Office 365導入事例企業のセキュリティレベルは大いに疑問

マイクロソフトのクラウド版Office、Office 365のセキュリティ機能について、導入事例でまったく触れられていない点がどうしても気になったので、公式ツイッター・アカウントに質問してみた。
Office 365の導入事例はこちらから閲覧できるが、セキュリティについてふれたものが見つからない。
Office 365 導入事例 (マイクロソフトOffice 365公式サイト)
そのやりとりを自分で「まとめ」てみた。

todkm: Office365導入事例はどれも、OWAを第三者の不正アクセスからどう保護しているか全く触れていない点があやしすぎる。Googleアカウントは2要素認証が追加機能として存在する。 @msonline_ja
10:08pm, Jun 27 from Web
msonline_ja: @todkm 2要素認証を導入するかどうかはお客様側の判断ですが、一般的に言って、導入を希望するお客様の数は多くありません。必要性を訴えるお客様は大企業のお客様に限られ、そのようなケースはADFSの導入で対応することが可能です。
6:26pm, Jun 28 from Web
todkm: @msonline_ja 大企業の導入事例で多要素認証や個体認証の事が全く触れられていないのは、わざわざOffice365にセキュリティー上の弱点があると宣伝しているようなものだ、という意図で指摘させて頂きました。なぜ触れないのですか?
7:09pm, Jun 28 from twicca
msonline_ja: @todkm セキュリティまわりを事例に記載するかどうかはお客様の希望にもよります (方式を明かすことはセキュリティのリスクにもなります) 大企業のお客様はADFSを入れて社内IDとの統合でOWAだけで認証させなくても高いセキュリティを実現できます。2要素認証の利用は少数派です。
8:02am, Jun 29 from Web
todkm: @msonline_ja 大企業がOWAと社内のADを連携させるのは運用の利便性から当然です。貴社としては、OWAのログオン画面やActiveSyncをユーザー名・パスワードのみの認証でパブリックのインターネットにさらしてもリスクはない、というご認識なのですね。それが驚きです。
8:11am, Jun 29 from twicca
msonline_ja: @todkm AD「連携」というのは単にパスワードを同じにするだけでなく、ログイン画面をさらさないことも含まれます。また、当社としてはいろいろなオプションを用意していますが、ユーザー利便性との天秤であり最終的にどのような認証を採用するかはお客様しだいです。
8:28am, Jun 29 from Web

Active Directory Federation ServicesというものとOffice 365を連携させれば、社内のActive DirectoryとOffice 365のアカウント同期ができ、かつ、Outlook Web AccessのUI自体を使用不能にしたりできるというのは、マイクロソフトのOffice 365公式サイトを読めばわかる。

