こんにちは、kakeruです。今回は、MicrosoftのライセンスであるMicrosoft 365 E5を購入すると何ができるのかまとめています。Microsoft 365 E3と E5どっちを購入すればいいの？という方は参考にしていただけたら。

一部、本ブログにて触れていないサービスもありますが、主なサービスをご紹介します！！

Microsoft 365 E5 だけの機能

まず最初に、Microsoft 365 E5のみで利用できる機能を下記に列挙していきます。それぞれ参考となるサイトのリンクを添付しています。

• Azure Active Directory Premium 1 と 2
• Microsoft Defender for Office 365
• Azure Information Protection P2
• 高度なコンプライアンス
• 電話システム
• Microsoft Defender for Endpoint
• Microsoft Defender for Identity
• Microsoft Cloud App Security
• 電話会議
• Power BI Pro

詳細については、下記サイトをご確認ください。

Microsoft 365 E5

https://www.microsoft.com/ja-jp/microsoft-365/enterprise/e5?activetab=pivot%3aoverviewtab

E5を持っているなら絶対に使うべきサービスや機能

Azure Active Directory Premium 1 と 2

Azure Active Directoryと他のIDaaSとの大きな違いは、P1とP2プランにあります。P1の条件付きアクセスや、特にP2のID保護機能が強力です。エンドユーザーに安全にSaaSを利用させることだけでなく、管理者のセキュリティや特権操作にも配慮した機能です。

条件付きアクセス

• グループ、場所、およびデバイスの状態に基づいた条件付きアクセス
• 条件付きアクセスを使用した Multi-Factor Authentication

高度なグループアクセス管理

• 動的グループの設定
• グループの有効期限の設定

ID保護 ←P2のみ利用可能

• Privileged Identity Management (PIM)
  • 必要な時に必要な時間だけ特権を昇格させることができる
• 脆弱性とリスクの高いアカウントの検出
• リスクに基づく条件付きアクセスポリシーの設定

詳細については、下記サイトをご確認ください。

Azure Active Directory の価格

https://azure.microsoft.com/ja-jp/pricing/details/active-directory/

Microsoft Defender for Office 365

Microsoft Office 365を安全に利用するための機能です。各種Officeアプリケーション内のファイル、メールの添付ファイルやリンクなどの脅威を検知し保護します。また、これらのインシデント管理機能を備え、フォレンジックの自動化や攻撃シミュレーションによるトレーニングも提供しています。

エンドユーザーがもっとも触れ、外部と繋がる場所なので、こうした機能は持たせておきたいですね。

構成、保護、および検出機能

添付ファイル保護

• 仮想環境を使用して、受信者に配信される前に電子メール メッセージ内の添付ファイルを確認する
• 安全な添付ファイル ポリシーによって制御される
  • 既定の安全な添付ファイルポリシーはないので、安全な添付ファイルの保護を取得するには、1つ以上の安全な添付ファイルポリシーを作成する必要がある

リンク保護

• メール フロー内の受信メール メッセージの URL のスキャンと書き換え、および電子メール メッセージなどの URL とリンクのクリック時の検証を提供する
• 安全なリンク保護は、次の場所で利用できる
  • 電子メール メッセージ
  • Office 365 アプリ

SharePoint、OneDrive、Microsoft Teams用の安全な添付ファイル

• Microsoft 365の一般的なウイルス検出エンジンによってアップロード時に既にスキャンされているファイルに対する保護の層を追加する
• チーム サイトやドキュメント ライブラリで悪意のあるファイルとして識別される既存のファイルを検出およびブロックするのに役立つ

Defender for Office 365 のフィッシング対策

• 特定のメッセージ送信者と送信者ドメイン、メールボックス インテリジェンス設定、および調整可能な高度なフィッシングしきい値に対する偽装保護設定を構成します。 
• 機械学習などのヒューリスティックは、サービス全体と組織に対する協調フィッシング攻撃に関連するメッセージを特定して分析します。
• 管理者は、偽のフィッシング メッセージを作成し、教育ツールとして内部ユーザーに送信できます。

自動化、調査、修復、教育の機能

脅威トラッカー

• 企業に影響を与える可能性のあるさまざまなサイバーセキュリティの問題に関するインテリジェンスを提供する有益なウィジェットとビュー
• マルウェア キャンペーンの傾向に関する情報を表示できる

