Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

【de:code 2020】 Microsoft 365 E5 を活用したセキュア リモート ワーク環境の構築

出社しないことが前提であり、リモート ワークが当たり前のように求められている昨今、リモート ワークにおける各種セキュリティ リスクに対して必要十分な対策とその実現方法について現実解を示し、Microsoft 365 E5 を活用することで、どのようにしてセキュアなリモート ワークが実現できるか紹介します。

Related Books

Free with a 30 day trial from Scribd

See all
  • Be the first to comment

【de:code 2020】 Microsoft 365 E5 を活用したセキュア リモート ワーク環境の構築

  1. 1. *本資料の内容 (添付文書、リンク先などを含む) は de:code 2020 における公開日時点のものであり、予告なく変更される場合があります。 #decode20 # Microsoft 365 E5 を活用した セキュア リモート ワーク環境の構築 S01 一瀬 幹泰 日本マイクロソフト株式会社 情報処理安全確保支援士 No.527 / CISSP No. 596997
  2. 2. 本セッションについて 対象者 課題 ゴール • Office 365 を利用してセキュアなリモート ワーク環境を構築もしくは 既存環境を刷新しようとしている IT 担当者および IT 意思決定者 • リモート ワークにおける各種セキュリティ リスクに対して必要十分な対策と その実現方法について現実解が見い出せていない • Microsoft 365 E5 を活用することで生産的かつセキュアな リモート ワーク環境が構築できることを理解いただく
  3. 3. セッション アジェンダ 1. 外部からの ID に対する攻撃への対策 2. 個人スマホも家庭 PC もセキュアにフル活用 3. コミュニケーション・コラボレーション環境の整備 4. クラウド ネイティブ ネットワークでの社給 PC の管理
  4. 4. 1. 外部からの ID に対する 攻撃への対策
  5. 5. 外部からの ID に対する攻撃の激化 96 億 2020 年 5 月時点での漏えいが 確認されている ID の総数 480 万件 2019 年 1 月に漏えいした 日本のファイル共有サービスでの ID/パスワード Password Spray 既知のユーザーリストに対して 一般的なパスワードを試す Breach Replay 他のサイトから盗んだ パスワードを試す Phishing ユーザーを騙して パスワードを入手する 53 万件 2020 年 4 月に漏えいした Web 会議システムでの ID/パスワード
  6. 6. 少なくとも 攻撃だけを止めるリスク ベース認証* 可能な限り • Office 365 ATP でのフィッシング対策* リモート ワークに ID 攻撃への対策は必須 *Microsoft 365 E5 機能 https://docs.microsoft.com/ja-jp/azure/active-directory/fundamentals/concept-fundamentals-security-defaults
  7. 7. ID の乗っ取りは多様素認証で 99.9% 防げる 通話応答 SMS への パスコード モバイルアプリ (iPhone, Android) 承認します か? 1 4 5 6 7 6 Windows Hello for Business FIDO2 セキュリティ キー
  8. 8. 2. 個人スマホも家庭 PC も セキュアにフル活用
  9. 9. 社給・個人に限らずスマホは積極活用 8 Microsoft Intune 対応アプリを隔離・ 暗号化しワイプ可能に 対応アプリのみ アクセス許可 MAM 対応アプリ その他アプリ 保存・コピー・ 共有を禁止 • ユーザーによる情報漏えいや端末紛失時のリスクを MAM で未然にブロック • デバイス管理 (MDM) の利用有無によらず利用可能 • 個人のスマホ (iOS/Android) にも適用可能でアプリ一覧や電話番号なども収集しない • MDATP モバイル版でマルウェアのスキャン・Web アクセスのチェック機能も提供予定* モバイル アプリケーション 管理機能(MAM) 条件付きアクセス *Microsoft 365 E5 機能 アプリ起動時 PIN を強制 Word/Excel/PowerPoint OneDrive/Outlook/Teams など
  10. 10. 家庭 PC へも制限の上サービスを提供 会社管理の PC 制限のなし Office 365 を制限なく利用 デバイスの管理状態に応じて Office 365 セッションを制御 Azure Active Directory 条件付きアクセス 管理されていない家庭の PC Office 365 を制限下で利用 制限されたセッション ・ブラウザからアクセスのみを許可 ・ファイルのダウンロード禁止もしくは暗号化強制 ・コピー・ペースト & 印刷を禁止 Microsoft Cloud App Security* ユーザー個人デバイスに対して ファイルのダウンロード等制限 *Microsoft 365 E5 機能 なお MCAS のセッション制限下でブラウザから Teams Web 会議に 参加した場合に UDP はプロキシを経由しないため品質の劣化なし
  11. 11. VPN やリバース プロキシ不要の社内 Web アプリの公開 https://app1/ アプリケーション プロキシ Azure AD での認証、アクセス制御、SSO や MCAS* によるダウンロード制御も可能 https://app1-contoso. msappproxy.net/ *Microsoft 365 E5 機能 常時稼働の社内サーバーにコネクタを構成するだけ DMZ へのサーバー配置やサーバー証明書不要
  12. 12. 家庭 PC 上の企業データを Windows Information Protection で保護 WIP 対応アプリ 企業管理のデータは EFS で暗号化 Windows 10 Home Edition にも WIP MAM のポリシーは有効 条件付きアクセスでデバイス毎の 利用規約の同意を要求 Microsoft Intune デバイス毎の利用規約の同意でデバイスの Azure AD 登録が必須となり登録と共に、 WIP MAM のポリシーが適用される 企業領域からダウンロードしたファイルは、 企業管理として扱われる 管理外の クラウド 企業管理のファイルは、WIP 対応アプリでのみ アクセスでき管理外への保存はブロックされる 保存・コピー・ 共有を禁止 Teams クライアントも 2020 年 5 月初週の 1.3.00.12058 ビルドで WIP に対応
