【転載】Application Guard for Office はOfficeファイルのマクロ系に結構効果あるからどんどん広まってほしい

hiro_ retweeted: 怪しいファイルを開いて、マクロ警告を無視しても、保護をする新機能 出てますぜ! twitter.com/EurekaBerry/st…:

hiro_ retweeted:

怪しいファイルを開いて、マクロ警告を無視しても、保護をする新機能 出てますぜ! twitter.com/EurekaBerry/st…



--(日本語訳)--

管理者向けOffice用アプリケーションガード(パブリックプレビュー)

Microsoft Defender Application Guard for Office(Application Guard for Office)は、信頼できないファイルが信頼できるリソースにアクセスするのを防ぎ、企業を新しい攻撃から安全に保護します。この記事では、管理者がApplication Guard for Officeのプレビュー用にデバイスをセットアップする方法について説明します。デバイスでApplication Guard for Officeを有効にするためのシステム要件とインストール手順に関する情報を提供します。

前提条件

最小ハードウェア要件

  • CPU:64ビット、4コア(物理または仮想)、仮想化拡張機能(Intel VT-xまたはAMD-V)、Core i5相当以上を推奨
  • 物理メモリ:8 GB RAM
  • ハードディスク:システムドライブに10 GBの空き容量(SSD推奨)

最小ソフトウェア要件

  • Windows 10:Windows 10 Enterpriseエディション、クライアントビルドバージョン2004(20H1)ビルド19041
  • Office:Office Beta Channel Buildバージョン2008 16.0.13212以降
  • 更新パッケージ:Windows 10の累積的な毎月のセキュリティ更新プログラムKB4571756
システム要件の詳細については、Microsoft Defender Application Guardのシステム要件を参照してくださいOffice Insider Previewビルドの詳細については、「Office Insiderビルドの展開の開始」を参照してください

ライセンス要件

  • Microsoft 365 E5またはMicrosoft 365 E5セキュリティ

Office用アプリケーションガードを展開する

Officeのアプリケーションガードを有効にする

  1. Windows 10の累積的な毎月のセキュリティ更新プログラムKB4571756をダウンロードしてインストールします
  2. Windowsの機能]でMicrosoft Defender Application Guard]を選択し、[ OK]を選択しますApplication Guard機能を有効にすると、システムの再起動が求められます。今すぐ再起動するか、手順3の後で再起動するかを選択できます。
    AGを示すWindowsの機能ダイアログボックス
    この機能は、管理者として次のPowerShellコマンドを実行して有効にすることもできます。
    パワーシェル
    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
  3. Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Application Guardにある管理モードのMicrosoft Defender Application Guardグループポリシーを探します。[オプション]の値を2または3に設定し、[ OK]または[ 適用]を選択して、このポリシーをオンにします
    管理モードでAGをオンにする
    または、対応するCSPポリシーを設定できます。
    OMA-URI:./Device Vendor / MSFT / WindowsDefenderApplicationGuard / Settings / AllowWindowsDefenderApplicationGuard
    データタイプ:整数
    値:2
  4. システムを再起動します。

診断とフィードバックを設定して完全なデータを送信する

この手順により、問題の特定と修正に必要なデータがMicrosoftに確実に届きます。次の手順に従って、Windowsデバイスで診断を有効にします。
  1. [スタート]メニューから[設定]開きます。
    スタートメニュー
  2. 上のWindowsの設定、選択しプライバシーを
    ウィンドウ設定メニュー
  3. [プライバシー]で、[ 診断とフィードバック]を選択し、[ オプションの診断データ]を選択します
    診断とフィードバックメニュー
Windows診断設定の構成について詳しくは、組織でのWindows診断データの構成を参照してください

Application Guard for Officeが有効になっていて機能していることを確認する

Application Guard for Officeが有効になっていることを確認する前に、ポリシーが展開されているデバイスでWord、Excel、またはPowerPointを起動します。Officeがアクティブ化されていることを確認します。最初にOffice製品をアクティブ化するには、仕事用IDを使用する必要がある場合があります。
Application Guard for Officeが有効になっていることを確認するには、Word、Excel、またはPowerPointを起動して、信頼できないドキュメントを開きます。たとえば、インターネットからダウンロードしたドキュメントや、組織外のユーザーからのメールの添付ファイルを開くことができます。
信頼できないファイルを最初に起動したときに、以下のようなOfficeスプラッシュ画面が表示される場合があります。Application Guard for Officeがアクティブ化され、ファイルが開かれている間、しばらく表示される場合があります。信頼されていないファイルのその後の起動はより速くなるはずです。
Officeアプリのスプラッシュスクリーン
ファイルを開くと、ファイルがApplication Guard for Office内で開かれたことを示すいくつかの視覚的なインジケーターが表示されます。
  • リボンの吹き出し
    App Guardの小さなメモを示すdocファイル
  • タスクバーにシールドが付いたアプリケーションアイコン
    タスクバーのアイコン

