クラウドの内部からの話題: Office 365 サービスのデータを監視、保護する方法

(この記事は 2014 年 11 月 13 日に Office Blogs に投稿された記事 From Inside the Cloud—How do we monitor and safeguard your data in the Office 365 service? の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

今回は、Office 365 のプリンシパル ソフトウェア エンジニアを務める Matt Swann と、Office 365 のシニア プロダクト マネージャーを務める Vijay Kumar の記事をご紹介します。

前回の記事、「クラウドの内部からの話題: セキュリティ上の新たな脅威に対してマイクロソフトが Office 365 で実施している対策」では、脅威に対する赤チームの活動と、セキュリティ侵害を想定したアプローチに含まれる内容についてご説明しました。

Office 365 のデータを安全に保つために、厳しく統制された方法で継続的に実施されるテストは、毎日テラバイト (TB) 単位のデータの送受信が行われているサービスの性質上、ばく大な規模の作業となります。

その膨大な量のアクティビティの中から変則的な動作を示す潜在的な危険を検出し、対策を取るのが青チームの役目です。今回は、この青チームの役割についてご説明します。

[View:https://www.youtube.com/watch?v=eT81ENTA8aw:550:0]

こ の規模でのテストを実現するために、マイクロソフトはビッグ データ システムを介してクラウドを使用しています。ビッグ データ システムには、セキュリティ、プロセスの開始、ネットワーク アクティビティ、ログオンなどマイクロソフトのエンジニアによるアクティビティ、その他多数のシステム内のイベントに関して、ペタバイト単位のデータが保 持されています。これらのアクティビティは、Office 365 の世界中のサーバーで種類別に分類されます。

フ レームワークによって、大まかに 3 種類の潜在的なアクティビティへの分類が行われます。1 つ目は「既知の正常なプロセス」で、サービスで日常的に実行されていると特定されたアクティビティが分類されます。2 つ目の「既知の問題のあるプロセス」では、侵入テストを実行する赤チームと協力して現実世界の攻撃者の行動を特定し、該当する可能性のあるアクティビティ に集中的に対応します。

こ うして知識を蓄積しながら、本当に見つけようとしているのは、この 2 つのカテゴリに該当しないアクティビティです。それが 3 つ目の「未知の不明なプロセス」で、マイクロソフトではこの変則的な動作を事前に検出しようと努めています。このプロセスでは、機械学習を取り入れて行動 をモデル化し、さらなるフォレンシックや調査、セキュリティ チームによる対策が必要となりそうなアクティビティのパターンを検出します。

検出の精度や応答時間を改善するための取り組みは、現在も継続して行われています。青チームには、攻撃が本物なのか、シミュレーションなのか、処理が終わるまで明かされないため、赤チームの存在がとりわけ日々緊張感を持って対策にあたることに役立っています。

引き続き、このブログ シリーズでご説明できる疑問点があれば、ぜひお知らせください。

最近公開された他のエピソードや関連資料は Office 365 セキュリティ センターでご覧いただけます。

また、侵入検出プロセスの詳細については、最新のガレージ シリーズ: Office 365 サービスの継続的なデータ保護 (英語) もご覧ください。

— Matt Swann、Vijay Kumar