また、日経BP社から『ひと目でわかるAD FS 2.0&Office 365連携』という書籍が発売されている。
しかし、まず信じられないのは、Office 365の日本語公式ツイッターアカウントが、ユーザ名(=Office 365のメールアドレス)とパスワードだけで導入している企業の方が多いと明言している点だ。
これはマイクロソフトの責任ではなく、社内メールが不正アクセスを受けても構わないと言わんばかりの導入企業側の責任なのだが、そのこと自体が僕にとっては信じがたい。
なぜって、ユーザ名はOffice 365のメールアドレスなのだから、その企業の社員と名刺交換すれば入手できる。
その企業の社員がメールを多くの人物をやりとりすればするほど、世界中にその企業のより多くのOffice 365のログインユーザ名が、より多くの不特定多数の第三者に広まっていく。
そのログインユーザ名が最終的に、悪意の第三者に知られることを防ぐ方法はない。あとはその悪意の第三者がなすべきことは、このうっかり者のOffice 365利用者のパスワードをクラックすることだけだ。
ユーザ名(=メールアドレス)とパスワードだけで、Office 365やGoogle Apps for Businessのようなクラウドサービスを業務に使っている企業は、「うちの社内メールにどうぞ不正侵入して下さい」と言っているようなものだ。
もし同じ企業が、社内ネットワークを外部の攻撃から保護するために、ファイアウォールを構築していたら、そのセキュリティのバランス感覚の欠如には、大笑いするしかないだろう。
社内ネットワークをファイアウォールやIDS/IPSでしっかり保護しているのに、社内の機密情報や、取引先からあずかった個人情報をたっぷり含んだ、社内メールデータは、パスワードだけで公衆のインターネットにさらしているのだから。
もちろん、Office 365公式ツイッターアカウントがおっしゃるように、Active Directory Federation Servicesを実行するサーバーを社内ネットワークに構築すれば、ユーザ名・パスワードに追加でセキュリティ機能を実装できる。
しかし、こちらのブログ『SharePoint Maniacs』の記事「Office 365関連書籍二冊!」にあるように、「(ADFSサーバが落ちると、Office 365が無事でもアクセスできなくなる)」のである。
社内でサーバーを運用するコストや手間を負いたくないから、クラウドサービスを利用しているのに、なぜセキュリティを確保するために社内でActive Directory Federation Servicesサーバーを構築・運用しなければいけないのだろうか。
これではメールシステムその他をクラウドにする意味がないではないか。
他方、グーグル社のクラウドサービス Google Apps for Business は、というより、GMailをお使いの皆さんなら、あなたが個人でつかっているGoogleアカウントでさえ、はじめから二要素認証が使える。
そもそもなぜ二要素認証が必要なのかといえば、上述のように、ユーザ名(=メールアドレス)とパスワードだけでは、不特定多数の第三者がインターネットに接続された世界中のどの端末から、あなたになりかわってシステムにログインするか分からないからだ。
そのリスクを低減するには、ユーザ名とパスワードだけでは明らかに不十分である。
これはOffice 365公式ツイッターアカウントがくり返し書いているような、「最終的にどのような認証を採用するかはお客様しだいです」というレベルの問題ではない。
企業が業務用にクラウドメールを使う場合、ユーザ名とパスワード以外のセキュリティ確保のしくみを追加するのは「必須」である。
グーグルは「必須」だと考えているからこそ、Googleアカウントに初期状態ですでに二要素認証の機能をつけているのだ。マイクロソフトの不正アクセスに対する認識が甘すぎるのである。
Googleアカウントの二要素認証は、携帯電話各社のメールアドレス(NTTドコモなら@docomo.ne.jpなど)に限定して、認証用の6桁の数字が自動送信するように自分で設定できる。
そうしておくと、ユーザ名(Gmailアドレス)とパスワードだけでなく、その数字を入力しないと、あるPCから自分のGoogleアカウントにログインできない。そういうしくみだ。
認証用の数字を送信するアドレスには、携帯電話各社のドメインのアドレスしか設定できない。
それによって、あなたの携帯電話やスマートフォンを物理的に手元にもっていなければ、自分のGoogleアカウントにログインできなくなる。これがGoogleアカウントの二要素認証である。
もちろんこれでも企業によっては十分なセキュリティレベルと言えないかもしれないが、ユーザ名(=メールアドレス)・パスワードだけのセキュリティに比べれば、物理的に携帯電話やスマートフォンを持っている必要があるので、はるかに堅固になる。
Google Appsは初期状態で二要素認証によって、不特定多数の第三者からの不正アクセスを防ぐしくみが組み込まれている。
マイクロソフトのActive Directory Federation Servicesのもう一つの重要な機能は、クラウドサービスと社内のActive Directoryのアカウントを同期することだが、Googleはこの機能をもつアプリケーションを無償で提供している。
アカウントの同期ツールと、パスワードの同期ツールだ。
Google Apps Directory Sync (Google Apps管理者用ヘルプ)
「新しいプロダクト:Google Apps Password Sync for Active Directory」(2012/06/01 Google Appsチームからの公式アップデート情報)
これらのツールを使うとActive Directory Federation Services同等の機能が実現できる。
以上のように、マイクロソフトOffice 365は、企業ユーザーが最低限のセキュリティを確保するための多要素認証を実現するのでさえ、ADFSと連携した別ソリューションの導入・構築コストがかかる点で、Google Apps for Businessにセキュリティ面・費用面で決定的に劣っている。
おそらくマイクロソフトは遅かれ早かれ、ユーザアカウントを保護する何らかの追加セキュリティ機能を、グーグルのように初期状態で提供することを強いられるだろう。
マイクロソフトのOffice 365の導入事例をざっと読んでみて、その中にあなたの会社の取引先が含まれていたら、よくよく考えなおした方がいい。
はたして自社の機密情報や重要な情報を、そんな会社のOffice 365にメールで送信して大丈夫なのかどうかを。