  13. 13. Windows Information Protection の注意事項 MCAS* *Microsoft 365 E5 機能
  14. 14. 3. コミュニケーション・ コラボレーション環境の整備
  15. 15. Teams で高品質テレワーク環境をクイックに提供 ファイル共有 バーチャル オフィス プレゼンス(在籍確認) ビデオ会議 & 音声通話 ワークフロー テレワークには複合的なツールが必要 平成 30 年度総務省『情報通信白書』より https://www.soumu.go.jp/johotsusintokei/whitepaper/h30.html
  16. 16. Teams 会議の電話での代替 Teams Web 会議 Web会議 電話番号で招待* 会議用電話番号 日本:03-XXXX-YYYY アメリカ等:XXX-YYYY-XXXX ダイヤル イン* ダイヤル アウト* 国内・海外の外線電話ユーザー 電話から会議に参加* 音声だけ外線併用も可 ダイヤル イン* *Microsoft 365 E5 機能
  17. 17. Teams に電話発着信を統合しコミュニケーションの可用性を確保 固定 電話 会社 携帯 個人 携帯 複数デバイスで共通の電話番号* *Microsoft 365 E5 機能+電話回線 会社 家 出先 場所に依存せず最適なデバイスで通話* 複数コミュニケーションを一つのツールで* 電話 チャット Web 会議 物理会議電話会議
  18. 18. VPN 環境での Teams 音声品質の改善 VPN 接続 持ち出し 社給 PC Teams 少なくとも Teams の UDP 通信を スプリット トンネル 参考 Office 365 の URL と IP アドレスの範囲 13.107.64.0/18, 52.112.0.0/14, 52.120.0.0/14 との UDP 3478 ~ 3481 の In/Out が リアルタイム コミュニケーションの最適化に必須 他クラウド プロキシ スプリット トンネル実装 (VPN に依存) 方法 1. Teams の IP アドレス/URL を VPN 対象から除外 方法 2. 社内の IP レンジのみを VPN 対象に設定
  19. 19. 所在に依存しない情報の保護 所在によらず 自動で暗号化* × 機密情報・個人情報の 所在を明確にした上で、 不正利用時は失効* ファイル埋め込みの対策で *Microsoft 365 E5 機能
  20. 20. Office 365 でのファイル暗号化と生産性の両立 Office や Office for the web でファイル 保存時にラベルを 適用もしくは推奨可能* ラベルで暗号化された ファイルも Office for the web で共同編集 *Microsoft 365 E5 機能 ルールに応じてOffice 365 内のファイルを自動で分類しラベルを適用し保護可能*
  21. 21. 4. クラウド ネイティブ ネットワークでの社給 PC の管理
  22. 22. 社内ネットワークに依存しない クラウド ネイティブ ネットワーク クラウド + =企業システム エンドポイント 社内ネットワークはもはや不要
  23. 23. ご参考: 日本マイクロソフト社内環境 クラウド 社内でも Auto-VPN プリンタやレガシー システム 利用時だけ VPN を利用 インターネット直結 の高速 Wi-Fi 社給モバイル ルーター+社給 SIM 03 から始まる個人直通電話も 発着信可能 フリー アドレス
  24. 24. 端末組み込みでネットワーク制御 Microsoft Defender ATP* Microsoft Cloud App Security* インターネット アクセスを直接監視・制御 *Microsoft 365 E5 機能
  25. 25. 内部不正を監視する内部リスクの管理* Office 365 でのデータ損失防止のポリシー違反、PC 上での操作、別途 CSV で取り込む退職日・最終出社日などの 人事情報を元に、ファイル共有や、PC 側の印刷・USB の書き出しなどで情報漏えいが疑われる操作を記録し、 リスクに応じて優先順位を付けてダッシュボードで管理 https://docs.microsoft.com/ja-jp/microsoft-365/compliance/insider-risk-management *Microsoft 365 E5 機能 端末側の印刷、USB への 書き込みなど含めて 機密情報・個人情報等 の扱いに関する疑わしい 操作を記録・警告
  26. 26. 適切ではないコミュニケーションの監視* 事前定義したキーワードや 条件で、メール・チャットの コミュニケーションを監視し監査 ハラスメント・過労・違法な業務 命令・カルテル等の談合などの 兆候を見つけて対処 https://docs.microsoft.com/ja-jp/microsoft-365/compliance/communication-compliance *Microsoft 365 E5 機能
  27. 27. セキュリティをシンプルにする効果 Microsoft 365 E5 で、1 ユーザーにつき年間 $106 のセキュリティ製品の 置き換え、および $426 のセキュリティ維持・対応コストの削減が可能 Forrester Total Economic Impact™ Of The Microsoft 365 E5 Solutions (2018 年 10 月) 物事を複雑にする投資より、物事をシンプルにするための投資は、 はるかに副次効果が高く、常に考慮されるべきである by ヨシヒロ イチノセ クラウドエンドポイント + = 企業システム
  28. 28. まとめ
  29. 29. M365 E5 で実現出来る安全なリモートワーク 45 New Intune MAM Policy MCAS Session Control
  30. 30. Microsoft Learn おすすめコンテンツ セキュア リモート ワーク窓口 https://www.microsoft.com/ja-jp/biz/security/remote-work.aspx セキュア リモート ワーク セットアップ ガイド https://www.microsoft.com/cms/api/am/binary/RE4qL00
  31. 31. © 2018 Microsoft Corporation. All rights reserved. 本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。 © 2020 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、公開日時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。

×