見出し画像

BioPass FIDO2 でパスワードレスはじめました!

Reiko@HRD Group

さて、2回目のnote。今回は私たちHRD Groupの従業員が日々使用しているパソコンに関するセキュリティまわりのお話をご紹介したいと思います。

弊社はアセスメントツールを扱っていますので、お客様からセキュリティに関するご質問をよく頂きます。アセスメント情報は、米国・Wiley社が管理・運営しているEPICというプラットフォームに高度なセキュリティ対策によって管理されています。

ということで、Microsoft365 E5 をフル活用して社内の情報インフラを刷新し、途中、サイバー攻撃に遭って、ヒヤッとした経験をもとに、ついにパスワードレス導入開始しちゃった!…とある中小企業の2019年秋から2021年6月までのロングジャーニーをお楽しみください!

1.社内インフラ刷新に向けて

2019年6月、前任者不在のままIT担当者として着任した私は、外部機関に依頼して受けたセキュリティ審査の結果を渡され、右も左も分からぬまま、社内のインフラの整備を任されることになりました。

どこからどう手をつけて良いものか…どうしたものかと考えている最中にも、パソコンが壊れたとか、ネットワークがつながらないとか 、メールがなんか調子悪いとか、印刷設定ができないとか、IT担当が不在の間のあれやこれやが降ってくる…あげく、ノートパソコンを落としてモニター割ってしまった…明日から出張なんだけどどうしたらいい?…とか。

他にも、「動画の編集お願いしたいのですが…」、「 YouTube の表紙(サムネイル)のとこ、いいかんじにしてくれない?」、「Webサイトの更新お願いします」…などという、これまでの私の経歴や、インフラとは関係ない話もふつうに頼まれる。「だってITでしょ?」という言葉とともに…。

書いていて話がブレそうになるのですが、なにが言いたいかというと、中小企業のひとり情シスは、なんでも屋になるということ。多岐にわたる社内のIT課題に向き合うためにも、時間の確保とその実現には、最初に安定したインフラ環境を整えないと成り立たないという結論に至りました。

そして、折しもWindows10への移行が叫ばれていた時期、翌年の東京オリンピック期間は東京都から在宅業務の要請もうけるという話もあったとかで、フルクラウド導入にむけて絶好のタイミングでした。

2.Microsoft 365 E5 導入にいたるまで

とにかく社長にはセキュリティ面についてはしっかり言われていたことと、なにかあれば真っ先に対応が求められるため、このタイミングで堅実な選択をしたいと思いました。

前述のとおり、弊社は人材アセスメントツールを取り扱っているうえ、 大手企業のお客様や外資系企業のお客様も多いため、同水準のセキュリティ対策が求められます 。

情報セキュリティが重要なことは理解しているけれど、我々のような中小企業が、年間どれだけの予算と工数をセキュリティ対策として確保できるのか… 社内で何度も議論を重ねた結果、 Microsoft 365 E5、最上位ライセンスを導入することに決めました。(←高いけど💦)

Microsoft 365 E5については Microsoft のサイトでしっかりと紹介されていますので割愛しますが、2019年の秋に導入して既に1年以上経ちますが、これなくしてこの間の弊社のビジネスは 成り立たなかったと言っても過言ではないと思っています。

導入以前に懐疑的だったメンバーもOutlookに届くスパムメールの激減に驚き、スマートフォンを利用した二段階認証システム(Authenticator) や複数デバイス間のデータ同期の便利さにも助けられるうちに、その凄さを徐々に実感し始めました。

その後もTeamsはもちろんのこと、 SharePointとOneDrive の理解に悩みながら、現在もForms, PowerApp, Power BI など、数あるアプリを有効活用しながら業務を進めています。

2020年3月上旬には、東京オリンピックの期間を想定し、全員で在宅勤務にトライしてみました。自宅からTeamsでミーティングをして感触をつかみつつ、課題を話し合ったりしておりました。そして程なくして東京都の緊急事態宣言、あれよあれよという間に世の中が変わり、私たちは予想外の形で本格的な在宅勤務にシフトしていったのです。

