【Microsoft 365】管理者がアプリ同意を見直す時の危険な権限と所有者確認

Microsoft 365環境では、サードパーティ製アプリケーションへのアクセス同意管理がセキュリティ上の重要なポイントです。管理者がアプリ同意を見直す際には、危険な権限を付与していないか、またアプリの所有者が適切かどうかを確認する必要があります。本記事では、アプリ同意の基本から危険な権限の具体例、所有者確認の方法、実際の見直し手順までを解説します。しっかりと理解して、セキュリティリスクを低減しましょう。

1. アプリ同意とは?基本の確認

アプリ同意の仕組み

Microsoft 365では、ユーザーや管理者がアプリケーションに対して特定のデータや機能へのアクセスを許可する仕組みを「アプリ同意」と呼びます。例えば、Outlookの予定表を読み取るサードパーティアプリをインストールする際に、権限の承認を求められます。この同意は「委任された権限」と「アプリケーション権限」の2種類に分かれます。委任された権限はサインインしたユーザーの代わりに動作し、アプリケーション権限はバックグラウンドでアプリ自体が直接データにアクセスします。管理者が見直すべきは特にアプリケーション権限です。

管理者による同意の必要性

多くの組織では、ユーザーが勝手にアプリ同意できないように制限しています。その場合、管理者が一括で同意する必要があります。しかし、一度付与した同意を定期的に見直さないと、不要な権限や危険な権限が残ったままになるリスクがあります。また、アプリの開発者や発行元が不明なまま放置すると、悪意のあるアプリに組織データが流出する恐れがあります。そのため、定期的なアプリ同意の棚卸しが推奨されています。

2. 危険な権限とは?具体例と影響

高い特権を要求する権限一覧

アプリ同意で特に注意すべき権限は、以下のような高い特権を要求するものです。これらの権限を持つアプリは、組織全体のデータやユーザー情報に広くアクセスできる可能性があります。

権限の種類	危険な例	安全な例(参考)
Mail.ReadWrite	すべてのメールボックスにアクセスでき、メールの作成・削除も可能	Mail.Read(読み取りのみ)
Files.ReadWrite.All	すべてのSharePoint・OneDriveファイルにアクセスでき、編集・削除も可能	Files.Read(読み取りのみ)
Directory.ReadWrite.All	Azure ADのディレクトリデータを読み書きでき、ユーザーやグループの作成も可能	Directory.Read.All(読み取りのみ)
User.ReadWrite.All	すべてのユーザープロファイルを読み書きでき、パスワードリセットも可能	User.Read(自身のプロファイルのみ)

権限の悪用事例

実際に発生した事例として、Files.ReadWrite.All権限を持つアプリが、組織内の機密文書を外部ストレージにコピーして流出させた事件があります。また、Directory.ReadWrite.All権限を使って攻撃者が新しい管理者アカウントを作成し、組織全体の制御を奪うケースも報告されています。こうした権限は、通常の業務アプリではほとんど必要ありません。アプリが本当にその権限を必要としているのか、利用目的を確認することが重要です。

3. アプリの所有者確認の重要性

所有者を確認する方法

アプリの所有者は、Azure AD管理センターの「エンタープライズアプリケーション」から確認できます。各アプリの「所有者」タブを開くと、そのアプリを管理しているユーザーまたはグループが表示されます。所有者が組織内のアカウントであれば信頼性が高いと言えますが、外部の個人アカウント(例:outlook.comやgmail.com)が設定されている場合は注意が必要です。また、所有者が空欄の場合は、アプリが十分に管理されていない可能性があります。

未確認アプリのリスク

所有者が不明または外部アカウントのアプリは、悪意のある第三者が管理している可能性があります。そのアプリが後で悪用された場合、誰が責任を持つのか明確になりません。また、所有者がいないアプリは更新や監査が行われず、脆弱性を放置するリスクがあります。そのため、定期的に所有者情報を確認し、適切な担当者を割り当てることが推奨されます。

