Microsoft 365 は基本機能だけでも広範なビジネスユースをカバーできるクラウドサービスですが、データ保護まで万全というわけではありません。不測の事態に備えて、自社でのデータ保護対策を講じることが不可欠です。
本記事では、Microsoft 365 における、独自のデータ保護対策の必要性と、実際のデータ損失事例を解説します。
独自データ保護対策はなぜ必要?
Microsoft 365 の利用にあたって、なぜ自社で独自のデータ保護対策を取る必要があるのでしょうか。ここでは、その理由を 3 つ挙げ、それぞれ解説します。
責任共有モデルが存在する
クラウドサービスにおける「責任共有モデル」とは、「サービス提供者」と「利用者」の間でクラウドサービス上のセキュリティやデータ保護に関する責任を分担することです。総務省や金融庁のガイドラインでも、双方の責任範囲の明確化が求められています。
Microsoft 365 においては、インフラの稼働やサービスの可用性は Microsoft 側の責任であり、ユーザーアカウントの管理やデータの保全・削除は利用者側の責任となります。
データが失われた場合に、その原因がユーザー側の操作によるものであれば、Microsoft は責任を負いません。したがって、データ保護に関しては企業自身で対策をとる必要があるのです。
標準機能の仕様では不十分な可能性がある
Microsoft 365 には「保持ポリシー」機能があり、一定期間は削除されたデータも保持されます。しかし、データの種類によっては、短期間で自動削除されてしまうものもあります。
たとえば、OneDrive の削除済みデータは通常 30 日間は保持されますが、Exchange のメールは削除から 14 日間しか保持されず、それ以降は復元できなくなります。
Microsoft 365 のデフォルト設定のまま運用していると、重要なデータが復元不可能となるリスクがあるため、保存ポリシーの設定の見直しや外部バックアップサービスの導入も検討すべきでしょう。
セキュリティガイドラインが設定されていることが多い
多くの企業では、情報セキュリティ対策の一環として「セキュリティポリシー」や「データ保持規定」が策定されています。
たとえば、「すべてのメールやファイルをバックアップする」「監査ログやアクティビティログを 10 年間保持する」といった規定は、Microsoft 365 の標準機能だけではカバーできません。
自社のセキュリティガイドラインの要件を満たすためには、Microsoft 365 の機能を補完できるサードパーティ製バックアップソリューションを別途導入するなどの対応が必要です。
Microsoft 365 のデータ損失の事例
Microsoft 365 を利用している中で、さまざまな要因でデータが失われる可能性があります。ここでは、実際に起こり得るデータ損失のパターンを紹介します。
【ユーザーの誤操作】上書きによる元データの損失
Microsoft 365 には複数人で同時に編集できる機能があります。リアルタイムに共同作業ができて便利な反面、誰かが誤って内容を上書きしてしまい、重要な元データが失われる事態も起こり得ます。
版の履歴機能が備わっているものの、保持期間を過ぎていたり、誤操作が繰り返されたりすると、戻したいバージョンに復元できなくなるケースも少なくありません。
定期的なバックアップやバージョン管理といった保護対策が重要です。
【ユーザーの誤操作】うっかり削除による損失
「重要なデータなのに、うっかり削除してしまった」という経験は誰にでもあるのではないでしょうか。誤ってファイルやメールを削除してしまい、ごみ箱へ移動したことにも気づかずにそのまま放置すると、保持期間を過ぎて完全に削除されます。
Microsoft 365 にも「ごみ箱」機能があり 93 日間は保持されますが、それ以降は復元できなくなります。外部ツールによる自動バックアップの導入も検討しましょう。
【管理者の誤操作】退職者のデータ損失
Microsoft 365 上で退職者アカウントの削除を行うと、そのアカウントに紐づいたメールボックスや OneDrive 上のデータも一定期間後に削除されます。退職者のデータは、後任者への引き継ぎや情報漏えい防止などのコンプライアンス上の理由から、厳格な管理が必要です。しかし、データのバックアップや移行作業を怠ると、重要な情報が失われてしまう可能性があります。
また、退職者自身が悪意をもってデータを削除する可能性もあるため、内部不正対策としても運用ルールの策定が求められます。
【管理者の誤操作】データ整理によるうっかり削除
Microsoft 365 の容量には上限があるため、管理者は定期的に不要なデータを削除し、ストレージ内を整理する必要があります。しかし、管理者がファイルサーバや共有フォルダの整理中に、誤って必要なデータまで削除してしまうことがあります。
あとから削除データが業務で必要だと判明した際、すでに保持期間を過ぎてしまって復元できないといった事態を避けるためにも、バックアップによるデータ保護が必要です。
ランサムウェア、マルウェアなどのサイバー攻撃
近年、企業を標的にしたサイバー攻撃が多発しています。トレンドマイクロ株式会社の調査によれば、2024 年に発生したランサムウェアの平均被害額は約 2 億 2000 万円にも上ります。
クラウドサービスである Microsoft 365 においても、フィッシングメールなどを介したサイバー攻撃のリスクを完全には排除できません。定期的なバックアップと迅速な復元体制を構築することで、サイバー攻撃の被害を最小限に抑えられます。
確実なデータ保護のために最適なソリューションを選ぼう
Microsoft 365 は便利なクラウドツールですが、標準機能だけでは万全なデータ保護を実現できません。ユーザーの誤操作やサイバー攻撃によるデータ損失も起こり得るため、自社に適したバックアップ体制の構築が求められます。
場合によっては、外部のバックアップソリューションの導入も視野に入れましょう。
AvePoint のソリューションなら、メールから各種ファイル、チャット、権限、管理設定、ログ情報まで、包括的なデータ保護が可能です。Microsoft 365 のデータ保護対策について詳しく知りたい方は、無料の ebookをご覧ください。
ダウンロードはこちら▼
