AWSサポートとは?サポート範囲や問い合わせ方法について徹底解説
本コラムでは、AWSのサポートプランの概要や使い方、費用をかけずに技術面の相談ができるサービスの紹介などについて、徹底解説いたします。
COLUMN
NTT東日本でメールのセキュリティ監視・制御をやってみた
こんにちは!NTT東日本 セキュリティエンジニアのタクヤです。
ゼロトラストセキュリティコラムの8回目になります。
過去のコラムをまだご覧になっていない方は是非ご覧ください。
第1弾コラム:「NTT東日本で実際に導入しているゼロトラストセキュリティを徹底解説!」
第2弾コラム:「NTT東日本におけるゼロトラストセキュリティの設計と導入」
第3弾コラム:「NTT東日本でゼロトラストセキュリティの運用・監視をやってみた」
第4弾コラム:「NTT東日本でEntra ID・Intuneを活用してみた」
第5弾コラム:「NTT東日本でEntra ID・Intuneを活用してみた(モバイル編)」
第6弾コラム:「NTT東日本でMDEを活用してみた」
第7弾コラム:「多要素認証だけで十分?NTT東日本のゼロトラスト認証・認可を徹底解説」
今回も引き続き、製品ごとに運用時の困りごとを例に挙げながら、どういう運用を行っているのか、どのような点を工夫しているのかについてご紹介していきます。
本コラムでは、メールのSaaS利用に関するセキュリティ対策について、NTT東日本が利用しているMicrosoft Defender for Office365(以下、MDOという)にスポットを当ててご紹介いたします。
最後までお付き合いいただけますと幸いです。
メールのセキュリティ対策やゼロトラストセキュリティ導入に関して、NTT東日本のセキュリティエンジニアが無料でご相談をお受けしております。ぜひお気軽にお問い合わせください。
1. メール監視の重要性
本項では、MDOを導入する上で押さえておきたい、メール監視の重要性についてご説明します。
コラム⑥でも書いたように、オンラインサービスやWebアプリケーションの高度化と多様化に伴い、それらを提供するためのソフトウェアの脆弱性を悪用したゼロデイ攻撃も増加しています。
引用:未知の欠陥、サイバー攻撃倍増 中ロのハッカー集団が関与か(2022/5/17)
このような攻撃の準備段階としての情報搾取や詐欺を目的としたURL、攻撃の起点となる実行ファイルの多くはメールで送られてくることがよく知られています。
実際に情報処理推進機構が公表している「情報セキュリティ10大脅威2024」の中でもメールが関係していると思われる脅威が多くランクインしています。
引用:IPA 独立行政法人 情報処理推進機構 情報セキュリティ10大脅威 2024 [組織]
ここまで読んだ方の中で、「Microsoft Defender for Endpoint (以下、MDE)を導入していればメール対策をする必要はないのでは?」と思った方がいるかもしれません。
結論から言うと、それはNOです。
なぜならMDEは端末上の不審な挙動に対する防御をおこなうためのソリューションだからです。
フィッシングメールや悪性ファイル等が添付されたメールは、メール受信しただけではMDEで検知することができません。MDEで検知するためには、そのメール本文に記載のURLリンクを開く、添付ファイルを実行するといったアクションが必要になります。そうなると一般的にはセキュリティアラートを検知した端末はアラートの影響調査が完了するまで利用できなくなり、端末利用者の業務が止まってしまいます。そもそも、フィッシングメールや悪性ファイルが添付されたメールが利用者の受信ボックスに届かないことが理想です。このような観点から、実際に影響が及ぶ前の脅威発見・封じ込めといった脅威の未然防止手段としてメール対策ソリューションを導入することは非常に有益です。
ここまでは、メールを介して攻撃を受けることで情報漏えいやサイバー攻撃の被害者になってしまうという視点からメール対策の重要性を記載しました。
ここからはメール対策を怠ったことによって加害者になってしまう例を紹介します。
アカウント情報の搾取や端末の乗っ取りが実行された場合、そのアカウントや端末が攻撃指令を受けて活動するボットネットの一部となり、大量の迷惑メールを送信するように利用されてしまうことがあります。
上記のような事態に発展すると、攻撃の被害者でありながら、自社を介して他社に損害を与え、社会的責任を問われることになります。
