Microsoft 365における情報漏えいをどう防ぐ？ 外部共有レベルをマークせよ

コロナ禍を経て、SaaSを中心とした企業のクラウドサービス利用は拡大し続けている。ただ、これに比例するようにクラウドサービス利用に起因するセキュリティインシデントが増えている。どうすればこのような事態を防げるのか。

[PR／ITmedia]

PR

　クラウドサービスの利用で起こるセキュリティインシデントの多くは情報漏えいだ。その原因のひとつに、設定や運用の不備がある。テナント構築時に、運用ルールの作成や対策を講じないまま情報の外部共有設定レベルをデフォルトの「全公開」にしていたり、管理者やユーザーに過剰な権限を付与したりするケースが後を絶たない。一度定めた共有設定レベルを長い間見直さずに使い続けることのリスクを、今あらためて把握するタイミングが訪れている。

　対策するには、クラウドサービスを現在「どう使っているのか」を探る必要がある。利用者が多いMicrosoft 365（以下、M365）のコミュニケーションツールを例に、外部共有設定に潜むリスクと講じるべき対策について解説する。M365で設定できる4段階の外部共有レベルそれぞれのメリットとデメリット（リスク）をチェックしていこう。

まずは整理　M365のコミュニケーションツールの用途と役割は

　話を聞いたのは、M365の各種ツール事情に詳しく、クラウドセキュリティソリューション「HENNGE One」を提供しているHENNGEの紀藤佑允氏だ。まずは以下の4種類のコミュニケーションツールの用途や使い分けについて解説してもらった。

HENNGEの紀藤佑允氏（Cloud Sales Division, Sales Enablement Section）

・Microsoft Teams（以下、Teams）
・Microsoft SharePoint Online（以下、SharePoint Online）
・Microsoft OneDrive（以下、OneDrive）
・Microsoft Exchange Online（以下、Exchange Online）

　Teamsは、チャットツールとして主にリアルタイム性が求められるコミュニケーションに利用される。Web会議や音声・画像の送受信、Officeツールの共同編集も可能。Exchange Onlineのスケジュールも確認できるなど、「Microsoftプラットフォームの窓口的存在」だ。基本的には社内利用に重きが置かれている。社外メンバーをゲストとして招待することは可能だが、これを使った社外との情報共有機能は限定的になる。

　SharePoint Onlineは、ドキュメント管理のためのイントラネットだ。部門ごとに生成されるファイルのデータベースとして使われるケースが多い。ニュースやイベントを社内に知らせるポータルサイトとしても利用できるが、リアルタイム性よりは情報を蓄積する場所という性格が強い（社外との情報共有機能については後述する）。

　SharePoint Onlineが部門のファイル保管場所なら、OneDriveは個人用のそれだ。管理のポリシーも前者が部門全体で管理するのに対して後者は個人の責任で管理するものであり「個人の共有設定を編集できるのは本人だけです」（紀藤氏）。後でも触れるが、社外との情報共有設定はSharePoint Onlineの設定内容に影響を受ける。

　Exchange Onlineはカレンダーや連絡先、タスクなどさまざまな機能を持つが、主体は電子メールプラットフォームだ。電子メールが昔から利用されてきたコミュニケーション手段だと考えると、社外との情報共有用のチャネルと言える。ファイルをやりとりした証跡を残しやすいのもメリットだ。

ここが基本！　M365で使われる4段階の外部共有レベル

　M365の外部共有レベルは、オープン性が高い順から「すべてのユーザー」「新規および既存のゲスト」「既存のゲスト」「組織内のユーザーのみ」の4段階ある。

　「すべてのユーザー」で設定するメリットは、ファイル共有の利便性が高いことだ。しかし、リンクを知っていれば誰でもアクセスできるためリスクも高い。間違った相手にリンクを送ってしまったり、リンクを転送されたりすると、望まないユーザーにアクセスされてしまう恐れがある。誰がアクセスできるか、どのような操作（削除など）をしたのかを追跡できないというデメリットもある。

　「新規および既存のゲスト」で設定するメリットは、セキュリティを重視しつつ柔軟にコラボレーションできる点だ。紀藤氏は「自社の環境に存在しないM365ユーザーやM365のアカウントを持っていないユーザーであってもファイルへのアクセス時にサインインが求められるため、誰がファイルにアクセスしたかも追跡できます。最低限のセキュリティを確保しながら柔軟性も保てるというバランスの良さが特徴で、これを設定する企業も多いという印象があります」と話す。

　これにも間違った相手にリンクを送る、リンクを転送されるという可能性は残る。招待するゲストの人数を制限せずに使っている現場も多く、中にはゲストが万単位に膨れたことでアクセス管理が追い付かないケースもあるという。招待したゲストを削除するには、ファイル保有者または管理者の権限が必要だ。

SharePoint Onlineで「新規および既存のゲスト」設定を用いた外部共有運用モデル（クリックで拡大／出典：HENNGEの提供資料）

　「既存のゲスト」設定の特徴は、自社の環境に存在するユーザーにのみ共有を許可する設定である点だ。そのためセキュリティという観点では「新規および既存のゲスト」よりもコントロールしやすい。その代わり、社外メンバーを追加する場合はゲストユーザーとして自組織への招待が必要といった手間が発生する。

