Microsoft 365 でのランサムウェア保護

  • [アーティクル]

Microsoft は、組織とその資産に対するランサムウェア攻撃のリスクを軽減するために使用する防御と制御を組み込まれています。 資産は、各ドメインが独自のリスク軽減策を持つドメインごとに編成できます。

ドメイン 1: テナント レベルのコントロール

最初のドメインは、組織を構成するユーザーと、組織が所有および制御するインフラストラクチャとサービスです。 Microsoft 365 の次の機能は、リスクを軽減し、このドメイン内の資産の侵害の成功から回復するために、既定でオンになっているか、構成できます。

Exchange Online

  • 単一アイテムの回復とメールボックスの保持により、ユーザーは不注意または悪意のある早期削除時にメールボックス内のアイテムを回復できます。 お客様は、既定で 14 日以内に削除されたメール メッセージをロールバックでき、最大 30 日まで構成できます。

  • Exchange Online サービス内でこれらのアイテム保持ポリシーの追加の顧客構成を使用すると、次のことができるようになります。

    • 適用する構成可能なリテンション期間 (1 年/10 年以上)
    • 適用する書き込み保護のコピー
    • 不変性を実現できるように、アイテム保持ポリシーをロックする機能

  • Exchange Online Protection は、受信メールと添付ファイルをシステムに出入りするリアルタイムでスキャンします。 これは既定で有効になっており、フィルターのカスタマイズが使用できます。 ランサムウェアやその他の既知または疑わしいマルウェアを含むメッセージが削除されます。 これが発生したときに通知を受信するように管理者を構成できます。

SharePoint と OneDrive Protection

SharePoint と OneDrive Protection には、ランサムウェア攻撃から保護するのに役立つ機能が組み込まれています。

バージョン管理: バージョン管理では既定で 500 以上のバージョンのファイルが保持されるため、ランサムウェアがファイルを編集して暗号化する場合は、以前のバージョンのファイルを回復できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、お客様はごみ箱から復元するのに 93 日かかります。

保持保持ライブラリ: SharePoint サイトまたは OneDrive サイトに保存されているファイルは、保持設定を適用することで保持できます。 バージョンのドキュメントが保持設定の対象である場合、バージョンは保持保持ライブラリにコピーされ、別のアイテムとして存在します。 ユーザーが自分のファイルが侵害されたと思われる場合は、保持されているコピーを確認してファイルの変更を調査できます。 その後、ファイルの復元を使用して、過去 30 日以内にファイルを回復できます。

Teams

Teams チャットは Exchange Online ユーザー メールボックス内に格納され、ファイルは SharePoint または OneDrive のいずれかに格納されます。 Microsoft Teams データは、これらのサービスで使用できる制御と回復メカニズムによって保護されます。

ドメイン 2: サービス レベルのコントロール

2 番目のドメインは、組織の Microsoft を構成するユーザーと、ビジネスの組織機能を実行するために Microsoft が所有および制御する企業インフラストラクチャです。

Microsoft の企業資産のセキュリティ保護に関する Microsoft のアプローチはゼロ トラストであり、デジタル資産全体で防御を行う独自の製品とサービスを使用して実装されています。 ゼロ トラストの原則の詳細については、「ゼロ トラスト アーキテクチャ」を参照 してください

Microsoft 365 の追加機能により、ドメイン 1 で使用できるリスク軽減策が拡張され、このドメイン内の資産をさらに保護できます。

SharePoint と OneDrive Protection

バージョン管理: ランサムウェアがファイルを所定の場所で暗号化した場合は、Microsoft が管理するバージョン履歴機能を使用して、ファイルを最初のファイル作成日まで回復できます。

ごみ箱: ランサムウェアによってファイルの新しい暗号化されたコピーが作成され、古いファイルが削除された場合、お客様はごみ箱から復元するのに 93 日かかります。 93 日後には、Microsoft がデータを回復できる 14 日間の期間があります。 このウィンドウの後、データは完全に削除されます。

