クラウド普及の黎明期から、ユーザー間では過剰共有のリスクが取り沙汰されてきました。近年の在宅勤務の増加に伴い、多くの企業でバーチャル コラボレーションが必須となっています。そしてリモート ワークを効率化するため、Microsoft Teams をはじめとする Microsoft 365 製品が劇的に普及しました。
一方、過剰共有というコラボレーションにおけるマイナス面は見落とされがちです。過剰共有は、組織にセキュリティおよびプライバシー上のリスクをもたらします。そこで、この記事では近々発売される Insights for Microsoft 365 製品を活用し、ユーザーに可視性を提供してコラボレーションの安全性を確保する方法を探ります。
残された課題
過剰共有は、特にそのつもりなく行われた場合、気づかれることなく長期間放置され、手遅れになることも考えられます。ここからは、様々な形で起こり得るこの状況について、実際によくあるシナリオを交えてご紹介します。
第一の課題: 露出度の高いところに紛れ込んだ機密ファイルを発見する
大規模な使用環境を想像してみましょう。何千ものチームや SharePoint サイト コレクション、OneDrive が存在するような環境で、どのようにすれば露出度の高いファイルを特定できるでしょうか? (露出度の高い場所とは、外部ユーザー、匿名ユーザー、あらゆるユーザーがアクセスできる場所などを指します)
ここで、露出度の高いファイルの一覧があると仮定しましょう。例えば OneDrive には全員と共有するためのフォルダーや多数のコラボレーション サイトがあるため、このファイルの一覧は数百万とまではいかずとも、数千にのぼる可能性があります。秘密度の観点から不適切な場所に置かれているファイルを、どのようにすれば発見できるでしょうか?
第二の課題: 外部ユーザーの管理
例えば、多数の外部ユーザーと仕事をすることになった場合、次のような疑問点への回答を用意しておく必要があります。
- 外部ユーザーがアクセスできる領域はどこか
- 機密性の高いコンテンツへのアクセスは可能か
- 外部ユーザーがどのような行動をしたか
- どのようにすれば、外部ユーザーの社内向けサイトへのアクセスを防げるか
第三の課題: シャドー ユーザーとシャドー グループ
シャドー ユーザーやシャドー グループは、バックエンド (SharePoint) から、チームまたはチャネルに属さないユーザーに Teams チャネル内のファイルが共有された場合に発生します。
シャドー ユーザーやシャドー グループはどのようにすれば特定できるでしょうか。そしてどのファイルにアクセスできる状態になっているのでしょうか。機密性の高いファイルはあるのでしょうか。
第四の課題: Teams のチャット ファイルやメール添付ファイルが公開されていないか
各ユーザーの OneDrive には、Outlook の添付ファイルの保存や、Teams の P2P チャット ファイルの保存に使われる特殊なフォルダーが含まれています。実際に、ユーザーが誤ってこれらのフォルダーを共有したため、本来非公開にすべき Teams のチャットやメールの添付ファイルが全員に公開されるといったケースが発生しています。
こうしたフォルダーは、存在自体を知らないユーザーが大半なため長期間にわたって放置されがちで、場合によっては対処されないままになる可能性すらあります。第四の課題でも述べたように、OneDrive には 10 万を超えるファイルがある中で、どのようにすればこの問題を特定できるのでしょうか。
ソリューション
Microsoft 365 に搭載された機能
Microsoft 365 には、もともとコンテンツの機密性に関するハイレベルなレポート機能が搭載されています。しかしファイルのアクセス許可と露出の要因に関する情報までは収集できません。そのため、機密コンテンツを誤った場所に保存してしまうという大きなリスクの特定は非常に困難です。
サード パーティのソリューション
サード パーティからも、Microsoft 365 の権限設定の把握を支援するソリューションが複数提供されていますが、上記の課題を効果的に解決できるものは存在しません。
- 露出度についての洞察が得られません。特定ユーザーやグループがアクセスできる範囲や領域の権限設定を重視したソリューションなため、露出度の高さについての問題は解決されません。
- 機密度についての洞察も得られません。あくまでコラボレーション用のファイルの露出度が高いケースが大半であり、機密度の高いファイルが紛れ込む割合はごく小さなものです。機密度についての洞察力がなければ、こういったリスクの高いファイルの特定は気の遠くなるような作業になってしまいます。
- シャドー ユーザーやシャドー グループ、誤って設定されたプライベート フォルダーに関する洞察も得られません。第三、第四の課題が残されています。
Policies and Insights (PI)
Insights for Microsoft 365 は、過剰共有の課題に対し、独自の価値を提供するソリューションです。露出度と機密度という 2 つの側面からリスクの傾向を可視化することで、過剰共有が起きた際に、ユーザーはその全体像を迅速かつ簡単に把握できます。露出度の面では、外部ユーザー、匿名リンク、大規模グループなどの露出に関する要素を考慮し、露出度の高い領域を特定します。また、コンテンツの機密度の面では、特定個人の情報やクレジットカード情報などを含むファイルなどを特定できます。
