メディア

「Microsoft 365」運用のNG集 情シスから寄せられた困った、焦った事案

Teamsのチャネル管理やOneDriveのファイル共有状況など、Microsoft 365では多くのアプリを使えるが故に、情シスが把握すべき範囲も広い。管理が不十分だと、時に情シスが思わず焦る事故が起こる恐れもある。

» 2023年01月31日 07時00分 公開
[二瓶 朗グラムワークス]

 「Microsoft Office」と「Microsoft 365」の違いを理解していないことが原因で、ファイル共有に関する事故や、情シスが焦るようなヒヤリハットが起こるケースはままある。

 LogStareは約50社の情シスから寄せられた「Microsoft 365」の運用に関する「困った」「焦った」事例をオンラインセミナーで紹介し、原因と対策を解説した。本稿は、その一部を抜粋して、情シスの悩みのタネとなるトラブル事例と対策を紹介する。

ファイル共有、アクセス権に関する「3大困った事案」

 セミナーで紹介されたMicrosoft 365の「困った事例」は、「ファイルアクセスに関する事案」と「従業員の勝手な判断によって発生した事案」の2つに分けられる。まずはファイルのアクセスに関する問題からだ。

1.「anonymouslink」でのファイル共有が多発して困った

 「Microsoft OneDrive」や「Microsoft SharePoint」からファイル共有する場合に「anonymouslink」を利用しているユーザーが多いという。anonymouslinkにアクセスした人は誰でも情報を閲覧できてしまうため、意図せず機密情報が漏れてしまう恐れがある。共有設定の期限を設けたり、パスワードを設定したりするなどの対処が必要だ。

2.ファイルが共有されっぱなしで困った

 共有リンクを使ってファイルを誰かとシェアする時、社内ポリシーでリンクの有効期限が定められているにもかかわらず、期限を守らない従業員がいて困っている情シスが多いという。共有期限は、設定を有効化することで期間を強制することが可能だ。デフォルトでは無期限となっているが、ルールとして設定しておく必要がある。

3.気付かないうちに「ファイルの持ち出し」で困った

 これも既定のルールが守られていないケースだ。自宅で作業をしようと、オフィスでファイルをOneDriveに保存して持ち帰る従業員が多くて困っているという。これは「ファイルの持ち出し」に当たる行為だ。最近は、「Microsoft Word」や「Microsoft Excel」でデフォルトの保存先にOneDriveが選択されていることが多い。そのまま利用していると、重要データが社外でも参照できてしまう。

 条件付きアクセス権を付与するなど、会社のブローバルアドレスに絞ってアクセス権を設定する必要がある。また、最近はパスワードの代わりに「Microsoft Authenticator」などで多要素認証をかける企業も増えた。これも、自前のスマホにアプリをインストールして設定すれば、同様の問題が発生する恐れがあるため、注意が必要だ。

従業員がM365アプリを自由に使い過ぎて困った

 次は、従業員の勝手な判断で発生した事案だ。決して悪気はないが、気付かないうちにルール違反を犯してしまうこともある。

1.「顧客が使っているから」で勝手にアプリを使って困った

 Microsoft 365をよく理解している従業員が、自社が契約するアカウントプランに含まれるアプリを勝手にインストールしてしまったという事案が紹介された。顧客が「Microsoft Teams」をメインに利用しているため、それに合わせようと自己判断でTeamsの利用を始めてしまったケースだ。社内ルールが整備されていない段階での勝手な判断は、今後の運用に影響を与える可能性がある。

2.管理者が見えない「プライベートチャネル」が作られて困った

 Teamsでは、招待されたメンバーしか見ることのできない「プライベートチャネル」を作成できる。ユーザーがプライベートチャネルを作成しても管理者に通知されることはない。もちろん、管理画面からプライベートチャネルを確認することはできるが、管理者の預かり知らないところでプライベートチャネルの乱立が発生し、中には機密性の高いファイルが保存されている場合もある。デフォルトの設定ではプライベート作成機能は有効になっているので、確認しておきたい。

3.個人のスマホやPCに勝手にアプリを入れて困った

 会社で契約するMicrosoft 365アプリをMicrosoft Authenticatorで認証して、ユーザーが個人で所有するスマホやPCにインストールして勝手に利用するケースが多く報告されているという。機密情報を含んだファイルの外部持ち出しにつながる問題にもなりかねない。「Microsoft Intune」などのMDM(モバイル管理ツール)で管理すれば個人デバイスからの利用を制限することも可能だが、情シス部門の負担も大きくなるという問題もある。

