本記事では、Microsoft 365 アプリケーションの1つである「 SharePoint 」について、フォルダのアクセス権限の設定方法や、管理者が知っておきたい設定時のポイントについて解説します。

政府によるDX推進や働き方改革の影響により、国内でもクラウドサービスの利用が急速に進んでいます。しかしクラウドの普及に伴い、クラウド上に保存した機密情報の漏洩や不正な持ち出しといったセキュリティ事故が増加していることも事実です。

▼SharePointの権限設定ミスによるセキュリティ事故の例
●組織内のSharePointサイトやドキュメントが、誤って外部に公開されてしまう
●アクセス権限がないはずの従業員に誤って権限が付与され、機密情報にアクセスされる
●アクセス権限の設定ミスにより、SharePoint 内の機密情報が不正に改ざん・削除される

このようなインシデントを防ぐためにも、SharePoint のアクセス権限を正しく設定し、定期的に見直すことが重要です。

またエムオーテックス（MOTEX）では、Microsoft 365 におけるファイル共有やユーザー招待に起因した情報漏洩の防止策をまとめた、お役立ち資料をご用意しました。ぜひ合わせてご活用ください。

SharePoint とは？

SharePoint とは、Microsoft 社が提供しているクラウドベースのファイル共有サービスです。

部署やプロジェクトごとにチームサイト（ポータルサイト）を構築することができ、構築したサイト上で情報共有や保存したファイルの共同編集などが可能になります。

また、構築したサイトには外部ユーザーを招待することもできるので、外部クライアントやプロジェクトメンバーと、効率的に共同作業や情報共有を行えます。

SharePoint では管理者がユーザーごとにアクセス権限を設定することが可能です。例えば、プロジェクトサイトにて、プロジェクトチームのメンバーにのみ編集権限を付与し、外部のクライアントやパートナー企業の担当者には、閲覧権限のみを付与するといった具合です。

アクセス権限を適切に設定することで、外部ユーザーが不正に情報を改ざんしたり、持ち出したりするリスクを防止することができます。

SharePoint のアクセス権限の種類

SharePoint には大きく分けて、以下のアクセス権限があります。

●フルコントロール（所有者）
●デザイン
●編集（メンバー）
●投稿
●読み取り
●制限付きアクセス
●表示のみ

それぞれの権限でできることをまとめたものが以下の表です。

権限内容	フルコントロール （所有者）	デザイン	編集	投稿	読み取り	制限付きアクセス 表示のみ
Webサイト管理・権限管理	〇
グループの作成	〇
ページの追加・編集	〇	〇
リストの追加・編集・削除	〇	〇	〇
リストアイテム、ドキュメントライブラリの作成・編集	〇	〇	〇	〇
ドキュメントのダウンロード	〇	〇	〇	〇	〇
リスト、ドキュメントの表示	〇	〇	〇	〇	〇	〇

「フルコントロール」はサイト所有者が持つ権限で、サイト内のすべてのコンテンツの管理や他ユーザーの権限の変更・編集などが可能になります。

フルコントロールの次にアクセス許可レベルが高い「デザイン」権限をもつユーザーは、ページの追加・編集など、サイトのレイアウトを変更することが可能です。また、「編集（メンバー）」権限や「投稿」権限を持つユーザーは、リストアイテム、ドキュメントライブラリの作成・編集を行うことができます。

