Office 365 と Microsoft Teams - コラボレーションの容易さとセキュリティへの影響

この記事では、ユーザー、IT 管理者、情報セキュリティ スタッフの観点から Microsoft Teams での作業がどのようなものかを示したいと思います。

まず、Teams が Office 365 (略して O365) サービスにおいて他のほとんどの Microsoft 製品とどのように異なるのかを明確にしましょう。

Teams はクライアントのみであり、独自のクラウド アプリケーションはありません。 そして、さまざまな O365 アプリケーションにわたって管理するデータをホストします。

ユーザーが Teams、SharePoint Online (以下、SPO)、​​OneDrive で作業しているときに「内部で」何が起こっているのかを示します。

Microsoft ツールを使用してセキュリティを確保する実践的な部分に進みたい場合 (合計コース時間のうち 1 時間)、Office 365 共有監査コースを受講することを強くお勧めします。 リンク。 このコースでは、PowerShell を介してのみ変更できる O365 の共有設定についても説明します。

Acme Co. 社内プロジェクト チームをご紹介します。

このチームが作成され、このチームの所有者であるアメリアによってメンバーに適切なアクセスが許可された後の、Teams でのこのチームの表示は次のとおりです。

チームが作業を開始します

リンダは、自分が作成したチャネルに置かれたボーナス支払い計画を含むファイルには、それについて話し合ったジェームズとウィリアムだけがアクセスできることをほのめかします。

次に、ジェームズは、このファイルにアクセスするためのリンクを、チームのメンバーではない人事担当者のエマに送信します。

William は、MS Teams チャットで第三者の個人データを含む同意書を別のチーム メンバーに送信します。

私たちはボンネットの下に登ります

ゾーイは、アメリアの助けを借りて、いつでもチームに誰でも追加または削除できるようになりました。

リンダは、同僚 XNUMX 人のみが使用することを目的とした重要なデータを含むドキュメントを投稿しましたが、作成時にチャネル タイプを間違えたため、そのファイルはチーム メンバー全員が利用できるようになりました。

幸いなことに、O365 用の Microsoft アプリケーションがあり、(完全に他の目的に使用して) すぐに確認できます。 すべてのユーザーが絶対にアクセスできる重要なデータは何ですか?、最も一般的なセキュリティ グループのみのメンバーであるユーザーをテストに使用します。

ファイルがプライベート チャネル内にある場合でも、特定のグループの人々だけがファイルにアクセスできるという保証はありません。

James の例では、プライベート チャネル (プライベート チャネルである場合) へのアクセスはおろか、チームのメンバーですらないエマのファイルへのリンクを提供しました。

この状況の最悪の点は、アクセス権が直接付与されているため、Azure AD のセキュリティ グループのどこにもこれに関する情報が表示されないことです。

ウィリアムが送信した PD ファイルは、オンラインでチャットしているときだけでなく、マーガレットがいつでも利用できるようになります。

腰まで上がります

さらに理解してみましょう。 まず、ユーザーが MS Teams で新しいチームを作成すると正確に何が起こるかを見てみましょう。

• 新しい Office 365 セキュリティ グループが Azure AD に作成されます。これにはチーム所有者とチーム メンバーが含まれます
• SharePoint Online (以下、SPO) で新しいチーム サイトを作成中です
• XNUMX つの新しいローカル (このサービスでのみ有効) グループが SPO に作成されます: 所有者、メンバー、訪問者
• Exchange Online にも変更が加えられています。

MS Teams データとその保存場所

Teams はデータ ウェアハウスやプラットフォームではありません。 すべての Office 365 ソリューションと統合されています。

• O365 は多くのアプリケーションと製品を提供しますが、データは常に次の場所に保存されます: SharePoint Online (SPO)、​​OneDrive (OD)、Exchange Online、Azure AD
• MS Teams を通じて共有または受信したデータは、Teams 自体ではなく、それらのプラットフォームに保存されます。
• この場合、リスクはコラボレーションへの傾向が強まっていることです。 SPO および OD プラットフォームのデータにアクセスできる人は誰でも、組織内外の誰でもデータを利用できるようにすることができます。
• すべてのチーム データ (プライベート チャネルのコンテンツを除く) は SPO サイトに収集され、チームの作成時に自動的に作成されます。
• 作成されたチャネルごとに、この SPO サイトのドキュメント フォルダーにサブフォルダーが自動的に作成されます。
  • チャネル内のファイルは、SPO Teams サイトのドキュメント フォルダーの対応するサブフォルダー (チャネルと同じ名前) にアップロードされます。
  • チャネルに送信された電子メールは、チャネル フォルダの「電子メール メッセージ」サブフォルダに保存されます。

• 新しいプライベート チャネルが作成されると、そのコンテンツを保存するために別の SPO サイトが作成され、通常のチャネルについて上で説明したのと同じ構造になります (重要 - プライベート チャネルごとに独自の特別な SPO サイトが作成されます)。
• チャットを通じて送信されたファイルは、送信ユーザーの OneDrive アカウント (「Microsoft Teams チャット ファイル」フォルダー内) に保存され、チャット参加者と共有されます。
• チャットと通信のコンテンツは、それぞれユーザーとチームのメールボックスの隠しフォルダーに保存されます。 現時点では、それらに追加アクセスする方法はありません。

