Microsoft 365 テナントにランサムウェア保護を展開する
ランサムウェアは、ファイルやフォルダーを破棄または暗号化する一種の強要攻撃であり、重要なデータへのアクセスを妨げます。 一般に、コモディティ ランサムウェアは、デバイスに感染するウイルスのように広がり、マルウェアの修復のみを必要とします。 人が操作するランサムウェアは、組織のオンプレミスまたはクラウド IT インフラストラクチャに侵入し、自分たちの権限を昇格し、ランサムウェアを重要なデータに展開するサイバー犯罪者による積極的な攻撃の結果です。
攻撃が完了すると、攻撃者は、削除されたファイルの返却、暗号化されたファイルの暗号化解除キー、またはダーク Web またはパブリック インターネットに機密データを解放しないという約束と引き換えに、被害者に金銭を要求します。 また、人が操作するランサムウェアを使用して、産業生産に必要なコンピューターやプロセスなどの重要なコンピューターやプロセスをシャットダウンしたり、身代金を支払って損害を修正したり、組織が自身の損害を修復したりするまで、通常の業務を停止することができます。
人が操作するランサムウェア攻撃は、すべてのサイズの企業にとって壊滅的であり、クリーンアップが困難であり、将来の攻撃から保護するために完全に敵対的な立ち退きを必要とします。 コモディティ ランサムウェアとは異なり、人が操作するランサムウェアは、最初の身代金要求後も企業の業務を脅かし続ける可能性があります。
注:
Microsoft 365 テナントに対するランサムウェア攻撃の前提は、攻撃者がテナントに対して有効なユーザー アカウント資格情報を持ち、ユーザー アカウントに対して許可されているすべてのファイルとリソースにアクセスできると想定していることです。 有効なユーザー アカウント資格情報を持たない攻撃者は、Microsoft 365 の既定の暗号化と強化された暗号化によって暗号化され保存されたデータを解読する必要があります。 詳細については、「暗号化とキー管理の概要」を参照してください。
Microsoft 製品全体のランサムウェア保護の詳細については、次の 「追加のランサムウェアリソース」 を参照してください。
クラウドのセキュリティはパートナーシップ
Microsoft クラウド サービスのセキュリティは、お客様と Microsoft のパートナーシップです。
- Microsoft クラウド サービスは信頼とセキュリティの基盤の上に構築されます。 Microsoft が提供するセキュリティ制御と機能は、お客様のデータとアプリケーションの保護に役立ちます。
- お客様はご自分のデータと ID を所有しており、それらとオンプレミス リソースのセキュリティ、およびご自分が制御しているクラウド コンポーネントのセキュリティを保護する責任を担っています。
これらの機能と責任を組み合わせることで、ランサムウェア攻撃に対する最高の保護を提供できます。
Microsoft 365 が提供するランサムウェアの軽減と回復機能、
Microsoft 365 テナントに侵入したランサムウェア攻撃者は、次の方法で企業から身代金を受け取る可能性があります。
- ファイルまたはメールの削除
- 存在するファイルの暗号化
- テナント外でのファイルのコピー (データの外部流出)
ただし、Microsoft 365 オンライン サービスには、ランサムウェア攻撃から顧客データを保護するための多くの組み込みの機能とコントロールがあります。 次のセクションでは、概要を説明します。 Microsoft が顧客データを保護する方法の詳細については、「Microsoft 365 のマルウェアとランサムウェアからの保護」を参照してください。
注:
Microsoft 365 テナントに対するランサムウェア攻撃の前提は、攻撃者がテナントに対して有効なユーザー アカウント資格情報を持ち、ユーザー アカウントに対して許可されているすべてのファイルとリソースにアクセスできると想定していることです。 有効なユーザー アカウント資格情報を持たない攻撃者は、Microsoft 365 の既定の暗号化と強化された暗号化によって暗号化され保存されたデータを解読する必要があります。 詳細については、「暗号化とキー管理の概要」を参照してください。
ファイルまたはメールの削除
次の SharePoint および OneDrive for Business のファイルは、次の方法で保護されます。
バージョン管理
Microsoft 365 は、既定で最低でも 500 以上のバージョンのファイルを保持し、それ以上のファイルを保持するように構成できます。
セキュリティとヘルプデスク スタッフの負担を最小限に抑えるために、以前のバージョンのファイルを復元する方法についてユーザーにトレーニングします。
ごみ箱
ランサムウェアがファイルの新しい暗号化されたコピーを作成し、古いファイルを削除する場合、顧客は 93 日間の間にファイルをごみ箱から復元することが可能です。 93 日以降の場合でも、Microsoft がデータを回復できる 14 日間の猶予があります。
セキュリティとヘルプデスク スタッフの負担を最小限に抑えるために、ごみ箱からファイルを復元する方法についてユーザーにトレーニングします。
-
管理者とエンド ユーザーが過去 30 日間の任意の時点からファイルを復元できる SharePoint および OneDrive の完全なセルフサービス回復ソリューション。