「制限付きアクセス」や「表示のみ」の権限が付与されたユーザーは、基本的にリスト、ドキュメントの表示がメインとなり、ファイルをダウンロードすることはできません。

出典：Microsoft │SharePoint Server

SharePoint のアクセス権限の設定方法

SharePoint は、グループや個人に対して以下のようなアクセス権限の設定が可能です。

以下では、SharePoint におけるアクセス権限の設定方法について解説します。

1．「アクセス権限を付与」する方法
2．「アクセス権限を変更」する方法
3．「アクセス権限を削除」する方法
4．「外部ユーザーに共有」する方法

1．SharePoint にて「アクセス権限を付与」する方法

アクセス権限を付与する手順は以下の通りです。

1.フルコントロール権限でSharePoint サイトを開く
2.画面右上にある歯車マーク（設定）をクリックし、「サイトの設定」を選択

3.ユーザーと権限内の「サイトの権限」を選択し、現在の権限設定状況を確認
4.左上の「アクセス許可の付与」をクリック

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

5.共有ダイアログが開いたら、一番上の欄にアクセス権限を与えるユーザー名もしくはメールアドレスを入力

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

6.招待メールを送信する場合は「オプション表示」をクリックし、「電子メール招待状を送信する」にチェックを入れる
7.「アクセス許可レベルの選択」を展開し、権限のレベルを選択して「共有」をクリック
8.再び「サイトの権限」を開き、権限が付与されているか確認

アクセス権限の付与は、個人またはグループ単位で可能です。 ただし、グループに権限を付与する場合、先にグループを作成しておく必要があります。

2. SharePoint にて「アクセス権限を変更」する方法

アクセス権限を変更する手順は以下の通りです。

1.フルコントロール権限でSharePoint サイトを開く
2.画面右上にある歯車マーク（設定）をクリックし、「サイトの設定」を選択
3.ユーザーと権限内の「サイトの権限」を選択し、現在の権限設定状況を確認
4.権限を変更したい、ユーザーやグループのボックスにチェックを入れる

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

5.「ユーザー権限の編集」を選択

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

6.新しいアクセスレベルを選択して、「OK」をクリック

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

7.再び「サイトの権限」を開き、権限が変更されているか確認

3. SharePoint にて「アクセス権限を削除」する方法

アクセス権限を削除する手順は以下の通りです。

1.フルコントロール権限で、SharePoint サイトを開く
2.画面右上にある歯車マーク（設定）をクリックし、「サイトの設定」を選択
3.ユーザーと権限内の「サイトの権限」を選択し、現在の権限設定状況を確認
4.権限を削除したい、ユーザーやグループのボックスにチェックを入れる

出典：Microsoft｜SharePoint リストまたはライブラリのアクセス許可をカスタマイズする

5.「ユーザー権限の削除」を選択
6.削除内容のポップアップを確認して「OK」をクリック
7.再び「サイトの権限」を開き、権限が削除されているか確認

4. SharePoint を「外部ユーザーに共有」する方法

アクセス権限を外部ユーザーに共有する手順は、以下の通りです。

1.SharePoint 管理センターにアクセス
2.ポリシー内にある [共有]をクリックし、「外部共有」の設定を確認、必要に応じて変更
（※外部共有設定が「自分の組織内のユーザーのみ」に設定されていると、外部ユーザーへの共有はできません）。
3.SharePoint 管理センターに移動し、 外部ユーザーに共有したいサイトの共有設定を選択
4.外部共有の欄の「新規および既存のゲスト」を選択し、保存をクリックして SharePoint 管理センターを閉じる
5.共有したい SharePoint サイトを開き、画面右上にある「設定」→「サイトのアクセス許可」の順に選択
6.アクセス許可画面の「サイトの共有」をクリックし、共有したい外部ユーザーのメールアドレスを記入して「追加」をクリック

出典：Microsoft｜SharePoint Online で共同作業する

7.外部ユーザーに招待メールが送信されるので、そこからログインしてもらえば共有完了

ただし外部ユーザーへの安易な共有・招待は、情報漏洩やデータの持ち出しといったセキュリティリスクを高める恐れもあります。本当に必要な共有か、権限をどのレベルに設定するか等、配慮した上で権限を付与するよう気を付けましょう。

SharePoint のアクセス権限の設定管理は、なぜ重要？

SharePoint のアクセス権限の設定管理が重要な理由は、外部からの不正アクセスや内部不正による情報漏洩を防止するためです。

SharePoint などのオンラインストレージは、しばしば組織内で機密情報を共有するプラットフォームとして使用されます。仮に SharePoint が意図せず外部共有されたり、誰でも閲覧やダウンロードできたりする状態になっていれば、情報が不正に持ち出される・悪用されるなどのセキュリティリスクを招く可能性があります。

