水曜日, 9月 28, 2022
ホームデータ保護セキュア コラボレーション: Microsoft 365 のリスク管理における 5 つの課題とは

セキュア コラボレーション: Microsoft 365 のリスク管理における 5 つの課題とは

私たちは今、未曾有の時代に生きています。以前から、多くの企業が慎重に検討を重ねながらクラウドの導入を計画し、実行に移してきましたが、新型コロナウイルスのパンデミックが発生したことで、計画の変更や前倒しを余儀なくされました。わずか数週間という短期間のうちに世界中の商業活動が停滞し、以下の状況が発生しました。 

  • バーチャル化しなければ事業を継続できない 
  • 在宅時間の増加と消費の冷え込み 
  • 社会の動きが大幅に鈍化 

CIO、最高リスク管理責任者、最高プライバシー責任者、最高情報セキュリティ責任者は、この前例のない事態への対処を余儀なくされました。そして今、以下のようなタスクを同時に遂行することが求められています。 

  • 既知および未知の脆弱性に起因するセキュリティ インシデントの防止と、ビジネスの健全性の維持 
  • 計画的および非計画的な環境の変動による、技術面および物理面でのセキュリティの変化と、新たに発生する攻撃対象の管理 
  • 適切なリスク プロファイルに基づく投資の管理 
  • ビジネス継続性とディザスター リカバリー、そしてポリシーと手順をテクノロジー面およびセキュリティ面で調整し、将来にわたって利用できるソリューションを構築 
  • IT 効率化のためのプログラムおよびパラダイムを実現できるようにスケール 

office 365

多くの企業でほぼ完全なリモートワークが急激に普及したことで、それに伴う Microsoft Office 365 等のクラウド テクノロジーの利用に向けた準備とデータの仮想化が爆発的に進みました。データを理解しなくては、データを効果的に保護することはできません。これは組織内で生成されたデータであれ、サード パーティ(顧客、ベンダー、パートナー、その他)から収集されたデータであれ同様です。 

顧客の情報や従業員の情報、知的財産、機密情報、個人を特定できる情報、健康情報、財務情報等を含むデータであるかを理解する必要があります。そして、急激なクラウド化は、企業のリスク管理に具体的にどのような影響を及ぼすのでしょうか。 

ここで自身のデータやシステム、あるいはインフラを他人のコンピューターで保管、ホスティングする理由について考えてみましょう。クラウド コンピューティングのメリットとしてすぐに思いつくのが、総所有コストと、IT 管理者によるメンテナンスが必要なハードウェアを減らせることです。アプリケーションのホスティングやデータの保存をクラウドで行うことで、コストの削減とコンテンツへのグローバルなアクセスを改善できます。 

クラウド コンピューティングは、大企業から中小企業まで、IT チームやテクノロジー プロバイダー、顧客に多くのメリットをもたらします。企業が社内のインフラやリソースのホスティング、管理、保守に費やす投資を大幅に削減できます。これにより、外部でホスティングされた完全に冗長な環境で構築された高度なアプリケーションを、わずかな投資で利用できるようになります。

一方で、さまざまな規制要件の遵守が求められる企業にとって、クラウドへの移行にはリスクも伴うため、以下の 5 つの要素を考慮する必要があります。 

1. アクセスと制御

ビジネス データが社外に保存されることに大きな懸念を覚える企業もあります。懸念の内容としては、自社の従業員ではない IT 管理者が、自社の情報について高レベルでアクセスおよび制御できること、ユーザー アクセスや認証の安全確保、管理に活用されるテクノロジー、従業員や請負業者による意図的または偶発的な操作などが挙げられます。 

2. 機密データ

クラウドへの移行を検討している企業が考えるべきは、クラウドに移行するかどうかではなく、クラウドに何を入れるかです。ごく一部の例外を除き、大半の企業では、意図していないものも含めると、何らかのデータがクラウドに移行しています。 

従業員が、自発的に Dropbox や Yahoo などの個人用のクラウド ストレージにデータを置いているケースもあります。従業員がそうする理由として最も多いのが、「使いやすさ」と「アクセスのしやすさ」です。これは、常日頃から IT 管理者やセキュリティ担当者が不満を覚えやすい点でもあります。この不満は、企業の社内システムがあまりにも不便な設計になっているために生じている場合が少なくありません。 

