Microsoft 365利用時に注意すべき情報漏えいリスク どうすれば安全に共有できる?:機密データをうっかり情報共有?
Microsoft OutlookやMicrosoft Teamsでの何げないコミュニケーション、Microsoft SharePointでの便利な情報共有、Microsoft 365 Copilot での効率的な情報取得。これらの裏側で、悪意なき「うっかり」が情報漏えい事故を静かに呼び込んでいる。利便性を犠牲にせず、気付きにくいリスクとどう向き合うべきか。
現代のビジネス環境において「Microsoft 365」(以下、M365)の利用は日常だ。M365により生成AIの活用やリアルタイムでの情報共有などが可能となり、組織の生産性とコラボレーションを促進させている。
ただし、同サービスの普及はさらなる情報漏えいのリスクを生み出した。深刻なのが、従業員の「うっかりミス」に起因するインシデントの増加だ。USBメモリなどの物理デバイスを制御するのとは異なり、クラウド環境でのデータ共有の影響はクリック一つで広範囲に及びかねない。
ユーザーの利便性を損なうことなくミスを防ぎ、安全なコラボレーション環境を構築するにはどうすればいいのか。日立ソリューションズのセキュリティの専門家へのインタビューを基に問題の本質を掘り下げる。
現場で頻発 M365環境における3つのリスク
情報漏えい対策において、日常的に直面しているリスクを分析することは重要だ。中でも「ヒヤリハット」が発生する状況は対岸の火事ではなく、自社でいつ起こってもおかしくない身近な脅威といえる。M365利用時に注意すべき、リスクの例を3つ紹介する。
リスク1.Teamsでの過剰共有リスク
「Microsoft Teams」(以下、Teams)は社内外のコラボレーションを円滑にするが、手軽さゆえに、思わぬリスクを招くことがある。特に問題視すべきは、ファイルや情報が意図せず、本来の共有範囲を超えて公開されてしまう「過剰共有(オーバーシェアリング)」だ。日立ソリューションズの野口由貴氏は、「社外の方が参加するTeamsのチャットルームに、社内メンバー限定で共有すべきファイルを誤って共有してしまうケースは、経験がある方も少なくないのではないでしょうか」と例を挙げる。すぐに削除できたとしても、もしそのファイルに機密情報が含まれていたら深刻な事態になるだろう。
日立ソリューションズの野口由貴氏(セキュリティプロダクト本部 セキュリティプロダクト第1部 主任)リスク2.いまだになくならない電子メールの誤送信リスク
情報漏えいの原因の上位を依然として占めるのが電子メールの誤送信だ。同社の栗原啓氏は「宛先や添付ファイルの間違いといった古典的なミスは後を絶ちません」と語る。対策として「上長承認」といった手動のチェック体制を導入している企業もあるが、これも万全ではない。
問題はチェックの形骸化にある。承認者の負担増大による承認疲れが対策を見せかけに変え、セキュリティリスクを生んでいるのが実態だ。
日立ソリューションズの栗原啓氏(セキュリティプロダクト本部 セキュリティプロダクト第1部 グループマネージャ)リスク3.「Microsoft 365 Copilot」利用の危険性
最近では生成AIアシスタント「Microsoft 365 Copilot」(以下、Copilot)の普及による新たなリスクも生まれている。Copilotは、ユーザーの指示に基づいてM365内のデータを横断的に参照・活用できる便利なツールだ。しかしこの利便性は裏を返せばクラウド上に放置された機密情報をCopilotが参照できてしまうということでもあり、もろ刃の剣となる。
栗原氏は「例えば、『Microsoft SharePoint』やTeamsで共有したファイルが「組織内の誰でも閲覧可能」な設定になっていた場合、Copilotはそれを参照して資料を作成します。その結果、本来アクセス権を持たないユーザーが、生成された資料を通じて、知り得ないはずの情報に触れてしまうリスクが生じます。このような情報漏えいリスクはまだ十分に認識されていませんが、今後顕在化するはずです」と説明する。
時代に適したセキュリティ 「一律な禁止」から「気付きと可視化・対処」へ
ではリスクにどう対処すればいいか。かつて主流だった「ツールの利用を一律に禁止する」というアプローチはもはや現代のビジネススタイルには適合しない。
栗原氏は「クラウドサービスのメリットであるスピーディーかつリアルタイムの情報共有を阻害せず、生産性はそのままにセキュリティを確保するという、バランス感覚に基づいた対策が必要です」と語る。
