Teamsにおけるセキュリティ対策のポイントを解説
リモートワークが普及し、Microsoft 365を導入している企業ではTeamsを活用したコミュニケーションが当たり前になってきました。チャットだけではなく、OneDriveと合わせて活用すればファイルのやり取りも即座に行えるTeamsは便利である一方、ビジネスにおける重要なやりとりが行われている場所であり、セキュリティのリスクと常に隣り合わせともいえます。
今回は、Teams活用において正しく理解しておくべきセキュリティリスクとその対処法について、詳しくご紹介します。
Teamsとは? 簡単に機能や特長をおさらい
Teamsとは、マイクロソフト社が開発・提供しているビジネスチャットやWeb会議システムなどのグループウェア機能を持ったアプリケーションのことです。ただ単にコミュニケーションをするだけではなく、カレンダー上に自身の予定や会議予定を設定することも可能で、モバイル版も用意されていることもあり、外出先・リモートワーク先でも効率的な業務が行えるツールといえるでしょう。また、Teamsのアカウントがないユーザーでも、ゲストとして様々なデバイスからTeamsの会議に参加できるので、自社内でだけではなく、外部との音声会議などにも重宝します。
Teamsの最大のメリットは、Microsoft 365アプリとの連携機能です。Word、Excel、PowerPointといった業務上でよく使われるOfficeアプリと簡単に連携でき、さらに他のメンバーとTeams上で共同編集することも可能です。
Teamsについては以下のブログ記事においても、他社製品と比較して解説しておりますのでぜひご一読ください。
▼Microsoft Teams、Zoomを徹底比較! Web会議、リモートワークで便利なのは?
Teams利用におけるセキュリティリスクとは?
多機能で使いやすいコミュニケーションツールであるTeams。セキュリティ対策もきちんと行われているので、外部攻撃を受けるリスクは少ないといえます。一方で、その便利さ故にヒューマンエラーによるセキュリティリスクが伴います。ここでは、Teamsが抱える活用面のセキュリティリスクについて3つの観点で解説していきます。
外部の第三者が容易に侵入しやすい環境
Teamsの特長は、インターネット環境があればPCでも、スマホでもアクセスできる点です。しかし、これは裏を返すと「外部の第三者が容易に侵入しやすい環境である」ともいえます。
例えば、従業員が外出先でスマホを置き忘れた場合、悪意のある第三者がTeamsを閲覧しデータを盗み見る、データを改ざんするといったことも容易に起こり得るでしょう。
また、会議URLが外部に漏れてしまえば、Teamsの会議に全く関係ない第三者も参加できます。会議の内容を盗聴したり、録音したりといったことがあれば、機密やプライバシーに関わる情報が漏えいする可能性があります。
チャットで情報漏えいが起きた際に原因の特定が困難
日々、チャットで交わされる情報は常に更新されつづけます。そのため、機密情報や重要なデータがチャット上にアップされてしまった場合、誰がどの段階で漏えいしたか調査することは困難です。また、流出が仮に不正アカウントによるものであったとしてもチャット内の関係者が多い場合、どのアカウントが不正利用されたかの見極めが難しく、原因究明に時間がかかることもあります。
ファイルの持ち出し
Teamsは、ファイルの編集を共同で行えることも特徴です。そのため、チームのメンバーになっている社員が、共有ファイルから機密情報などにアクセスすることも不可能ではありません。この情報を外部媒体に保存したり、外部のメールアドレス宛に添付ファイルとして送信したりすることで、重大な情報漏えいに発展するリスクがあります。
例えば、本来は一般社員には閲覧不可にしておくべきデータやファイルが十分にアクセス制限をされなかったために、情報が漏えいするといったケースが挙げられます。
Teamsのセキュリティ機能を使ったアクセス制限
Teamsの利用におけるセキュリティリスクを3つ紹介しました。一方で、きちんと対策を講じればリスクを回避ことができます。まずアクセス制限を焦点にした対策方法についていくつか解説していきましょう。
ユーザーアクセスの制御と認証
誰でも、どこからでも社内の情報にアクセスできてしまう状態を放置することが、セキュリティリスクを生む原因といえるでしょう。そのため、適切な制御と認証を行うことで、不正アクセスや情報漏えいのリスクを軽減できます。
例えば自社の社員にはファイルの追加・変更・削除の権限を与え、協力会社などの社外のメンバーにはファイルを参照する権限のみを設定しておくといった、役割ベースのアクセス制御は有効な一手といえます。またファイルアクセスにおける制限も効果的です。これらの対策で機密情報への不正アクセスやデータの改ざんリスクを最小限に抑えることが可能です。
またこのような設定を行うことで、社外のメンバーが自社のデータを持ち出すこともなくなるでしょう。さらに、端末ごとにもアクセス制限をかけておけば、重要なデータがスマホから流出するといったリスクも回避できます。
"チーム"作成制限
誰でもチームを作成できる環境を放置しておくと、管理者が把握していないチームが無数に作成される可能性があります。そして、管理者の目の届かない場所で、情報漏えいをはじめとしたトラブルが起こる恐れが常に存在することになります。
そこで、セキュリティリスク軽減につなげるためにおすすめなのが、チーム作成の制御です。同時に、チーム作成プロセスの承認フローを導入すれば、チームの作成者や目的が明確になり、機密情報の持ち出しや不正アクセスのリスクも低減できます。
Azure ADをつかった"チーム"自動削除