セキュリティと IT ヘルプデスク スタッフの負担を最小限に抑えるために、ファイルの復元の方法についてユーザーにトレーニングします。
OneDrive のファイルと SharePoint のファイルについては、大量攻撃に遭った場合、Microsoft は最大 14 日前までの時点にロールバックできます。
電子メールは次の方法で保護されています。
単一アイテムの回復 とメールボックスの保持。不注意または悪意のある早期削除時にメールボックス内のアイテムを回復できます。 既定では、14 日以内に削除されたメール メッセージをロールバックできます。最大 30 日間は構成可能です。
保持ポリシー を使用すると、構成済みの保持期間の間、変更できないメールのコピーを保持できます。
存在するファイルの暗号化
前に説明したように、次の SharePoint とOneDrive for Business のファイルは、悪意のある暗号化から保護されています。
- バージョン管理
- ごみ箱
- アイテム保管ライブラリ
詳細については、「Microsoft 365 でのデータ破損の処理」を参照してください。
テナント外でのファイルのコピー
次の方法で、ランサムウェア攻撃者がテナント外でファイルをコピーするのを防ぐことが可能です。
Microsoft Purview データ損失防止 (DLP) ポリシー
データの危険な共有、偶発的な共有、不適切な共有を検出し、警告し、ブロックします。
そのデータには、地域のプライバシー規制を遵守するための個人識別情報 (PII) などの個人情報が含まれます。
秘密度ラベルに基づく組織の機密情報。
Microsoft Defender for Cloud Apps
ファイルなどの機密情報のダウンロードをブロックします。
また、Defender for Cloud Apps Conditional Access App Control を使用して、ユーザーとアプリケーション間の情報のフローをリアルタイムで監視することもできます。
このソリューションの機能
このソリューションでは、Microsoft 365 の保護と軽減機能、構成、および継続的な操作を展開して、ランサムウェア攻撃者が Microsoft 365 テナント内の重要なデータを使用し、身代金要求に対して組織を保持する能力を最小限に抑える手順を実行します。
このソリューションの手順は次のとおりです。
Microsoft 365 テナント用にデプロイされたソリューションの 5 つの手順を次に示します。
このソリューションでは、ゼロ トラストの原則を使用します。
- 明示的に確認する: 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。
- 最低限の特権アクセスを使用する: Just-In-Time および Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、データ保護を使用してユーザー アクセスを制限します。
- 違反を想定する: 影響範囲とセグメント アクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。
組織のファイアウォールの背後にあるすべてを信頼する従来のイントラネット アクセスとは異なり、ゼロ トラストは、組織のファイアウォールの背後またはインターネット上の各サインインとアクセスを、管理されていないネットワークからのもののように処理します。 ゼロ トラストでは、ネットワーク、インフラストラクチャ、ID、エンドポイント、アプリ、データを保護する必要があります。
Microsoft 365 の機能と機能
ランサムウェア攻撃から Microsoft 365 テナントを保護するには、このソリューションの手順用の Microsoft 365 の能力と機能を使用します。
1. セキュリティ基準
機能 | 説明 | 役立ちます... | ライセンス |
---|---|---|---|
Microsoft セキュア スコア | Microsoft 365 テナントのセキュリティの姿勢を測定します。 | セキュリティ構成を評価し、改善点を提案します。 | Microsoft 365 E3 または Microsoft 365 E5 |
攻撃面の減少ルール | さまざまな構成設定を使用して、サイバー攻撃に対する組織の脆弱性を軽減します。 | 疑わしいアクティビティと脆弱なコンテンツをブロックします。 | Microsoft 365 E3 または Microsoft 365 E5 |
Exchange のメール設定 | メール ベースの攻撃に対する組織の脆弱性を軽減するサービスを有効にします。 | フィッシングなどのメール ベースの攻撃を通じてテナントへの初期アクセスを防止します。 | Microsoft 365 E3 または Microsoft 365 E5 |
Microsoft Windows、Microsoft Edge、およびMicrosoft 365 Apps for Enterprise の設定 | 広く知られ、証明済の業界標準のセキュリティ構成を提供します。 | Windows、Edge、Microsoft 365 Apps for Enterprise による攻撃を防ぎます。 | Microsoft 365 E3 または Microsoft 365 E5 |
2. 検出と応答
機能 | 説明 | 検出と応答に役立ちます... | ライセンス |
---|---|---|---|