キャブレターに水が入っている、ビルジに漏れがある

文脈の中で覚えておくべき重要なポイント 情報セキュリティー:

• アクセス制御、および重要なデータに対する権利を誰に付与できるかについての理解は、エンド ユーザー レベルに移されます。 提供されていない 完全な集中制御または監視.
• 誰かが会社のデータを共有すると、他の人にはあなたの死角が見えますが、あなたには見えません。

(Azure AD のセキュリティ グループ経由) チームのメンバーのリストにはエマは表示されませんが、彼女は特定のファイル (James から送信されたリンク) にアクセスできます。

同様に、Teams インターフェイスからファイルにアクセスする彼女の能力についてもわかりません。

エマがアクセスできるオブジェクトに関する情報を取得する方法はありますか? はい、可能ですが、SPO 内の疑わしいすべてのオブジェクトまたは特定のオブジェクトに対するアクセス権を調査する必要があります。

このような権利を検討すると、エマとクリスが SPO レベルでオブジェクトに対する権利を持っていることがわかります。

クリス？ 私たちはクリスのことを知りません。 彼はどこから来たのですか?

そして彼は、「ローカル」SPO セキュリティ グループから私たちのところに「やって来ました」。このグループには、すでに Azure AD セキュリティ グループと「報酬」チームのメンバーが含まれています。

たぶん Microsoft クラウド アプリ セキュリティ (MCAS) 私たちが興味を持っている問題に光を当て、必要なレベルの理解を提供できるでしょうか?

残念ながら、いいえ... クリスとエマを見ることはできますが、アクセスを許可されている特定のユーザーを見ることはできません。

O365 でアクセスを提供するレベルと方法 - IT の課題

組織の境界内のファイル ストレージ上のデータへのアクセスを提供する最も単純なプロセスは、特に複雑ではなく、付与されたアクセス権を回避する機会を実際には提供しません。

O365 には、コラボレーションやデータ共有の機会も数多くあります。

• ユーザーは、誰でも利用できるファイルへのリンクを提供するだけでデータへのアクセスを制限する理由を理解していません。情報セキュリティ分野の基本的な専門知識がないか、リスクを無視して、リスクが発生する可能性が低いと仮定しているためです。発生
• その結果、重要な情報が組織から流出し、幅広い人々が入手できるようになる可能性があります。
• さらに、冗長アクセスを提供する機会も数多くあります。

O365 の Microsoft は、アクセス制御リストを変更する方法をおそらくあまりにも多く提供してきました。 このような設定は、テナント、サイト、フォルダー、ファイル、オブジェクト自体、およびそれらへのリンクのレベルで使用できます。 共有機能の設定は重要であり、無視すべきではありません。

これらのパラメーターの構成に関する約 XNUMX 時間半の無料ビデオ コースを受講する機会が提供されています。この記事の冒頭にリンクが記載されています。

深く考えずに、すべての外部ファイル共有をブロックすることができますが、その場合、次のようなことが起こります。

• O365 プラットフォームの機能の一部は、特に一部のユーザーが自宅や以前の仕事で使用することに慣れている場合、未使用のままになります。
• 「上級ユーザー」は、他の従業員が他の手段で設定したルールを破るのを「支援」します。

共有オプションの設定には次のものが含まれます。

• 各アプリケーションのさまざまな構成: OD、SPO、AAD、MS Teams (一部の構成は管理者のみが実行でき、一部の構成はユーザー自身のみが実行できます)
• テナント レベルおよび各特定のサイト レベルでの設定構成

これは情報セキュリティにとって何を意味しますか?

上で見たように、完全な権限のあるデータ アクセス権は単一のインターフェイスでは確認できません。

したがって、特定の各ファイルまたはフォルダーに誰がアクセスできるかを理解するには、次の点を考慮してアクセス マトリックスを独自に作成し、そのデータを収集する必要があります。

• Teams メンバーは Azure AD と Teams には表示されますが、SPO には表示されません
• チーム所有者は共同所有者を任命でき、共同所有者はチーム リストを個別に拡張できます。
• チームには外部ユーザー (「ゲスト」) を含めることもできます
• 共有またはダウンロードのために提供されたリンクは、Teams や Azure AD では表示されません。SPO でのみ表示され、大量のリンクをクリックして面倒な作業をした後にのみ表示されます。
• SPO サイトのみのアクセスは Teams には表示されません

集中管理の欠如 できないことを意味します:

• 誰がどのリソースにアクセスできるかを確認する
• 重要なデータがどこにあるかを確認する
• サービス計画に対するプライバシー最優先のアプローチを必要とする規制要件を満たす
• 重要なデータに関する異常な動作を検出する
• 攻撃範囲を制限する
• 評価に基づいてリスクを軽減する効果的な方法を選択する

サマリー

結論として言えるのは、

• O365 を使用することを選択した組織の IT 部門にとって、情報に基づいて合意された O365 を使用するためのポリシーを作成するには、共有設定の変更を技術的に実装し、特定のパラメーターの変更による結果を正当化できる資格のある従業員を配置することが重要です。セキュリティとビジネスユニット
• 情報セキュリティにとって重要なのは、データ アクセスの監査、IT 部門およびビジネス部門と合意された O365 ポリシーの違反、および許可されたアクセスの正当性の分析を毎日自動的に、またはリアルタイムで実行できることです。 、テナント O365 の各サービスに対する攻撃も確認できます。

出所： habr.com