Teams

ドメイン 1 で説明されている Teams のリスク軽減策は、ドメイン 2 にも適用されます。

ドメイン 3: 開発者 & サービス インフラストラクチャ

3 番目のドメインは、Microsoft 365 サービスを開発して運用するユーザー、サービスを提供するコード、インフラストラクチャ、データのストレージと処理です。

Microsoft 365 プラットフォームをセキュリティで保護し、このドメインのリスクを軽減する Microsoft の投資は、次の領域に焦点を当てています。

  • サービスのセキュリティ態勢の継続的な評価と検証
  • サービスを侵害から保護するツールとアーキテクチャの構築
  • 攻撃が発生した場合に脅威を検出して対応する機能を構築する

セキュリティ体制の継続的な評価と検証

  • Microsoft は、 最小特権の原則を使用して、Microsoft 365 サービスを開発および運用するユーザーに関連するリスクを軽減します。 つまり、リソースへのアクセスとアクセス許可は、必要なタスクを実行するために必要なもののみに制限されます。
    • Just-In-Time (JIT)、Just-Enough-Access (JEA) モデルは、Microsoft エンジニアに一時的な特権を提供するために使用されます。
    • エンジニアは、昇格された特権を取得するために、特定のタスクの要求を送信する必要があります。
    • 要求は Lockbox を介して管理されます。これは、Azure ロールベースのアクセス制御 (RBAC) を使用して、エンジニアが行うことができる JIT 昇格要求の種類を制限します。
  • 上記に加えて、すべての Microsoft 候補者は、Microsoft での雇用を開始する前に事前にスクリーニングされます。 米国で Microsoft オンライン サービスを管理する従業員は、オンライン サービス システムにアクセスするための前提条件として Microsoft Cloud Background Check を受ける必要があります。
  • Microsoft のすべての従業員は、基本的なセキュリティ意識のトレーニングとビジネス行動基準のトレーニングを完了する必要があります。

サービスを保護するツールとアーキテクチャ

  • Microsoft のセキュリティ開発ライフサイクル (SDL) では、アプリケーションのセキュリティを向上させ、脆弱性を軽減するためのセキュリティで保護されたソフトウェアの開発に重点を置いています。 詳細については、「 セキュリティとセキュリティの開発と運用の概要」を参照してください。
  • Microsoft 365 では、サービス インフラストラクチャのさまざまな部分間の通信を、運用に必要なもののみに制限します。
  • ネットワーク トラフィックは、ネットワーク攻撃の検出、防止、軽減に役立つ境界ポイントの追加のネットワーク ファイアウォールを使用してセキュリティで保護されます。
  • Microsoft 365 サービスは、お客様が明示的に要求および承認しない限り、エンジニアが顧客データへのアクセスを必要とせずに動作するように設計されています。 詳細については、「 Microsoft が顧客データを収集して処理する方法」を参照してください。

検出と応答の機能

  • Microsoft 365 は、継続的なシステムのセキュリティ モニタリングを行うことで、Microsoft 365 サービスへの脅威を検出し、対応しています。
  • 一元的なログ記録では、セキュリティ インシデントを示す可能性があるアクティビティのログ イベントが収集および分析されます。 ログ データは、アラート システムにアップロードされると分析され、ほぼリアルタイムでアラートが生成されます。
  • クラウドベースのツールを使用すると、検出された脅威に迅速に対応できます。 これらのツールを使用すると、自動的にトリガーされるアクションを使用して修復が有効になります。
  • 自動修復が不可能な場合、アラートは、検出された脅威を軽減するためにリアルタイムで動作できるようにする一連のツールを備えた適切なオンコール エンジニアに送信されます。

ランサムウェア攻撃から回復する

Microsoft 365 でのランサムウェア攻撃から回復する手順については、「Microsoft 365 でのランサムウェア攻撃からの回復」を参照してください。