JPC2017 [D4] Microsoft 365 が実現するデジタル時代のセキュリティ

1. Microsoft 365 が実現する
デジタル時代のセキュリティ
加藤 寛二
CISSP
日本マイクロソフト株式会社
マイクロソフトテクノロジーセンター
ID:D4

3. マイクロソフトのアプローチ

6. 100+
データ
センター
40
Azure
リージョン
200万
マイル
DC間ファイバー
72+
テラバイト/秒
バックボーン
100万+
サーバー

13. | 20
Microsoft Cyber Defense Operations Center
• マイクロソフトのクラウドインフラ、サービス、
製品、デバイスを24時間365日保護
• 人、テクノロジー、分析作業を統合する中枢機関
• 世界トップクラスのセキュリティ保護、検知、
対応を実施
• セキュリティ専門家とデータサイエンティスト
• マイクロソフト内の3500人を超えるセキュリティ
専門家と連携
• マイクロソフトリサーチ（研究開発部門）や
Security Development Lifecycle チームとの
密な連携

15. App and Data
SaaS
Malware Protection
Center (MMPC)
Cyber Hunting Teams
Security Response
Center (MSRC)
Device
CERTおよび
その他のパートナー
Infrastructure
ウイルス対策
ネットワーク
PaaS IaaS
ID
インテリジェント セキュリティ グラフ
Cyber Defense
Operations
Center (CDOC) 法執行機関
Digital Crime Unit
(DCU)

17. Detect
ターゲットの情報、行動の
監視、機械学習を利用
Respond
検出からアクションまでの時間を短縮
Protect
センサーからデータセン
ターまですべての
エンドポイントを保護
拡大する脅威への対応
マイクロソフトのセキュリティ体制

18. Microsoft 365 の
セキュリティソリューション

22. Office 365 Enterprise
Chat- centric workspace
Email & Calendar
Voice, Video & Meetings
Office applications/ co-authoring
Sites & Content Management
Analytics
Advanced Security & Compliance
Enterprise Mobility+ Security
Identity & Access Management
Managed Mobile Productivity
Information Protection
Identity Driven Security
Windows 10 Enterprise
Advanced Endpoint Security
Designed For Modern IT
More Productive
Powerful, Modern devices
Microsoft 365 Enterprise

24. Azure Information Protection
Office 365 Data Loss Prevention
Windows Information Protection
Microsoft Cloud App Security
Microsoft Intune
Advanced Threat Analytics
Windows Defender
Advanced Threat Protection
Office 365 Advanced Threat
Protection
Office 365 Threat Intelligence
Office 365 Security Center
Windows Defender Security Center

25. オンプレミス /
プライベートクラウド
デバイス データユーザー アプリ
エンタープライズ環境の
変化

26. オンプレミス /
プライベートクラウド
クラウドアプリ & SAAS

27. モバイル＆パーソナルデバイス
オンプレミス /
プライベートクラウド

28. 組織＆ソーシャルID
オンプレミス /
プライベートクラウド

29. オンプレミス /
プライベートクラウド
Azure Active Directory

30. デバイスとアプリへの
シンプルなアクセス
フロントドアでの
保護
資格情報の保護
ID & アクセス管理
アプリとデータ利用に伴う認証と保護

31. セルフサービス シングル
サインオン
•••••••••••
ユーザー名
単一の ID で Office 365 や SaaS アプリを利用
シンプルな接続
クラウド
SaaS
Azure
Office 365パブリック
クラウド
その他の
ディレクトリ
Windows Server
Active Directory
オンプレミス Microsoft Azure Active Directory
 オンプレミスのディレクトリと Azure Active Directory を接続して同期

32. 条件
特権ユーザー?
漏洩した資格情報?
重要アプリへのアクセス?
管理外のデバイス?
マルウェア検知?
ボットネットのIP?
あり得ない移動?
匿名クライアント?
High
Medium
Low
User risk
10TB
毎日
制御
多要素認証の要求
アクセス許可
アクセス拒否
パスワード強制リセット
******
アクセス制限
High
Medium
Low
Session risk
AZURE AD
条件付きアクセス

33. 膨大な情報から得られた比類ない知見、
マイクロソフトのセキュリティサービス
全般で活用
POWERED BY THE
INTELLIGENT SECURITY
GRAPH
4500億
毎月の認証数
180億
Bingによる
ウェブページスキャン
7.5億+
Azure
アカウント
エンタープライズ
セキュリティ
90%
Fortune 500
マルウェアデータ
Windows
Defender
脅威データ共有
パートナー
リサーチャー
法執行機関
ボットネットデータ
Microsoft Digital
Crime Unit
12億
スキャンされる
デバイス数/月
4000億
Eメールの分析
200+
グローバル
クラウドサービス

34. WINDOWS HELLO FOR BUSINESS Windows Hello Companion
Device Framework
Phone Wearable
USB Card
• 生体認証
• FIDO 2.0 準拠
• AD,Azure ADで管理

35. 資格情報の保護（Windows Credential Gurad）
攻撃者が端末に侵入後、資格情報を盗み取られ、
あらゆるシステムに侵入がされてしまう
アプリケーション
Windows
1. 1 台のマシンから
トークンを奪取
2. 奪取したトークンで
他のマシンへアクセス
3. 繰り返し
資格情報はOSのカーネルに
格納されている
→ 奪取されてしまう
攻撃者
マルウェア感染がされても資格情報の盗難を防
ぐことができる
Pass the Hash 攻撃を防ぎ、攻撃者が他のシステ
ムにアクセスすることを制御可能
資格情報はOSとは別のカー
ネルに格納することによっ
て資格情報の盗難を防ぐ
攻撃者
アプリケーション
Local
Security
AuthService
VirtualTPM
Hyper-Visor
Code
Integrity
Virtual Secure
Mode (VSM) Windows
従来の問題点 Windows 10 のメリット

36. Credential
Guard Off
Credential
Guard On

37. Demo
IDとアクセス管理

38. 侵入
不正ファイルやリンク
をPCでオープン
2
A
マルウェア
攻撃
パスワード/ハッシュ ダンプ
3
攻撃者は資格情報を
感染システムから
入手
コマンド＆
コントロール
偽サイトに誘導し、
資格情報を入手 2
4
盗んだ資格情報を使って
ネットワーク内を移動
資格情報侵害
目的達成
5
侵害されたデバイスやアカウン
トから重要情報を入手
48 Hours 200+ Days
PII
データ漏洩
従業員を狙った標的型攻撃1
フィッシング
3
盗んだ資格情報を使っ
てサービスにアクセス
資格情報搾取

39. 侵入
不正ファイルやリンク
をPCでオープン
2
A
マルウェア
攻撃
パスワード/ハッシュ ダンプ
3
攻撃者は資格情報を
感染システムから
入手
コマンド＆
コントロール
偽サイトに誘導し、
資格情報を入手 2
4
盗んだ資格情報を使って
ネットワーク内を移動
資格情報侵害
目的達成
5
侵害されたデバイスやアカウン
トから重要情報を入手
48 Hours 200+ Days
PII
データ漏洩
従業員を狙った標的型攻撃1
フィッシング
3
盗んだ資格情報を使っ
てサービスにアクセス
Windows Credential Guard
Windows Hello
Conditional Access

41. Azure Information Protection
Office 365 Data Loss Prevention
Windows Information Protection
Microsoft Cloud App Security
Microsoft Intune
Azure Active Directory
Conditional Access
Windows Hello
Windows Credential Guard
Office 365 Security Center
Windows Defender Security Center
Operations Management Suite

42. 高度な攻撃からの保護、侵害時の迅速な検知と対応
PROTECT
高度なサイバー攻撃か
ら組織を保護
RESPOND
脅威への迅速な対応
DETECT
悪意ある活動を検知

45. Office 365 Threat IntelligenceAzure Active Directory
OPERATIONS MANAGEMENT
SUITE

46. 資格情報への攻撃・侵害を検出するためのオンプレミスソリューション
行動分析 既知の攻撃と
問題の検出
通常行動
VS
異常行動
デジタル
フォレンジック
高度な脅威の
検出
ATA

47. 6565

48. 6666

49. 6767

50. 6868

51. Office 365 Advanced Threat Protection (ATP)
安全
複数のフィルター
＋
Exchange Online Protection
悪意のあるリンク
受信者
安全なリンクへ書き換え
危険
スパムの疑いのある
添付ファイル
サンドボックス
Executable?
Registry call?
Elevation?
……?
送信者
ゼロデイ攻撃に対抗した特徴を備える Office 365 の新しい機能
- Safe Attachments や Safe Links -

52. Microsoft Cloud App Security (CAS)
検出と可視化
Discovery
制御と
データの保護
App Connector
IT 管理者
クラウドサービスを可視化し、ポリシーを適用、制御

53. 71

55. 73

56. 74

57. 75

58. Windows Defender Advanced Threat Protection (ATP)
クラウドベースのふるまい検知 (EDR) 製品
管理者
収集したデータを
クラウドに送信
ポータルで
現状の把握 専用のテナント
蓄積された Knowledge の活用
Windows
Defender ATP
Security Information and
Event Management (SIEM)
常駐のセンサーでクライアントの情報を収集
例）
プロセッサー、レジストリ、ファイル、
ネットワーク
クライアント

59. 77

60. 78

61. 79

62. 侵入
不正ファイルやリンク
をPCでオープン
2
A
マルウェア
攻撃
パスワード/ハッシュ ダンプ
3
攻撃者は資格情報を
感染システムから
入手
コマンド＆
コントロール
偽サイトに誘導し、
資格情報を入手 2
4
盗んだ資格情報を使って
ネットワーク内を移動
資格情報侵害
目的達成
5
侵害されたデバイスやアカウン
トから重要情報を入手
48 Hours 200+ Days
PII
データ漏洩
従業員を狙った標的型攻撃1
フィッシング
3
盗んだ資格情報を使っ
てサービスにアクセス
Advanced Threat Analytics
Windows Defender ATPOffice 365 Advanced
Threat Protection
Cloud App Security

64. Advanced Threat Analytics
Windows Defender
Advanced Threat Protection
Office 365 Advanced Threat
Protection
Office 365 Threat Intelligence
Azure Active Directory
Conditional Access
Windows Hello
Windows Credential Guard
Office 365 Security Center
Windows Defender Security Center

65. 情報保護
検出 保護分類 監視
ク ラ ウ ドデ バ イ ス オ ン プ レ ミ ス
機密データをライフサイクル全体で保護 – 組織内外

66. 情報保護
検出 保護分類 監視
機密データをライフサイクル全体で保護 – 組織内外
ポリシーに基づいて
機密情報を検出
重要度に応じて
データを
分類、ラベル付け
暗号化、アクセス制限
などによる保護の適用
レポート、アラート、
修正

67. 情報保護
機密データをライフサイクル全体で保護 – 組織内外
PC, タブレット, モバイル
Office 365 DLP
Windows Information Protection
& BitLocker for Windows 10
Azure Information Protection
Exchange Online,
SharePoint Online &
OneDrive for Business
機密データ
Intune MDM & MAM for
iOS & Android
Microsoft Cloud App Security
Office 365 Advanced Data Governance
データセンターAzure 3rd-Party SaaS
O F F I C E 3 6 5デ バ イ ス ク ラ ウ ド ア プ リ , S A A S
オ ン プ レ ミ ス

68. 情報保護
機密データをライフサイクル全体で保護 – 組織内外
PC, タブレット, モバイル
Office 365 DLP
Windows Information Protection
& BitLocker for Windows 10
Azure Information Protection
Exchange Online,
SharePoint Online &
OneDrive for Business
機密データ
Intune MDM & MAM for
iOS & Android
Microsoft Cloud App Security
Office 365 Advanced Data Governance
データセンターAzure 3rd-Party SaaS
O F F I C E 3 6 5デ バ イ ス ク ラ ウ ド ア プ リ , S A A S
オ ン プ レ ミ ス

69. モバイルデバイスの管理
(MDM)
モバイルアプリの管理
(MAM)
デバイスのセキュリティポリシー
アプリのセキュリティポリシー

70. → コピー/切り取り/貼り付け/保存などの操作を制限
個人用アプリ
管理対象アプリ
Intune の管理対象アプリと非管理対象アプリ間での
コピー/切り取り/貼り付け/保存などの操作を制限することで、
企業データの漏洩を防ぎつつ生産性を最大化
ユーザー
アプリ