このような理由からメールのセキュリティ対策は必須であると考えています。
メールのセキュリティ対策と端末のセキュリティ対策は連動性が多いことから、NTT東日本ではすでに導入していたMicrosoft社のEDR製品であるMDEと親和性の高いMDOを導入しています。
メールのセキュリティ対策やゼロトラストセキュリティ導入に関して、NTT東日本のセキュリティエンジニアが無料でご相談をお受けしております。ぜひお気軽にお問い合わせください。
2. MDO導入後に感じたメリットや運用課題
本項では実際にMDOを運用している際の気づきや課題についてご説明します。
2-1. 脅威が可視化できるようになる
まずは、MDOを利用することでどのような脅威が可視化されたのか説明します。
テナント内で送受信されているメールはExchange Online及びMDOによって脅威判定が行われ、予め定めたポリシーに従って自動的に処理が行われます。
Exchange Onlineは、メールの配送機能を担うサービスに加えて、一般的なウィルス対策機能、メール送信者及びメールサーバの不正検知機能、本文内の不審なURL検知機能等を備えています。一方、MDOは、「Safe Links」、「Safe Attachments」と呼ばれる機能に特色があります。「Safe Links」は、不審なURLを書き換えて、仮に利用者がアクセスしても、アクセス時にスキャンすることで未然に脅威を防ぐ機能が具備されています。また、「Safe Attachments」は、添付ファイルの悪性度をサンドボックスで評価する機能です。従来、サンドボックスの評価に時間が掛かり、タイムアウトとなる課題がありましたが、本機能ではメール配送後も評価を継続する機能が具備されています。
MDOでは、これらの機能がログとして出力され、テナント内のメール動向をわかりやすく可視化しています。
これらのログを確認することで、不審なメールを受信した利用者を抽出することが可能です。
2-2. 受信ボックスに届くリスクを減らせる
1章でも述べたようにメール対策では脅威を発見、可視化するだけでなく、脅威を未然に防止することが重要となります。
テナント内のメールはExchange Online及びMDOによって脅威判定が行われます。この判定の結果をもとに、不審メールやスパムメールのみを通常のメールと区別して、別の場所に格納することが可能です。
例えば、NTT東日本の場合、スパムと判定されたメールは各ユーザーの受信フォルダではなく迷惑メールフォルダに格納し、脅威度が高いと判定されたメールはユーザーに配信せず、ブロックするといった設定をしています。
この機能を利用することにより、ユーザーが誤って不審メールに触れる可能性を大きく減らすことができ、情報搾取やマルウェア感染などの脅威が晒される危険性を大きく減らすことが出来ます。
2-3. セキュリティアラート調査
従来、メールのセキュリティ調査を行うためには送信メールサーバや受信メールサーバからログを抽出し、フィルタ条件等を駆使して内容を細かく精査する必要がありました。
日々無数に送られてくるメールに対して、この作業を繰り返し行うわけですから、多くの稼働が掛かります。また、ログを見るための専門的な知識も必要となり、技術者を育成するために更に多くの時間を要していました。
MDOでは、前述の通りテナント内のすべてのメール情報を取得しているため、ログを取得する必要がなく、自動で脅威調査を実行し、レポートする機能が付与されており、短時間で詳細な調査を行ってくれます。
特に、メールヘッダの解析は内容を読み解くことが難しく、解析に時間を要することが難点でした。MDOを活用することで高度なスキルを持たないアナリストでも詳細な分析やログの確認をスムーズに行えるようになり、稼働削減・育成期間の短縮を実現しています。
メールのセキュリティ対策やゼロトラストセキュリティ導入に関して、NTT東日本のセキュリティエンジニアが無料でご相談をお受けしております。ぜひお気軽にお問い合わせください。
3. MDO導入時の注意点
本項では、MDO導入時に分かった運用の注意点についてご説明します。
メール監視を問わず、セキュリティ監視において、アナリストのアクセス権限の設定は非常に重要です。
例えば、監視のためにファイルアクセス権限を無制限にすると、一般社員が人事や経営情報、他社の内部情報にアクセスでき、当該アカウントが乗っ取られた場合の影響は甚大となります。一方、権限を厳しくしすぎると迅速な調査や対応が妨げられます。