SharePoint のようなクラウドサービスは、DX推進の影響によってますます普及が進んでいます。

総務省が発表した令和5年版情報通信白書によると、パブリッククラウドサービスの市場は2024年以降も増加が見込まれており、2026年には9,152億ドルまで拡大することが予想されています。

出典：総務省｜令和5年版情報通信白書（2023年7月4日）

しかしクラウドサービスが普及するに伴い、SharePoint などクラウド経由によるセキュリティ事故の件数も増えています。こういったクラウドサービスに起因する情報漏洩事件の多くは、管理者側の設定不備によるものです。

クラウドサービスによるセキュリティ事故を防ぐためにも、SharePoint のアクセス権限を定期的に確認し、適切な設定をおこなうことは非常に重要です。

SharePoint に起因する情報漏洩事故の例

SharePointの設定ミスによって懸念される、具体的な情報漏洩リスクについて解説します。

1．アクセス権限の設定ミス

企業Aでは、SharePoint に重要な財務文書が保管されていました。本来、この文書にアクセスできるのは社内の中でもごく一部の人間のみです。

しかし、アクセス権限の誤設定により、通常ではアクセス権限を持たない一般社員も財務文書にアクセスができるようになっていました。結果、不正に機密情報が共有されてしまい、情報漏洩が生じてしまいました。

2．外部共有を過剰に使う

企業Bでは、ともにプロジェクトを進めている外部のパートナー企業と効率的に情報共有を行うため、SharePoint にて重要データの共有を行っていました。

しかし、この外部共有の設定管理が不適切だったため、外部パートナーを経由して意図しない第三者にもプロジェクトの文書がわたる事態となってしまいました。

3．フィッシング攻撃によるログイン情報の窃盗

企業Cでは、社員がフィッシング攻撃を受けたことにより、SharePoint へログインする際のIDやパスワードを盗まれてしまいました。

しかし社員は企業にその件を報告せず、また企業側も認証方法に、メールアドレスとパスワードを用いるだけの単純な方法を導入していました。

認証情報は攻撃者に悪用され、SharePoint にて機密文書の閲覧やダウンロードが実施されました。

SharePoint のアクセス権限の設定管理におけるポイント

SharePoint のアクセス権限の設定管理におけるポイントは以下の4つです。

1.最小権限の原則を適用する
2.定期的にアクセス権限の見直し・監査ログ確認をおこなう
3.外部共有のポリシーを明確にする
4.グループごとに適切な権限レベルを設定する

1. 最小権限の原則を適用する

「最小権限の原則」とは、ユーザーやグループに対して必要最低限のアクセス権限のみを付与するという考え方です。

業務上必要なデータや機能のみアクセス権限を与えることで、社内の不要な情報アクセスや、第三者に不正ログインされた場合の権限昇格を防ぎ、情報漏洩のリスクを低減します。

2. 定期的にアクセス権限の見直し・監査ログ確認をおこなう

部署異動や退職などがおこなわれた場合は、定期的にアクセス権限の見直しを行い、不要になった権限は速やかに削除しましょう。

また、アクセスログを定期的に監査することで、不正アクセスや不適切な情報共有といった、情報漏洩につながるユーザー操作を早期に検出できます。

3．外部共有のポリシーを明確にする

プロジェクトの都合などで外部ユーザーと情報共有が必要な場合は、外部共有ポリシーを適切に定め、従業員に周知します。外部ユーザーへのアクセス権限付与は、情報漏洩にもつながりやすいため、特に慎重に管理しましょう。

また SharePoint の外部共有の詳細設定では、

●ドメインごとに外部共有を制限する
●許可した特定のグループ、ユーザーのみに外部共有する
●確認コードを使用する

などを細かく定めることが可能です。

4．グループごとに適切な権限レベルを設定する

ユーザーを適切なグループに分類し、グループごとに役割や業務内容に応じたアクセス権を付与することで、情報へのアクセスが制限され、セキュリティが強化されます。

例えば、管理者や部門ごとに作業グループを設定し、必要な情報にのみアクセスできるようにします。アクセス権を付与する際は、標準的な閲覧者、寄稿者、所有者など権限レベルを利用し、カスタム権限を慎重に使用してください。

