。 • インライン アプローチ。インライン アプローチでは、CASB はフォワード プロキシまたはリバース プロキシのいずれかを使 用できます。CASB は、フォワード プロキシによって、アプリケーションの可視化と制御機能を提供できるアプライアンスま たはサービスにクラウド トラフィックを転送します。フォワード プロキシ機能を使用できるのは、セキュア Web ゲートウェ イなどの従来のプロキシのみではありません。次世代ファイアウォール アプライアンスまたはサービスを使用して、強力な 次世代アプリケーション制御機能を実現することができます。オンプレミス ユーザーまたはリモート ユーザーのインター ネット ゲートウェイとして NGFW を導入している企業は、ほとんどの CASB ベンダーによって提供されている従来のプロキ シを使用することによる、余計な管理オーバーヘッドや複雑さを回避することができます。リバース プロキシ型の場合、 CASB はシングル サインオンや、時によっては DNS を使用して、ユーザーをインラインの CASB サービスに再ルーティング することにより、ポリシーを適用することができます。
• API ベースのアプローチ。API ベースのアプローチは、CASB の望ましい導入方法として急速に広まりつつあり、クラウド ト
ラフィックの「中間の」セキュリティ サービスを補完しつつ、クラウド アプリケーションまたはサービスにおけるすべての会 社データを可視化します。このアウトオブバンド アプローチは、クラウド アプリケーションに保存されている全データの詳 細な検査、およびユーザー アクティビティと管理設定の継続的 な監視をサポートします。この導入モードは非侵入型で、クラ ウド アプリケーションへのデータ パスに影響も依存もしない ため、クラウド アプリケーションのユーザー エクスペリエンス が維持されます。API ベースの CASB は将来の違反に対してポ リシーを適用するだけではなく、クラウドに格納されている既 存のデータを検査して DLP 違反と脅威を修復するための、唯 一の方法です。 「2020 年には、クラウドのセキュリティ障害の 99% 以上 が顧客の過失によるものとなる。」
- 出典 : Gartner、『Magic Quadrant for Cloud Access Security Brokers』、2017 年 11 月 30 日
「クラウドサービスの管理に CASB を使用する大企業の割 合は、現在は 10% 未満だが、2020 年までには 60% に 増加する。」
- 出典 : Gartner、『Magic Quadrant for Cloud Access Security Brokers』、2017 年 11 月 30 日
Office 365 を保護するための 3 大要件への対応 Office 365 およびその他のクラウド アプリケーションを保護するためのプラットフォーム アプローチは、会社やクラウド内のデー タの保護に必要な可視性、データ保護、脅威防御、制御を実現します。パロアルトネットワークスは、Office 365 およびその他 のクラウド アプリケーションを保護するための 3 大要件にすべて対応します。 要件 1: クラウド アプリケーション (Office など ) の使用状況の可視化 クラウド アプリケーションの可視性を向上するためのApp-IDの活用: パロアル トネットワークス次世代ファイアウォールは、当初から、他に類を見ない可視性 とすべてのアプリケーションのきめ細かな制御 ( ネットワーク上のアプリケー ションの使用状況に関する詳細情報など ) を提供することを目的として作られ ています。クラウドアプリケーションは、App-ID の膨大なライブラリによってサ ポートされている多数のカテゴリの 1 つであり、これによって迅速な分類ときめ細かい制御が実現されます。パロアルトネット ワークスと Microsoft は連携して、暗号化されたフロー内でも App-ID™テクノロジによって Office 365 アプリケーションの使用 状況を識別 ( すなわち、使用状況や転送方向 – アップロードまたはダウンロード – を検出 ) しやすくするための取り組みを進め ています。パロアルトネットワークスは、これらのフロー内のファイルを復号化および検査することで、WildFire® のクラウドベー スの脅威分析サービスを介して脅威を分析し、新しい脅威インテリジェンスをすべての顧客と即座に共有することができます。 さらに高度なセキュリティ ニーズと使用例を持つ企業は、サードパーティの CASB によって Microsoft のネイティブのセキュリ ティ制御機能を補完することができます。 Office 365 を保護するためのプラットフォーム アプローチの採用 パロアルトネットワークスでは、Office 365 などの SaaS アプリケーションの使用を保護するために、プラットフォーム アプロー チを採用しています。