Office 365 などの 企業のCloud 浸透に見るセキュリティ懸念
Microsoft が Office 365 / One Driver などをはじめ Windows 8 で標準となった Microsoft アカウント利用したクラウドサービスを提供するようになって久しいですよね。
でも、気になるのは、企業のドメインカウントと Microsoft の Cloud サービスアカウントを併用している企業が多くなってきたことです。
パスワード認証について、NTLMv2 のみに限定し、NTLM を許可しないような設定にしていれば、PCに保存されているパスワードハッシュを解析されてパスワードが解析されるリスクは減るけれど、クライアントが介入しない場合、レインボーテーブルによって攻撃されて解析される可能性があります。
また、多くの企業内のユーザーは、ブラウザから、Microsoft のサービスにアクセスして、 ドメインの ID とパスワードを入力することになると思うのですが、ブラウザのCookieやオートコンプリート機能 などにパスワードを保存するユーザーは少なくないと思います。
企業内のパソコンであれば、ドメインポリシーの管理やアプリケーションコントロールが可能だが、問題は、こういったクラウドサービスは自宅などからもアクセスできることを売りにしていることが少なくありません。
自宅のコンピューターがマルウェアに感染していたら、簡単に、第三者にアクセスされてしまう可能性がありますよね?
また、Microsoft のクラウド環境で使うID、 Password はメールアドレスであるため、他のサービスでIDパスワードを使いまわしていた場合、別企業のサービスで ID/Password が流出した場合に簡単に社内のデータにアクセスされてしまう可能性もありますよね?
ではどうすればいいかというと、やはり二要素認証の義務化だと思います
アプリをインストールし、アプリでコードをスキャンし、コードを入力するだけだ。
2 段階認証について - Microsoft ヘルプ
Microsoft アカウント – 連絡先情報の本人確認のお願い|Microsoft アカウント
■ 電話番号の場合 (下記の画面では連絡方法として「テキスト」か「電話」が選択できるように表示されていますが、日本では他国で提供されている SMS の機能は使えないため、電話番号を入力すると自動で「電話」が選択されます。) |
セキュリティ情報の確認として、携帯電話のSMSも使えると書いてあるが残念ながら日本では電話のみのようです
試しに二要素認証を有効にしてログインすると…。
コードを必ず聞かれるようになりました。
ですが、個人的には、アプリケーション認証には反対|・ω・)
なぜかというと、失敗しても通知が来ないため、定期的に
https://account.live.com/Activity
をチェックしていないと不正ログインが分からないからです。
Microsoft アカウントについては、二要素認証が有効になっているため、通常は長々と説明した部分は不要なのですが…
ここからやっと本題
Office 365運用管理入門(5):Office 365のセキュリティを強化する「多要素認証」 - @IT
Office 365 にも二要素認証機能があるのだが、管理者によっては無効になってることがあるらしい。
うちの会社も、ごく最近、Office 365 を導入したというので早速ログインしてみた
ドメインパスワード聞いてくるだけ!
初めて自宅からアクセスしたのに二要素認証なんてなかった!
やったね、メールも見れるし、OneDriver for Business の内部データにもアクセスできるよ
役員のアカウントが洩れれば機密情報も丸見えだよ!
こういうアホな設定してるのに 『わが社は いち早く、クラウド導入してます』ってドヤ顔してる企業
多いらしいから気を付けてね(白目)
|。・ω・)。o (わが社ってホント馬鹿 )
クラウド導入にあたって、セキュリティのカギとなるところ
・ドメインの管理者パスワード、オペレータパスワードが共有されている場合、メンバーの入れ替え時にちゃんとパスワードが更新されているか。
・アクセスの許可をするコンピュータのセキュリティが担保されているか。
・クラウド側の設定で二要素認証が有効になっているか。
・不正ログインの管理がちゃんとできているか
※二要素認証を有効にする場合大事なのはあらかじめ設定することを周知しておくこと
設定方法が分かんないって人必ずいるので…準備はしておきましょう
クラウドで情報が洩れたら、今度は企業サーバーに直接攻撃する有効な手段となります。くれぐれも管理者の方は、ちゃんと管理してね
(社内サーバーもセキュリティーホールまみれだと、そうなると目も当てられない…)
怖いことに、うちは全部問題があって、全て報告済みだけど、IT部門が独裁状態で、改善する気はないんだよな…正直怖いので転職したいです。
私は、セキュリティが担保できないような企業の場合、暗号化通信付のターミナルサービスソリューションを併用すればいいと思います(例えば、 TeamView の企業向けソリューションとか)
マイクロソフト社HPからoffice2010のインストールパックをダウンロードし、その形式がISOファイルで、解凍してからインストールします。インストールする前に、プロダクトキーをOfficeアクティブ化のフレームに入力し、認証に合格したら、インストールが続きます。