また、グループ内のユーザーが変動する場合は、その都度権限の見直しを行い、最新の情報に基づいて適切な権限を付与しましょう。

SharePoint のアクセス権限の設定管理ならLANSCOPEのソリューションにお任せ

SharePoint のアクセス権限や外部共有の設定は、情報漏洩事故を防ぐため、定期的に見直すことが欠かせません。

「情報漏洩につながるリスクを見える化したい」
「セキュリティ設定の不安を解決したい」

これらのニーズはLANSCOPEソリューションで解決することができます。

1.Microsoft 365 の設定ミスをプロが指摘・改善する「Microsoft 365 セキュリティ診断」  
2.Microsoft 365 の不正操作を、監査ログで見える化「LANSCOPE セキュリティオーディター」

1．Microsoft 365 の設定ミスを指摘・改善する「Microsoft 365セキュリティ診断」

「Microsoft 365 セキュリティ診断」は、SharePoint を含むお客様の Microsoft 365 環境を、MOTEXの経験豊富な専門のエンジニアが診断し、インシデントに繋がる設定不備の洗い出し・改善を行うサービスです。 

具体的には 

・ゲストユーザーの招待に関する設定の確認（管理者以外のユーザー招待が許可されていないか） 
・SharePoint や OneDrive のデータが、外部から閲覧できる設定になっていないか 
・管理者アカウントに多要素認証が設定されているか 

などを細かく確認し、修正までを支援します。 

仮に Microsoft 365 サービスのアップデート後、意図しない設定変更や初期化が適用された場合も、セキュリティ診断を実施することで、設定漏れを網羅的に改善することが可能です。 

・忙しくて、自社で定期的な設定見直しができていない 
・Microsoft 365 の設定は、全て構築ベンダーに一任して、把握できていない 
・関係省庁や取引先からセキュリティ対策やガイドラインへの遵守指示がきた 

といったお客様にもおすすめです。 

Microsoft 365 セキュリティ診断は、診断したい範囲によって複数のプランをご用意しています。

2.Microsoft 365 の不正操作を、監査ログで見える化「LANSCOPE セキュリティオーディター」

LANSCOPE セキュリティオーディターでは、SharePoint を含む Microsoft 365 の監査ログを取得し、「誰が」「いつ」「何をアップロード・共有し」「誰がダウンロードしたのか」といった、Microsoft 365 上における操作を、管理者側が一覧で把握することができます。 
 
ログは最大25カ月保存できるため、万一 Microsoft 365 に起因した情報漏洩が発生した場合も、速やかに原因を特定することが可能です。 

また、従業員が「社外ユーザーを無許可で招待した」「機密情報の入ったファイルをダウンロードした」といったセキュリティリスクのある操作を行い、事前に設定したポリシーに違反した場合、管理者はその動向をレポートで把握したり、従業員本人にアラートで注意喚起したりすることが可能です。 

▼操作アラート一覧

組織外共有アラート	組織外の不特定ユーザーにフォルダやファイルを共有した場合に把握できます。
キーワード共有アラート	指定したキーワードを含むフォルダやファイルを共有した場合に把握できます。
時間外操作アラート	指定した時間外にアプリの利用があった場合に把握できます。
ゲストユーザー招待アラート	ゲストユーザーを招待した場合に把握できます。

日常から定期的にMicrosoft 365 における利用状況を把握し、早期にインシデントへ対応されたいお客様に最適です。 

まとめ

本記事では「SharePoint のアクセス権限」をテーマに、設定方法や設定時のポイントについて解説しました。

働く場所やデバイスを問わず使用できるクラウドサービスやオンラインストレージは、便利な反面、設定を誤ると不正アクセスや情報漏洩といったインシデントを招く要因となります。

企業・組織は機密情報を守るためにも、適切なアクセス権限および外部共有の設定と、定期的な設定の見直しを心がけましょう。

またMOTEXでは、Microsoft 365 におけるファイル共有やユーザー招待に起因した情報漏洩の防止策をまとめた、お役立ち資料をご用意しました。ぜひ合わせてご活用ください。