Office用のApplication Guardを構成する

Officeは、Application Guard for Officeの機能を構成できるようにする次のポリシーをサポートしています。これらのポリシーは、グループポリシーまたはOfficeクラウドポリシーサービスを使用して構成できます。
 注意
これらのポリシーはまもなく利用可能になります。また、これらのポリシーを構成すると、Application Guard for Officeで開いたファイルの一部の機能が無効になる場合があります。
方針説明
Officeのアプリケーションガードを無効にするこのポリシーを有効にすると、Word、Excel、およびPowerPointは、Office用のアプリケーションガードの代わりに保護されたビューの分離コンテナーを使用するようになります。このポリシーを使用すると、EdgeでApplication Guardを有効のままにしておくことに問題がある場合に、Application Guard for Officeを一時的に無効にすることができます。
Application Guardで開いたドキュメントのコピー/貼り付けを無効にするこのポリシーを有効にすると、ユーザーは、Application Guard for Officeで開いたドキュメントから、そのドキュメントの外部で開いたドキュメントにコンテンツをコピーして貼り付けることができなくなります。
ユーザーがファイルのApplication Guard保護を削除できないようにするこのポリシーを有効にすると、(Officeアプリケーションエクスペリエンス内で)Application Guard保護を無効にするオプションまたはApplication Guard外のファイルを開くオプションが削除されます。

注:ユーザーは、ファイルからWebのマークプロパティを手動で削除するか、ドキュメントを信頼できる場所に移動することで、このポリシーを回避できます。
Application Guardで開いたドキュメントからの印刷を制限するこのポリシーを有効にすると、ユーザーがApplication Guard for Officeで開いたファイルから印刷できるプリンターが制限されます。たとえば、このポリシーを使用して、ユーザーにPDFへの印刷のみを制限することができます。
Application Guardで開いたドキュメントのカメラとマイクへのアクセスをオフにするこのポリシーを有効にすると、Office for Application Guard内のカメラとマイクへのOfficeアクセスが削除されます。

--(以下原文)--

Application Guard for Office (public preview) for admins

Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. This article walks admins through setting up devices for a preview of Application Guard for Office. It provides information about system requirements and installation steps to enable Application Guard for Office on a device.

Prerequisites

Minimum hardware requirements

  • CPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
  • Physical memory: 8-GB RAM
  • Hard disk: 10 GB of free space on the system drive (SSD recommended)

Minimum software requirements

  • Windows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041
  • Office: Office Beta Channel Build version 2008 16.0.13212 or later
  • Update package: Windows 10 cumulative monthly security updates KB4571756
For detailed system requirements, refer to System requirements for Microsoft Defender Application Guard. To learn more about Office Insider Preview builds, refer to Getting started on deploying Office Insider builds.

Licensing requirements

  • Microsoft 365 E5 or Microsoft 365 E5 Security

Deploy Application Guard for Office

Enable Application Guard for Office

  1. Download and install Windows 10 cumulative monthly security updates KB4571756.
  2. Select Microsoft Defender Application Guard under Windows Features and select OK. Enabling the Application Guard feature will prompt a system reboot. You can choose to reboot now or after step 3.
    Windows Features dialog box showing AG
    The feature can also be enabled by running the following PowerShell command as administrator:
    PowerShell
    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
  3. Look for the Microsoft Defender Application Guard in Managed Mode group policy located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Turn this policy on by setting the value under Options as 2 or 3 then selecting OK or Apply.
    Turn on AG in Managed Mode
    Alternatively, you can set the corresponding CSP policy:
    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    Data type: Integer
    Value: 2
  4. Reboot the system.

Set Diagnostics & feedback to send full data

This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Follow these steps to enable diagnostics on your Windows device:
  1. Open Settings from the Start menu.
    Start menu
  2. On Windows Settings, select Privacy.
    Windows Settings menu
  3. Under Privacy, select Diagnostics & feedback and select Optional diagnostic data.
    Diagnostics and feedback menu
For more on configuring Windows diagnostic settings, refer to Configuring Windows diagnostic data in your organization.