脅威エクスプローラ

• セキュリティ運用チームが脅威を効率的に調査して対応するのに役立つ

自動調査および対応

• セキュリティ運用チームの時間と労力を節約できる強力な自動調査と応答 (AIR) 機能が含まれている

攻撃シミュレータ

• 組織内で現実的な攻撃シナリオを実行できる
• 実際の攻撃が影響を与える前に、脆弱なユーザーを特定するのに役立つ

詳細については、下記サイトをご確認ください。

Office 365 セキュリティの概要

https://docs.microsoft.com/ja-JP/microsoft-365/security/office-365-security/overview?view=o365-worldwide

Azure Information Protection P2

Azure Information Protectionを利用することで組織はコンテンツにラベル付けをしてドキュメントや電子メールの検出、分類、および保護を行うことができます。

分類とラベル付けの自動化は、Azure Information Protection P2のみ利用可能です。

詳細については、下記サイトをご確認ください。

Azure Information Protection とは

https://docs.microsoft.com/ja-jp/azure/information-protection/what-is-information-protection

高度なコンプライアンス(オススメ)

Microsoft Cloud のすべてのサービスにわたってリスク評価を実行し、機密データの自動保護とガバナンスをライフサイクルを通して行うことで、規制による要求に効率的に対応できます。

内部不正リスクの可視化など、ゼロトラスト的なアプローチを行える世界で唯一の製品です。

コンテンツ検索

• Exchange メールボックス内の電子メール、SharePoint サイトと OneDrive の場所のドキュメント、Microsoft Teams と Skype for Business でのメッセージ、添付ファイルを検索できる　

データ損失防止

• 組織全体、クラウド、デバイスで使用および共有される機密コンテンツを検出し、偶発的なデータ損失を防ぐのに役立つ

インサイダー リスクの管理

• 組織全体の危険なアクティビティを検出し、インサイダーのリスクと脅威を迅速に特定、調査、および実行するのに役立つ

詳細については、下記サイトをご確認ください。

Microsoft 365 コンプライアンス センター

https://docs.microsoft.com/ja-jp/microsoft-365/compliance/microsoft-365-compliance-center?view=o365-worldwide

Microsoft Defender for Endpoint(旧称 MDATP)

組織の管理するデバイスネットワークにより、高度な脅威を防止、検出、調査、および対応するために設計されたEDR（Endpoint Detection and Response）製品です。Windows、macOS、Linuxだけでなく、iOSやAndroidまでもカバーでき、OSの違いによる運用負荷を劇的に軽減できます。

Windows以外のOSではまだ発展途上な部分もまだありますが、確実に今後も主流になっていく製品だと思います。

エンドポイントの検出および応答

• 効率的にアラートの優先順位を設定し、違反の全容を可視化して、脅威に対処する対応策を講じることができる。

動作ブロックと封じ込め

• 脅威の実行が開始された場合でも、その動作とプロセス ツリーに基づいて、脅威を特定して停止するのに役立つ。

自動調査と応答(AIR)

• AIR 機能は、アラートを調べ、侵害を解決するために直ちにアクションを実行するように設計されている。 AIR 機能により、アラートの量が大幅に削減され、セキュリティ操作は、より高度な脅威や他の価値の高いイニシアチブに集中できる。
• 保留中か完了かの修復アクションはすべて、アクション センターで 追跡される。
•  アクション センターでは、保留中のアクションが承認 (または拒否) され、必要に応じて完了したアクションを元に戻すことができる

高度な追及(Advanced Hunting)

• クエリ ベースの脅威の捜索ツールで、最大 30 日間のロー データを検索できる。
•  ネットワーク内のイベントを事前に検査して、脅威インジケーターとエンティティを特定できる。
•  データへの柔軟なアクセスにより、既知の脅威と潜在的な脅威の両方に対する拘束されていない検出が可能。

Microsoft 脅威エキスパート

• セキュリティ運用センター (SOC) に専門家レベルの監視と分析を提供し、固有の環境における重大な脅威を見逃しなくするための管理された脅威検出サービスである。
• 標的型攻撃通知とオンデマンドの専門家へのアクセスという 2 つの機能を通じて、エキスパート主導のインサイトとデータを提供する。