3.パスワードレス導入の背景 
ⅰ)Microsoft 365 E5 のセキュリティ機能

Microsoft 365が便利なのは理解できたけれどセキュリティ面では実際どうなの?という点についてご説明したいと思います。

セキュリティ対策って保険みたいなもので、実際に被害にあってみないと、その脅威にさらされている実感が伴わないかと思います。もちろんこれまでもセキュリティ対策を講じる必要性は頭で理解していたものの、実際に、うちのような中小企業に向かってなにか仕掛けてくるようなハッカーなんているんだろうか…なんて、思ってましたから。

以下は、弊社が実際に受けたセキュリティ脅威についての報告の内容です。

報告サマリー
● 多くの脅威(1万以上)をブロックしています。高度なフィッシング攻撃なども受けていますので、引き続き注意してください。(図1)
● 攻撃シミュレーションに関しては2つのシミュレーションを実行しましたが、侵害率は0%でした。皆さんよく対処なされています。(図2)
● 危険なユーザーとして××さんがリスクレベル「低」でリストアップされていました。ロシアからのログインの試行がありました。結果はログイン失敗でしたので影響はありませんが、「狙われている」状況があります。(図3)

1. こちらが実際の MS 365の管理画面からの抜粋

画像1

2.攻撃シミュレーションのトレーニングの結果(社内のセキュリティへの意識向上のために実施しました)

攻撃シミュレーション

3.あるアカウントに対するロシアからのログイン試行を知らせる実際のアラート

画像3

いかがでしょう。すごくないですか?
私たちが office アプリやインターネットを利用している裏で、Microsoft Defender がしっかり仕事してくれている!どこの誰だか知らないけれど、弊社のアカウントめがけて毎月1万以上の攻撃を仕掛けているということにまずは驚き。。

そして社内教育の一環で、攻撃シミュレーションを仕掛けて頂いたのですが、とりあえずこっちも皆さん無事にクリアした模様。日頃から「不審なメールは迷惑メールフォルダーに入れるか、即削除すること!」っと口酸っぱく言っていた甲斐がありました。

そして、成功はしなかったものの特定のアカウントをロシアから狙ったという形跡までわかる!

こんなこと、Microsoft 365 E5 導入前なら全くわからなかったことですし、導入していなかったら、知らない間に社内のネットワークに何かを仕掛けられてデータを暗号化されて金銭を要求されて…みたいなことが起きてはじめて何が起きたか知るような状況だったと思う。

うちのような小規模な会社でもこれだけ狙われているのだから、よその会社も気づいていないだけで、相当狙われているはず。総当たりなら、大手だろうが中小だろうが変わらないわけで、ネット上では同じリスクを抱えているってことだ。

そんなわけで、私たちはMicrosoft 365 E5 の導入により、自分たちを取り巻くインフラ環境の納得の体制を整えた…と思っていました。

事件が起こるまでは…。

ⅱ)重大インシデント発生! 

 「Xさんのアカウントが乗っ取られています!」

えっ!

2021年3月某日、MS 365 E5 導入時よりインフラ周りのサポートをいただいている専門家の方から、緊急連絡が入りました。時間にして21時過ぎ…。

定期的にセキュリティ状況や結果分析を頂いているのですが、その作業にとりかかろうとした際、“偶然”その状況に遭遇し、ご連絡をいただいた次第です。

とりあえずXさん本人に連絡しようとしたものの、遅い時間のためつながらず…Teamsで一斉アナウンス。上役にもすぐに連絡がついて、該当アカウントへの適切な対処をすすめていただきました。

やはりですね…私たちができるのは準備だけ。実際の対応については、プロの力を借りることになります。

ⅲ)事象まとめ

後日頂いた報告書の中から一部をご紹介します。

該当アカウントが、高リスクなユーザーと判定されているという内容と共に、以下の情報をいただきました。

1. アカウント自体が乗っ取られたというイベントの記録
2. そのアクセスもとのIPアドレス情報
3. そのIPアドレスでのアクティビティログ

1.アカウント自体が乗っ取られたというイベントの実際の記録

画像4

2.アクセス元は「オランダ」のIPアドレス 194.127.179.233でした。このIPアドレスは悪意ある攻撃者が利用しているIPアドレスであるとわかっているIPアドレスでした。(Microsoftのセキュリティデータベースより)