Palo Alto Networks Security Operating Platform は、分析を利用して定型作業と保護の適用を自動化す ることでサイバー攻撃を防御する製品およびサービスのスイートです。マルチクラウド環境における業界最高峰のセキュリティ 機能とコンプライアンス機能を提供し、データ損失とビジネスの中断を防止します。 パロアルトネットワークスは、インラインおよび API ベースの両方の防御テクノロジを提供しています。これらのテクノロジが連 携して、侵害の原因になり得るさまざまなクラウドのリスクを最小限に抑えます。パロアルトネットワークスは、クラウド アプリ ケーションの広範なエコシステムに焦点を当て、Microsoft のクラウド製品やその他多数の一般的なクラウド アプリケーションと サービスをサポートします。
Security Operating Platform では、次の方法により、Office 365 環境やその他の SaaS アプリケーションを保護することができます。 • オンプレミスのパロアルトネットワークス次世代ファイアウォールによるインライン アプローチでは、詳細な可視化、セグメ
ンテーション、安全なアクセスと脅威防御、および GlobalProtect™ Cloud Service により保護をリモート ユーザーにまで拡 張し、インライン トラフィックのセキュリティを確保します。このアプローチは、次世代ファイアウォール内のユーザー、コ ンテンツ、およびアプリケーションの検査機能を組み合わせて CASB 機能を実現します。検査テクノロジによってユーザー をアプリケーションにマッピングすることで、場所やデバイスに関係なく、クラウド アプリケーションの使用状況のきめ細か な制御が可能になります。その他の機能として、アプリケーション固有の機能の制御、URL とコンテンツのフィルタリング、 アプリケーション リスクに基づくポリシー、DLP、ユーザーベース ポリシー、既知および未知のマルウェアの阻止がありま す。GlobalProtect Cloud Service は、Security Operating Platform の保護をモバイル ワーカーまで拡張し、すべてのアプ リケーションの機密データの漏洩を防ぎます。
• Aperture™ SaaS セキュリティ サービスによる API アプローチは、データの分類、DLP、および脅威検出のために SaaS ア プリケーションに直接接続します。Aperture は、許可された SaaS アプリケーション内のすべてのユーザー、フォルダ、ファ イルの活動に対する完全な可視性ときめ細かなポリシーの適用を実現し、ハードウェア、ソフトウェア、またはネットワーク を変更せずに、使用状況についての詳細な分析とアナリティクスを可能にします。Aperture では、SaaS アプリケーション のコンテキストを認識したきめ細かなポリシー制御が可能であるため、ポリシーの適用を強化し、違反が発生した場合に ユーザーとデータを隔離することができます。 パロアルトネットワークスの WildFire は、許可 されている SaaS アプリケーションを介した既 知および未知の脅威の拡散を阻止し、マルウェ アの新しい侵入ポイントを防御します。 図 1: Office 365 を保護するためのプラットフォーム アプローチ 管理対象外 デバイス 管理対象 デバイス リモート ユーザー 許可済み 許容済み 未許可 支社 本社 SaaS アプリケーションの 可視性ときめ細かな ポリシーの適用を インラインで提供 クラウド内の アクティビティを 監視して データを保護
パロアルトネットワークス | エンタープライズ向け Microsoft Office 365 を保護するためのガイド | ホワイトペーパー 4 対話式ダッシュボードによるリアルタイムの可視性の確保 : ダッシュボードには、User-ID、App-ID、および ContentID™テクノロ ジに基づいて、許可済みおよび未許可のクラウド アプリケーションの使用状況、ユーザー、およびコンテンツがリアルタイムで 表示されます。 詳細なクラウド アプリケーション レポートの生成 : クラウド アプリケーションの使用状況の定期的なレポートによって、組織がリス クにさらされていないかどうかを常に把握して、組織内で最新のアプリケーションを使用してポリシーを最新に保つことができま す。PAN-OS® により、個々のアプリケーションを許可済みまたは未許可としてマークして、可視化およびレポート作成の機能を 向上させ、必要に応じて詳細なクラウド アプリケーション レポートを生成することができます。User-ID™テクノロジと組み合わ せることで、誰がどのアプリケーションをいくつ使用しているかについての詳細が提供されます。このように詳細に把握すること により、従業員、顧客、およびビジネス パートナー向けのクラウド アプリケーション使用ポリシーを定義したり、エンドユーザー に許可されたアプリケーションを使用してもらうために必要なポリシーと移行を設定することができます。 