退職者のアカウントを消したら……情報資産の紛失事例

 Microsoft 365の運用で注意すべきが、退職者のアカウント処理だ。アカウント処理に関する2つの事例から、適切な対応方法を見ていく。

1.退職者のアカウントを消したら共有ファイルも消えた

 退職者のMicrosoft 365アカウントを消去したところ、Teamsで共有していたファイルが行方不明になったり、開けなくなったりといった事態が生じることがある。これは、Teamsの個人チャットでやりとりしていたファイルがOneDriveに保存されていたことが理由だ。共有ファイルを閲覧する時は相手の保存先(OneDrive)を参照するため、アカウントを削除すると、それにひも付くファイルが全て削除されるので、注意が必要だ。

2.退職者のアカウントがいつまでもログイン可能状態になっている

 これは、前述とは逆の問題だ。アカウントを消去するとそれにひも付くファイルも消去されることから、退職者のアカウントをそのままにしているケースがある。退職者が勝手にMicrosoft 365にログインしてファイルを閲覧したり、Teamsで共有された社内情報を閲覧したりすることができてしまう。

 退職者のアカウントをサインインブロックした状態で、OneDriveのメールBOXは部門長などに権限を与えてしばらくの間は閲覧可能にするなどの対処をすることで、退職者のアクセスを禁止するとともに、メールやファイルを残すことが可能になる。

なぜこうした情シスを困らせる事件が起こるのか?

 ここで紹介した困った、焦った事例がなぜ発生するのかを考えたい。理由は2つ考えられる。

 1つ目は「Microsoft 365を『Microsoft Office』の延長と考えている」ことだ。Microsoft 365アプリはアプリ名もGUIもOffice製品と似ており、以前からOffice製品に慣れ親しんだユーザーにとっては大きな違いはないのかもしれない。だが、Microsoft 365はクラウドサービスを基本としており、ファイルやデータはインターネット上にある。この特徴を把握していないユーザーが多いため、前述のような問題が発生するのだ。

 2つ目は、Microsoft 365をSNSやチャットと同じ感覚で使っているユーザーが多いということだ。前述したが、Teamsでファイルを共有する場合、ファイルそのものを送信しているわけでなく、自身のOneDriveに置かれているファイルやデータを参照しているだけだ。それを理解していないため、このような問題が生じる。

 そこで、一歩踏み込んだ活用にするため、Microsoft 365の仕組みと概要をあらためて確認しておきたい。

図1(出典:セミナー投影資料)

 図1は、Microsoftが公式Webサイトで公開している情報だ。まず、Microsoft 365には、ファイルの保存先としてOneDriveとSharePointの2つがある。

 OneDriveは個人のアカウントにひもづく領域で、PCでいうところの「マイドキュメント」や「デスクトップ」に当たる。「Windows 11」でも、規定の保存先はOneDriveとなっている。

 SharePointは、例えるならオフィスのファイルサーバに当たる領域だ。共有ドキュメントを保存したりファイルを管理したりすることも可能だ。Teamsのチャネルで共有したファイルは、SharePointに保存される。

 Teamsの「チャット」と「チャネル」は会話する相手が異なるだけと思いがちだが、それぞれでファイルの保存先が異なる。これを理解していなければ、さまざまな混乱が生じる。

監査ログを見て利用状況を「可視化」する

 これらの問題の対策として幾つか方法があるが、まずは「モラルを向上させる」「ルールをしっかり決める」「ツールで対策する」といったことが重要だ。保存したファイルはクラウドにあるということを正しく理解してもらうとともに、組織のガイドラインを作成し、管理者はそれが順守されているかどうかをしっかり把握しておかなければならない。

 もちろん、システム的な制御によって一部の機能を強制的に無効にするなどの措置も必要だ。だが、情報システム部門の仕事はMicrosoft 365の管理だけではない。運用体制が整わず、結果的に「無法状態になってしまった」ということもある。

図2(出典:セミナー投影資料)

 対策の一つとして、監査ログを基に従業員がMicrosoft 365をどのように利用しているのかを「可視化」する方法がある。監査ログには、従業員ごとのMicrosoft 365の操作ログが保存されていて、そこから状況を把握することが可能だ。しかし、監査ログの記録はデフォルトでは有効になっていないため、管理者は有効にする必要があることを覚えておきたい。

 さらに監査ログを運用する上で、図3に挙げられる課題がある。

図3(出典:セミナー投影資料)

 これらの問題を解決する方法としてシステム監視ツールを利用する方法がある。本セミナーを主催したLogStareのシステム監視、ログ監視ツール「LogStare」には、Microsoft 365の監査ログ収集や保管、解析を自動化する機能が備わっている。同シリーズにはMicrosoft 365の利用実態を可視化するクラウドサービス「LogStare M365」も提供されている。自社のノウハウだけではMicrosoft 365の利用実態の把握が難しい場合は、こうした外部ベンダーのソリューションに頼る方法もある。

本稿はオンラインセミナー「Microsoft365もっと活用セミナー 〜全国の情シス50人に聞いたMicrosoft 365の『困った』『焦った』を解決します!〜」(共催:セキュアヴェイル、LogStare)の講演内容を基に、編集部で再構成した。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。

編集部からのお知らせ