社内SNSは「危険」、Microsoft Teamsの利用法から分かること

クラウドやメールと違い、社内SNSをサイバー攻撃から保護する機運があまり高まっていない。だが、至急保護する必要があることが分かった。なぜだろうか。

[畑陽一郎，キーマンズネット]

　クラウドやメールをサイバー攻撃から保護することは重要だ。だが、それ以上に「社内SNS」の保護が必要だという。なぜだろうか。

どんな情報をTeams経由でやりとりしているのか

　サイバーセキュリティソフトウェアを手掛けるドイツHornet Securityは2022年10月6日（現地時間）、「Microsoft Teams」（以下、Teams）の利用状況に関する調査結果を発表した。ドイツの調査会社techconsultに委託した調査だ。

　それによると、Teamsを利用する社内ユーザーの行動に課題があることが分かったという。これらのユーザーの行動を守るTeamsの機能は十分ではない。

　Hornet Securityによれば、調査対象の45％がTeamsを介して「社内の機密情報」や「重要情報」を頻繁に送信していた。

　チャットによる社内業務連絡は増加しており、従来の電子メールによるコミュニケーションと同じレベルに達している。だが、Teamsが備えるセキュリティとバックアップの機能では、このような行動を十分に支えることができないという。

ユーザー行動がデータ損失の危険をもたらす

　ビジネスコミュニケーションとして、社内ユーザーはTeamsのチャネルよりもチャットを好んでいる。回答者の90％がそのように考えており、さらに41％以上のユーザーが1日に最低10件以上のチャットを送信していた。これに対してチャネルに書かれたメッセージが占める割合はわずか26％だ。

　回答者の51％がビジネスクリティカルな文書やデータを頻繁に送信していることを考えると、放置していてはまずい。

　ユーザーが使っているデバイスによっても結果が分かれる。個人用デバイスを使用しているユーザーの51％が制限付きデータや機密データを送信している一方で、社用デバイスを使用しているユーザーでは、そのような情報を送信するのは29％に過ぎなかった。個人用デバイスは保護が甘くなりがちなことを考えると、これもまずい状況だ。

Teamsではミス送信を犯しやすい

　調査では全回答者の48％が、送信してはならないメッセージをTeamsに送信していることも分かった。

　このことは、Teamsをどのように使うべきなのかという社内教育がうまくいっていないことを意味する。なぜなら送信内容に問題があった回答者の88％は、Teamsのようなビジネスコミュニケーションプラットフォームの使い方についてすでにトレーニングを受けていたからだ。トレーニングを改善する必要性があるだろう。

Teamsのセキュリティ、バックアップ、トレーニングを精査することが急務

　このような対策が必要なことは、Teamsユーザーも分かっているようだ。回答者の56％は、ユーザーのトレーニングと意識向上がサイバーセキュリティリスク低減のための主要なアプローチだと考えている。

　しかし、回答者の89％がチャネルの会話よりもチャットのメッセージを多く書き込んでいることから、トレーニングだけで解決しようとせずに、Teamsの全てのコラボレーション機能を保護するセキュリティソリューションやバックアップソリューションが必要だと分かる。

　Hornet SecurityのCEO（最高経営責任者）のダニエル・ホフマン氏は次のように述べる。

　「チャットの利用が増えており、多くのユーザーが仕事を進める方法を変化させている。この変化に伴い、残念ながらデータ損失のリスクも高まっている。企業はビジネスデータを保護し、安全性を確保するために、適切な保護手段を講じる必要がある。そうでなければ、生産性の低下はもちろん、財務情報などのデータ損失のリスクを負うことになる」

　「MicrosoftはTeamsユーザーに向けてデータを保護する強固な手段を提供していない。そのため、サイバーセキュリティ上の脆弱（ぜいじゃく）性が残る。組織はプラットフォームで共有される情報やファイルが安全かつ責任ある方法でバックアップされていることを確認する必要がある。そのため、サイバーセキュリティだけではなく、組織はTeamsで共有される情報やファイルを安全で責任ある方法でバックアップする必要がある。チャットからチャネルの会話まで、Teamsコミュニケーションの全てを保護しなければならない」（ホフマン氏）

　なお、Hornet Securityがtechconsultに委託した調査は2022年8月に実施された。全業界で従業員50人以上の企業を対象とした結果、540人から回答が得られた。