Confirm that Application Guard for Office is enabled and working

Before confirming that the Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. Make sure Office is activated. You may need to use your work identity to activate the Office product first.
To confirm that Application Guard for Office is now enabled, launch Word, Excel, or PowerPoint and open an untrusted document. For example, you can open a document downloaded from the internet or an email attachment from someone outside your organization.
On the first launch of an untrusted file, you may see an Office splash screen like the one below. It might show for some time while Application Guard for Office is being activated and the file is being opened. Subsequent launches of untrusted files should be faster.
Office app splash screen
Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:
  • A callout in the ribbon
    Doc file showing small App Guard note
  • The application icon with a shield in the taskbar
    Icon in taskbar

Configure Application Guard for Office

Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. These policies can be configured through Group policies or through the Office cloud policy service.
 Note
These policies will become available soon. Also, configuring these policies can disable some functionalities for files opened in Application Guard for Office.
PolicyDescription
Disable Application Guard for OfficeEnabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Edge.
Disable copy/paste for documents opened in Application GuardEnabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside it.
Prevent users from removing Application Guard protection on filesEnabling this policy will remove the option (within the Office application experience) to disable Application Guard protection or open a file outside Application Guard.

Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.
Restrict printing from documents opened in Application GuardEnabling this policy will limit printers a user can print to from a file opened in Application Guard for Office. For example, you can use this policy to restrict users to only print to PDF.
Turn off camera and microphone access for documents opened in Application Guard



Labels: ,

【転載】日本シーサート協議会、コロナ禍における「CSIRT対応プラクティス集」を公開

csirt00_l.png

日本シーサート協議会、コロナ禍における「CSIRT対応プラクティス集」を公開:

一般社団法人日本コンピュータセキュリティインシデント対応チーム協議会(日本シーサート協議会)は、コロナ禍において各企業・組織のCSIRTが検討したことや実際に対応した事例などをまとめた「『新型ウイルス感染リスク禍におけるCSIRT活動で考慮すべきこと』-CSIRT対応プラクティス集(ver.1.0)-」をPDFにて公開した。

 CSIRTとは、企業や各種組織において、ネットワークにおける事故や、それにつながる恐れがあることへの対処・備えを行うチームのこと。日本シーサート協議会は、そうしたCSIRT同士の連携を図り、情報化社会の発展に寄与するために設置された団体だ。

 協議会に参加している各チームは、東京オリンピックなどの国際イベントに向けてセキュリティインシデントへの備えを進めていたが、新型コロナウイルス感染症(COVID-19)によりテレワークの対象拡大とセキュリティ確保が急務になったという。

 こうした事態を受けてCSIRT対応プラクティス集では、現在のコロナ禍において、また、今後このようなことが起きても組織が適切に対応できるように、各組織が事前に整理しておくことが望ましい項目を洗い出し、想定される課題や対応などをまとめたとしている。

 具体的には、「インシデントの検知」と「インシデントの対応」の2項目について、CSIRTの一般的な業務項目ごとに、想定される課題や追加で生じる副次的な課題などを取り上げ、その課題解決に向けた方向性や実施手段例などをまとめている。さらに、根本的な組織としての備えや、テレワークが浸透する昨今において、完全リモートでの対応が可能か、または一部オフィスや現場対応が残るかなどの視点も踏まえつつ整理した。


loading.png
日本シーサイト協議会は5月中旬、加盟しているチームを対象にアンケートを実施(回答数は189)。それによると、「新型コロナウイルス感染拡大対策に関係なく、BCPや働き方改革の一環で、テレワーク対応を組織として準備されていましたか?」の質問に対して、「準備していた(追加対策の必要がない)」は15%、「一部準備していた(追加対策の必要があった)」は77%、「準備していなかった」は6%、「その他」は2%だった。そのため、9割以上の組織がBCP(事業継続計画)や働き方改革の一環としてテレワークに対応していた、あるいは準備をしていたとしている。

loading.png

Labels: , ,

テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点(転載)


テレワークかどうかは、もはや関係ない? 三菱重工のインシデント報告から学べる「IT管理者あるある」な反省点 (2/2) - ITmedia エンタープライズ:

テレワークが普及する中、セキュリティ対策に追われる組織や企業は多いのではないでしょうか。三菱重工が公開したインシデントレポートは、まさにテレワーク「あるある」の状況で起こった攻撃を明らかにしています。しかし、その中で挙がった要因の一つは、テレワーク以前にどうにかできたはずで、多くの組織で放置されがちなものでした。

ほぼ全ての企業がPCとネットワークを活用し、何らかのITシステムを使っています。インターネットに接続する可能性があれば、そこにはインシデントが発生する可能性も存在します。

最近ではサイバー攻撃を受けることも当たり前になりつつありますが、インシデントが発生したあとにしっかりとその被害状況に関してのレポートも公開されるようになりました。表に出てくるレポートだけでなく、サイバー脅威情報を共有する「ISAC」(Information Sharing and Analysis Center)と呼ばれる機関の中では、さらに濃い情報が飛び交っているはず。不利とされる「守る側」も、正しく進化しています。

