クラウドセキュリティ
SharePoint、OneDriveのデータ共有の心得
~Microsoft 365 の安全な使い方はこれだ!~
Written by 前田 誉彦
2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。
SharePoint・OneDriveをはじめとした設定を診断員がチェック!3分で分かる!Microsoft 365 セキュリティ診断
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
1 はじめに
昨今、国内でも多くの企業で導入が進んでいる、Microsoft 365。
サブスクリプション契約で、OfficeやOutlook、Teamsなどの豊富なアプリケーションを利用でき、業務の幅が格段に広がりますよね。
その中でも、社内メンバーとのデータ共有を行う際に欠かせないのが、「SharePoint」と「OneDrive」の2つ。どちらも複数のメンバーとファイルなどのデータ共有をクラウド上で気軽に行うことができ、非常に便利なツールです。顧客情報や販促資料などの業務上必要不可欠なデータがつまっており、筆者もこれの2つがなければ、ほとんどの業務が対応できないというほど依存しています。
しかし、何気なく使用しているこの2つのアプリケーション、うっかり管理設定を誤ると社外への情報漏洩のリスクが発生してしまいます。
2 設定の不備による SharePoint・OneDriveの 情報漏洩リスク
では設定を誤った場合、どのようなリスクがあるのか見てみましょう。
SharePoint・OneDriveでは、社内公開の設定だけでなく、外部公開の設定があり、もっともポリシーが緩い設定では、「すべてのユーザー」にアクセス権限が割り当てられています。この状態では、URLが判明していると社内・社外問わず誰でもアクセスできてしまう可能性があります。
例:図の通り、A社が機密データの公開先を絞らず一般公開している場合、意図しない第三者のユーザーがアクセスできる状態となります。
「そんなの困る!一体どうしたらセキュアに利用できるの?」とお悩みの皆様、ご安心ください。
今回、簡単に確認できる設定のポイントを2つに分けてご紹介します。
3 SharePoint・OneDrive設定のコツ
設定ポイント1
SharePoint、OneDriveの共有設定について
SharePointの設定で確認したいところは、主に下記の場所になります。
「SharePoint管理センター」 → 「ポリシー」 → 「共有」
ここに、上図の通り、外部共有を行う際の設定があり、4段階に設定できます。
それぞれの設定について、簡単に解説します。
・すべてのユーザー
組織内部のユーザー、ゲストユーザー(※)、外部のユーザー、Microsoft 365のアカウントを持っていないその他の方々などを含め、全てのユーザーに対して、外部共有が可能です。
URLリンクが分かると誰でもアクセスできてしまう可能性があるため、大変危険な設定です。
※ゲストユーザーとは、自組織にゲストユーザーとして招待されたユーザーです。
具体的には、Microsoft 365管理センターの「ユーザー」→「ゲストユーザー」の一覧に登録されているユーザーを指します。
・新規および既存のゲスト
組織内部のユーザー、サインインしているゲストユーザーに対しては問題無くコンテンツを共有できます。外部のユーザーやMicrosoft 365のアカウントを持っていないユーザーに対しては、メールアドレスへ送信した認証コードを入力する必要があります。
外部の一般ユーザーに対して共有する場合はこの設定を使うこととなりますが、設定ポイント2に記載している「外部共有の詳細設定」などの項目も活用しながら、可能な限り制限をかけた設定で運用してください。
・既存のゲスト
組織内部のユーザー、サインインしているゲストユーザーに対しては問題無くコンテンツを共有できます。外部ユーザーに共有することはできません。共有が必要な場合はゲストユーザーとして、自組織への招待が必要です。
・自分の組織内のユーザーのみ
組織内部のユーザーのみに対してコンテンツを共有できます。
ゲストユーザーや外部のユーザーに対して共有することはできません。
設定ポイント2
外部共有の詳細設定
設定ポイント1で、「すべてのユーザー」「新規および既存のゲスト」「既存のゲスト」に設定していると、すぐ下にある「外部共有の詳細設定」という項目が設定できます。
これらの項目を可能な限り組み合わせ、できるだけセキュリティの高い状態を維持することが大切です。それぞれの設定について解説していきます。
・ドメインごとに外部共有を制限する
特定のドメインに対してのみ、外部共有を許可する設定です。
たとえばグループ会社や、プロジェクトで協業する会社などが存在する場合、本設定を有効に活用できます。営業活動などで、外部共有する相手が定まっていない場合は使いづらい設定です。
チェックを入れると、既に許可されたドメインがあれば表示され、「ドメインを追加」というボタンが押せるようになります。
ドメインを追加の画面で、特定のドメインを許可するか、ブロックするかを設定できます。
・特定のセキュリティグループのユーザーのみに外部共有を許可する
自組織内で、外部共有自体を行うことができるユーザーを限定できる場合、有効に活用できます。
例えば、マーケティング部門や営業部門は外部共有を許可する、主に社内のメンバーを相手に仕事をするスタッフ部門は許可しないなどの設定が可能です。
ベストな管理方法は色々考えられますが、「外部共有可能なユーザーのグループ」を作成してしまい、そのグループへのメンバーの追加・削除で管理するのが楽だと思います。
チェックを入れると、「セキュリティグループの管理」が表示されます。
セキュリティグループの管理画面で、対象のセキュリティグループを設定できます。
・ゲストは、共有への招待が送信されたときと同じアカウントでサインインする必要があります
記載の通りです。基本的にはチェックを入れましょう。
・ゲストが所有していないアイテムを共有できるようにする
所有権のないファイルなどをゲストが他のメンバーに共有できます。基本的にはチェックを外しましょう。
・サイトまたはOneDriveへのゲストアクセスは、この日数が経過すると自動的に有効期限切れになります
外部共有の使い方によって、有効期限切れになると困るケースも考えられるため、設定した上での運用が可能であれば活用してください。
・確認コードを使用するユーザーは、この日数の後に再認証を行う必要があります
確認コードでアクセスしてくる外部ユーザーに対して、再認証を行う間隔を設定できます。
これ以外にも、いくつかの設定があるため、SharePoint管理センターの、「ポリシー」→「共有」内の設定項目は全て確認してください。
また、「ポリシー」→「アクセスの制御」という項目にもいくつか設定があるので、それぞれの設定項目を確認することをお勧めします。
4 おわりに
本コラムでは、データ共有に便利なMicrosoft 365のアプリケーションである、SharePointとOneDriveについて設定のポイントを解説しました。 特に、SharePointをファイルサーバとして社内活用していく場合、事前にフォルダ構成などを設計することも必要です。
実際にフォルダ構成などを設計する時には、外部共有してよいフォルダの整備など、ルールを作って管理していきましょう。
本ブログが、情報システム部門の皆様のセキュリティ対策の一助となりましたら幸いです。
なお、エムオーテックスでは、今回ご紹介したSharePointとOnedriveの2つのアプリケーションを含め、Microsoft 365の様々なアプリケーションの設定不備を診断するサービスをご用意しております。エムオーテックスのソリューションについて、詳細はこちら!
SharePoint・OneDriveをはじめとした設定を診断員がチェック!3分で分かる!Microsoft 365 セキュリティ診断
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
関連する記事