クラウドサービスは、業務データを蓄積する基盤や、社内システムへの認証基盤として、多くの企業で活用されています。しかし近年、クラウド上の設定ミスが深刻なセキュリティリスクとして注目されています。
CSA ジャパンの「クラウドにおける重大脅威 2024」では、「設定ミスと不適切な変更管理」が 1 位に選出されました。2024 年には、総務省も新たにガイドラインを発行し、注意喚起しています。
本記事では、Microsoft 365 について、危険な設定値や設定ミスの対策手順などを解説します。
Microsoft 365 のデフォルト値
以下では、Microsoft 365 のデフォルト値について紹介します。
SharePoint / OneDrive「コンテンツの共有範囲」
Microsoft 365 のデフォルト値では、SharePoint と OneDrive における「コンテンツの共有範囲」が、「リンクを知っているユーザー」かつ「編集可能」の状態で設定されています。
初期設定を変更しないまま運用すると、社外を含む不特定多数に対して、機密情報が含まれたファイルが共有される危険性があります。さらに、共有されたファイルが予期しない編集を受けかねません。
ユーザーに判断を委ねるのではなく、管理者側で適切にコンテンツの共有範囲を制限しましょう。
Teams への社外のゲストユーザー招待
Microsoft 365 のデフォルト値において、Teams は組織内の全ユーザーが自由に外部のユーザーを招待できる設定になっています。
しかし、無制限に招待がなされると、重要な業務情報が社外に流出する可能性が高まります。また設定を見直した場合でも、実際に反映されるまでに数時間を要することがあるため、早めの対応が必要です。
多要素認証
Microsoft 365 のデフォルト値では、管理者以外の一般ユーザーに対する多要素認証機能が無効となっています。
多要素認証はパスワード単体の脆弱性を補完するセキュリティ対策であり、全ユーザーへの適用が推奨されます。なお、多要素認証の設定は、ユーザーごとの個別設定とテナント全体への一括設定のいずれも可能です。
そのままにしておくと危険な設定値とは
情報漏洩などのセキュリティリスクを高める設定値を紹介します。以下の設定については、早急な見直しが望まれます。
Teams 上のチームが「パブリック」に設定
Teams のチームのプライバシー設定が「パブリック」になっていると危険です。
パブリックでは、組織内の全ユーザーがチーム内容を自由に閲覧できるためです。機密性の高い情報が意図しない相手に見られ、情報漏洩につながる場合もあります。
情報漏洩や不適切なアクセスを防ぐために、管理者は各チームの性質を考慮し「プライベート」設定への変更を検討する必要があります。
ゲストユーザーの権限が広範囲
ゲストユーザーに対する権限設定も見直しが必要です。ゲストユーザーの制限が過度に緩い状態では、外部ユーザーが従業員と同等の組織情報にアクセスでき、人事異動のような機密情報が流出する恐れがあります。
情報漏洩のリスクを回避するためには、Entra ID においてゲストユーザーのアクセス許可に適切な制限を設定し、必要最小限の情報のみアクセスを認めるとよいでしょう。
Microsoft 365 の設定ミスの対策手順
Microsoft 365 の設定ミスを防ぐための手順を紹介します。
現在の設定を確認
まずは、各コラボレーションツールなどの、現在の設定状況を詳細に把握します。
ツール単独の設定を変えて終わりではなく、明確な設定ミスや変更が必要な箇所を発見した際は全体的な見直しを行います。
たとえば、Teams の特定のチームで不適切な外部共有を発見した場合は、該当するチームだけではなく、組織全体の Teams の共有に関する設定を確認してみましょう。
通常業務の棚卸し
通常業務の詳細な棚卸しも、設定ミス対策に効果的です。業務プロセスを細分化することで、設定ミスが生じやすい工程を明確に把握できるためです。
とくに日常的に使用するツールでは、使用頻度の高さからリスクも高まりがちです。業務上必要な範囲を超えた過度な共有設定が行われていないかを、丁寧に洗い出しましょう。
設定変更が発生する業務の棚卸し
設定ミスの対策として、設定変更をともなう業務の定期的な棚卸しも不可欠です。
チームやサイトの新規作成、ゲストユーザーの招待といった設定業務を体系的に整理し、退職者のアカウント削除に漏れがないかもあわせて確認しましょう。
設定変更のタイミングや手順を標準化しておけば、人的ミスによる設定エラーを未然に防ぐ体制を構築できます。
ダブルチェックの実施
必要に応じてダブルチェック体制を導入することも、設定ミス対策として効果的です。
複数の担当者による確認作業により、単独作業では見落としがちな設定ミスを発見できる確率が向上します。
チェック作業に必要な工数を適切に確保し、組織全体にチェックルールの周知徹底を図ります。
外部ソリューションの導入
自社リソースに余裕がない場合は、外部ツールの活用により設定ミス対策を講じましょう。たとえば、「ガードレール」的な役割を果たしてくれる機能があるツールを導入すると、特定の設定変更が発生した際の通知や必要に応じた設定の自動修正が行われます。
設定ミスに有効な AvePoint ソリューションとは
AvePoint にも、設定ミスや変更を感知するソリューションが用意されています。以下では、設定ミス対策に効果的なソリューションを紹介します。
Policies & Insights
Policies & Insights は、リスクのある設定を自動検知し、管理者へ即座にアラート通知を行うことで、設定ミスの早期発見を実現します。
さらに、テナント全体および各アプリのアクセス権限とリスク状況も、ダッシュボードで視覚的に把握可能です。
人の手による設定確認業務が大幅に削減され、管理部門の運用負荷軽減と同時に、継続的なセキュリティ体制の維持が可能となります。
Cloud Governance
Cloud Governance は、ワークスペース管理を通じて Microsoft 365 のセキュリティ強化を図るソリューションです。
ワークスペース作成時に、利用目的に応じた申請・承認フローを自動設定し、未使用や期限切れワークスペースの検知から整理・削除まで一貫して対応します。
また、独自ルールの設定により、外部共有においても共有や招待プロセスの自動承認・管理を実現し、人的ミスによる情報漏洩リスクを効果的に軽減します。
設定ミスや漏れの確認は徹底的に!
Microsoft 365 などのクラウドサービスにおける設定ミスは、情報漏洩リスクを高めます。とくに、Teams のチームの設定や、ゲストユーザーの権限は慎重に設定を確認しましょう。設定ミスを防ぐには、現在の設定状況を把握するとともに、設定変更の標準化やダブルチェックの実施が効果的です。
ただし、人の手で設定ミス・設定漏れの確認をすることには限界があります。外部ソリューションも活用しつつ、Microsoft 365 の設定ミスを防ぎましょう。
Microsoft 365 の設定ミスを防ぐには、ぜひ AvePoint ソリューションをご検討ください。