Office 365標準機能のセキュリティレベルの低さにショック

マイクロソフトのOffice 365 for Enterpriseのことを調べていて、衝撃の事実を発見。第三者からの不正アクセスを防止する方法として、標準で用意されているのが、ユーザ名とパスワードだけ!!
たとえば同じ企業向けクラウド型グループウェアであるGoogle Apps for Businessは、スマートフォンにワンタイムパスワードを送信する仕組みの2要素認証が、標準機能で用意されている。
他には、サイボウズは、クラウド版でなくても、ファイアウォールにアウトバウンドのポートを開けるだけで、社外から社内のサイボウズにアクセスできるという、Blackberry式のサービス「サイボウズ リモートサービス」が存在する。
この「サイボウズ リモートサービス」では、クライアント証明書と接続元端末を、ユーザ別に管理できるというすぐれものだ。
また、クラウド版のサイボウズ・ガルーンは、標準機能で接続元のグローバルIPアドレスによる接続制限をかけられる。また、「セキュアアクセス」という名前のオプションがあり、スマートフォンにもインストールできるクライアント証明書で、接続元端末を特定できる。
パブリックなインターネットに口を開けて、いわば不正アクセスやクラッカーの攻撃を待ち構えているとも言える、クラウドサービスにとって、多要素認証か、グローバルIPアドレスか、クライアント証明書による接続元端末の限定は「必須」である。
にもかかわらず、Microsoft Office 365 for Enterpriseはそのどれも標準で提供しておらず、Active Directory Federation Services機能に対応する、サードパーティ製のソリューションを別途購入し、構築する必要がある。
このADFSの仕組みは、サードパーティ製のソリューションが社外のインターネットから送信してくる認証要求を、自社内のActive Directoryに引渡すために、どうしても自社のファイアウォールに、インバウンドのポートを開ける必要がある。
インバウンドのポートを開けるということは、DMZの構築が必須になる。
DMZの構築が必須になるなら、わざわざOffice 365を使わなくても、最初から社内のExchange Serverにリバースプロキシをかませて、社外からOutlook Web Accessが使えるようにし、かつ、ActiveSyncを構成してスマートフォンにメールや予定表をプッシュできるようにすればいい。
つまり、Office 365には標準で用意されているセキュリティ機能が、ユーザ名・パスワード認証のみという、信じがたいレベルの低さなので、わざわざOffice 365に移行する意味がない、という事実を発見して愕然としたのだ。
もちろん厳密には、25GBのメールボックスや訴訟対応のメールアーカイブ機能などなどが欲しければ、Office 365 for Enterpriseに移行する意味はある。しかしこれらはGoogle Apps for Businessでも提供されるサービスだ。
マイクロソフトのクラウドサービスのマーケティング責任者は、アホじゃないかと思う。
わざわざGoogle Apps for Businessに最初から負けているようなサービスを売りだしてどうするつもりなのだろうか。
ところで、Office 365 for Enterpriseは導入事例がかなりあるようだが、こういう会社のOutlook(つまりOutlook Web AccessのOffice 365版)は、まさかユーザ名とパスワードだけでログインし放題になっていないだろうね。
Office 365 導入事例(マイクロソフト Office 365 オフィシャルサイト)