Microsoft 365 へのなりすましアクセスを早期に発見する

アカウントやパスワードが流出した場合、悪意のあるユーザーより正規ユーザーになりすまして Microsoft 365 にアクセスされてしまう可能性があります。Azure Active Directory Identity Protection を利用する事でなりすましによるアクセスを抑止することができます

Azure AD Identity Protection とは

Microsoft 365 へのアクセスが正しいユーザーによるものなのか、なりすましなど不正アクセスの可能性があるかなど、ID に関するリスクをリアルタイムで分析・評価する機能です。この機能によって不正アクセスと判断された場合は、自動的にアクセスをブロックするなどの ID 保護機能も有しています。

リスク評価は 「危険なユーザー」 と 「危険なサインイン」 の 2 つを対象としています。

• 危険なユーザー      :   過去インターネット上に流出したことがある ID とパスワード
• 危険なサインイン  :  Tor や多段プロキシ等を利用し秘匿化された IP アドレスからのサインイン、普段アクセスしない場所からのサインインなど

リスク検知の種類や詳細は、以下を参照してください。
https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/concept-identity-protection-risks#risk-types-and-detection

Identity Protection を利用するには、Microsoft 365 E5、EMS E5、Azure AD Premium P2 のいずれかのライセンスが必要です。

リスクを確認する

1. Azure Active Directory 管理センター (https://aad.portal.azure.com/) を開き、[Azure Active Directory] – [セキュリティ] をクリックします。
   
2. [Identity Protection] をクリックします。
   
3. Identity Protection 画面でレポートの [危険なユーザー] や [危険なサインイン] をクリックします。検知されているリスクを確認できます。
   
   • [危険なユーザー]
     ※ リスク のレベル (低・中・高) の詳細は公開されていません
   • [危険なサインイン]
     

検出されたリスクに対する制御方法の設定

リスクが検出された時、リスク レベルによってアクセスをブロックしたり、パスワードの変更を強制するなどの対策をリスク ポリシーとして設定できます。

※ リスク ポリシーの設定や Microsoft 推奨設定値の説明は、以下を参照してください。
https://docs.microsoft.com/ja-jp/azure/active-directory/identity-protection/howto-identity-protection-configure-risk-policies#choosing-acceptable-risk-levels

• ユーザー リスク ポリシー
  • [アクセスをブロックする] と [パスワードの変更後、アクセス許可する] を指定できます。
  • Microsoft が推奨するトリガーとなるリスク レベルの設定値は、[高] です。
    
• サインイン リスク ポリシー
  • [アクセスをブロックする] と [多要素認証の設定後、アクセス許可する] を指定できます。
  • Microsoft が推奨するトリガーとなるリスク レベルの設定値は、[中以上] です
    

まとめ

組織のセキュリティ対策はデバイスだけではなく、ユーザーアカウントに対しても必要です。

この対策として、強固なパスワードや多要素認証などありますが、ユーザーが知らない間にMicrosoft 365 アカウント/パスワードが流出していたり、不正利用されている可能性がある場合に関しては、Identity Protection で検知し、アクセスのブロックやパスワードの強制変更することで不正アクセスを防ぐことができます。