Teamsとは

Teamsとは、Microsoft社が開発・提供しているビジネスチャットやWeb会議システムなどのグループウェア機能を持ったソフトウェアのことです。参加しているメンバーと1対1やグループでチャットができる機能のほか、資料共有やOffice 365の各種ソフトウェアとの連携機能も備わっており、オフィスで行う業務のためのツールとしてはもちろん、リモートワークなどで遠方にいる従業員同士のコミュニケーションツールとしても役立ちます。

モバイルアプリ版も用意されているため、スマートフォンやタブレット端末などを通じて外出先からでも簡単に必要な情報を参照できます。このような特徴から、Teamsは単なるビジネスチャットツールではなく、「業務上、必要不可欠なリソースに接続可能なチャットツール」だといえるでしょう。

Teams利用上のセキュリティリスク

前述のように、Teamsはどこからでも素早く保管されているデータにアクセスできるツールです。しかし、だからこそいくつかの重大なセキュリティリスクにつながるおそれがあります。ここでは、Teams利用上押さえておきたいセキュリティリスクについて解説します。

どこからでも、どのような端末でもアクセスできてしまう

Teamsはインターネット環境があればどこでも、どのような端末でもアクセスできてしまうのが特徴です。つまり「外部の第三者が容易に侵入しやすい環境である」ともいえます。例えば外出先でロックのかかっていないスマートフォンを置き忘れた従業員がいると、悪質な第三者が拾った場合にモバイルアプリ版から自社のTeamsに侵入してデータを不正に盗み出すことができてしまいます。

加えて、公共のWi-Fiなどセキュリティが低い環境で自社のTeamsに接続すると、ネットワークに不正アクセスされて自社のTeamsの情報を窃取・改ざんされてしまう危険性もあります。どこからでも、誰でもアクセスできるのはTeamsの魅力のひとつですが、一方で重大なセキュリティリスクにつながる可能性もあります。

チャットで情報漏洩が起きた際に原因の特定が困難

チャットツールを利用している間に情報漏洩が起こると、原因の特定が困難になりやすいというリスクもあります。チャットツールはTeamsのメンバーになっている人同士でメッセージをやり取りする機能ですが、日常的に利用していると流れが速く、どのような会話が交わされているのか監視するのが追いつかないうちに情報漏洩につながる会話が交わされている可能性があるためです。

特にリモートワークなどで日常業務のほとんどをTeamsのチャットツールに依存している状況だと、ちょっとした挨拶なども全てTeams上で行われることから、原因特定のために膨大なログの調査を行わなければなりません。

ファイルの持ち出し

内部の関係者がTeamsにアクセスし、意図的であるかどうかに関わらずファイルを持ち出してしまうリスクもあります。Teamsのメンバーになっている従業員が共有ファイルにアクセスし、業務上の機密情報などにアクセスして外部媒体に保存したり外部のメールアドレス宛に添付ファイルとして送信したりすることで、重大な情報漏洩に発展するおそれがあります。

特にアクセス制限が十分に調整されていない場合に起こりやすく、制限が不十分だと、本来は一般社員に見えてはいけないはずのデータが誰にでも参照できてしまうといった問題が起こる可能性もあります。

セキュリティリスクに対応するTeamsのセキュリティ機能

前述のように、Teamsを運用するにあたってはさまざまなセキュリティリスクがあります。Teamsにはさまざまなセキュリティリスクに対応するための機能が備わっているため、これらを有効活用してあらかじめ備えることが大切です。
ここでは、代表的なセキュリティ機能をいくつか紹介します。

アクセス制限

初期設定：一般チャネル（チームの全員がアクセスできる）

前述のように、誰でも、どこからでも社内の情報にアクセスできてしまう状態を放置すると、重要なファイルを持ち出されて情報漏洩につながる危険があります。そこでTeamsのアクセス制限機能を利用し、各メンバーに適切なアクセス権限を設定することが求められます。