4. 管理者がアプリ同意を見直す手順

以下の手順で、アプリ同意の見直しを実施してください。事前にテストテナントで動作を確認することをお勧めします。

1. Azure AD管理センターにサインインする:グローバル管理者またはアプリケーション管理者の権限を持つアカウントで、https://aad.portal.azure.com にアクセスします。
2. 「エンタープライズアプリケーション」を選択する:左メニューから「エンタープライズアプリケーション」をクリックし、アプリケーション一覧を表示します。
3. 確認したいアプリを選択する:一覧から該当するアプリをクリックします。検索ボックスを使って絞り込むこともできます。
4. 「権限」タブで付与されている権限を確認する:アプリの詳細画面で「権限」をクリックし、委任された権限とアプリケーション権限の一覧を確認します。特に「高い特権を要求する権限一覧」で挙げた権限がないかチェックします。
5. 「所有者」タブで所有者を確認する:「所有者」タブをクリックし、アプリの所有者が組織内のアカウントか外部アカウントかを確認します。所有者が空欄の場合は、適切なユーザーを追加することを検討します。
6. 不要または危険なアプリを削除する:権限が過剰である、所有者が不明である、または利用実績がないアプリは、「プロパティ」から削除できます。削除前に影響範囲を評価し、関係者に連絡してください。

5. 失敗パターンと対策

よくある失敗例

管理者がアプリ同意を見直す際に、以下のような失敗が発生することがあります。

• 権限の確認漏れ:委任された権限だけを確認し、アプリケーション権限を見逃してしまうケースです。アプリケーション権限は特に危険性が高いため、両方を必ずチェックしましょう。
• 削除による業務影響:不要と思って削除したアプリが、実は別の業務システムと連携していて、システム停止に繋がった事例があります。削除前に関連部門へ確認を取り、影響を評価してください。
• 外部所有者への誤った信頼:「外部アカウントでも信頼できるパートナーだから」と放置すると、そのアカウントが乗っ取られた際に組織が危険に晒されます。所有者は必ず組織内のアカウントに統一するか、アクセス管理を徹底しましょう。

管理者へ伝えるべき情報

アプリ同意の見直しを実施する際、上位の管理者やセキュリティ担当者に以下の情報を報告してください。

• 見直し対象となったアプリの一覧と、各アプリの権限・所有者の状態
• 危険な権限を持つアプリの有無と、そのリスク評価
• 削除または変更を推奨するアプリと、その理由
• 同意見直しのスケジュールと、今後の定期監査の計画

6. よくある質問

Q1: アプリ同意の見直しはどのくらいの頻度で行うべきですか?
少なくとも四半期に1回、できれば月1回の定期的な棚卸しを推奨します。また、大規模な人員異動やセキュリティインシデント発生後は臨時で実施してください。

Q2: 危険な権限を付与してしまった場合、どうすればいいですか?
すぐにそのアプリの同意を取り消し、不要であれば削除してください。その後、影響範囲を調査し、不正アクセスがないか監査ログを確認します。必要に応じてパスワードのリセットなど追加対策を実施します。

Q3: 所有者が不明なアプリはどう対処すればいいですか?
まずはそのアプリを利用しているユーザーや部門を特定し、管理者を割り当てます。もし利用実態がない場合は、安全のため削除してください。所有者を追加する際は、組織内のアカウントを設定するよう徹底します。

7. まとめ

アプリ同意の見直しは、Microsoft 365のセキュリティを維持するために欠かせない作業です。危険な権限を放置すると組織全体に深刻な影響を与える可能性があります。必ず権限の種類と所有者を確認し、不要なアプリは削除してください。また、見直し作業は定期的に行い、結果を管理者に報告することで、組織のセキュリティレベルを高めることができます。今後も継続的な監視と改善を心がけてください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

🔐

会社アカウント・認証トラブル完全解決データベース 職場または学校アカウント、MFA、Authenticator、VPN、権限、会社ポリシーで止まる問題を横断的に確認できます。