日本の民間企業におけるテレワークの普及は、コロナ禍を機に、多くの企業が導入するようになりました。
コロナ禍以前から働き方改革が叫ばれており、テレワークへの関心は高まっていたものの、新型コロナウイルス感染症の拡大をきっかけとして急速に普及したといえるでしょう。テレワークの急速な普及に伴い、社内やプロジェクトチーム内における情報共有の為にMicrosoft365やGoogle Workspaceなどのクラウドのグループウェアを導入している企業は非常に多いのではないでしょうか。

テレワークにおけるさまざまな課題を解決するツールがクラウドのグループウェアです。クラウドのグループウェアはテレワークにおける多くのメリットをもたらします。クラウド上にストレージを持ち、社内スタッフや外部の方とのファイル共有や共同編集、チャット、リモート会議を手軽に行う事ができます。クラウドのグループウェアの二大巨頭である、Microsoft365とGoogle Workspaceはどちらも機能的にはあまり変わりがありません。

例えば、Microsoftのアプリケーションを会社で多く利用している場合なら、Microsoft365を選んだ方がユーザが戸惑う事が少なくなるのではないでしょうか。逆にGoogleのアプリケーションをプライベートで利用している社員が多い場合、Google Workspaceを選んだ方がユーザからの不満は少ないのではないでしょうか。

さて、今回はMicrosoft365の話です。昨年よりMicrosoft社から案内があった通り、Exchange Onlineでの基本認証が2022年10月1日に廃止されます。
ほとんどの企業のITエンジニアの方はすでに内容を理解しており、もう対応済だと思いますが、念の為どういった事になっていくのか簡単に概要を記載したいと思います。

基本認証とは..。

基本認証はアプリケーションが要求毎にユーザ名とパスワードを送信し、それらの資格情報を元にサービスまたはアプリケーションを利用する仕組みです。
この仕組みの問題点は悪意のある攻撃者が簡単にユーザの資格情報をキャプチャできてしまうところにあります。Microsoft社の公式発表では2022年10月1日より、Exchange OnlineのOutlook、EWS、RPS、POP、IMAP、EASプロトコルの基本認証の無効化が開始される事を発表しています。つまり2022年9月末までに先進認証(モダン認証ともOAuth2.0認証とも呼ばれています)に対応する必要があります。もし、まだ対応していない企業がありましたら、日数があまり残っていませんので、詳しくは保守契約を締結しているITベンダに早急にご相談下さい。

2022年1月より、従来のExchange管理センターは世界中のテナント向けに非推奨となっており、Microsoft社では、新しいExchange管理センターを使用する事を推奨してきました。殆どの機能は新しいEACに移行されていますが、一部は他の管理センターに移行されており、残りの機能は新しいEACに移行されます。その他の機能で新しいEACにまだ存在しない機能は、新しいEAC間を移動するのに役立つグローバル検索を使用し探してみて下さい。

長年、基本認証を使用してアプリケーションはサーバ、サービス、APIに接続してきました。 基本認証を使用していると、攻撃者がユーザの資格情報を簡単にキャプチャできるようになります。これにより、盗まれた資格情報が他のサービスに再利用されるリスクが高まります。 さらに、基本認証が有効なままであれば、多要素認証 (MFA)の適用をしても場合によっては攻撃者が利用可能になってしまいます。

基本認証は古い業界標準です。この基本認証によってもたらされる脅威は、最初にこの機能を無効にする事を発表してから増加の一途をたどっています。より優れた、より効果的なユーザ認証の代替手段は幾らでもあります。一般的にユーザとデバイスが企業情報にアクセスする時に、ゼロトラストなどのセキュリティ戦略を採用するか、リアルタイムの評価ポリシーを適用する事を推奨されています。これらの代替手段を使用すると、ユーザを偽装する可能性のある認証資格情報を信頼するのではなく、どのデバイスから何にアクセスしようとしているのかをインテリジェントに判断する事が可能です。これらの脅威とリスクを念頭に置いて、Exchange Onlineのデータセキュリティを向上させる為の対策を講じるようにして下さい。

まとめ

Exchange Onlineでの基本認証の廃止により、2段階認証をサポートしていないアプリでパスワードを使用する事もできなくなります。Exchange Online for Exchange ActiveSync (EAS)、POP、IMAP、Remote PowerShell (RPS)、Exchange Web Services（EWS）、Offline Address Book (OAB)、Outlook for Windows、Macで基本認証を使用する機能が削除されます。又、使用されていない全てのテナントでSMTP AUTHを無効にしています。この決定で、基本認証を使用するアプリから最新の認証を使用するアプリに移行する必要があります。 最新の認証(OAuth 2.0 トークン) には、基本認証の問題を軽減するのに役立つ多くの利点があります。 例えば、OAuthアクセストークンの使用可能期間は限られており、発行先のアプリケーションとリソースに固有である為、再利用する事はできませんし、最新の認証では、多要素認証 (MFA) の有効化と設定も簡単に行えます。実はこの変更は既に以前から開始されていました。新しいMicrosoft365テナントはセキュリティの既定値が有効になっている為、基本認証が既にオフになっている状態で作成されます。2021年の初めから、既存のテナントの基本認証を無効にし、使用状況が報告されなくなりました。 テナントで基本認証が完全に無効になる前に、2021年9月からテナントのメッセージセンターに下記通知が表示されていました。「2022年10月1日より、Exchange OnlineのOutlook、EWS、RPS、POP、IMAP、EAS プロトコルの基本認証の無効化が開始されることを発表しました。 SMTP認証が使用されていない場合も無効になります..。」

これからの流れとして、近々基本認証は消えていく運命です。クラウドサービスのグループウェアを使う宿命として、常日頃からITベンダとの情報交換、情報収集やメッセージセンターのこまめなチェックなどを行い、クラウドサービスの機能の廃止や統合、更新には常に気を配るように心がけて下さい。

最後にMicrosoft社が2022年9月1日に、この変更を延期する最終的な方法が1つあると発表しました。
 
テナントは、2022年10月1日から2022年12月31日の間にセルフサービス診断を使用して、必要なプロトコルの基本認証をプロトコル毎に1回、再度有効にする事ができます。プロトコルを再び有効にする事が出来ますが、プロトコルの例外又は再有効化されたプロトコルは、2023年1月の最初の週には無効になり、これらのプロトコルは基本認証の使用に対して永久に無効になり、その後は基本認証を使用出来る可能性はありません。Exchange Onlineでの基本認証廃止によって、皆様の会社に導入されているExchange Onlineの認証で大混乱にならないよう、ラストチャンスを活かして無事対応できる事を祈っています。