例えば自社の社員にはファイルの追加・変更・削除の権限を与えて、協力会社などの社外のメンバーにはファイルを参照する権限のみを設定しておくなどの設定にしておくことで、社外のメンバーが自社のデータを持ち出すことがなくなるでしょう。

他にもモバイル端末からはデータを参照する権限だけを設定しておいたり、経営層向けの重要なデータは一般社員から参照できないようにしたりするなどの制限方法が考えられます。

“チーム”作成制限

初期設定：全員が作成可能

Teamsには「チーム」と呼ばれるプロジェクト作成機能があります。チームにメンバーを追加することで、チーム内のメンバーでコミュニケーションを取ったりファイル共有したりすることが可能になります。

誰でもチームを作成できる環境を放置しておくと、管理者が把握していないチームが無数に作成されるおそれがあり、目の届かない場所で情報漏洩をはじめとしたトラブルが起こる原因になります。そこでチームの作成権限を管理者などの限定されたメンバーのみに付与しておき、誰でも無尽蔵にチームを作成できない状態にしておくことも大切です。

“チーム”自動削除

初期設定：チーム作成から400日間

Azure ADと呼ばれるMicrosoft 365に付属している管理ツールを利用すると、Teamsのチームに有効期限を設定できます。指定した期限を迎えるとチームは自動的に削除されるため、使われなくなったチームがいつまでもTeams上に放置されることがなくなり、データの持ち出しなどのトラブルを防止しやすくなります。

期限を迎えたチームが削除されると、チーム内のチャットやファイルなど全てのデータが自動的に削除されます。期限の30日、15日、1日前にそれぞれチームの所有者宛にメール通知が送信されるため、チームを削除したくない場合はメール内から有効期限の更新設定ページに遷移して、簡単に期限延長の設定も行えます。

全てのチームに設定することも可能ですが、特定のチームにのみ自動削除設定を行うこともできます。

チャットの無期限保持

初期設定：無期限

Teamsはチャット履歴の保持期限を設定できるようになっているため、保持期限を超過したチャットは自動的に削除されます。仮に削除された期間に情報漏洩などのトラブルが起こったとしても、既に削除されているログを参照することはできず、原因の特定が困難になるおそれがあります。

トラブルに備えて過去のチャット履歴を残しておきたい場合は、管理者があらかじめチャット履歴の保持期限を変更しておく必要があります。さらに、チャット履歴を定期的にエクスポートしておき保存しておくのもセキュリティリスク回避手段のひとつです。

監査

Teamsの監査では、ファイルのダウンロード履歴やチャット履歴、モバイル端末からのファイルアクセス履歴など、あらゆる行動を絞り込んでチェックできます。

セキュリティリスクを軽減するためには、監査機能を使ってTeamsの管理者が定期的に使用状況を監査することも重要です。Teamsを利用するメンバーの動きに不審な点がないかを定期的にチェックしておくと、異変があったときにいち早く察知しやすくなります。

ファイル暗号化

Teamsにはファイルの暗号化機能が備わっており、送受信されるファイルは基本的に全てSharePointを使って自動的に暗号化されています。ファイルが暗号化されることによって、外部の第三者が自社のTeamsに不正アクセスしてデータを盗み見ようとしても、簡単に読み取れないようにすることが可能です。
しかし「暗号化されているから安心」と思わずに、必要に応じてファイルにパスワードを設定するなどの対応を取ることも大切でしょう。

ファイルアクセス制限

初期設定：全てのファイルにアクセス可能

Teamsにはアクセス制限機能が備わっていることは前述のとおりですが、ファイルへのアクセス権限も個別に設定できます。

社外のメンバーにファイルを参照させる必要がある場合に特定のフォルダにのみアクセスできるように権限を付与したり、特定のメンバーには一部のフォルダへアクセスできないようにしたりすることで、Teamsのセキュリティを向上させられます。

保護ファイルの使用状況追跡

Azure Information Protectionと呼ばれる機能や監査ログを利用すると、Teamsの保護ファイルの使用状況を追跡可能です。

保護ファイルとは個別にセキュリティレベルが設定されているファイルのことで、保護されているファイルにどのタイミングで誰がアクセスしているか、ダウンロードしているかなどを追跡できます。保護ファイルの使用状況を追跡すると、重要なデータが持ち出されていないか、不正に利用されていないかなどをひと目でチェック可能です。

監査ログ

監査ログを参照することで、Teams内のあらゆる行動を追跡できます。セキュリティ上のトラブルが起こったときは、監査ログを絞り込んで参照すると何が原因になっているのか特定しやすくなります。

例えばファイルの持ち出しによる情報漏洩が確認されたときは、該当のファイルがTeams上からダウンロードされた形跡がないかどうかを監査ログで調査するなどの方法が考えられます。

AzureADでの条件付きアクセス制限

AzureADを利用すると、Teams上のメンバーに条件付きのアクセス制限を付与できます。ここでは、AzureADの条件付きアクセス制限について詳しく解説します。

「だれが」「どこから」「どのデバイス」「どのアプリ」といった条件を付加

AzureADの条件付きアクセス制限の対象範囲は幅広く、「だれが」「どこから」「どのデバイス」「どのアプリ」といった条件を細かく設定できます。例えばオフィス内からの接続であればTeams内の全てのメンバーがファイルをダウンロードできるが、営業担当者が持ち出しているスマートフォン端末からはファイルの参照のみ可能、などの詳細な制限設定が可能です。

条件付きアクセス制限を上手く活用して適切な権限を設定することで、セキュリティリスクは大きく軽減できます。

Microsoft 365 のセキュリティ対策ができる LANSCOPE セキュリティオーディター

Teamsにはさまざまなセキュリティ機能が備わっていますが、LANSCOPE セキュリティオーディター と連携させることによってさらに多くのメリットがあります。ここでは、LANSCOPE セキュリティオーディター とMicrosoft 365の連携機能やルール設定、通知機能などについて解説します。

Microsoft 365連携

LANSCOPE セキュリティオーディター の最新バージョンでは、Microsoft 365と連携して利用状況をカンタンに把握できます。「Teamsの監査ログは操作が難しくてどのようにログを追えばよいのか分からない」という方でも、LANSCOPE セキュリティオーディター なら直感的な操作が可能です。

例えば「元社員がTeamsの共有フォルダにアクセスして顧客リストを持ち出した」というセキュリティ事故が起こった場合に、元社員がどのような経路でデータをコピーして持ち出したのか、一連の流れを詳細に負うことができます。前後の流れまで詳細に追うことで、より詳しくトラブルの状況が明らかになります。

見える化とルールの設定

Micorosoft 365の利用状況を見える化することで、Teamsがどのように運用されているのかをひと目で確認できるようになり、社内全体のセキュリティレベルの引き上げにつながります。セキュリティ監視のルールは細かく設定できるので、自社の社内統制に合わせた柔軟な運用が可能です。

通知でルールの浸透をサポート

LANSCOPE セキュリティオーディター であれば、事前にアラート設定をしておくと、普段使用しているビジネスチャットを通じて、本人と管理者にアラート通知することが可能です。通知のルールは「早朝や深夜にアクセスがあった場合」「社外秘フォルダのファイルが外部に共有された場合」など細かく設定可能です。

アラート通知は管理者の他に本人にも通知できるため、抑止にもつながります。

まとめ

従業員同士のコミュニケーションツールとして便利なTeamsですが、運用の際はセキュリティ対策に十分注意する必要があります。適切なアクセス制限や継続的な監査を実施し、高いセキュリティレベルを保ってセキュリティ事故を起こしにくい環境を整えましょう。

LANSCOPE セキュリティオーディター なら、Micorosoft 365と連携してカンタンに監査ログの監視や不正アクセス検知後のアラート通知を行えます。Teamsのセキュリティ向上には、ぜひLANSCOPE セキュリティオーディター の導入をご検討ください。