Microsoft 365 では、ユーザーのコンテンツ共有とワークスペースへのアクセスに関する緻密な戦略が必須です。なかでもセンシティブな情報や機密情報の取り扱いは、特に注意が必要な分野です。単なるドキュメントや計画を超えた、共有やアクセスについての全体的な戦略を確立しましょう。この戦略は、熟慮し、組織内のユーザーやステークホルダーとの意思統一をはかった上で設定すべきです。また、機密情報へのアクセス緩和の重大性と、長期にわたり戦略に沿って動くことがなぜ有益なのか、コラボレーションを行う全員が理解する必要があります。
Microsoft 365 の権限は、Teams、SharePoint ライブラリ、OneDrive 内のどのファイルに、誰がアクセスできるかを決める機能を指しており、一般的には「セキュリティ」や「共有」と呼ばれることもあります。権限といっても、個々のドキュメントへのアクセスから、プラットフォーム全体のワークスペース (サイトやチーム等) を対象としたものまで、そのレベルは多岐にわたります。
ひとつの方法として、セキュリティ グループ (SharePoint サイトおよび Microsoft チーム・グループのメンバーおよび所有者を含む) を使って環境全体でコラボレーション コンテンツへのアクセスのマッピング方法全般を管理しつつ、適切なユーザーに情報へのアクセスを許可し、間違ったユーザーのアクセスを制限することも可能です。
セキュリティ グループは、ユーザーをクラスターとして結びつけます。そのため、グループを対象にコンテンツへのアクセスが許可されると、グループの全メンバーに同レベルのアクセス権限が与えられます。なお、セキュリティ グループは Microsoft Teams や Microsoft 365 グループのメンバーやオーナーとしては追加できません (ただしコンテンツが保存されている SharePoint サイトについてはこの限りではありません)。
こういった管理の方法として特に一般的なのが、Azure Portal でビジネス ユニットや地域、部門、コラボレーション グループにあたる Active Directory のセキュリティ グループを作成することです。これにより、コンテンツ共有の際の安全性を確保しつつ、適切なユーザーを含められるようになります。この戦略を長期的に実施していくためには、Active Directory や Microsoft 365 のユーザー プロファイル情報を最新の状態に保つことが非常に重要です。
どこからでも Microsoft 365 の情報へのアクセス データを迅速に収集したい場合に便利なのが、PowerShell です。コーディングやスクリプトと聞くと尻込みしてしまう方でも、この方法であれば恐れる必要はありません。PowerShell は非常にシンプルな一行のコマンドで権限情報を取得できるため、初心者にも最適なソリューションと言えるでしょう。
PowerShell の抽出したレポートには、アクセス関連の情報が大量に含まれています。ソートやフィルタリングを活用することで、各ユーザーやグループがアクセスできるコンテンツについて把握しやすくなるでしょう。
動的グループ
Microsoft 365 の動的グループ (Azure AD を利用) では、特定のセキュリティ グループまたは Microsoft 365 グループのメンバーをフィルタリングできます。
この機能は、主にユーザー プロファイルの作成、変更、削除時に、
また、組織に業務上の大きな負担をかけることなく、ユーザー グループをより具体的に特定しやすくなります。例えば、組織がマネージャーやプロジェクトごとにプロパティをグループ化してセキュリティ グループを作成することで、ユーザーのセキュリティの管理を強化し、コラボレーションを容易にできます。
アクティビティ ログ
Microsoft 365 の監査ログは、閲覧および保存すると良いでしょう。特に機密性の高いコンテンツに関わるアクティビティや、機密性の高いコンテンツが保存されている領域については重点的に行うべきです。SharePoint 上のアクティビティから、どのユーザーが Microsoft 365 のどの場所で何を共有しているかを把握できます。レポートをダウンロードすれば、場所で情報を絞り込むことも可能です。アクティビティ ログは、管理センターでは 180 日間しか保存されません。記録をより長期間にわたって保持したい場合は、定期的にアクティビティ ログをダウンロードしましょう。
また、セキュリティ/コンプライアンス センターには、データ損失防止(DLP)ポリシー、ログイン、メールに関連するアクティビティを報告するオプションもありますが、DLP アクティビティ以外については、重要かつ広範なリスク(脅威検出、メール、ログイン セキュリティ等)が主な対象となっており、必ずしもアクセスや機密情報の過剰共有に向けられたものではない点に注意してください。
秘密度ラベル
E3 ライセンスでは、秘密度ラベルを活用することで、Microsoft 365 内のコンテンツの種類や場所に対し、どのグループのユーザーがアクセスできるかを管理できます。また、暗号化や透かしの追加、特定種類のデバイスの使用禁止といった、高度なセキュリティ機能の設定も可能です。さらに、ドキュメントにラベルを設定できるユーザーを制御できます。Microsoft 365 内のドキュメントに対するラベルの作成や管理の設定にはさまざまなオプションが用意されていますが、設定自体はシンプルです。
ポリシーの管理を指定するラベルは、ユーザーが手動で追加できるほか、E5 ライセンスでは自動で適用可能です。
