Microsoft 365 の優先アカウントのセキュリティに関する推奨事項

ヒント

Microsoft Defender XDR for Office 365 プラン 2 の機能を無料で試すことができることをご存知でしたか? Microsoft Defender ポータル試用版ハブで、90 日間の Defender for Office 365 試用版を使用しますMicrosoft Defender for Office 365 の試用に関するページで、サインアップおよび試用版の条件を利用できるユーザーについて説明します。

すべてのユーザー アカウントが同じ会社情報にアクセスできるわけではありません。 一部のアカウントでは、財務データ、製品開発情報、重要なビルド システムへのパートナー アクセスなどの機密情報にアクセスできます。 侵害された場合、機密性の高い情報にアクセスできるアカウントは深刻な脅威になります。 これらの種類のアカウント を優先度アカウントと呼びます。 優先度アカウントには、CEO、CISO、CFO、インフラストラクチャ管理者アカウント、ビルド システム アカウントなどが含まれます (ただし、これらに限定されません)。

Microsoft Defender for Office 365 では、アラート、レポート、調査のフィルターで使用できるタグとして優先度アカウントがサポートされています。 詳細については、「Microsoft Defender for Office 365 のユーザー タグ」を参照してください。

攻撃者の場合、通常のユーザーまたは不明なユーザーにランダムネットをキャストする通常のフィッシング攻撃は非効率的です。 一方、優先アカウントを対象とする スピア フィッシング 攻撃や 捕声 攻撃は、攻撃者にとって非常に報われます。 そのため、優先度の高いアカウントでは、アカウントの侵害を防ぐために通常よりも強力な保護が必要です。

Microsoft 365 と Microsoft Defender for Office 365 には、優先度アカウントにセキュリティの追加レイヤーを提供するいくつかの重要な機能が含まれています。 この記事では、これらの機能とその使用方法について説明します。

アイコン 形式のセキュリティに関する推奨事項の概要

タスク すべての Office 365 Enterprise プラン Microsoft 365 E3 Microsoft 365 E5
優先度アカウントのサインイン セキュリティを強化する
優先度アカウントに対して厳密な事前設定されたセキュリティ ポリシーを使用する
優先度アカウントにユーザー タグを適用する
アラート、レポート、検出の優先度アカウントを監視する
ユーザーのトレーニング

注:

特権アカウント (管理者アカウント) のセキュリティ保護については、このトピックを参照してください。

優先度アカウントのサインイン セキュリティを強化する

優先度アカウントでは、サインイン セキュリティを強化する必要があります。 多要素認証 (MFA) を要求し、レガシ認証プロトコルを無効にすることで、サインイン のセキュリティを強化できます。

手順については、 手順 1 を参照してください。MFA を使用してリモート ワーカーのサインイン セキュリティを強化します。 この記事はリモート ワーカーに関する記事ですが、優先度の高いユーザーにも同じ概念が適用されます。

: 前の記事で説明したように、すべての優先度ユーザーのレガシ認証プロトコルをグローバルに無効にすることを強くお勧めします。 ビジネス要件でこれを行うことを妨げる場合、Exchange Online では、レガシ認証プロトコルの範囲を制限するのに役立つ次の制御が提供されます。

また、基本的な認証は、Exchange Online for Exchange Web Services (EWS)、Exchange ActiveSync、POP3、IMAP4、およびリモート PowerShell で非推奨の処理中であることも注目に値します。 詳細については、この ブログ投稿を参照してください。

優先度アカウントに対して厳密な事前設定されたセキュリティ ポリシーを使用する

優先ユーザーには、Exchange Online Protection (EOP) と Defender for Office 365 で使用できるさまざまな保護に対して、より厳格なアクションが必要です。

たとえば、迷惑メール フォルダーに迷惑メールとして分類されたメッセージを配信する代わりに、優先アカウントを対象としている場合は、同じメッセージを検疫する必要があります。

この厳格なアプローチを優先度アカウントに実装するには、事前設定されたセキュリティ ポリシーで Strict プロファイルを使用します。

事前設定されたセキュリティ ポリシーは、EOP と Defender for Office 365 のすべての保護に対して推奨される厳格なポリシー設定を適用するのに便利で中心的な場所です。 詳しくは、「EOP と Microsoft Defender for Office 365 の事前設定されたセキュリティ ポリシー」を参照してください。

厳格なポリシー設定と既定のポリシー設定と標準ポリシー設定の違いについて詳しくは、「 EOP と Microsoft Defender for Office 365 セキュリティの推奨設定」をご覧ください。

優先度アカウントにユーザー タグを適用する

Microsoft Defender for Office 365 Plan 2 のユーザー タグ (Microsoft 365 E5 またはアドオン サブスクリプションの一部として) は、レポートやインシデント調査で特定のユーザーまたはユーザー のグループをすばやく識別して分類する方法です。

優先度アカウント は、組み込みのユーザー タグ ( システム タグと呼ばれます) の一種であり、優先度アカウントを含むインシデントとアラートを識別するために使用できます。 優先度アカウントの詳細については、「優先順位アカウントの管理と監視」を参照してください。

また、カスタム タグを作成して、優先度アカウントをさらに識別して分類することもできます。 詳細については、「 ユーザー タグ」を参照してください。 優先度アカウント (システム タグ) は、 カスタム ユーザー タグと同じインターフェイスで管理できます。

アラート、レポート、検出の優先度アカウントを監視する

優先ユーザーをセキュリティで保護してタグ付けした後、EOP と Defender for Office 365 で利用可能なレポート、アラート、調査を使用して、優先度アカウントに関連するインシデントや検出をすばやく特定できます。 ユーザー タグをサポートする機能については、次の表を参照してください。