図 2: SaaS アプリケーション使用状況レポートの例 図 3: アプリケーション使用状況とユーザー アクティビティを示したダッシュボード 要件 2: 使用状況の制御とユーザーの移行のための次世代ファイアウォールの使用 未許可のアプリケーションをブロック : マルウェアに頻繁に感染したり、セキュリティとガバナンスの統制が乏しい危険な地域でホ スティングされていたり、エンド ユーザー ライセンス条項やサービスレベル条項がないか限られている、未許可のアプリケー ションはブロックされます。 許容されたアプリケーションのきめ細かな制御の実施 : 企業の許可されたアプリケーションと未許可のアプリケーションとの間に 位置付けられている多数のアプリケーションでは、使用状況を制御するためによりきめ細かで正確なアプローチを使用します。 たとえば、マーケティング担当者や法律事務所などのサードパーティ ベンダーが会社と文書を共有するために使用するアプリ ケーションが許容されている場合があります。
〒 102-0094
千代田区紀尾井町 4 番 3 号 クスの登録商標です。当社の商標のリストは、https://www.paloaltonetworks.com/© 2018 Palo Alto Networks, Inc. パロアルトネットワークスは、パロアルトネットワー 要件 3: Office 365 の保護の強化
データ損失に対する Office 365 の保護 : クラウド アプリケーションは、マルウェアの最初の侵入ポイントおよびデータ損失の最
後の漏洩ポイントとなりつつあります。Aperture を使用することで、API 経由で Office 365 およびその他のクラウド アプリケー ションに直接接続して、データの機械学習を含むデータの分類、共有 / 権限の表示、アクティビティの分析とアラート、脅威検 出といった機能を使用することができます。これにより、他に類を見ない可視性がもたらされ、組織はコンテンツを検査してデー タをリスクにさらす違反がないかチェックし、コンテキスト指向ポリシー制御により共有データへのアクセスを制御できます。 許容されたアプリケーションから企業が許可したアプリケーションへのユーザーの移行 : Office 365 などの企業が許可したアプリ ケーションを標準化することで、ユーザーを許容されたアプリケーションから許可されたアプリケーションに移行させる機会を生 み出し、セキュリティ、可視性、およびガバナンスを向上させることができます。許容されたアプリケーションに対しては、アッ プロードの権限は与えずデータのダウンロードのみを許可するポリシーを実装することで、ユーザーは一定の期間をかけてデー タを Office 365 に移行することができます。データが移行された後に、許容されたアプリケーションを未許可に変更してブロッ クすることができます。 図 4: Office 365 への移行後の未許可のアプリケーションのブロック例 図 5: Aperture でのデータの分類の結果
マルウェアからの保護 : API ベースの CASB として WildFire を Aperture と統合することで、独自の高度な脅威防御を実現し、既
知のマルウェアをブロックするとともに、未知のマルウェアを特定してブロックします。これにより、許可されたアプリケーション を介した脅威の拡散が阻止され、マルウェアの侵入ポイントが防御されます。Aperture が新たなマルウェアを検出すると、そ の情報を残りの Security Operating Platform および顧客全体と共有します。WildFire と Aperture を統合することにより、Office 365 アプリケーションへの脅威の侵入を回避して、あらゆる場所のエンド ユーザーを感染から防ぐことができます。
環境の保護
Palo Alto Networks Security Operating Platform は、ネットワークからクラウド、エンドポイントに至るまでの Microsoft 環境の 保護に役立ちます。業界で最も包括的な Microsoft のセキュリティ機能の一部を採用することで、Security Operating Platform は App-ID を使用した Microsoft のオペレーティング システムとアプリケーションの物理セキュリティ、VM-Series for Hyper-V® によるプライベート クラウド セキュリティ、Azure によるパブリック クラウドの脅威防御、インライン次世代ファイアウォールを 介した CASB 機能および Aperture SaaS セキュリティ サービスを使用し、API を介した CASB 機能による Office 365 のセキュリ ティ、そして、GlobalProtect ネットワーク セキュリティとTraps™アドバンスト エンドポイント プロテクションを使用した Microsoft エンドポイントをサポートします。
Microsoft Office 365 およびその他の SaaS アプリケーションを保護する方法の詳細については、http://go.paloaltonetworks.