画像5

3.ただし、幸運なことにその攻撃者のIPアドレスでのアクティビティログは何も検出されませんでした。自動的に連続的に攻撃する中でログインには成功したけれども、その他のアクションは実行されなかったものと思われます。一時対処としてすぐにパスワードをリセットさせてもらったことも功を奏したと考えられます。

画像6

他にも、Xさんのアカウントには、匿名 Proxy からのサインインの試みが多数繰り返され、いずれも失敗に終わっていること、そして、このアカウントが狙う価値のあるアカウントとしてブラックマーケットに流出してしまっている可能性が非常に高い状況である旨、ご報告いただきました。
※ただちに該当アカウントは削除し、現在は使用しておりません。

いかがでしょうか。

office製品の便利さを利用しつつ、同時にセキュリティ対策もできるということで Microsoft 365 E5 を導入しましたが、実際にインシデントが発生した際のログもしっかりととれるので、専門家に迅速に対応をお願いできる。
Enterprise 版ではありますが、いざという時の備えとして、私たちのようなリソースに限りのある中小企業にこそ、ベストな選択だと実感した次第です。(←お、ねだん以上。💦)

…あぁ…盛大にMicrosoft の宣伝。。。

ⅳ) やっぱりヒューマンエラー

はい、ここ肝心。

よく言われることとして、どんなにセキュリティ対策を打ったとしても、ゼロにするのは難しい…なぜなら、セキュリティインシデントの発生要因の上位に ”ヒューマンエラー” があるから。

ログの証跡からわかったこと。

現在、 アカウントへのログインには、スマホアプリ「Authenticator」を用いた2段階認証システムを使用しています。

Xさんはそのアプリから「承認」を求める表示が上がっていたのを見て、つい、いつもの調子で「承認」ボタンを押してしまっていたのです。
※身に覚えのないAuthenticatorからの通知には絶対に応答しないのが正解。

…そうか、やっぱり起きてしまうのか。。。
あんなに何度も言っても・・・いや、確かに不審なメールは開くな!とは言った。だけど、不審な通知に応答するな!…とは言ってない。。。だけどね・・・なんで「承認」ボタン押すんだぁ〜!!orz

セキュリティ教育などを通じて意識を高めてもらう活動はしていても、それを普段の振る舞いにつなげて、浸透させるってなかなか難しい・・・結局、この事件をベースに、人為的ミスがいかに怖いのか、全社員で振り返り、共有し、何度も話し合いの場を持ちました。これは、今後も変わらず啓蒙を続ける必要があるなぁと実感させられる出来事でした。

4.BioPass FIDO2導入でパスワードレスはじめます!

セキュリティ教育をするなど、会社として、従業員にセキュリティ意識をもって業務にあたってもらうようにしてはいるけど、脅威はちょっとした隙をついて侵入してくることを実感した私たちは、次の一手を考えることになったのです。

ログインIDとパスワード…スマホへの2段階認証…

事象を振り返りながら、いくつかの対策を検討したものの、コストに見合った有効性を確認できず、決めきれないままでいたのですが…見つけました!…というか、ご紹介いただきました!

パスワードがあるから狙われる…だったらパスワードなくしてしまえばいいよね!っていうその考え方がいいっ!パスワードレス賛成!!

画像7

ということでBioPassを利用した指紋による認証を採用することになりました。

現在、従業員全員にBioPassを配布する準備をしているところです。
経過についてはまた後日お伝えします。

※ひとことでパスワードレスといっても、様々な方式がありますので、組織で導入する際には十分な検討が必要です。プロにご相談することをおすすめします…念のため。


この記事が気に入ったらサポートをしてみませんか?