Microsoft Teams はグループチャットや資料の共有など、ビジネス活動の効率化に適したツールです。リモートワークやオンライン会議が一般的になり、Teams の利用者も増加しています。
社外からも簡単にアクセスできるため便利ではありますが、情報漏えいのリスクがともなうため適切に管理しなければなりません。
この記事では、Teams のセキュリティリスクと具体的な対策について解説します。
利用の際は、機密情報の保護、情報漏洩の防止、データの安全性を確保して安心安全に活用しましょう。
Teams とは
Teams は Microsoft が提供するグループウェアで、ビジネスコミュニケーションに最適なツールです。チャット、ビデオ会議、ファイル共有などビジネス活動を円滑にする機能を豊富に備えています。
チームメンバーとのリアルタイムのやり取りや、ファイルを共有しながら共同で作業することも可能です。
Teams は電話やメールに代わる新たなビジネスツールとして多くの企業に取り入れられています。やり取りはクラウドベースで行われ、デスクトップアプリやモバイルアプリも提供されているので、場所やデバイスを問わずいつでもどこでも利用できる点が特徴です。
また、Teams のアカウントを持たなくてもゲストとして参加できるので、取引先や顧客とのコミュニケーションにも活用できます。
Teams の主要な機能
Teamsで主に使用される機能は以下の通りです。
チャットはテキストだけでなく画像やファイル、動画などをリアルタイムで送信可能です。
OneDrive や SharePoint など Microsoft Office のアプリケーションと紐づければ、ファイルのやり取りやスケジュールをチームメンバーと共有できます。
そのほか、Googleカレンダーや Zoom などのアプリを Teams に統合することで、それぞれ独立しているツールを一括管理できます。
Teams の利用で想定されるセキュリティリスク
Teams はアカウント登録なしでも使用できるため、外部からの不正アクセスや情報漏えいのリスクがともないます。具体的に想定されるリスクについて解説します。
どこからでもアクセスできる
Teams はインターネットを介してクラウドベースのプラットフォームのため、どこからでもアクセス可能です。自宅や外出先などオフィス外からアクセスしてファイルを閲覧したり、コアワーキングスペースのパソコンから利用したりできます。
リモートワークや出張先などインターネット環境があれば自由にアクセスできるため、不正利用や機密情報を盗まれるリスクが高くなります。社内ネットワークに接続していなくてもアクセスできるので、不正アクセスの対策が必要です。
ファイルの情報が外部に持ち出される危険性がある
Teams はスマートフォンやタブレット用の「モバイル版」があり、ID と ログインPWパスワード さえわかれば個人用のデバイスからでもアクセスできるため、簡単にデータを社外へ持ち出せます。共有機能を使って簡単に情報のやり取りができるので、誤送信のリスクも想定しなければなりません。
Outlook、OneDrive、SharePoint、Word、Excel、PowerPoint などMicrosoft 365 のさまざまなツールと紐づけられるため、ファイルの情報が外部に持ち出され流出する可能性もあります。アクセス権限やパスワードが設定されていないファイルを共有してしまうと、第三者に社内の情報を閲覧される可能性があり危険です。
情報漏洩した際の原因の特定が難しい
Teams のチャットやファイル共有機能を利用して機密情報が外部に流出すると、原因が特定できない場合があります。
チャット内は多くのメッセージやファイルがやり取りされており、膨大な情報が公開されています。そのため情報漏洩が起こった場合にどのメッセージやファイルが関与していたのか、特定が困難です。
メンバー全員にメッセージやファイルの削除・編集を行う権限があるため、情報漏洩の証拠が消去される可能性があります。
また、Teams のメンバー外でもゲストとしてアクセスできるので、社外のユーザーがアクセスしているグループで特定するのはより困難です。
Teams のセキュリティ対策と活用法
Teams の情報漏えいリスクを下げるためには、いくつかの有効的な方法があります。
使用している Teams がどのような設定になっているか確認し、セキュリティ対策を強化しましょう。
アクセスを制限する
Teams のチャネルにアクセス制限をかければ、データの破損や改ざんを防げます。
ファイルやデータの変更や削除権限は管理者だけにとどめるなど、役職ごとに実行可能な権限を設定すれば、不特定多数のアクセスを拒否し情報を守ることが可能です。
また、アクセス制限をすることで組織内での情報セキュリティ意識が向上するため、うっかりミスが原因の情報漏洩や機密情報の持ち帰りなどルールに反した行動を防げます。
Teams にアクセスできるデバイスをパソコンのみにするなど制限をかけるのも有効です。
「チームの管理」画面より、「設定→ゲストのアクセス許可」 をオフにすれば、チーム外のユーザーをアクセス拒否できます。
チーム作成を制限する
Teams は関連のあるメンバーを1つのチームにして、専用の作業スペースを作れます。タスクごとにチームに分けておくと、やり取りが可視化され進行状況が明確です。
しかし、チームを作成する権利を誰にでも付与しておくと、知らないチームが複数できてしまい管理の目が届かなくなるため、情報漏洩のリスクが高まります。
チーム作成できる権限を一部のメンバーに制限すれば、チームの乱立を防ぎ環境が整備されます。複数のチームが乱立するとトラブルの原因となるため、チーム作成の権限を制限しておきましょう。
また、社外のユーザーとやり取りをする場合は、管理者が作成したチーム内で行うようにし、情報のやり取りを監視できる環境を作ることで情報漏洩リスクを下げられます。
作成制限を設ける場合は「 Microsoft Entra 管理センター」から「 チームを作成できる人」でチームを作り「Azure AD」を使って設定してください。Azure AD は Office 365 E1/E3/E5 のライセンスに含まれているツールで、Microsoft 365 のアカウントを管理する機能を備えています。
チームを自動削除する
不要になったチームが放置されると、共有ファイルが残りそこからデータの持ち出しや不正利用のリスクが高まります。チームの活動状況を監視し、一定期間の活動がないチームを自動的に削除するようにしましょう。
チーム内のファイルに保管期間を設定し、保管期間を過ぎたファイルを自動的に削除する設定する方法も有効です。チームの利用目的や業務内容に合わせて、適切な有効期限や活動状況を設定しましょう。
Azure AD を使えばチームに有効期限を設け、期限を過ぎたら自動的に削除することも可能です。削除せずに継続して利用する場合は、自動削除される前にチーム所有者へメール連絡がいくので、本文内に記載ある指示に従って有効期限を伸ばします。
チャットを無期限に保持する
Teams のチャットは、会議の議事録や業務の進捗状況、顧客とのやり取りなど、さまざまな情報が共有されています。
情報漏洩や不正アクセスが起きてしまった場合の原因を特定するために、重要な情報の保持期間は無制限にしておきましょう。
内容が保存される期間は使用するアイテムによって異なり、通話履歴は 30 日です。チャットメッセージや共有されたファイルは、削除されるか、ユーザーが退出するまで使用できます。重要な情報が削除されないように、現在使っている Teams の設定がどのようになっているかを確認しておきましょう。
ファイルの暗号化
万が一ファイルの不正アクセスや持ち出しがあっても、ファイルを暗号化しておけば第三者がファイルを開封できず情報漏洩を防止できます。暗号化されたファイルは、悪意のあるユーザーがアクセスしても理解不可能な形に変換されており、読み取ることができません。
そのため、スマートフォンやノートパソコンを紛失した場合でも、データの安全性が確保されます。
Teams 内で送受信されるファイルは、基本的に暗号化されているので特に設定は不要ですが、念のためパスワードをかけておくとより安全です。
ファイルアクセスを制限する
重要なファイルには、特定のユーザーのみがアクセスできるように設定しましょう。機密情報を含むファイルは、特定のユーザーまたはグループのみがアクセスできるように制限すれば第三者の侵入を防げます。
Teamsのファイルアクセスは「ユーザーのアクセス権限」で制限します。IPアドレスやデバイスで制限することも可能です。例えば、スマートフォンからのアクセスを制限したり特定の場所からのみアクセスを許可したりするなど、さまざまな条件に基づいて設定可能です。
ファイルのダウンロードを制限すれば、ファイルの持ち出しを防止し情報漏洩を防げます。
保護ファイルの使用状況を追跡する
Teams 上で保護されたファイルの使用状況を追跡すれば、不正アクセスや持ち出しの発見が早くなり、セキュリティ事故の被害を抑えられます。