　「組織内のユーザーのみ」の設定は、社外共有をしないという選択肢になる。情報漏えいを予防して法令を順守するには最も効果的だが、社外との情報共有手段がなくなる。これについて紀藤氏は「IT部門の目が届かないところで『他のクラウドストレージを契約する』または『無償のファイル転送サービスを使う』従業員が出てくるなど、“シャドーIT”や“野良IT”を生むというリスクが発生します。これを回避しようとすると、他に情報を共有する手段や、外部共有状況をモニタリングするCASBなどの仕組みを用意しなければなりません」と説く。

　この4つの外部共有レベルは、SharePoint Onlineの設定内容がOneDriveの設定に影響する仕組みになっている。例えばSharePoint Onlineの上限設定が「新規および既存のゲスト」の場合は、OneDriveではそれよりオープン性の高い「すべてのユーザー」に設定できない。

　どの外部共有レベルを選択するかは企業や部門のポリシーによる。しかし紀藤氏は「できれば共有を推進する方向で考えることを推奨します」と語る。

　「ファイル共有は企業や部門を超えたコラボレーション手段として素晴らしい仕組みであり、M365の機能をとことん使い切るという意味でも重要です。セキュリティのためだけに別途クラウドストレージを契約するのも“もったいない”でしょう。設定をしっかり見極めた上でM365を運用することが理想です」

外部共有状況の把握、M365でどこまでできる？

　M365は、管理者向けに外部共有レベルを把握するためのダッシュボード「Microsoft 365 管理センター」を提供している。しかし、ファイルの外部共有数は確認できるがファイル名や共有先といった詳細の把握には手間がかかる。管理者がファイルの管理権限を持っていれば共有設定を管理センターで変更できるが、そうでない場合は手出しできない。これはSharePoint OnlineだけではなくOneDriveでも同様だ。

　いつでも機密情報を検出、分類、保護、管理できるようにするため、M365の上位プランには「Azure Information Protection」（以下、AIP）が提供されている。そのうち、Plan1ライセンスではファイルにラベルを付けてその重要度に応じてアクセス許可を設定できる。特定のラベルが付けられたファイルを特定のユーザーグループのみがアクセスできるようにしたり、ファイルが外部に持ち出された際に閲覧を制限したりできる。だが、自社で重要度を設計したり設計内容を定期的に見直したりする必要があるため、運用は簡単ではない。Plan1よりも上位のPlan2ライセンスではこのラベル付けをAIで自動化できるが、振り分け精度はまだ完璧ではない。何より、AIP機能だけを目的に上位プランを契約するのはランニングコストの面で負担が大きい。

File DLPで手軽に実現する「クラウドサービスのセキュリティ強化」

　HENNGEはこれらの問題点を解消するため、HENNGE Oneの新しい機能「File DLP」をリリースする。

　HENNGE Oneはクラウドセキュリティサービスだ。従業員がどこからでもクラウドサービスを効率的に利用できるように設計されており、シングルサインオンや多要素認証、アクセス管理などの機能を提供する。この他、情報漏えい防止のためのデータ損失防止（Data Loss Prevention、以下、DLP）機能や標的型攻撃メール訓練など、企業が直面するさまざまなセキュリティ課題に対応する。

　File DLPはファイルによる情報漏えい対策ソリューションとして開発されたもので、以下の4つの特徴がある。

1：ファイル共有状況の可視化
さまざまなクラウドストレージの共有状況を集約、可視化することで外部共有によるセキュリティインシデント発生を回避する。

2：ユーザーインタフェースからファイル共有停止
共有してはいけないファイルの共有があると、管理者がすぐに止められる。

3：セキュリティリスクの設定
企業や部門の状況に応じて、共有リスク検出条件の設定や危険度を設定できる。

4：共有停止の自動化
ファイルの共有停止ルールを自動で実行できるため、ユーザーが意識しなくてもルールに沿った運用ができる。

File DLPのイメージ。直感的に扱えるユーザーインタフェースも魅力（クリックで拡大／出典：HENNGEの提供資料）

安全なファイル共有のためのソリューションのラインアップがあるHENNGE One（クリックで拡大／出典：HENNGEの提供資料）

　紀藤氏はFile DLPの詳細をこう語る。

　「File DLPはファイルの共有状況を簡単に見える化できます。管理者がM365の共有状況を確認するのは想像以上に手間がかかります。それを一元管理して可視化することでリスクを事前に回避できるのがFile DLPです。『Google Drive』や『Box』などとも連携できるため、クラウドサービスの共有状況をまとめて把握可能です」

　File DLPを使えば、IT部門などの管理者が共有設定を直接変更できるため、企業全体を考えたセキュリティを強化できる。“公開から何日間経過すると公開を停止する”といったルールを作って自動的に適用できるため、共有設定の抜け漏れを防げる。

　ファイル共有における情報漏えい対策は、経営層やIT部門だけでなく現場担当者にもメリットがある。管理者の目が入ることで、自身の誤った共有操作によって責任を負わされるかもしれないというプレッシャーから解放されるということだ。File DLPは2024年7月にリリースされて「HENNGE One Pro」に搭載される予定になっている。

管理者と現場担当者が安心できる、ファイル共有を実現

　File DLPによって、企業はクラウドサービスの外部共有メリットを損なうことなく、セキュリティリスクを含むデメリットを回避する情報漏えい対策をとれるようになる。

　紀藤氏は「M365をはじめとしたクラウドサービスを存分に使っていただきたい――これが私たちの願いです。クラウドサービスの利便性と安全性を両立させる。そのためにも多くの企業にHENNGE One、そしてFile DLPの魅力を知っていただきたいと思います」と語った。