【LogPoint】Microsoft 365のセキュリティリスクを検知する

はじめに

LogPoint は、次世代のSIEM(セキュリティ情報およびイベント管理)製品です。
最近では、企業でのクラウドサービスの利用が拡大しています。総務省の令和3年通信利用動向調査では、約7割の企業が全社的に、または一部の部門でクラウドサービスを利用しており、今後の予定を含めると8割の企業がクラウドサービスを利用する見込みです。
クラウドサービスは、自社でサーバーを持つ必要がなく初期導入コストが低い、導入期間が短いといったメリットがあります。また、情報共有を容易に迅速に行うことも可能です。その反面、インターネット経由でサービスを利用するため、外部からの攻撃を受けやすい、一台のクライアント端末でインシデントが発生すると、ファイル共有などでその影響が広がりやすいといったデメリットがあります。また、過去においては情報流出といった重大インシデントも発生しており、情報セキュリティリスク(以下セキュリティリスク)に不安を持つ人も多いようです。
クラウドサービスには、セキュリティリスクはあるものの、有効に利用することで、上に述べたメリットを受けることができます。
今回は、Microsoft 365(旧称:Office 365)サービスを使用している場合に、LogPoint を使用することにより、セキュリティリスクをどのように下げることができるかについて説明します。

Microsoft 365とLogPoint による対応

Microsoft 365とは、クラウド上でMicrosoft社のOffice製品(Word, Excel, PowerPointなどのアプリケーション)やファイル共有、メールシステムなどを利用できるサービスです。
また、ここでは詳細には触れませんが、Microsoft 365自体にも、多要素認証やメールの送信ルール、IDセキュリティスコアといったセキュリティリスクの低減をサポートする機能があります。可能なかぎり、これらの機能も活用することもお勧めします。

LogPoint は、さまざまなデバイスや製品に対応しているSIEM製品です。LogPointにはMicrosoft 365用のOffice365プラグインがデフォルトで組み込まれており、Office365プラグインを有効にすることにより利用できます。
Office365プラグインは、以下のMicrosoft 365アプリケーションのログに対応しています。以下のログのリストには、Office製品名は直接は出てきませんが、それらの製品に関するログも、Azure Active Directory (Azure AD)経由で取得できます。

  • Azure Active Directory
  • SharePoint
  • OneDrive
  • Exchange
  • Microsoft Teams
  • Skype For Business
  • Security Compliance Center

これらのログには、ログイン操作、ファイル操作、メール送信情報、ユーザー管理に関する情報などのセキュリティ上重要なログが含まれます。
LogPoint にはMicrosoft 365のログを監視できるアラートルールやダッシュボード、レポート機能がOffice365プラグインの中に含まれており、これらの機能も無償で利用可能です。
LogPoint で、これらのログを収集し、アラートルールなどで監視することにより、Microsoft 365の運用におけるセキュリティリスクを低減させることができます。

Microsoft 365のセキュリティリスクの例

Microsoft 365を利用している場合に考えられるセキュリティリスクには、どのようなものがあるでしょうか。
セキュリティリスクは多岐にわたるため、以下では、代表的なセキュリティリスクを示します。
また、それらのセキュリティリスクに対して、LogPoint でどのような対応が可能かを後続のセクションで説明します。

不正ログイン

Microsoft 365サービスには、インターネット接続があれば世界中どこからでもアクセスできます。
ユーザー名やパスワードといったアカウントの認証情報を攻撃された場合、認証情報が流出し、システムに不正にログインされる恐れがあります。不正にログインされることで、以下の項目に述べる情報漏えいや、Microsoft 365の不正利用といったリスクが発生する可能性があります。
不正ログインにより、広範囲なセキュリティリスクを負うことになるため、さまざまな方法で不正ログインを防御、検知することが重要です。

情報漏えい

上で述べた認証情報の流出により不正ログインされた場合、そのアカウントで利用可能なファイルに自由にアクセスできるため、情報漏えいや、不正なファイル変更が起きる可能性があります。
また、認証情報の流出がなくても、Microsoft 365サービス上で不審なファイルを不用意に実行することで、重要なファイルを外部に送信されたり、実行ユーザーの認証情報取得の足がかりが作られる可能性があります。
そのため、マルウェアなどの不審なファイルをいち早く検知することが重要です。

Microsoft 365の不正利用

Microsoft 365のライセンス変更や課金情報を管理できる特権アカウントの認証情報が発生した場合、ライセンスを不正使用されたり、追加のサービスへの加入により経済的被害が発生する可能性があります。
また、ユーザー、グループの管理情報の変更や削除で業務が正常に遂行できない可能性もあります。

LogPoint でのセキュリティリスクへの対応

LogPointでMicrosoft 365のログを監視することで、どのようにしてセキュリティリスクを下げることができるでしょうか。
ここでは、まず今回の検証環境について簡単に説明し、その後に上で述べたセキュリティリスクへの対応例を示します。

