クラウドセキュリティ
Microsoft Formsをセキュアに活用する方法
~外部ユーザーの共有設定に注意~
Written by 前田 誉彦
2022年、エムオーテックス入社。
セキュリティエンジニアとして日々セキュリティ運用として監視・分析に従事。
お客様に合ったセキュリティ構成の検討、サイバー攻撃情勢の情報収集や発信などの業務を行っています。
Formsをはじめとした設定をチェック!
3分でわかるMicrosoft 365セキュリティ診断
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
1 はじめに
「オンラインセミナーを実施する際に、視聴者の意見を集めたい」
「既存のお客様に、自社サービスに対する満足度調査を実施したい」
さてこんな時、手段としてアンケートを作成して回答を募ることが多いですよね。
昨今はWebアンケートがスタンダートになっており、Microsoft 365のFormsやGoogle フォームなど、クラウドサービスの機能を活用することで簡単に作成・回答収集が可能となりました。また、自社内の人へのアンケートは勿論、自社サービス・コンテンツの質向上のためのアンケート調査など、社外の人に回答を求めるケースも多いのではないでしょうか。
しかし、便利なアンケートツールも設定方法を誤ると、情報漏洩事故のリスクを生んでしまう可能性があります。
2 アンケートツールの設定不備による情報漏洩リスク
下記は某大学にて、情報漏洩のインシデントが発生したケースです。
オープンキャンバスの申し込み受付をアンケートフォームで実施したところ、外部から回答データが一定期間閲覧できる状態となっていたことが判明しました。アンケート作成者の設定ミスが原因と想定されます。
このように、作成者側の設定ミスにより、思わぬ情報漏洩が発生してしまうケースが増えています。「では、どうしたらセキュアにアンケート機能を活用できるの?」とお悩みの皆様、ご安心ください。 今回、簡単に確認できる設定のポイントを2つに分けてご紹介します。
3 Microsoft 365 Formsをセキュアにする設定ポイント
■管理設定
まず、管理設定の見直しが必要です。
Microsoft Formsの管理設定は、Microsoft 365 管理センターから以下の設定箇所に移動します。
画面左の[設定] → [組織設定] → [Microsoft Forms]
Microsoft Formsを押すと、右側から新しく設定画面が出てきますが、一番上に[外部共有]という項目があります。
結論から申し上げますと、この部分、大半の方は、下3つの設定は必要ありません。
それぞれの設定の概要を説明します。
・フォームへのリンクを送信して回答を収集する
組織の外部ユーザーへフォームを送信して、回答を収集したい場合、チェックが必要
・フォームのレイアウトと構造について共同作業を行うために共有する
フォームのデータを外部ユーザーへ共有して共同作業をする場合、チェックが必要
・複製できるテンプレートとしてフォームを共有する
フォームを作成した後に、そのフォームをテンプレートとして外部ユーザーと共有する場合、チェックが必要。
チェックを入れると、リンクを知っている全てのユーザーがテンプレートのフォームを複製可能となります。
・フォームの共有結果の要約
フォーム作成後、フォーム編集画面の左上から、[応答]を選択すると、フォームの回答結果の概要が表示されます。この概要を外部に対して共有したい場合、チェックが必要
上記より、単に外部に対してアンケートを実施したい場合、一番上以外の3つのチェックは必要無い事が分かります。むしろ、この部分に不要なチェックが入っていることにより、実際、アンケートに回答したユーザーが、回答結果の概要を閲覧できてしまうという問題が発生する可能性もあり、実際に事故も発生しています。
■フォーム側の設定
上記の管理設定に関連してくるフォーム側の設定を見てみましょう。
・フォームへのリンクを送信して回答を収集する
フォーム編集画面で、右上の[回答を収集]を押します。
管理側の設定にチェックが入っている場合、下記のように[すべてのユーザーが回答可能]が選択できます。
管理側の設定にチェックが入っていない場合、下記のようになり、[すべてのユーザーが回答可能]が選択できなくなり、外部ユーザーがアンケートに回答できなくなります。
なお、[すべてのユーザーが回答可能]になっている状態で管理設定を変更すると、設定がされたままグレーアウトした状態となります。
この状態で外部ユーザーから共有済みのリンクを押すと、以下のような画面となり、アンケートに回答することができなくなります。
・フォームのレイアウトと構造について共同作業を行うために共有する
フォームの編集画面で、画面右上の[共同作業または複製]を押します。
管理側の設定にチェックが入っている場合、下記のように[Office 365 の職場または学校のアカウントを持つすべてのユーザーが結果を編集および表示できます]が選択できます。
管理側の設定にチェックが入っていない場合、下記のようになり、外部のユーザーを共同作業者として追加することができなくなります。
・複製できるテンプレートとしてフォームを共有する
フォームの編集画面で、画面右上の[共同作業または複製]を押します。
管理側の設定にチェックが入っている場合、[リンクを持つすべてのユーザーが複製可能]となります。
管理側の設定にチェックが入っていない場合、下記のようになり、自分の組織内のユーザーのみがテンプレートを複製可能となります。
・フォームの共有結果の要約
フォームの編集画面で、左上の[応答]を押して結果の概要画面を開きます。[Excelで開く]と記載されている右側の[…]から[概要リンクの共有]を押します。
管理設定にチェックが入っている場合、[このリンクを持つすべてのユーザーが回答の概要を表示できます]となり、すべてのユーザーが回答の概要を閲覧できる状態となります。
Microsoft Formsでインシデントが発生した場合、大半のインシデントはこの部分の設定箇所が原因となっています。
管理設定にチェックが入っていない場合、[自分の組織内のユーザーのみが回答の概要を表示および編集できます]となり、回答の概要を外部ユーザーが閲覧することはできなくなります。
4 おわりに
本コラムでは、アンケート作成ツールのMicrosoft Formsについて設定のポイントを解説しました。 Microsoft Formsのように、グローバルに広く利用されているサービスでも、このように設定を誤るとインシデントに繋がってしまう場合があります。
特に社外のユーザーにアンケートを依頼することが多い企業・部署では、管理者側の設定をしっかりと見直した上で、ユーザー側の設定マニュアルを用意し周知を図ることが有効です。
(さらに、実際のアンケート作成時には部署のメンバーと設定のダブルチェックを行うなどの対策をおすすめいたします。)
本ブログが、皆様のセキュリティ対策の一助となりましたら幸いです。
なお、エムオーテックスでは、今回ご紹介したMicrosoft 365 Formsのアプリケーションを含め、Microsoft 365の様々なアプリケーションの設定不備を診断するソリューションをご用意しております。詳細はこちらからダウンロードできます。ぜひご覧ください!
Formsをはじめとした設定をチェック!
3分でわかるMicrosoft 365セキュリティ診断
中⼩企業の情シス1,000⼈に聞いた︕
「クラウドサービスのセキュリティ対策」
実態調査結果を発表!
急増中のクラウド経由の情報漏洩にどう対策している?クラウドサービスを利⽤している企業様の対策状況や課題を調査しました。