Microsoft Defender XDR | シグナルを統合し、機能を単一のソリューションに調整します。 セキュリティ担当者が脅威シグナルを結合し、脅威の範囲と影響を完全に特定できるようにします。 攻撃を防止または停止し、影響を受けるメールボックス、エンドポイント、およびユーザー ID を自己回復するためのアクションを自動化します。 |
インシデント。これは、攻撃を構成するアラートとデータを組み合わせたものです。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
Microsoft Defender for Identity | クラウドベースのセキュリティ インターフェイスを使用して、組織に向けられた高度な脅威、侵害された ID、悪意のあるインサイダー アクションを識別、検出、調査するには、オンプレミスの Active Directory Domain Services (AD DS) シグナルを使用します。 | AD DS アカウントの資格情報の侵害。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
Microsoft Defender for Office 365 | メール メッセージ、リンク (URL)、共同作業ツールによってもたらされる悪意のある脅威から組織を保護します。 マルウェア、フィッシング、スプーフィング、その他の攻撃の種類に対する保護。 |
フィッシング攻撃。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
Microsoft Defender for Endpoint | エンドポイント (デバイス) 全体の高度な脅威の検出と対応を可能にします。 | マルウェアのインストールとデバイスの侵害。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
Microsoft Entra ID 保護 | ID ベースのリスクの検出と修復と、それらのリスクの調査を自動化します。 | Microsoft Entra アカウントと特権エスカレーションに対する資格情報の侵害。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
Defender for Cloud Apps | Microsoft とサードパーティのすべてのクラウド サービスを対象に、検出、調査、ガバナンスを行うクラウド アクセス セキュリティ ブローカー。 | 横方向の動きとデータ流出。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
3. ID
機能 | 説明 | 予防に役立ちます... | ライセンス |
---|---|---|---|
Microsoft Entraパスワード保護 | 共通のリストとカスタム エントリからのパスワードをブロックします。 | クラウドまたはオンプレミスのユーザー アカウントのパスワードの決定。 | Microsoft 365 E3 または Microsoft 365 E5 |
条件付きアクセスが適用されている MFA | 条件付きアクセス ポリシーを使用したサインインのプロパティに基づいて MFA を要求します。 | 資格情報の侵害とアクセス。 | Microsoft 365 E3 または Microsoft 365 E5 |
リスクベースの条件付きアクセスが適用されている MFA | Microsoft Entra ID 保護を使用したユーザー サインインのリスクに基づいて MFA を要求します。 | 資格情報の侵害とアクセス。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
4. デバイス
デバイスとアプリの管理
機能 | 説明 | 予防に役立ちます... | ライセンス |
---|---|---|---|
Microsoft Intune | デバイスと、デバイス上で実行されるアプリケーションを管理します。 | デバイスまたはアプリの侵害とアクセス。 | Microsoft 365 E3 または E5 |
Windows 11 または 10 デバイス用:
機能 | 説明 | 役立ちます... | ライセンス |
---|---|---|---|
Microsoft Defender ファイアウォール | ホスト ベースのファイアウォールを提供します。 | 受信、未承諾のネットワーク トラフィックからの攻撃を防ぎます。 | Microsoft 365 E3 または Microsoft 365 E5 |
Microsoft Defender ウイルス対策 | 機械学習、ビッグ データ分析、詳細な脅威耐性調査、Microsoft クラウド インフラストラクチャを使用したデバイス (エンドポイント) のマルウェア対策保護を提供します。 | マルウェアのインストールと実行を防止します。 | Microsoft 365 E3 または Microsoft 365 E5 |
Microsoft Defender SmartScreen | フィッシングやマルウェアの Web サイトやアプリケーション、悪意のある可能性のあるファイルのダウンロードから保護します。 | サイト、ダウンロード、アプリ、ファイルを確認するときにブロックまたは警告を表示します。 | Microsoft 365 E3 または Microsoft 365 E5 |
Microsoft Defender for Endpoint | デバイス (エンドポイント) 間の高度な脅威を防止、検出、調査、および対応するのに役立ちます。 | ネットワーク改ざんから保護します。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
5. 情報
機能 | 説明 | 役立ちます... | ライセンス |
---|---|---|---|
コントロールされたフォルダー アクセス | 既知の信頼できるアプリの一覧に対してアプリをチェックしてデータを保護します。 | ファイルがランサムウェアによって変更または暗号化されないようにします。 | Microsoft 365 E3 または Microsoft 365 E5 |
Microsoft Purview Information Protection | 身代金要求の対象となっている情報に対して、秘密度ラベルの適用が可能 | 流出した情報の使用を防ぎます。 | Microsoft 365 E3 または Microsoft 365 E5 |
データ損失防止 (DLP) | 機密データを保護し、ユーザーによる不適切な共有を防止することでリスクを軽減します。 | データ流出を防止する | Microsoft 365 E3 または Microsoft 365 E5 |
Defender for Cloud Apps | 検出、調査、ガバナンスのためのクラウド アクセス セキュリティ ブローカー。 | 横方向の動きを検出し、データ流出を防ぎます。 | Microsoft 365 E5 セキュリティ アドオン付きのMicrosoft 365 E5 または Microsoft 365 E3 |
ユーザーへの影響と変更管理
追加のセキュリティ機能を展開し、Microsoft 365 テナントの要件とセキュリティ ポリシーを実装すると、ユーザーに影響を与える可能性があります。
たとえば、組織内のすべてのユーザーのチームをより簡単に作成するのではなく、ユーザー アカウントの一覧をメンバーとして使用して、特定の用途に対して新しいチームを作成する必要がある新しいセキュリティ ポリシーを適用できます。 これにより、ランサムウェア攻撃者が攻撃者の侵害されたユーザー アカウントで利用できないチームを探索し、その後の攻撃でそのチームのリソースをターゲットにすることを予防する助けとなります。
この基礎ソリューションは、必要な変更管理を実行するために、新しい構成や推奨されるセキュリティ ポリシーがユーザーに影響を与える可能性がある場合を識別します。
次の手順
次の手順を使用して、Microsoft 365 テナントの包括的な保護を展開します。
その他のランサムウェア リソース
Microsoft の主な情報:
- ランサムウェアの脅威の増大、2021 年 7月 20 日付け Microsoft On the Issues のブログ投稿
- 人が操作するランサムウェア
- ランサムウェア防止を迅速に展開する
- 2021 Microsoft Digital Defense Report (10- 19 ページを参照ください)
- ランサムウェア: Microsoft Defender ポータルの広範かつ継続的な脅威分析レポート
- Microsoft 検出対応チーム (DART) ランサムウェアのアプローチとベスト プラクティスおよびケース スタディ
Microsoft 365:
- Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
- ランサムウェア インシデント対応プレイブック
- マルウェアと ランサムウェアからの保護
- ランサムウェアから Windows 10 PC を保護する
- SharePoint Online でのランサムウェアの処理
- Microsoft Defender ポータルでのランサムウェアの脅威分析レポート
Microsoft Defender XDR:
Microsoft Azure
- ランサムウェア攻撃に対する Azure 防御
- Azure と Microsoft 365 を使用してランサムウェアの回復性を最大化する
- ランサムウェアから保護するためのバックアップと復元の計画
- Microsoft Azure バックアップを使用してランサムウェアから保護する (26 分のビデオ)
- 体系的な ID 侵害からの回復
- Microsoft Sentinel での高度な多段階攻撃検出
- Microsoft Sentinel でのランサムウェアのフュージョン検出
Microsoft Defender for Cloud Apps
Microsoft Security チームのブログ投稿:
人が操作するランサムウェアの対策ガイド: パート 1 (2021 年 9 月)
Microsoft の検出対応チーム (DART) がランサムウェア インシデント調査を実施する方法に関する重要な手順。
人が操作するランサムウェアの対策ガイド: パート 2 (2021 年 9 月)
推奨事項とベスト プラクティス。
サイバーセキュリティ リスクを理解することで回復力を高める パート 4—現在の脅威をナビゲートする(2021 年 5 月)
「ランサムウェア」セクションを参照 してください。
人が操作するランサムウェア攻撃: 予防可能な災害 (2020 年 3 月)
実際の攻撃の攻撃チェーン分析が含まれます。