検証環境と設定の概要

今回は以下の環境で検証を行いました。

  • Microsoft 365
    Business Basicプラン、Business Premiumプラン
  • LogPoint v7.1.3
    組み込みのOffice365 プラグイン v5.3.0

Office365プラグインは、LogPoint にデフォルトで組み込まれています。Office365プラグインには、Microsoft 365のログのフェッチャー、アラートルール、ダッシュボード、レポートテンプレートが含まれます。
Microsoft 365サービス自体には、利用者側で加入していただく必要があります。
また、それぞれの設定の概要については付録を参照してください。

Office365プラグインで検知可能なセキュリティリスクの検知の例

今回は、Office365プラグインで検知可能なセキュリティリスクの検知例として、「複数の国からの不正ログイン」、「マルウェアの検知」、「ユーザーのライセンス変更の検知」を取り上げます。

複数の国からの不正ログインの検知

Microsoft 365を国内からのみ使用する場合、Microsoft 365へのアクセス元の国が複数ある場合、不正ログインの可能性があります。
ここでは、複数の国からの不正ログインの検知例として、同一ユーザーによる異なる国からの複数回のログインの成功を検知します。
Office365プラグインのアラートパッケージには、該当のルールが組み込まれていますので、そのルールを有効化します。

「複数の国からの不正ログイン」のアラートルールの有効化

図-1 「複数の国からの不正ログイン」のアラートルールの有効化

実際に複数の国からの不正ログインが成功した場合、以下のようにインシデントとして検知されます。インシデントは、Eメール等での通知の他に、LogPointのインシデント管理画面に表示されます。

「複数の国からの不正ログイン」のインシデント検知例

図-2 「複数の国からの不正ログイン」のインシデント検知例

マルウェアの検知

前のセクションで、セキュリティリスクとして情報漏えいについて説明しました。
LogPointには、情報漏えいに関するアラートも備わっています。今回は、情報漏えいを直接検知する例ではなく、そのきっかけとなるマルウェアの検知例を示します。具体的には、OneDriveサービスにマルウェアがアップロードされたことを検知します。
まず、Office365プラグインのアラートパッケージに、Microsoft 365上でマルウェアが発生したことを検知できるアラートルールが備わっていますので、そのルールを有効化します。
次に、Microsoft 365 OneDrive上にテスト用のダミーのマルウェアファイル eicar.com をアップロードします。

マルウェアのアップロード

図-3 マルウェアのアップロード

マルウェアのOneDrive上へのアップロード後、Microsoft 365でマルウェアが検出されたことがLogPointで検知されます。

「マルウェアのアップロード」の検知例

図-4 「マルウェアのアップロード」の検知例

ユーザー管理の過失・不正の検知

Microsoft 365の運用ルールとして、一人のユーザーは一つのグループにのみ所属することにしている場合があります。この運用ルールにより、他のグループのドキュメントの閲覧が制限され、セキュリティを高めることが可能です。
ここで、管理者が過失または故意により、あるユーザーを別のグループに所属させたとします。その場合、そのユーザーは本来アクセスできないドキュメントを閲覧できるようになり、セキュリティリスクが高まります。
LogPointには、既存のユーザーが別のグループに追加されたことを検知できるアラートルールがあらかじめ備わっています。そのルールを有効化することにより、ユーザー管理の過失や不正を検知することができます。

Microsoft 365上でのユーザーの別のグループへの追加操作

図-5 Microsoft 365上でのユーザーの別のグループへの追加操作

上の操作後、LogPoint側ではユーザーが別のグループに追加されたことが検出されます。

「ユーザー管理の過失・不正」の検知例

図-6 「ユーザー管理の過失・不正」の検知例

まとめ

本記事では、Microsoft 365 を利用している場合に、どのようなセキュリティリスクがあり、LogPoint によりどのように対応できるかについて紹介しました。
LogPoint には、Microsoft 365対応パッケージが事前に組み込まれているため、パッケージに含まれるアラートルールやダッシュボード、レポートテンプレートを有効にするだけで、すぐにセキュリティリスクの検知や、ダッシュボードやレポートによる状況把握が可能になります。
LogPoint の機能を使用することにより、セキュリティの脅威の検知や対応を容易に行うことができます。

付録. 設定の概要

Microsoft 365およびLogPointのOffice365プラグインの設定の概要を説明します。
なお、各設定の詳細は、Office365管理者ガイドを参照してください。

Microsoft 365側の設定の概要

Microsoft 365側では、Azure ADサービスを使用して、LogPointのOffice365フェッチャーを登録します。

「Azure ADでのOffice365フェッチャー登録画面

図-7 Azure ADでのOffice365フェッチャー登録画面

Microsoft 365側の設定の流れ

Microsoft 365側での設定の流れは以下のとおりです。

  1. Azure AD上でのLogPoint Office365フェッチャーの登録
  2. LogPoint Office365に後で必要になるクライアントID、テナントID情報の取得
  3. Azure ADでのパブリック認証の許可の設定

