Microsoft 365のデータ消失は「自己責任」? 保護ポリシーの確認を
Microsoft 365上のデータ消失は、ユーザー側の責任になってしまうケースもある。Microsoftが定めたデータ保護ポリシーの内容と、データ消失の「よくあるパターン」とは。
バックアップや復元環境が重要なのはクラウドも同様だ。バラクーダネットワークスジャパンが2023年1月24日に開催したオンラインセミナー「本当に消えないの? 今すぐ『Microsoft 365』バックアップを強化すべき理由 〜ランサムウェアなどサイバー攻撃対策も含めたデータ保護の重要性〜」では、「Microsoft 365」の包括的なデータ保護方法が語られた。
実は「自己責任」 M365のデータ管理
Barracuda Networksが2021年1月、グローバル1828人のIT関連の意思決定者を対象に実施した調査によれば、約70%の企業は「Microsoft 365のバックアップは不要」と捉えている。日本企業に限定するとその割合は約40%になり、約6割の企業が正しい認識を保持しているものの、バラクーダネットワークスジャパンは「『責任共有モデル』(注1)の認識が欠落している」と指摘する。
そもそも、Microsoftが定めたデータ保護ポリシーはどのような内容になっているのだろうか。
Microsoft 365側でも「OneDrive for Business」や「SharePoint Online」のごみ箱や「サイトコレクション」のバックアップなど多数の保護機能を用意するものの、共同編集時のデータ破損や退職者のMicrosoft 365ライセンス無効化による重要データの消失、利用者やIT管理者の操作ミスによるデータ消失はあくまでも自己責任だ。Microsoftの責任範囲はMicrosoft 365の運用基盤やサービスに対するセキュリティ保障に限定される。そのためマルウェアにより、Microsoft 365上のデータ侵害が発生しても、利用者の責任として対応しなければならない。
バラクーダネットワークスジャパンがまとめたMicrosoft 365のデータ保護ポリシー(図1)によると、利用者やIT管理者が削除したデータを保護する期間は最大93日となっている。一方、セキュリティ違反が発生した場合、それが検出されるまでには平均で140日となり、業務利用するファイルの保護機能としては一抹の不安が残る。
また、MicrosoftはSharePoint Onlineサイトコレクションの復元サポートも提供しているが、個々のファイルやフォルダの復元はできない。OneDrive for Businessもバージョン履歴機能を用いればファイルの復元が可能だが、一度に復元できるファイルは1つのみとなり大量のファイルの一括復元には対応してない。
データが消える「よくあるパターン」と対策は?
以前は境界型、今ならゼロトラストセキュリティで従業員からのネットワークアクセスを制御することで、マルウェアの攻撃から身を守ることができる。だが、バラクーダネットワークスジャパンは「失われたデータの約70%は、利用者による偶然または悪意のある削除によるものだ」と指摘する。
偶然の削除は、ハイブリッドワークで従業員に貸与したPCにマルウェアが侵入し、OneDrive for Businessのファイル同期機能でファイルが破損したり、共同編集によってファイルが破損したりする場合に起きる。
故意の削除が起きるのは、たびたびニュースをにぎわせる事件のように、元同僚のアカウントを利用してネットワークに侵入し、重要なファイルが削除されるなどのケースだ。
同社には「退職者が管理していた共有データが参照できない。Excelファイルの編集履歴も、どのタイミングを復元すればよいのか分からない」といった声も寄せられるという。
Microsoft 365を利用する企業が各種被害に遭わないための選択肢として、バックアップサービスを提供する企業もある。一例として、Barracuda Networksの「Barracuda Cloud-to-Cloud Backup」は、Microsoft 365のデータ(Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams)を同社が用意するクラウドストレージに1日1回自動で増分バックアップし、暗号化を付与して安全性を高めている。
こういったサービスを利用すると、過去のバックアップデータを参照すれば退職者(非アクティブユーザー)のデータも参照できるため、先述の「退職者が管理していた共有データが参照できない」といったトラブルも発生しにくい。
多くの企業にとって、Microsoft 365は業務に欠かせないグループウェアだ。国家レベルの脅威となったマルウェアの奇襲やデータ消失のリスクを回避したい企業は、サードパーティーのバックアップサービスを導入するのも一手だ。
注1:クラウドサービスの利用において、コンポーネントごとに事業者と利用者のどちらが責任を負うべきかを示す考え方
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 大事なファイルを「Microsoft OneDrive」に保存してはいけないワケ
「Microsoft 365」には一見同じ機能を持つサービスやアプリケーションがある。しかし、それぞれには適した利用用途があり、それを理解することが必要だ。 - 「Microsoft 365」運用のNG集 情シスから寄せられた困った、焦った事案
Teamsのチャネル管理やOneDriveのファイル共有状況など、Microsoft 365では多くのアプリを使えるが故に、情シスが把握すべき範囲も広い。管理が不十分だと、時に情シスが思わず焦る事故が起こる恐れもある。