このため、NTT東日本では、アナリストがメール本文を閲覧できないように設定し、必要な場合は管理者にエスカレーションするポリシーを採用しています。
4. MDOの運用で苦労したこと
本項ではMDOの運用を始めるうえで困ったことについてご説明します。
4-1. ポリシー設計
MDOにはさまざまなポリシー設定機能が具備されており、自身の利用環境ごとに適切な設定値を決める必要があります。弊社もその適切なポリシーの設定に苦労しました。
前述のようにMDOには不審メール、スパムメールを自動的に判別する機能や、送受信状況に応じた機能制限、脅威判定に用いるアラートポリシー等さまざまな機能が具備されています。
それぞれを運用する際には、テナントごとに適切な設定値を指定する必要があります。
判定基準を強くしてしまうと過検知が増え、業務に利用するメールが届かなくなる可能性がありますし、逆に弱くすると不審メールからマルウェアやランサムウェアなどの脅威を踏んでしまう可能性が高まります。
NTT東日本でもそのチューニングに苦労しました。
Microsoft社のナレッジを確認しつつ、構築チームと協力して適切な設定値の検討を日々繰り返し、更に展開前に小規模でのトライアルを実施して状況を確認するといった過程を経て、ポリシー設定を確定しました。
また、ポリシー決定後は運用が必要です。アラート調査手順、エスカレーション、ユーザー対応など、事前に確認すべき事項が多くあります。
4-2. メールセキュリティ監視運用の立ち上げ
特に苦労した点は調査手順の策定と未経験なアナリストに対する習熟です。
メール調査には専門的な知識を必要とするため、調査品質にばらつきがでないよう手順や判断基準の明確化が必要でした。
そこで、弊社ではアラートポリシーごとに調査手順や判断基準を定めるアラート判定表を作成するという手法を取りました。アラート判定表にはアラートごとに調査観点、判断基準、エスカレーション要否など監視に必要な情報がまとまっており、迅速な対応や判断が可能です。
また、このアラート判定表を利用することで、アナリストはアラートが発生した際に手順に沿って確認を行うことで、経験が乏しくても明確に事象を見極め、判断ができるようになり、育成期間をおよそ数週間から1ヶ月に短縮することができました。
4-3. 利用者影響の最小化
MDO導入時に一般の利用者が周知メールを送付したらメール送信制限の閾値に抵触し、送信規制され、メールが送れなくなったという事案が発生しました。
本事象が初めて発生した際に、該当メールの特定やアカウント、端末の正常性確認に時間が掛かってしまい、該当アカウントが長時間停止しました。この反省から、ユーザー影響を最小化する対策としてアラート判定、対応フローの見直しを行いました。このように、一般ユーザーへの影響は、運用して初めて表面化する可能性があり、対処には専用のノウハウが必要となります。
メールのセキュリティ対策やゼロトラストセキュリティ導入に関して、NTT東日本のセキュリティエンジニアが無料でご相談をお受けしております。ぜひお気軽にお問い合わせください。
5. まとめ
今回のコラムではNTT東日本でのMDO導入とその際の困りごとについてご紹介させていただきました。
製品導入時には社内環境を十分に確認し、適切なポリシーチューニングが必要です。運用過程では、事前の想定や対応方針を見直す場面が多々あります。
その際には、セキュリティエンジニアとしてだけでなく、監視チームの担当者やユーザーの視点に立った運用改善が求められます。
NTT東日本では今までの社内運用で培ったノウハウを生かしたMDOをはじめとしたMicrosoft Defenderシリーズの監視サービスを提供し、多くの企業さまにご利用いただいております。
社内の総合的なセキュリティ監視の導入を検討されている方は是非ともご相談ください。
次回はMicrosoft Intuneを活用した端末の堅牢化(ハードニング)についてのコラムを予定しております。
ゼロトラスト環境での端末の守り方に興味のある方はぜひご覧いただきたいと思います。
これからゼロトラストセキュリティの導入を考えているが、自分たちではやりきれない、何をしたらいいかわからないという皆さま、是非、NTT東日本へご相談ください!皆さまの新しい働き方を全力サポートいたします!
今後の掲載予定コラム
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。