本コラムでもそのようなサイバー攻撃に関する被害レポートを取り上げることが増えました。ただこれは「攻撃を受けるとは情けない」と言いたいからではありません。被害を無駄にせず「レポートを自分ごととして受け止めて欲しい」という狙いがあります。今回も必ず皆さんの役に立つであろう、不正アクセスのレポートを取り上げたいと思います。

今回“教材”として取り上げるのは、2020年8月7日に公開された三菱重工のインシデントレポートアーカイブ)です。

このレポートは、三菱重工名古屋地区のサーバと外部との間で不正な通信があったことを報告し、その原因を明らかにしています。重要な情報の流出はなく、その意味では軽微なインシデントだったかもしれません。ただ、内容を見るとPCやサーバを利用している全ての組織において、考えるべきポイントがあります。

インシデントが発生したのは2020年4月29日で、同社がそれに気付いたのは5月21日でした。検知にはそれなりに時間がかかっているとも捉えられますが、個人的にはしっかりと検知できていること自体、素晴らしいと思いました。その中で気になった点は2つあります。

まずは侵入経路です。きっかけは、社用PCからのSNS利用でした。

当社グループの従業員が、在宅勤務時に自宅で社内ネットワークを経由せずに外部ネットワークへ接続、SNS(ソーシャル・ネットワーキング・サービス)を利用した際に、第三者から受領したウイルスを含んだファイルをダウンロードしたことにより、当該従業員の社有PCが感染。

レポートによれば、SNSにおいて第三者からウイルスを含んだファイルを受領、ダウンロードしたこと(恐らくファイルを実行したという意味)で社用PCが感染しました。感染したPCの持ち主はその後5月7日に“出社”したとありますので、テレワーク主体だったというわけではなさそうです。社用PCがオフィスの外でウイルスに感染し、それが社内に持ち込まれるという、非常に典型的な事例であるといえます。

テレワークを実施している組織なら、同じような事態が発生する可能性は非常に高いでしょう。ポリシーとしてSNSの利用を禁止するのは簡単ですが、制度で従業員の行動を制限するよりは、ITの仕組みで防いだ方が、やはり確実かと思います。

三菱重工は今回の侵入を受けた今後の対策として「強制的に社内ネットワークを経由する処置(VPN強制接続)を適用」したとしています。さらにリスクを低減しようとするならば、SIMを直接差し込めるモバイルPCを導入し、4Gからインターネットを経由しない閉域網ネットワークを活用することになるでしょう。「今後はモバイルPCの調達戦略も大きく変わるのではないか」と考えています。

そしてもっとも注目すべきは、今回明らかになったSNS以外の要因です。その一つは、多くの人にとって覚えがありそうな“ITを管理する側の落ち度”でした。

影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。

(特権アカウントを悪用され他機器にログインされたものと考えております。)これらに対し、ローカル特権アカウントのパスワードを全て異なるものに変更する対策を実施済みです。

これは、ウイルスに感染した社用PC内から読み取られたパスワードと、サーバの特権アカウント(administratorやrootなど)のパスワードが同じだった、つまり「パスワードの使い回しがあった」ということです。パスワードの使い回しは、どのような場合であっても推奨できるものではありません。特権アカウントならばなおさらです。

これこそ、三菱重工のインシデントレポートが教えてくれる「あなたにも今日からできる対策」です。この事故を無駄にしないためにも、まずは特権アカウントのパスワードだけでも使い回しをしないよう、設定を見直してみてください。もちろん、サーバの管理者アカウントが「共有」されている場合は、その運用を見直すことを強くお勧めします。

自分が“普通”だと思っていることが、実は普通ではなかった――。そんなことが、世の中には往々にしてあります。セキュリティの常識も、誰もが“当たり前”だと思っていながら、きちんとそれに沿った対策ができていないというのが現状でしょう。そのため、こういった事件、事故の原因を読むと、人ごとのように「なぜこんな単純なことができていないのだ!」と思ってしまうのではないでしょうか。自分の組織が全く同じことをしているかもしれない可能性を棚に上げながら……。

ですので、こういったレポートを見たときには、どんなに原因が単純だったとしても、人ごととは思わず「もしも自分だったら?」と考えてみることが重要です。ぜひ、このレポートを読み直し、そこから自分ごととして学べることはないか、もう一度チェックしてみてください。きっと今日から改善できる点が見つかるはずです。その小さな一歩こそが、自分の周囲の世界をもっと安全にする最初のステップになるはずです。

Labels: , ,

【転載】サイバー保険、加入する前に問うべき7つのポイント

サイバー保険、加入する前に問うべき7つのポイント:

ハッカーやランサムウェアの被害に備えて保険を掛けておけば、より迅速な復旧に向けた支援が得られる。しかし、契約に踏み切る前に検討しておくべきポイントがいくつかある。

cyber_insurance_1280x960.jpg



バックアップ

Labels: , ,
登録: 投稿 (Atom)