「Microsoft 365」を改善、セキュリティと生産性の両立へ：外部のOffice文書を開いても問題なし

Microsoftは、企業におけるセキュリティと生産性の両立に役立つ「Microsoft 365」の2つの新機能「Safe Documents」「Application Guard」を発表した。Office文書に由来するセキュリティ侵害を、ユーザー側の負荷なく抑えることができるという。

　Microsoftは2020年2月12日（米国時間）、企業におけるセキュリティと生産性の両立に役立つ「Microsoft 365」の2つの新機能「Safe Documents」「Application Guard」を発表した。

　Microsoft 365は、WindowsとOffice 365、デバイス管理、セキュリティ機能などをセットで提供する企業向けサブスクリプションサービス。今回発表したSafe Documents機能とApplication Guard機能を、Microsoft 365の「E5」と「E5 Security」プランの顧客に提供する。MicrosoftはSafe Documentsのパブリックプレビュー版の提供を数日以内に開始する予定だ。

　Microsoftによれば、最も一般的で強力な攻撃手法の一つはユーザーの日常作業の隙間を突く攻撃だ。毎日のように直面するセキュリティと生産性維持のトレードオフを利用する。それほど複雑な攻撃ではない。脆弱（ぜいじゃく）性を悪用するエクスプロイトや、悪意のあるリンクを隠した文書のように単純なものが手段になる。

　このような攻撃はセキュリティに対する伝統的な考え方、すなわち、生産性が多少犠牲になるのはやむを得ないという方針ではカバーできない。

　何らかの機能をブロックしたり、リスクを制限するためにアクセスを制限すると、ユーザーは回避策へと逃げたり、セキュリティポリシーを無視して作業を続けたりしてしまう。セキュリティチームが管理しなければならない対象が増え続ける一方で、ユーザーは回避策を探すことばかり考えてしまう。

　今回の発表はこのような悪循環を断ち切るものだという。セキュリティと生産性の両立を目指した取り組みだ。

　今回の2つの新機能は、「Windows 10」と「Office 365 ProPlus」「Microsoft Defender Advanced Threat Protection（ATP）」をシームレスに連携させたことで実現できた。新機能の概要は次の通り。

保護ビューの欠点を補うSafe Documents

　Safe Documentsにより、Microsoft 365のセキュリティ保護と検知メカニズムの基盤であるクラウドサービス「Intelligent Security Graph」の機能をデスクトップで利用する。つまり、ドキュメントの安全性をエンドポイントで確認できる。

　Microsoft Officeで広く使われている既存の「保護ビュー」機能は、組織の外部で作成されたドキュメントを安全に利用する際に役立つ。だが、この機能が提供するサンドボックスをよく考えずに終了してしまい、ユーザーがネットワークを危険にさらしてしまうことがよくある。

　Safe Documentsは、「最小限の信頼アプローチ」をOffice 365 ProPlusクライアントに適用したもの。ドキュメントを開く前に、まず自動的に既知のリスクと脅威プロファイルに照らし合わせる。

　このとき、ドキュメントが信頼できるかどうか、ユーザーが判断することはなく、ユーザー自身の作業に集中できることがSafe Documentsのメリットだ。デスクトップとクラウドのシームレスな連携によって、ユーザーのワークフローが単純になり、同時にネットワークが安全に保たれる。つまり、利便性とセキュリティのどちらかを犠牲にする必要はない。

コンテナ技術を応用したApplication Guard

　Application Guardは、マイクロ仮想マシン（VM）をデスクトップで利用可能にする機能だ。クラウドサービス「Microsoft Azure」を支えているのと同じ技術である。