シャドー ユーザーやシャドー グループを特定する複雑なロジックは、コンテンツの機密度を考慮した上で、バックエンドで自動的に実行されます。また、Microsoft 365 にもともと搭載されている機能やサード パーティの権限に特化したソリューションでは困難な、注意すべきリスク領域や是正措置の特定についても、Insights for Microsoft 365 では迅速に行えます。
AvePoint Cloud Governance は、外部ユーザーのライフサイクル管理プロセスを効率化します。さらに、Insights for Microsoft 365 は、外部ユーザー管理 (上記の第二の課題) という重要課題の解決にも役立ちます。また、Policies for Microsoft 365 が外部ユーザー関連の設定と管理の実施を支援します。
以下に、課題と各ソリューションの対応についてまとめた表を記載します。
仕組みについて
Insights for Microsoft 365 は、Policy Enforcer と似た仕組みでありつつ、クラウド ネイティブの、ゼロから構築された新製品となっています。ここからは、その仕組みについて解説します。
権限キャッシュ
Insights は、選択された範囲内において、独自の権限設定がある全オブジェクトのキャッシュを、ほぼリアルタイムで維持します。これを利用することで、権限に関する大量の操作やその都度の照会において、データ ソースを何度も探し回る必要がなくなり、プロセスを大幅に高速化できます。このキャッシュは AvePoint 製品にとっても効果的です。連携がサポートされれば、Cloud Governance の権限更新プロセスや、Cloud Management のセキュリティ検索プロセスは格段に速くなります。
露出度
権限キャッシュにより、誰でもコンテンツにアクセスできる場所を簡単に確認できます。これは、先程述べたサード パーティのソリューションでも可能です。
しかし、Insights では、露出度と権限について、文字通りの解釈にとどまらない機能が利用できます。露出度の高い場所は、誰でもアクセスできる場所だけにとどまりません。大規模グループ (AvePoint など)、多数のユーザーやグループがアクセスできる場所 (権限設定により多数のユーザーやグループが含まれるサイト コレクション) も、露出度が高いと言えます。
露出度の概念自体はシンプルにも聞こえますが、対処は容易ではありません。多くの組織において、グループの数は数百から数千にものぼります。この膨大な量の中からの特定には、高度な計算能力が求められます。さらにややこしいのが、グループのメンバーシップには絶えず変化が生じており、その影響が親グループや祖父母グループにも波及することです。Insights は、シャドー ユーザーやシャドー グループ、誤って設定されたプライベート フォルダー (第三、第四の課題) に関する複雑な計算についてもバックエンドで行います。
この追加処理は、アプリケーションのコスト増につながる一方で、Insight に他のベンダーにはない独自の優位性をもたらしています。
機密度
第一の課題で、露出度の高いファイルを知っているだけでは不十分であることをご説明しました。様々な課題を解決するためには、機密性の面でも洞察することが重要になります。
機密度については、Insights は Microsoft 365 の機密情報の種類を使用します。そのため、初回スキャンおよびほぼリアルタイムでのスキャンの 2 種類について、別のレイヤーによるバックエンドでの処理を実行します。これも Insights ならではの強みです。
アクティビティ ログ
もうひとつ重要になってくるのが、全体像を調査するためのアクティビティ ログです。例えばリスクの高い項目が特定された際に、アクティビティ ログを通じてファイルに最近アクセスしたユーザーや外部ユーザーの活動を把握することで、想定外の状況が起きていないかを確認できます。
ほぼリアルタイムでの更新
Insights for Microsoft 365 を初めて使用する際は、いくつかの簡単な設定を通じて、露出度レベルや機密度レベルの測定方法を定義する必要があります。デフォルトのルールで問題なく利用できるユーザーが大半と思いますが、必要であればユーザーによるカスタマイズも可能となっています。その後、バックエンドで Insights for Microsoft 365 の初回スキャンが開始します。環境の規模によっては、この処理に時間がかかることがあります。一部のワークスペースが処理され、初回スキャンの完了まで進行すると、部分的にデータを利用できるようになります。その後は、ユーザーの Microsoft 365 環境への増分変更が高頻度で処理され、データが最新の状態に保たれます。
Microsoft 365 には、過剰共有を防ぎ、コラボレーションの安全性を可能な限り確保するため、様々な対策が盛り込まれています。セキュリティ環境の変化に対応していくためには、機密情報の漏洩に関する懸念をなるべく減らしていく必要があります。リモート ワークにおいてクラウドの安全性の確保は必須事項であり、Insights for Microsoft 365 は、その実現を支援します。
以下の動画では、Policies and Insights に関する詳細をご紹介しています。是非ご覧ください。
※この記事は、米国 AvePoint で 2020 年 7 月 2 日付で公開された記事 “Securing Collaboration: Oversharing Challenges in Microsoft 365” の内容を日本語抄訳したものです。
Microsoft 365 内のデータ保護について興味がある方は、ぜひ当社のブログの配信登録を行ってください。