Microsoft 365に付属している管理ツールであるAzure ADを活用することで作成制限だけではなく、不要となったチームを自動的に削除することも可能です。チームに有効期限を設定しておけば、指定した期限を迎えたタイミングでチームは自動的に削除されますので、使われない不要なチームを放置することなく効率的に管理が行えます。
また期限を迎えたチームが削除されると、チーム内のチャットやファイルなど全てのデータが自動的に削除されるので、データの持ち出しなどのトラブル防止にも役立つでしょう。
もしチームを削除したくない場合は、メール内の有効期限の更新設定ページで、簡単に期限延長設定も行えるので、安心です。また、全てのチームたけでなく、特定のチームにのみ自動削除設定するといった細かい設定も行えます。
Teamsのセキュリティ機能を使った監視方法
アクセス制限だけではなく、チャットのやりとりを監視することでより高度なセキュリティ対策を実現することが可能です。
ログを消さないように設定
Teamsにおけるチャットログは初期状態では保持期限を超過すると自動的に削除される設定になっています。そのためトラブルに備えて過去のチャット履歴を残しておきたい場合は、あらかじめチャット履歴の保持期限を無期限に変更しておく必要があります。この設定をしておけば、その後何かトラブルがあった時の原因特定にも役立つでしょう。
また、チャット履歴を定期的にエクスポート、保存しておくこともセキュリティリスクの回避につながります。
監査ログ
セキュリティリスクの軽減には、Teamsの管理者が監査機能を使って、定期的に使用状況を確認することもおすすめです。監査ログからはファイルのダウンロード履歴やチャット履歴、モバイル端末からのファイルアクセス履歴など、ユーザーのあらゆる行動を絞り込んで可視化できます。Teamsを利用するメンバーに不審な行動がないか、定期的にチェックしておくと、不正アクセスといったセキュリティリスクをいち早く察知できるでしょう。
Teamsにおけるファイル流出を抑える方法
送受信されるファイルは基本的に全てTeamsによるファイル暗号化機能で自動的に暗号化されています。これにより、外部の第三者が自社のTeamsに不正アクセスしてデータを盗み見ようとしても、簡単に読み取れないようにすることが可能です。
またAzure Information Protectionと呼ばれる機能や監査ログを利用することもおすすめです。これにより、個別にセキュリティレベルが設定されるので、どのタイミングで誰がアクセスしているか、ダウンロードしているかなどを追跡し、重要なデータの持ち出しや、不正利用などを監視することができ、情報漏えいリスクの回避に役立ちます。
Teamsの標準機能以外を活用したセキュリティ対策
これまでTeamsの標準機能を活用したセキュリティ対策について解説しました。さらに、これだけではなくマイクロソフト社以外からリリースされている3rdパーティ製品を活用することで、よりセキュアな環境を構築することができます。
ここでは、テクバンで多数の導入支援実績がある、AvePoint Cloud Governanceについて解説をいたします。
AvePoint Cloud Governance
アブポイント社からリリースされているAvePoint Cloud Governanceは、Microsoft 365の運用管理業務を自動化し、クラウド環境における管理とコントロールを効率化するソリューションです。ここでは、主な特長について3つのポイントに分けてご紹介します。
クラウドガバナンス管理を統一
クラウド環境全体で一貫したガバナンスポリシーを確立し、包括的な管理が行えます。これにより、Teamsのチームへのアクセス権限などを一括管理できるため、IT 部門の負担軽減を実現します。
自動化とワークフローの強化
タスクやプロセスの自動化機能が備わっており、クラウドガバナンスの効率性向上に有効です。ポリシー違反の検知や是正、アクセス制御の管理、リソースの自動プロビジョニングなど、重要なガバナンス管理を自動化することで、人為的なエラーや遅延を軽減し、リソースのセキュリティとコンプライアンスを強化します。
柔軟でカスタマイズ可能なポリシー管理
AvePoint Cloud Governanceではユーザーが自社のニーズに合わせてガバナンスポリシーを柔軟に設定することが可能です。これによりセキュリティポリシー、データ保護ポリシー、アクセス制御ポリシーなど、企業固有の要件に応じてポリシーを定義し、管理することができます。
また、環境の変化や法的要件に合わせて、ポリシーの変更やアップデートも容易に行えるのも特長です。テクバンのAvePointソリューション導入支援サービスについては、以下のページでもご紹介しております。
AvePointソリューション導入支援サービス
詳しいAvePoint Cloud Governanceの説明については、こちらでお役立ち資料としてご紹介しております。ぜひ、ご参考にしてください。
Teams、SharePoint運用リスクを減らすAvePoint Cloud Governance
Teamsにおけるファイル流出を抑える方法
Teamsがビジネスにおいて当たり前に活用されている状況だからこそ、セキュリティリスクを正しく理解し、適切に対策することが求められています。Teamsにおけるセキュリティリスクのほとんどは、アクセス管理が適切に行われていないことに起因します。
そのため、Teamsの標準機能を活用し適切にアクセス管理することはもちろんのこと、AvePoint Cloud Governanceをはじめとした3rdパーティ製品を活用し、セキュリティリスクを排除することが重要です。効率的な管理環境を構築し、よりセキュアな環境でTeamsを活用しましょう。
※本記事の内容は2023年7月時点のものです。Microsoft 製品の仕様や利用環境は変更する場合があります。