機能 説明
アラート 影響を受けるユーザーのユーザー タグが表示され、Microsoft Defender ポータルの [アラート ] ページでフィルターとして使用できます。 詳細については、 Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。
インシデント 関連付けられたすべてのアラートのユーザー タグは、Microsoft Defender ポータルの [インシデント ] ページに表示されます。 詳細については、「 インシデントとアラートの管理」を参照してください。
カスタム アラート ポリシー Microsoft Defender ポータルでは、ユーザー タグに基づいてアラート ポリシーを作成できます。 詳細については、 Microsoft Defender ポータルのアラート ポリシーに関するページを参照してください。
エクスプローラー

リアルタイムの検出

 エクスプローラー (Defender for Office 365 プラン 2) またはリアルタイム検出 (Defender for Office 365 プラン 1) では、ユーザー タグが [電子メール] グリッド ビューと [電子メールの詳細] ポップアップに表示されます。 ユーザー タグは、フィルター可能なプロパティとしても使用できます。 詳細については、「 脅威エクスプローラーのタグ」を参照してください。
[メール エンティティ] ページ 適用されたユーザー タグに基づいて、Microsoft 365 E5 および Defender for Office 365 プラン 1 とプラン 2 でメールをフィルター処理できます。 詳細については、 電子メール エンティティ ページに関するページを参照してください。
キャンペーン ビュー ユーザー タグは、Microsoft Defender for Office 365 プラン 2 のキャンペーン ビューの多くのフィルター可能なプロパティの 1 つです。 詳細については、「 キャンペーン ビュー」を参照してください。
脅威保護の状態レポート 脅威保護の状態レポートのほぼすべてのビューと詳細テーブルで、優先度アカウントで結果をフィルター処理できます。 詳細については、「 脅威保護の状態レポート」を参照してください。
上位の送信者と受信者のレポート このユーザー タグは、組織内の上位 20 人のメッセージ送信者に追加できます。 詳細については、「 上位の送信者と受信者レポート」を参照してください。
侵害されたユーザー レポート Exchange Online メールボックスを持つ Microsoft 365 組織で 不審 または 制限 済みとしてマークされているユーザー アカウントがこのレポートに表示されます。 詳細については、「 侵害されたユーザー レポート」を参照してください。
管理者の申請とユーザーが報告したメッセージ Microsoft Defender ポータルの [申請] ページを使用して、分析のために電子メール メッセージ、URL、添付ファイルを Microsoft に送信します。 詳細については、「 管理者の申請とユーザーが報告したメッセージ」を参照してください。
検疫する 検疫は、Exchange Online または 優先度アカウントのスタンドアロン Exchange Online Protection (EOP) 組織のメールボックスを持つ Microsoft 365 組織で、潜在的に危険または望ましくないメッセージを保持するために使用できます。 詳細については、「メール メッセージの検疫」を参照してください。
攻撃シミュレーション セキュリティ ポリシーとプラクティスをテストするには、ターゲット ユーザーに対して問題のないサイバー攻撃シミュレーションを実行します。 詳細については、「 攻撃シミュレーション」を参照してください。
優先度アカウント レポートのEmailの問題 Exchange 管理センター (EAC) の優先度アカウントレポートのEmailの問題には、優先度アカウントの配信不能メッセージと遅延メッセージに関する情報が含まれています。 詳細については、「優先度アカウントレポートのEmailの問題」を参照してください。

ユーザーのトレーニング

優先アカウントを使用してユーザーをトレーニングすると、それらのユーザーとセキュリティ運用チームの時間と不満を大幅に節約できます。 精通しているユーザーは、疑わしいメール メッセージで添付ファイルを開いたりリンクをクリックしたりする可能性が低く、疑わしい Web サイトを回避する可能性が高くなります。

「ハーバード・ケネディ・スクール・サイバーセキュリティ・キャンペーン・ハンドブック」は、フィッシング攻撃を特定するためのユーザーのトレーニングなど、organization内のセキュリティ意識の強い文化を確立するための優れたガイダンスを提供します。

Microsoft 365 には、organizationでユーザーに通知するのに役立つ次のリソースが用意されています。

概念 リソース 説明
Microsoft 365 カスタマイズ可能な学習経路 これらのリソースは、ユーザーのトレーニングをorganizationにまとめるのに役立ちます。
Microsoft 365 セキュリティ 学習モジュール: Microsoft 365 の組み込みのインテリジェントなセキュリティを使用して、organizationをセキュリティで保護する このモジュールを使用すると、Microsoft 365 セキュリティ機能の連携方法を説明し、これらのセキュリティ機能の利点を明確に説明できます。
多要素認証 Microsoft Authenticator アプリをダウンロードしてインストールする この記事は、エンド ユーザーが多要素認証とは何か、またそれがorganizationで使用されている理由を理解するのに役立ちます。
攻撃シミュレーション トレーニング 攻撃シミュレーション トレーニングの使用を開始する Microsoft Defender for Office 365プラン 2 の攻撃シミュレーション トレーニングを使用すると、管理者は特定のユーザー グループに対するシミュレートされたフィッシング攻撃を構成、起動、追跡できます。

さらに、Microsoft では、ユーザーが「 ハッカーやマルウェアからアカウントとデバイスを保護する」で説明されているアクションを実行することをお勧めします。 それらの操作を次に示します。

  • 強力なパスワードの使用
  • デバイスの保護
  • Windows および Mac PC でのセキュリティ機能の有効化 (アンマネージド デバイスの場合)

関連項目