日立ソリューションズは「利用者への気付き(入り口対策)」と「システム的なリスクの可視化や対処(出口対策)」という対策を推奨している。その一部を支援するのが、「情報漏洩防止ソリューション 秘文」だ。暗号化や物理デバイスの制御を得意とするソリューションだが、生成AIの活用をはじめ、クラウド環境に対応するための強力な機能を新たに搭載した。
Teams用新機能:共有前の「気付き」を生む警告
入り口対策では、社外メンバーが含まれるチャットやチームにTeamsでファイルやMicrosoft SharePointのリンクを共有しようとすると「警告アラート」を表示する機能が加わった。
この機能の目的は、ユーザーの利用を禁止することではない。野口氏や栗原氏が強調するように「『社外のユーザーが参加しているチャネルに社外秘ファイルを共有する』といったミスを防ぐための“気付き”を与える点」にある。ユーザーはアラートによって気付くことができ、共有内容を再確認する機会を得られる。この立ち止まりが情報漏えいの防波堤になる。
Outlook用新機能:AI活用で「宛先間違い」の可能性を警告
Outlook利用時の情報漏えい対策には2つの機能が追加された。一つは、ファイルやURLを含むメッセージを社外宛てに送信する際に警告アラートを表示する機能だ。Teams用の機能と同様に不注意による情報漏えいを防ぐための気付きを与える。
もう一つは生成AIを活用した電子メール内容の自動チェック機能だ。「メールアドレス」「電子メール本文中の宛名」「添付ファイル内に記載された会社名」を生成AIが複合的に照合する。
添付ファイルに記載された会社名と電子メール本文中の会社名が異なっていると、宛先間違いの可能性があると判断してアラートを表示する。不注意による情報漏えい防止のために上長の承認をルール化していたとしても添付ファイルのチェックまでとなると負担はかなり大きくなる。生成AIがチェックを自動で実行することで、手間をかけずにセキュリティレベルの向上が期待できる。
Copilotの本格利用を後押しするシステム統制機能が登場
気付きを与えるだけでは意図しない過剰共有の不安が残る。そこで必要になるのが共有された後、つまり「出口」におけるリスクの可視化や対処だ。
これを実現するのが「情報漏洩防止ソリューション for Microsoft 365 Copilot」である。先述した秘文の機能もこのソリューションの一部に含まれている。
「情報漏洩防止ソリューション for Microsoft 365 Copilot により、過剰共有のリスク状況がダッシュボードで、一目で分かります。高リスクのファイルを一覧で表示し、それぞれのファイルの露出度※1や情報の秘密度※2を細かく確認できます。権限の一括変更で、対策も簡単に実行可能です」(栗原氏)
※1:「1人以上の外部ユーザー」や「100人以上の内部ユーザー」にファイルが共有されていると露出度「高」になるなどの条件でリスクを判定する。
※2:銀行口座番号やマイナンバーが含まれる情報は秘密度「高」になるなどの条件でリスクを判定する。
同ソリューションは「情報漏えいリスクアセスメント」「情報漏えい対策の実施」「セキュリティコンサルティング運用支援/アドバイザリ」という3つの柱で構成される。
情報漏えいリスクアセスメントは、Copilot導入前に過剰共有の状況をチェックする。M365内のファイル一覧やアクセス権、公開状況を基にリスクを可視化し、「重要な情報が不用意に公開されている」など不適切な状態を検知した場合には改善策を提案する。
現状が可視化できたら、次は情報漏えい対策の実施だ。顧客環境にあわせた情報漏えい対策製品を導入し、リスクの可視化、ポリシーの自動制御を実現する。また、製品導入後も運用ガイドラインの策定やチューニングの運用、アドバイザリの定期的な提供といったセキュリティコンサルティングを行っている。
ヒヤリハットは人ごとではない 早期の対策を
M365環境におけるヒヤリハットは、ユーザーであれば誰しも覚えがあるはずだ。Copilotをはじめとする生成AIを利用すれば新たなリスクが発生することは間違いない。
栗原氏は「利便性を追求することは非常に大事ですが、リスクを考慮してセキュリティも確保してほしいと思います。秘文や情報漏洩防止ソリューション for Microsoft 365 Copilotはクラウド時代に適応したバランスのいい対策を提供します」と締めくくった。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:株式会社日立ソリューションズ
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2026年2月8日
ITmediaはアイティメディア株式会社の登録商標です。