microsoft 365 で両立するセキュリティと働き方改革

第20回 Office365 勉強会

働き方改革って？

楽に・効率よく

従業員 VS管理者 VS経営陣の構図

Microsoft のアプローチ

マイクロソフトのセキュリティ体制

Detectターゲットの情報、行動の監視、機械学習を利用

Respond検出からアクションまでの時間を短縮

Protectセンサーからデータセンターまですべてのエンドポイントを保護

PROTECT DETECT RESPOND

メールの入口対策 ID への不正アクセス検出 アプリ・データの監視

アクセス制御 データ保護と追跡

Office 365 E5 : Office 365 ATP

EMS E3 : Intune

EMS E3 : Azure AD Premium P1

EMS E3 : Advanced Threat Analytics

EMS E5 : Azure AD Premium P2

EMS E5 : Cloud App Security

EMS E3/E5 : Azure Information Protection P1/P2

PROTECT DETECT RESPOND

メールの入口対策 ID への不正アクセス検出 アプリ・データの監視

アクセス制御 データ保護と追跡

Office 365 E5 : Office 365 ATP

EMS E3 : Intune

EMS E3 : Azure AD Premium P1

EMS E3 : Advanced Threat Analytics

EMS E5 : Azure AD Premium P2

EMS E5 : Cloud App Security

EMS E3/E5 : Azure Information Protection P1/P2

PC での不正なふるまい検出

Windows 10 E5 : Windows Defender ATP

O F F M A C H I N E

O N M A C H I N E

P R E - B R E A C H

Windows Defender

Antivirus

Behavioral Engine(Behavior Analysis)

Process tree visualizations

Artifact searching capabilities

Machine Isolation and quarantine

Windows

Defender ATP(Advanced Threat

Protection)

Enhanced behavioral and machine learning detection

Memory scanning capabilities

O365 (Email)

Reducing email attack vector

Advanced sandbox detonation

Edge (Browser)

Browser hardening

Reduce script based attack surface

App container hardening

Reputation based blocking for downloads

SmartScreen

P O S T - B R E A C H

End to End Protection

O F F M A C H I N E

Windows Defender

Antivirus(AV)

Improved ML and heuristic protection

Instantly protected with the cloud

Enhanced Exploit Kit Detections

One Drive(Cloud Storage)

Reliable versioned file storage in the cloud

Point in time file recovery

App Guard(Virtualized Security)

App isolation

Locked Down

Devices

Windows 10S

Device Guard

Credential Guard

VSM

Windows

Defender Exploit

Guard(HIPS)

Attack Surface

Reduction • Set of rules to

customize the attack

surface

Controlled Folder

Access• Protecting data

against access by

untrusted process

Exploit Protection• Mitigations against

memory based

exploits

Network

Protection• Blocking outbound

traffic to low rep

sources

Application Control(Whitelisting)

Whitelisting

application

働き方改革における攻撃例

メールの受信

添付ファイルを開く

URLをクリック 攻略行為 マルウェアのインストール

攻撃者のサーバーへ接続

持続性 権限の昇格 偵察 横方向の移動 リソースへのアクセス

情報盗難

デバイス経由での侵入

防御

検出

対処

Office 365 Threat Intelligence

攻撃の可視化と対策

危険なリンクから保護悪質な添付ファイルからの保護

Office 365ATP

ディスク上とメモリ上の悪意のあるファイルからの保護

Windows Defenderウイルス対策

エンドポイントでの高度な攻撃の動作に基づいた検出

WindowsDefender ATP

アカウントの不正な振る舞いを検知しアクセスをブロック

Azure IdentityProtection

情報漏洩が起きても追跡してアクセス権をはく奪

Azure InformationProtection

組織内の不審な挙動を検出、アクセス停止等の対処

Cloud App Security

サイバー攻撃～情報漏えいまで

Advanced Threat Analysis

侵害の疑いのある IDのアクセス状況を追跡

Cloud App Security

仮想メール受信環境

Exchange Online Protection (EOP)Office 365 Advanced

Threat Protection (ATP)

• 署名に基づいたアンチウイルス• 既知の攻撃のブロック ユーザーがリンクを

クリックした時に動作

標的型メール攻撃からの防御

未知の攻撃のブロック

Advanced Threat Protection (ATP)

Office 365 Threat Intelligence

メールの受信

添付ファイルを開く

URLをクリック 攻略行為 マルウェアのインストール

攻撃者のサーバーへ接続

持続性 権限の昇格 偵察 横方向の移動 リソースへのアクセス

情報盗難

デバイス経由での侵入

防御

検出

対処

Office 365 Threat Intelligence

攻撃の可視化と対策

危険なリンクから保護悪質な添付ファイルからの保護

Office 365ATP

ディスク上とメモリ上の悪意のあるファイルからの保護

Windows Defenderウイルス対策

エンドポイントでの高度な攻撃の動作に基づいた検出

WindowsDefender ATP

アカウントの不正な振る舞いを検知しアクセスをブロック

Azure IdentityProtection

情報漏洩が起きても追跡してアクセス権をはく奪

Azure InformationProtection

組織内の不審な挙動を検出、アクセス停止等の対処

Cloud App Security

Advanced Threat Analysis

侵害の疑いのある IDのアクセス状況を追跡

Cloud App Security

サイバー攻撃～情報漏えいまで

IF

資格情報が洩れているか?

重要な情報へのアクセスか?

管理されているデバイスか?

マルウエアに感染していないか?

ボットネット経由のアクセスか?

不可能な移動距離かどうか?

身元不明なアクセスか?

High

Medium

Low

User risk

10TBper day

THEN

多要素認証を要求

アクセス権限の付与

アクセス拒否

パスワードリセットを強制

******

制限付きアクセス

High

Medium

Low

Session risk

Azure

BingOneDrive

Microsoft

Cyber Defense

Operations Center

Microsoft

Cybercrime Center

Xbox Live

Microsoft

Accounts

Skype

Azure Identity Protection

Windows Defender ATP

Windows Defender ATP

Azure Identity Protection

Windows Defender ATP

メールの受信

添付ファイルを開く

URLをクリック 攻略行為 マルウェアのインストール

攻撃者のサーバーへ接続

持続性 権限の昇格 偵察 横方向の移動 リソースへのアクセス

情報盗難

デバイス経由での侵入

防御

検出

対処

Office 365 Threat Intelligence

攻撃の可視化と対策

危険なリンクから保護悪質な添付ファイルからの保護

Office 365ATP

ディスク上とメモリ上の悪意のあるファイルからの保護

Windows Defenderウイルス対策

エンドポイントでの高度な攻撃の動作に基づいた検出

WindowsDefender ATP

アカウントの不正な振る舞いを検知しアクセスをブロック

Azure IdentityProtection

情報漏洩が起きても追跡してアクセス権をはく奪

Azure InformationProtection

組織内の不審な挙動を検出、アクセス停止等の対処

Cloud App Security

Advanced Threat Analysis

侵害の疑いのある IDのアクセス状況を追跡

Cloud App Security

サイバー攻撃～情報漏えいまで

Cloud App Security

Azure Information Protection

Bob が南米からアクセス

Jun が北米からアクセス

Bob が中国でブロック

Bob が英国でブロック

管理ポータル

追跡ポータルサイトのイメージ

Cloud App Security Azure Information Protection

© 2017 Microsoft Corporation. All rights reserved.