「M365の設定が甘すぎる」 政府が定めた規制とは

クラウドアプリケーションは便利だが、きちんと設定しないとサイバー攻撃の標的になってしまう。そこで政府が規制に乗り出した。

[Matt Kapko，Cybersecurity Dive]

　「Microsoft 365」は企業で広く利用されており、SaaSアプリケーションとしても成功している。そのため、サイバー攻撃の対象になりやすい。

　サイバー攻撃者が狙うMicrosoft 365環境はどのようなものだろうか。攻撃されることを予想していない環境はもちろん、設定が甘い環境だ。

M365の設定が甘すぎる　政府が定めた規制とは

　このような状況を受けて、政府が規制に乗り出した。規制の内容はどうなっているのだろうか。

　規制に乗り出したのは米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）だ。2024年12月17日に拘束力を伴う運用命令を発表し、民間企業に対して、「Microsoft 365」の環境に関する設定基準を満たすよう命じた。SaaSアプリケーション環境に対する命令のため、日本企業も影響を受ける。

　CISAでサイバーセキュリティを担当するマット・ハートマン氏（副エグゼクティブアシスタントディレクター）は、2024年12月17日に開催された記者会見で「昨今の幾つかのサイバーセキュリティインシデントでは、クラウド環境のセキュリティコントロールが不適切だったことが原因だ」と述べた。

　CISAの命令は民間企業に対し、2025年2月21日までにMicrosoft 365の環境で稼働する全てのクラウドテナントを特定し、同年6月20日までにCISAの基準「Secure Cloud Business Applications」（SCuBA）に準拠した設定を実装するよう求めた。

SCuBAのセキュリティ基準とは

　CISAが定めたSCuBAはもともと連邦政府機関がクラウド環境で情報を保護するためのセキュリティ基準だった。これが今回民間企業にも適用されることになった。クラウドビジネスアプリケーション環境を安全に保つためのガイダンスと機能を提供しており、次のような基準やフレームワーク、ツールを含む。

・Microsoft 356のセキュリティ構成ベースライン

　CISAはMicrosoft 365の利用に際して、「Secure Configuration Baselines for Microsoft 365」を定めた。「Microsoft Teams」や「Defender for Office 365」「Power Platform」「Microsoft Entra ID」「PowerBI」「SharePoint Online and OneDrive for Business」「Exchange Online」の7つのサービスに対して提供されている。このセキュリティ構成基準により、クラウド環境におけるセキュリティレベルの向上を図る。

・評価ツールScubaGear

　ScubaGearはMicrosoft 365のセキュリティ構成ベースラインに基づいて、テナント構成の評価を容易にするために開発された。ユーザビリティと実装のための最適化が施されている。

・Google Workspace向けのベースラインと評価ツール

　Google Workspace環境のセキュリティ構成を評価するツール「SubaGoggles」を提供する。設定をエクスポートしたり、エクスポートした設定をCISAのセキュリティ構成ベースラインと比較して検証したり、結果を報告したりできる。

・拡張可能な可視性参照フレームワーク（eVRF）

　eVRF（Extensible Visibility Reference Framework）は組織が可視化データを特定し、脅威を軽減するためのフレームワークであり、ツールとして利用できる。特定の製品やサービスがどの程度可視化データを提供しているかを理解しやすくなり、潜在的なギャップを特定できる。

・技術参照アーキテクチャ（TRA）

　TRA（Technical Reference Architecture）はSaaSアプリケーションにおける安全なアーキテクチャやゼロトラストフレームワークを採用するためのガイドラインを提供する。組織が最新のセキュリティ技術を導入しやすくする（キーマンズネット編集部）

　CISAによると、クラウド環境におけるセキュリティ強化を求める命令は、昨今のサイバーセキュリティインシデントに対応したものであり、特定の脅威に基づくものではないという。CISAの関係者は拘束力を伴う運用命令の発令につながった昨今の悪質な活動の詳細を明らかにしていない。

　今回の取り組みは連邦のクラウド環境を保護するために一貫したアプローチを構築するというCISAの取り組みに基づくものだ。この取り組みは、2019年にSolarWindsを標的とした連続的なサプライチェーン攻撃を受けて始まった。

　「推奨されたセキュリティ設計や義務付けられたセキュリティ設計を適用するだけでリスクを容易に軽減できる。だが、設計が古いままだとシステムを攻撃にさらすことになる」（ハートマン氏）

企業はどうすればよいのか

　今回の措置は米国の民間企業に対し、Microsoft 365の環境で稼働する全てのクラウドテナントの名称と、システムを所有する組織をCISAに通知し、情報を毎年の報告書で更新するよう求めている。

　CISAの長官ジェン・イースターリー氏は次のように述べた。

　「この命令は米国の民間企業のみに適用されるものだ。クラウド環境に対する脅威は全ての業界に広がっている。そのため、全ての組織が今回の指針を採用するよう強く求めた。サイバーリスクを軽減し、レジリエンスを確保するには、私たち全員が役割を果たす必要がある」

　今回の命令はMicrosoft 365環境のみに適用されるが、CISAによると、他のクラウドサービスについてもSCuBAの安全な設定基準を発表する可能性があるという。

　Microsoftの広報担当者は、2024年12月18日に次のように述べた。

　「CISAによるSCuBAの構築と民間企業全体での一貫した基準の採用を支援するために、当社は積極的に連携し、取り組みに参加してきた。2024年12月17日に発表された命令を通じて、実用性と拡張性に優れたセキュリティ指針を共同で開発するCISAの迅速な取り組みを支援し、強固なパートナーシップを維持したい」

出典：CISA orders federal agencies to meet security baselines in Microsoft 365（Cybersecurity Dive）
注1：BOD 25-01: Implementing Secure Practices for Cloud Services（CISA）
注2：BOD 25-01: Implementing Secure Practices for Cloud Services Required Configurations（CISA）