Microsoft 365 における詳細な管理を可能にする秘密度ラベルは、適切に運用することで強力なツールとなります。
データ損失防止・保持ポリシー
保持ラベル・保持ポリシーを活用することで、あらかじめ定義されたガイドラインを遵守しているドキュメントに保持ルールを設定できるほか、機密情報を含む Microsoft 365 ドキュメントを迅速に把握することも可能です。保持ラベル・保持ポリシーは、主に Microsoft 365 コンテンツのライフサイクル管理を目的とした情報のタグ付けに使われます。また、タグ付け後は、機密性の高いコンテンツがある場所をより詳細に把握するため、ラベルを報告するための DLP ポリシーを構築できます。この報告により、カスタマイズされた定義情報や機密情報の種類に一致するコンテンツのインスタンスが多数存在するファイルを迅速に把握できるようになります。
Microsoft 365 の中で探している情報は、比較的簡単に選べます。また、ラベル付けの箇所も容易に設定できます。ただし、保持ラベルは主に SharePoint のサイトと OneDrive 内の情報を対象としています。そのため、Teams チャットや Exchange 内の機密情報を探す場合は、コンテンツに対する別の DLP ポリシーが必要な点にご注意ください。
必要に応じて機密情報の全インスタンスを対象として報告する DLP ポリシーも構築できますが、その場合は保持ラベルが適用されているドキュメントを把握できません。
ラベルやポリシーを適用して得られる DLP レポートでは、Microsoft 365 で機密情報が存在する箇所や、最高レベルの機密情報が含まれているドキュメントなどを簡単に把握できます。
管理センターにおける SharePoint の共有設定
SharePoint 管理センターのセキュリティ設定を活用することで、SharePoint および OneDrive for Business の外部共有の管理方法を、非常に簡単に設定できます。また、共有リンクの外部利用に関する可否の管理や、環境内に保持できる期間の設定も可能です。さらに、SharePoint Online の各サイトのメンバーと所有権の管理機能も利用でき、名称、ゲストのアクセス、SPO のプロビジョニングについても制御できます。
SharePoint 管理センターでは、Microsoft 365 における大半の共有を、最速で緊急停止できます。
Microsoft Teams の権限ポリシー
Microsoft Teams の管理センターは Teams の特定のアプリや機能にアクセスできるユーザーを管理できるため、プラットフォーム上で利用できる多数の機能について制御可能となっています。Teams 管理者は、チームの設定、ゲスト ユーザー、メンバーシップを確認および編集できるほか、Teams のテナント全体で利用可能なアプリと設定についても管理できます。Teams のポリシーは、Teams でプライベート チャネルを作成できるユーザーやグループの管理にも使えます。
ほかにも、機密性が高い単語の使用可否や、組織内の一部のユーザーが利用できる通話・会議機能など、対話や会議に関するさまざまな機能もTeams のポリシーで管理できます。
Microsoft 365 におけるアクセスおよびセキュリティ ポリシーの管理
Microsoft 365 では、セキュリティやコラボレーション管理用の強力なツールが多数用意されています。こういったツールは機密情報の保護や機密性の高いドキュメントへのアクセスを伴うコラボレーションでの安全確保につながります。一方、Microsoft 365 全体で誰がどういった種類の情報へのアクセス権限があるかを包括的に把握できるインターフェイスや、機密情報の露出度や場所に基づく優先順位付けの方法は存在しないことに注意しましょう。Microsoft 365 には、他にも権限の継承やリンクの共有、セキュリティ グループなどのアクセス機能が存在しており、実際に誰が情報にアクセスできるのか、正確なところを把握するのは困難です。
また、組織が成長していく中で、ユーザーのニーズを満たしながら多数のポリシーをフォローし、適用し続けるのは多くの困難を伴います。
AvePoint の Policies & Insights (PI) は、こういった煩雑な作業を全て自動で行うソリューションです。PI のツールを使うことで、どのユーザーが何にアクセスできるかの情報を簡単に得られ、機密情報がある場所についても迅速かつシンプルに捕捉できます。さらに重要な点として、PI のツールは機密情報にアクセスできるユーザーの数と、ユーザーが誰かを把握し、それをもとに機密情報の優先順位を付けられます。
また、PI は、レポートを気にしながら環境全体の設定を常に手動で変更していく必要のない、ほぼ唯一のソリューションとなっています。セキュリティ等の設定は自動で行われ、ポリシーに反する変更の発生時は元に戻したり、関係者に通知したりすることも可能です。
組織におけるセキュリティとリスク軽減の重要性が高まっている今、ぜひ私たちにご相談ください。私たちがどのようにお客様のお役に立てるか、共に考えましょう。
【ウェビナー】Microsoft 365 での社外コラボレーション、情報漏洩リスクはどう管理する?
当社ブログの配信登録はこちらから
※この記事は、米国 AvePoint で 2020 年 8 月 19 日付で公開された記事 “Securing Collaboration: How to Build a Strong Office 365 Permissions Management Strategy” の内容を日本語抄訳したものです。