3. サービス プロバイダーへの依存

提案されたクラウド プロバイダーをどれくらい信頼できるか、検討することも大切です。クラウド プロバイダーについては、信頼性や、セキュリティおよびデータ保護の実行上での透明性といった要素を考慮した上で選択する必要があります。例えば、プロバイダーによるバックアップやデータ復元の手順について、プロバイダーからどのような情報が得られるか調べても良いでしょう。 

office 365

4. データ主権

企業がデータ主権の要件を遵守しなければならない場合、データを国内で保存するだけでなく、データのバックアップについても国内に残しておく必要があります。防御可能なデータの破棄や記録管理の要件についても同様です。データのコピーすべてについて、置かれている場所を確認してください。これは、大半の企業の社内システムで課題となっている点です。そういった観点にも注目した上で、クラウド プロバイダーに何を求めるのか明確に見定めておくことが大切です。 

5. 機能の制御

次に、クラウド プロバイダーが「サービスの改善」を行う場合に、提供されるサービスの内容について明確に理解しておく必要があります。クラウドの大きなメリットのひとつが、Microsoft や Amazon などのサービス プロバイダーによる継続的なイノベーションを反映した、サービスのアップデートです。こうしたアップデートは技術面でメリットが大きいのはもちろんですが、プライバシーやデータ セキュリティ面にも影響を及ぼす場合があります。 

実際、データのプライバシーとセキュリティは、クラウドへの移行において最も大きな懸念となっています。プライバシー担当チーム、セキュリティ担当チーム、最高情報セキュリティ責任者は、ユーザーの行動を制御できなくなることを恐れて、外部共有や OneDrive ストレージ、Yammer などの Microsoft 365 の機能をしばしばブロックします。ただし、これらの機能がデフォルトで有効になっている場合もあることに注意しましょう。

この問題への簡単な対処方法をご紹介します。環境のアップデートは、まずテナントのテストまたは非本番のインスタンスで確認してください。こうすることで、本番データとシステムへの新機能の導入前に、セキュリティおよびデータ プライバシー担当チームがあらゆるリスクについて十分に評価できます。最低限、実装前にプライバシー、セキュリティ、コンプライアンス担当チームによる新機能の審査期間を設けるべきです。 

データはあらゆるところに存在します。構造化されているデータとされていないデータ、静止しているデータと動いているデータがあります。また、情報ゲートウェイ、ウェブサイト、ウェブ アプリケーションを通じて流れるデータや、オンプレミスやクラウド上のインスタント メッセージ、コラボレーション システムで共有されたデータもあれば、データ リポジトリ、データベース、ファイル共有で「眠ったまま」のデータなども存在します。

過去の記事でもご紹介したように、データをタグ付けして分類することで、企業は保有データと共有データをより効果的に分析および管理できるようになります。また、メタタグを活用することで、情報の流れを保護および管理しつつ、電子情報の開示や記録保持プログラムを最適化できます。 

データの分類について、実際の運用をあまり考慮しない、理論に偏ったポリシーになっている企業は少なくありません。そういった企業ポリシーは、実施されなかったり、「ビジネス ユーザー」や「データ所有者」まかせになったりしがちです。このビジネス ユーザー頼りのシステムの課題として、データのタグ付けが適切か、そしてタグのレベルが適正かを判断するのが困難ということが挙げられます。不適切な議論が行われていないか、機密情報が共有されていないか、プライバシーやコンプライアンスに関するポリシーが、意図的または不注意に回避されていないかに注意する必要があります。それをふまえて、ユーザーによる処理と自動化された処理、どちらがより信頼できるでしょうか? 

AvePoint Compliance Guardian は、自動化され、効果的で、運用しやすいリスク管理フレームワークで設計されており、組織における実際のデータ保護とリスク管理を反映したポリシーと管理を可能にするソリューションです。Compliance Guardian は、以下のような Microsoft 365 を補完する重要な機能を搭載しています。 

  • Microsoft 365 にとどまらず、オンプレミスのファイル共有や SharePoint も対象とした分類ポリシー 
  • 機密データを移す前の段階から、お客様のクラウドへの移行準備を支援するファイル分析レポート 
  • 複数システムにまたがり、過剰共有や機密データが紛れ込んでいる可能性のあるポイントを特定するエンタープライズ リスク レポート 
  • リアルタイムでリスクの低減を支援するアクション ポリシーとインシデント ワークフロー 

クラウドを活用することで、業務がシンプルになるだけでなく、データやシステムについて、より安全かつ拡張性に優れた管理が実現します。その上で、データのプライバシーとセキュリティの課題についても見落とすことなく、地に足をつけながらクラウドへの移行を進めていきましょう。 

Microsoft 365 内のデータ保護について興味がある方は、ぜひ当社のブログの配信登録を行ってください。

※この記事は、米国 AvePoint で 2020 年 7 月 29 日付で公開された記事 “Securing Collaboration: 5 Risk Management Challenges in Office 365” の内容を日本語抄訳したものです。

人気の記事