LogPoint 側でのOffice365プラグインの設定

LogPoint側での設定の流れは以下のとおりです。

  1. 正規化ポリシーへのOffice365ノーマライザーの登録
  2. デバイス設定へのOffice365フェッチャーの登録
  3. Office365フェッチャーが使用する認証方式の設定
Office365プラグインの設定

図-8 Office365プラグインの設定

付録 Office365プラグインで利用可能な機能

LogPointのOffice365プラグインでは、以下の機能が利用可能です。これらの機能は、LogPointにあらかじめ組み込まれています。

ダッシュボード

LogPointのダッシュボードを利用することで、特定のログの受信状況をさまざまな形式でグラフィカルに表示させ、概要やトレンドを確認することができます。LogPointには、340種類以上のダッシュボードが組み込まれています。
Office365プラグインには、13種類のダッシュボードがあります。以下に、Office365のダッシュボードの表示例を表示します。

Office365のダッシュボードの表示例

図-9 Office365のダッシュボードの表示例

アラートルール

LogPointのアラートルールを利用することで、さまざまなログをリアルタイムに解析し、セキュリティリスクを迅速に検知できます。LogPointには、1360種類以上のアラートルールが組み込まれています。
Office365プラグインには、アラートルールが35種類あります。
代表的なルールを以下に示します。

表-1 代表的なOffice365のアラートルール

ルール名説明
LP_Office365 Multiple Failed Login from Different Host by Single User同一ユーザーによる複数回のログイン失敗
LP_Office365 Multiple Failed Login from Same Host同一ホストからの複数回のログイン失敗
LP_Office365 Multiple Successful Login From Different Host by Single User同一ユーザーによる異なるホストからの複数回のログイン成功
LP_Office365 Multiple Successful Login from Different Country by SingleUser 同一ユーザーによる異なる国からの複数回のログイン成功
LP_Office365 Security and Compliance Alert related to Access Governanceアクセスガバナンスに関するセキュリティ、コンプライアンスアラート
LP_Office365 Security and Compliance Alert related to Data Governanceデータガバナンスに関するセキュリティ、コンプライアンスアラート
LP_Office365 Security and Compliance Alert related to Data Loss Prevention情報漏えい対策に関するセキュリティ、コンプライアンスアラート
LP_Office365 Security and Compliance Alert related to Mail Flowメールフローに関するセキュリティ、コンプライアンスアラート
LP_Office365 Security and Compliance Alert related to Other Category他のカテゴリーに関するセキュリティ、コンプライアンスアラート
LP_Office365 Security and Compliance Alert related to Threat Management脅威の管理に関するセキュリティ、コンプライアンスアラート
LP_Office365 User Added to Azure ADAzure ADにユーザーが追加された
LP_Office365 User Added to Azure Group Azure Groupにグループが追加された
LP_Office365 User Deleted from Azure AD Azure ADからユーザーが削除された
LP_Office365 User License Changeユーザーのライセンスの変更
LP_Office365 User Added to Multiple Groupsユーザーの複数グループへの追加

レポートテンプレート

LogPointのレポートテンプレートを利用することで、さまざまなログの受信状況やアラートの状況やそれらのサマリー、重要なログの内容などを図表形式で定期的に作成、確認できます。
LogPointには、170種類以上のレポートテンプレートが組み込まれています。そのうち、Office365プラグインでは、12種類のレポートテンプレートが提供されています。
以下に、Office365のレポートの表示例(Micorosoft 365の全般的な受信状況)を示します。

Office365のレポートの表示例

図-10 Office365のレポートの表示例


LogPoint の長所・製品情報

  1. LogPoint は、Windowsのイベントログなどを正規化する時に、自動的にログを分類して標準化したラベルとしてfileやwriteなどを付加します。そのため、label=file、label=write、label=login のようにラベルを使用してログを検索することができます。また、項目名もuserやfileのように標準化されており、フォーマットが異なるデバイスなどのログを相関分析することができるようになっています。LogPoint ではこれをシングル タクソノミーと呼んでいます。
  2. LogPoint は、ログの種類に応じた正規化の定義を数多く装備しており、インストール後すぐに異常検知や分析をすることができます。
  3. 新しい形式のログをサポートするには、そのログ形式用のプラグインをインストールすることにより容易に対応できます。このプラグインはメーカーに作成を依頼できますし、お客様自身で容易に作成することもできます。

LogPoint の製品情報は以下のとおりです。

製品一覧からLogPointを選択してください

LogPointをインストール後に評価ライセンスをリクエストしてください

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP