近年、企業のクラウド化が急激に加速している中で、ファイル・情報共有サービスとしてMicrosoft 365の「SharePoint Online」(以下SharePoint)を利用し始めた方も多いのではないでしょうか。
SharePointはクラウドストレージサービスの一種であり、インターネット環境のある場所でならいつでも、どのデバイスからでもファイルを利用できる、リモートワークには欠かせない大変便利なツールです。
しかし、SharePoint上に会社の機密情報や重要なファイルが保管されている場合、適切なアクセス権限の管理やバックアップ等を行わないと、情報漏えいやデータ消失により取り返しのつかない事態になる恐れがあります。
SharePointのセキュリティを保つためにも、運用ルールを前もってしっかりと策定しておくことが重要です。
そこで今回は、直近でSharePointの導入を予定している、またはSharePointを実際に導入したばかりのIT部門の担当者の方向けに、SharePointをセキュアに運用していくために注意したいポイントをご紹介します。
1.Microsoftアカウントの作成/無効化
SharePointを利用するためには、まずユーザーごとにMicrosoftアカウントを作成する必要があります。そこで、誰が・いつ・どのタイミングでアカウントを作成するのかを明確に定めましょう。
仮にアカウント作成のタイミングを入社直後とした場合、「社員番号が採番された後」「社内ネットワークの申請書が提出された後」といったように、どの部分を起点として作業を実施するのか、できるだけ具体的に定めておきます。
作業実施者としては、社内システムの管理者や情シス部門の担当者が適任でしょう。
同時に、アカウント無効化のタイミングも決めておきましょう。退職や休職など、ユーザーが何らかの形で業務から離れる時が最適と考えられます。
退職等に伴う情報の持ち出しを防ぐためにも、元社員が会社を去ったその日のうちに速やかに無効化の手続きを行うのがセキュリティ上安全です。
2.サイトの作成
SharePointでは、部署やプロジェクトごとに「サイト」を作成することにより、特定のユーザー同士でファイルの共有や共同編集を簡単に行うことができます。
サイトは、デフォルトで用意されているSharePointのアクセス権限レベルのうち、「フルコントロール(所有者)」を持つ人が作成できますが、特段のルールを設けずユーザーによる自由なサイト作成を認めていると、不要なサイトが乱立して収拾がつかなくなる恐れがあります。
サイトの乱立を防ぎ、チームで効率良く情報共有を行うためには、申請ツール等を活用して誰が・いつから・何の目的で・誰の承認を得てサイトを使用し始めたのかをしっかりと管理するようにしましょう。
3.アクセス権限の管理
SharePointを利用するうえで最も重要になるのが、ユーザー全員分のアクセス権限の管理です。
各ユーザーに対し、職務内容を考慮した最適なアクセス権限レベルを割り当てることで、意図しないデータの損失や流出を防ぎ、セキュリティを担保することができます。
「SharePointグループ」を利用した権限の設定
サイトやファイル単位で個別に細かく権限を設定していては、いずれ運用が立ち行かなくなってしまいますので、できるだけ複雑にせずシンプルな権限設計にしましょう。
おすすめは「SharePointグループ」で権限の設定を行う方法です。サイト作成時にデフォルトで既定されている以下の権限グループを活用します。
グループ
所有者
メンバー
閲覧者
アクセス権限レベル
フルコントロール(サイトに対してすべての権限を持つ)
編集(リストとドキュメントの追加、編集、削除が可能)
読み取り(ページ・リスト・ドキュメントの表示、ドキュメントのダウンロードが可能)
いちいちユーザーごとにアクセス許可を与えていては手間も時間もかかってしまいますが、グループ単位で権限の付与を行えば、グループに追加した全ユーザーに対して同じアクセス権限レベルを一気に割り当てることができます。
アクセス権の付与/剝奪
次に考慮すべきは、「実際にサイトへのアクセス権の付与および剝奪を行う人は誰か?」という点です。
「アクセス権の管理」と聞くと、ユーザーからの申請をもとに情シス部門がアクセス権の集中管理を行う方法を思い浮かべがちですが、この方法だとユーザーの数が増えれば増えるほど情シス部門の負担が大きくなり、最悪運用が破綻してしまいます。
情シス部門にかかる負荷を少しでも減らし、効率的にアクセス権の管理を実施するなら、思い切って各サイトの所有者に管理を一任しましょう。これにより業務が分散し、運用もスムーズに回りやすくなります。
また、各サイト管理者への権限移譲は、セキュリティリスクの軽減という点からも効果的です。
情シス部門の承認が不要となるため、部署異動等があってもタイムリーにアクセス権の変更を行うことができ、不正アクセスにつながる「穴」を長期間外部の目にさらさずに済みます。
定期的なアクセス権の棚卸
もう1つ、SharePointのセキュリティを維持するうえで欠かせないのが、定期的なアクセス権の棚卸です。
各サイトにつき、SharePoint上で実際にアクセスを許可されているユーザーと、別途Excel等で文書化したアクセス許可ユーザーの一覧を比較し、一致するかそれぞれサイト管理者に確認してもらいます。実施時期は「3月と9月の半年に1回」など、明確に定めておきましょう。
この棚卸をクリアすることで、ユーザー全員に対して漏れなく適切なアクセス権限の付与が行われていることが第三者の視点から保証されます。
注意点として、特に部署異動や退職等に伴うアクセス権限の削除忘れが無いかどうかは慎重に確認しましょう。
「アクセス許可を与えられていないのでアクセスできない」状態よりも、「アクセス許可が残っているので引き続きアクセスできてしまう」状態のほうが、セキュリティ上遥かにリスクが大きいためです。
4.不要データの削除
プロジェクトが終わるなどして不要となった文書類が出てきても、「いずれまた使うかもしれないし、消さずに取っておこう」と、ついデータを削除せず残してしまうことはありませんか?
不要な資料をいつまでも保持しておくことは、万が一情報漏えいが起こった際に会社として大きな痛手を負う危険性があり、セキュリティ上好ましいとはいえません。個人情報を含む機密情報であれば尚更リスクが付きまといます。
そこで、「過去5年より前の古いファイルは定期的に削除する」など、ルールを決めて不要なデータを削除していき、管理するドキュメントを極力減らすようにしましょう。
SharePointでは、サイトからファイルを削除しても一定期間復元が可能な「ごみ箱」・「第2段階のごみ箱」機能があり、「第2段階のごみ箱」から定期的にデータを削除することでサイトのストレージ容量を抑えることができます。
なお、ファイルは元の場所から削除した時より 93 日間保持され、保存期間を過ぎたものは自動的に削除されます。
5.使いやすいフォルダ構成
共有フォルダを使用するうえで何かと悩ましいのがフォルダ構成ではないでしょうか。
フォルダ階層を深くしすぎると、目的のファイルを見つけるまでに何度もクリックが必要になり非効率的ですし、逆に浅すぎても縦スクロールが長くなってしまい、かえって目的のファイルを見つけにくくなります。
おすすめは、フォルダ階層を3~4階層までにとどめることです。
また、フォルダ名の頭に番号や日付(yyyymmdd)を付けておくと、後から新しいフォルダを追加しても並び順が変わらないため便利です。
使いやすいフォルダ構成の例として、当社ISMS活動チームが実際に活用しているフォルダ構成をご紹介します。(※画像をクリックすると拡大できます)
ご参考になりましたら幸いです。
6.エクスプローラー同期
SharePointのようなクラウドストレージサービスを使ううえで切っても切り離せない関係にあるのが「エクスプローラー同期」機能です。
同期を有効にすると、わざわざ編集後のファイルを手動でアップロードしなくても、PCのローカル上で編集した内容がそのままSharePoint上のファイルに反映されます。
「ローカルの方でファイルを削除するとSharePoint内でも削除される」、「複数人で同じファイルを同時に編集すると最後の人が変更した分だけ保存され、他の人の変更分は反映されない」という点に注意すれば、業務効率が格段にアップする優れものです。
ただし、同期を行うとローカル上にもファイルのデータが残ることになるため、何の対策も施さないままでは、万が一PCの紛失や盗難などの被害に遭った場合に情報漏えいのリスクが高くなってしまいます。
そこで、Windowsに標準搭載されているBitLocker機能を有効化し、PCのハードディスクを暗号化しておきます。
こうすると、万が一第三者の手によってPCからハードディスクが取り出されたとしても、データが読み取られることはありませんので、情報漏えいのリスクを大幅に軽減できます。
7.外部共有の設定
近年、添付ファイルのパスワードを別メールで送信する「PPAP」手法がセキュリティ上問題視されていることを受け、その代替策としてクラウドストレージの利用が注目されています。
SharePointにもコンテンツのリンク共有機能が付いており、社外の人へファイルを簡単に共有できます。
特定のフォルダやファイルを外部へ共有する際に、リンクの種類を「特定のユーザー」に設定しメール送信することで、SharePointに保管されている他の社内データの流出を心配することなく安全に共有を行うことが可能です。