71. Video
Intune によるアプリ制御

73. ドキュメントの
追跡
ドキュメントへの
アクセスの無効化
監視と対応
ラベル付け分類
分類と
ラベル付け
暗号化
データ保護
アクセス制御 ポリシーの適用
Azure Information Protection
Azure Rights Management Serviceの拡張

74. Azure Rights Management Service
• コンテンツを暗号化で保護し、Azure ADで認証、「誰に」「どの権限を」「いつまで」付与するかを定義
• Office 形式のファイルに加え、PDF や テキストなどのファイルフォーマットの保護にも対応
• マルチプラットフォーム対応
権限を持たない
ユーザーの不正利用をブロック
紛失 / 盗難といった
リスクから保護
コンテンツは暗号化 利用には認証が必要
Azure RMS
専用ポータルから
保護コンテンツ利用
追跡可能
Azure RMS

75. Demo
Azure Information Protection による情報のラベル付けと暗号化
Cloud App Security による情報流出検知

76. 侵入
不正ファイルやリンク
をPCでオープン
2
A
マルウェア
攻撃
パスワード/ハッシュ ダンプ
3
攻撃者は資格情報を
感染システムから
入手
コマンド＆
コントロール
偽サイトに誘導し、
資格情報を入手 2
4
盗んだ資格情報を使って
ネットワーク内を移動
資格情報侵害
目的達成
5
侵害されたデバイスやアカウン
トから重要情報を入手
48 Hours 200+ Days
PII
データ漏洩
従業員を狙った標的型攻撃1
フィッシング
3
盗んだ資格情報を使っ
てサービスにアクセス
Azure Information Protection
Intune Cloud App Security
Intune

77. 包括的なセキュリティ体制によるお客様環境の保護
App and Data
SaaS
Malware Protection
Center (MMPC)
Cyber Hunting Teams
Security Response
Center (MSRC)
Device
CERTおよび
その他のパートナー
Infrastructure
ウイルス対策
ネットワーク
PaaS IaaS
ID
インテリジェント セキュリティ グラフ
Cyber Defense
Operations
Center (CDOC) 法執行機関
Digital Crime Unit
(DCU)
IDの統合や保護 アプリのセキュリティや
データの保護
インフラのセキュリティ
確保
セキュアな
モバイルやデバイス利用

78. Combined Microsoft Stack:
Maximize detection coverage throughout the attack stages
ウェブサイトへの
アクセス
http://
プログラムの
実行
Office 365 ATP Advanced Threat AnalyticsWindows Defender ATP
不正なメールの検知 不正な資格情報
利用の検知
端末上での
不正な振る舞いの検知
メールの
受信
添付ファイル
を開く
URL をクリック 攻略行為 マルウェアの
インストール
攻撃者の
サーバーへ接続
持続性 権限の昇格 偵察 横方向の移動
リソースへの
アクセス
Microsoft 365 での多層型検知

79. 侵入
不正ファイルやリンク
をPCでオープン
2
A
マルウェア
攻撃
パスワード/ハッシュ ダンプ
3
攻撃者は資格情報を
感染システムから
入手
コマンド＆
コントロール
偽サイトに誘導し、
資格情報を入手 2
4
盗んだ資格情報を使って
ネットワーク内を移動
資格情報侵害
目的達成
5
侵害されたデバイスやアカウン
トから重要情報を入手
48 Hours 200+ Days
PII
データ漏洩
従業員を狙った標的型攻撃1
フィッシング
3
盗んだ資格情報を使っ
てサービスにアクセス
Windows Defender ATP
Intune
Intune
Azure Information Protection
Office 365 Advanced
Threat Protection
Cloud App Security
Advanced Threat Analytics
Credential Guard
Windows Hello
Conditional Access

82. マイクロソフトとラック、クラウド時代の新セキュリティ対策実現に向けた
「ID-based Security イニシアティブ」を発足
■コミュニティサイト : https://id-bsi.connpass.com/