保護ファイルとは、ファイルに設定されたセキュリティレベルのことです。Teamsだけでなく、SharePoint、OneDriveなどで利用されるファイルであれば、アクセスや機能を制限できます。
保護されたファイルの使用状況を確認すれば「重要な情報に誰がアクセスしたのか」やダウンロードの状況を把握できるため、不正利用の監視が可能です。
Azure Information Protection を使って、使用状況を定期的にチェックしましょう。
監査ログをチェックする
ログのチェックを定期的に行い、利用状況を確認しましょう。Teams には後に監査を行うために「監査ログ」が保管されています。ログを見ればアクセス履歴やファイルのダウンロード履歴、チャット履歴などが確認できるため、ファイルへの不正アクセスを早期に発見する有効的な方法です。
Teams の設定変更履歴やチームの作成・削除や追加チャネル状況のほか、ユーザーのログイン・ログアウトやファイルの作成、更新状況も分かります。
監査ログを有効化するには、「Microsoft 365 コンプライアンス センター」にアクセスしてください。「ユーザーと 管理アクティビティの記録を開始する」を選択すれば設定完了です。
監査ログの有効期間は最大 90 日でそれ以前の記録は参照できません。期限が切れる前に忘れずにチェックしましょう。
利益相反やパワハラ・セクハラの自動監視
Teams のやり取りはチャットという少しフランクに感じるツールだからこそ、パワハラやセクハラといったコミュニケーション事故が発生する可能性があります。
Microsoft 365 E5 プランには、利益相反やパワハラ・セクハラの自動監視機能が含まれていて、Teams のメッセージやファイル、会議の内容を分析し、パワハラ・セクハラの可能性がある内容を検知します。
設定方法は「Microsoft 365 管理センター」から「ポリシー→コミュニケーションとコラボレーション→コミュニケーションのポリシー」の順に選択してください。設定後は自動で監視を開始します。
★外部招待からライフサイクル管理まで運用管理の課題をまとめて解決できるAvePoint Cloud Governance (アブポイント クラウド ガバナンス)はこちらをご覧ください。
★Teams・Microsoft 365 グループ・SharePoint・OneDrive を、セキュアに運用管理できるPolicies & Insights for Microsoft 365についてはこちらをご覧ください。
バックアップもセキュリティ対策に有効
バックアップを取っていれば、データが破損したり消失したりした場合でも元のデータを取り戻せます。自然災害やサイバー攻撃などのトラブルはいつ発生するかわかりません。予測できない事態が起こっても、重要なデータが消失されないように対策しましょう。
また、コンプライアンス上長期保管が必要なデータも存在するため、重要なデータはバックアップを取るようにしましょう。
Teams で生成されたデータは、Microsoft 365 Exchange、SharePoint、OneDrive の複数箇所に保存されますが、保存方法が複雑でかつ一定期間で削除されてしまうため、別でバックアップが必要です。
バックアップを取るためには、 AvePoint Cloud Backup のような専用ソフトを活用しましょう。
★Microsoft 365, SalesforceⓇ, Dynamics 365, Google workspace 対応バックアップソリューションであるAvePoint Cloud Backupの情報はこちらから。
セキュリティ対策を行い、Teams を安全に使おう
Teams は場所やデバイスを問わず、簡単にアクセスできるコミュニケーションツールです。アカウントを持っていなくてもゲスト参加できるため、取引先とのやり取りにも活用できます。
デフォルトの設定のままで利用すると第三者からの不正アクセスが発生するリスクが高まるので、アクセス制限やファイルの暗号化など、セキュリティ対策が必要です。ファイルのダウンロード制限や監査ログを定期的にチェックすることで情報漏洩リスクを抑えられるので、Teams の設定を見直しセキュリティの強化に努めましょう。
万が一情報漏洩やデータの破損、消失が起こってしまった時に備え、バックアップを取ることも重要です。
★Teamsなどをはじめとした社外コラボレーションにおける情報漏洩リスクのより詳しい情報に関してはこちらのウェビナーをご覧ください。
Microsoft 365 での社外コラボレーション、情報漏洩リスクはどう管理する?