8.バックアップとリカバリ
クラウドストレージサービスでは、日々データを失うリスクと常に隣り合わせです。
代表的なリスクとしては次のようなものがあります。
・利用者のヒューマンエラー
・ランサムウェアなど、外部からのサイバー攻撃やウイルス感染
・会社に不満を持つ従業員や退職者による嫌がらせ
・サービス障害発生時における重要データの損失
特に、SharePointを含むMicrosoft 365では、サービス側で利用者のデータ保護を一切保証していないことから、データのバックアップは必要不可欠です。
バックアップのやり方としては、オフライン同期してPCのローカル上に常にデータを保持しておく、Microsoft 365のライセンスレベルを変更する、バックアップに特化したサードパーティの製品・サービスを利用するなどの様々な方法が考えられますが、それよりもまず優先して考慮すべきは「有事の際のデータ保護に対するビジネス要件」です。
大規模な自然災害やサービス障害等が発生した場合に備え、過去のどの時点までのデータを復旧させるか(RPO)と、いつまでの復旧を目指すか(RTO)を明確に定め、その目標値に応じたバックアップの方法や範囲、取得頻度などを検討します。
加えて、バックアップからデータを確実にリカバリできるように、定期的なデータ復旧訓練を普段の業務プロセスの中に組み込んでおくと良いでしょう。
9.監査ログの分析
Microsoft 365では、ユーザーや管理者の操作・アクセス履歴を記録した監査ログを取得する機能が標準搭載されています。
SharePointに限らず、OneDrive・Microsoft Teams・Microsoft Exchange・Azure ADなど、様々なMicrosoft 365サービスの監査ログが取得可能です。
ただし、運用面において監査ログを取得しただけでは全く意味がありません。
その先の「取得した監査ログをどのように活用するか?」の部分までしっかりと詰めておく必要があります。
おすすめは、様々なセキュリティ関連ログを集めて分析が可能であり、Microsoft 365の各サービスとも連携が簡単な「Microsoft Sentinel」に監査ログを取り込むことです。
Microsoft 365の監査ログの保存期間は通常3ヵ月ですが、Microsoft Sentinelにログを取り込めば無期限で保存ができます。
日々膨大な量が蓄積される監査ログに関しては、一から人の手で分析を行うのは現実的とはいえません。
ログ取得の目的に応じて上手にツールを活用し、賢くデータの分析を行いましょう。
10.ユーザー教育
SharePointの利用方法やルールについては、利用マニュアルに明記して社内の全ユーザーに周知しましょう。
クラウドサービスをあまり使い慣れていない人でも分かりやすいように、画像キャプチャを用いながら一手順ずつ丁寧に記載していきます。
基本的な使い方として、次の項目は含めておきたいところです。
・Microsoft 365アカウント
サインイン/パスワードの変更/サインアウト
・SharePoint
ファイルのアップロード/ファイルのダウンロード/ファイルのコピー/ファイルの削除/ショートカット作成/エクスプローラー同期
なお、マニュアルを作るなら、目次を自動作成できるWordか、情報が絞られて要点が正しく伝わりやすいPowerPointを使用するのがおすすめです。
詳しくは以下の記事をご参照ください。
11.まとめ
いかがでしたでしょうか?
今回ご紹介した内容は、どれもセキュリティを確保しながら効率的にSharePointを運用していくうえで外せないポイントばかりです。
社内でSharePointを使い始めてからまだ日が浅いIT部門の担当者の方は、ぜひ運用ルールの策定に向けてお役立ていただけたら幸いです。
なお、「IT人材が不足していて、SharePoint運用ルールの策定にまで手が回らない・・・」という企業様向けに、当社では情シス支援サービス「ION」を行っております。
以下リンクより情シス支援サービス「ION」に関する資料を無料でダウンロードすることができますので、興味のある方はぜひチェックしてみてください。
お電話・FAXでのお問い合わせはこちら
03-5828-7501
03-5830-2910
【受付時間】平日 9:00~18:00
この記事を書いた人
Y.M(マーケティング室)
2020年に株式会社コンピュータマネジメントに新卒入社。
CPサイトのリニューアルに携わりつつ、会社としては初のブログを創設した。
現在は「情シス支援」をテーマに、月3本ペースでブログ更新を継続中。