脅威の分析

• 驚異の分析を利用することで、より高度な敵対者と新しい脅威が頻繁かつ一般に出現する中で、以下を迅速に実行することができる。
  • 新しい脅威の影響を評価する
  • 脅威に対する回復力または暴露を確認する
  • 脅威を停止または格納するために実行できるアクションを特定する

詳細については、下記サイトをご確認ください。

Microsoft Defender for Endpoint

https://docs.microsoft.com/ja-jp/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint?view=o365-worldwide

Microsoft Defender for Identity(旧称 Azure ATP)

オンプレミスの Active Directory シグナルを利用して、組織を対象とする高度な脅威、侵害された ID、および悪意のあるインサイダーによるアクションの識別、検出、調査を行えます。

• 学習ベースの分析を使用してユーザー、エンティティの動作、アクティビティを監視
• Active Directory に格納されているユーザー ID と資格情報を保護
• ユーザーの疑わしいアクティビティおよび kill チェーン全体での高度な攻撃を識別して調査
• 高速なトリアージのためにシンプルなタイムラインで明確なインシデント情報の提供

詳細については、下記サイトをご確認ください。

Microsoft Defender for Identity とは

https://docs.microsoft.com/ja-jp/defender-for-identity/what-is

Microsoft Cloud App Security

ログの収集、API コネクタ、リバース プロキシなど、さまざまな展開モードをサポートするクラウド アクセス セキュリティ ブローカー (CASB)です。

MCASの良さはあるものの、出来ればCASBはNetskopeとの併用がベストだと考えています。

Netskopeなど他CASB製品との使い分け

MCAS

• Netskopeより対応するSaaSアプリケーションが少ないため、情報収集や調査用途として利用
• MCASとAzure Sentinelを連携させ、利用中のクラウドサービスに不審なアクセスがないか、大量にアップロードやダウンロードをしていないか等を調査できる

詳細については、下記サイトをご確認ください。

Microsoft Cloud App Security の概要

https://docs.microsoft.com/ja-jp/cloud-app-security/what-is-cloud-app-security

Netskope

• データ保護やSaaSへのアクセスコントロールといった本来のCASBとして利用
  • データ保護を行うDLP機能について、他のCASB製品は日本語非対応だがNetskopeは日本語に対応できる優位性がある
  • SaaSへのアクセスコントロールについて、Netskopeのクラウド格付け機能（CCI）を用いて評価が低いサービスへのアクセス制御などを行える

詳細については、下記サイトをご確認ください。

Netskope製品ページ

https://cloudnative.co.jp/product/Netskope

E5を持っていても使わない方がいい、使わなくてもいいサービス・機能

電話システム

電話システムを使用すると、既存のオンプレミス PBX システムを、Microsoft 365 または Office 365 から提供される一連の機能に置き換え、クラウドエクスペリエンスに緊密に統合することができます。

詳細については、下記サイトをご確認ください。

電話システム

https://docs.microsoft.com/ja-JP/microsoftteams/what-is-phone-system-in-office-365

電話会議

ユーザーは自分の電話から会議にコールインすることができます。基本的にはTemasの利用で良いのではと考えます。もしTemasが利用できない場合などに利用することになるかもしれません。

詳細については、下記サイトをご確認ください。

Microsoft 365 の電話会議

https://docs.microsoft.com/ja-JP/microsoftteams/audio-conferencing-in-office-365

その他、E5にまつわるetc…

セキュリティに関する新機能はほとんどE5のみでの利用となります。過去の経緯からも今後リリースされる新規サービスもE5に組み込まれるか、E5前提での利用となると考えられます。

E5のログデータは膨大なので、無料で取り込めるAzure Sentinelを併用するとより強力になります。ログから自動でレスポンスを返したり、ユーザへ通知したり様々なことができます。

E5には学習時間が必要で、おおよそ3ヶ月程度までは誤検知との戦いです。その間に機械学習させると、アラートの精度が劇的に上がり運用が楽になっていきます。

現在、MSが力を入れているのはMicrosoft Complianceで、世界で唯一、インサイダーリスクマネジメントなどの内部不正のリスク可視化やゼロトラストなアプローチが満載です。製品の改善やアップデートが多いため今後の動向に注目していきましょう。

終わりに

今回は、Microsoft 365 E5についてまとめてみましたが、MSのライセンスは複雑でわかりにくいことも多いと思います。今後もライセンスについてのまとめや他製品との使い分けなどについて触れていけたらと思います。