- ライター:渥美 淳一
- セキュリティアーキテクトとして活動。変革し続けるニーズからセキュリティのあるべき姿を見極める。セキュリティには統合されたアイデンティティ基盤が欠かせないと考えている。
目次
みなさん、こんにちは。
ウニの牛肉巻き、一度思い浮かべたらもう止まらないですよね?
食べたことないけど。
独立行政法人 情報処理推進機構の「情報セキュリティ10大脅威 2019」によると、内部不正による情報漏えいが5位、不注意による情報漏えいが10位にランクアップしていて、足せば1位を目指せるんじゃないか?と思う今日この頃、いかがお過ごしですか?
前回は、誰が、どのようなクラウドサービスを、どのように利用しているのかを把握できるセキュリティを紹介しました。
このCASBサービスにより、組織が許可していないクラウドサービスが使われているかどうかを「見える化」できます。ただし、CASBサービスを使っても組織が許可していないクラウドサービスを悪用できてしまう例があります。その一例が「Office 365」です。
Office 365を利用している組織の従業員が、さらに自身で契約した個人用のOffice 365も利用している場合があります。Office 365は、クライアントとの間に多くの通信セッションを接続してデータをやりとりします。これによりスムーズな通信を提供していますが、組織内から個人用のOffice 365を使われてしまうと、ファイアウォールなど経由するネットワーク機器の処理負荷を増やしたり、インターネット回線を圧迫する問題が心配されます。
もうひとつ問題があります。Office 365の窓口(URL)が世界共通であることです。
Office 365を契約しますと、専用の環境(テナント)が割り当てられます。このテナントはURLでは区別できませんので、組織のファイアウォールなどでOffice 365のURLを許可しますと、個人のテナントを含むすべてのOffice 365テナントにアクセスできてしまいます!
組織内に悪意ある者がいた場合、個人のテナントのクラウドストレージサービス(OneDrive)などを悪用して、組織内のデータを外部に流出させようとする恐れがあります。もしCASBサービスを使っていたとしても、Office 365のテナントの区別は困難です。胃がイタイ。
そこで生まれたのが「テナント制限」というセキュリティです!
これは、Office 365にログインするタイミングで、組織が許可していないテナントへのアクセスを拒否します。
テナント制限するためには、組織のテナントのみ許可するHTTPヘッダーを挿入できる機器が必要です。ただしOffice 365通信は暗号化されていますので、それを復号する(HTTPSをHTTPにする)機器も必要になります。最近の次世代ファイアウォールはどちらもできますし、さらに暗号化通信に潜む脅威から組織を守ることもできます。
Office 365側は届いたログイン要求に含まれるHTTPヘッダーを確認します。図にあります「XX.onmicrosoft.com」のみがHTTPヘッダーに含まれていますので、このテナントのユーザーアカウント(例えばuser@XX.co.jp)のログインは成功します。それ以外のテナントのユーザーアカウント(例えばuser@PP.com)のログインは拒否されるようになります。
なんと、実はこの技術、2017年2月から使えるようになりました。ログイン時、つまり最初の段階で拒否できますので、個人用のOffice 365を使われることで心配されていたネットワーク機器の処理負荷やインターネット回線の圧迫という問題も解決されます!組織においては組織のOffice 365だけ使えるようにすることで、健康で文化的な最高のクラウド利活用をしましょう!
私たちネットワンシステムズは、お客様の大切なモノを守るために、世の中に数多あるセキュリティ対策の中から、信頼のおけるものを調査し、検討し、検証し、比較し、導入、設計、構築、運用に深く携わることで経験とノウハウを積み重ねてきました。
ウニのおかげで人生がより豊かになりました。
牛肉のおかげで晩ごはんがより楽しみになりました。
そんな両者の合体ワザですよ?くぅー!食べてみたい!この想い、妻に届け!
このブログでは、そういったエクスペリエンスを紹介していきたいと思います。長いような短いような人生、これからもお付き合いいただけますと幸いです。
※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。
