どこまで設定すれば安心?OneDrive for Businessの安全対策~どんな事ができる?どうやって設定する?~
- ★ この記事は5分で読めます。
こんにちは、Microsoft 365 相談センターの五味です。「"PPAP"(パスワード付きzipをメールでファイル添付して送り、パスワードを別送する)をやめる!」と政府が宣言してからしばらく経ちますが、この宣言により、日本の企業の間でも「脱・PPAP」を掲げて、オンラインストレージ(クラウドストレージとも呼ばれますね)の導入や移行を検討されるケースが増えています。
しかし「クラウドサービス」や「オンラインストレージ」という単語を聞くと、どうしてもIT管理者の皆さんは頭を抱えてしまうことも多いのではないでしょうか?「クラウドサービスやオンラインストレージを従業員に利用させるのは、セキュリティリスクが...」と。
そこで今回の記事では、Microsoft 365の個人用クラウドストレージである【 OneDrive for Businessの利用制限 】についてご紹介します。「テレワークもやりたいし、Microsoft 365を導入したいな」と考えてはいるけれども、オンラインストレージであるOneDrive for Businessの利用はやはり制限させたいと考えているIT部門の管理者の方はぜひ最後までお付き合いください。
1.オンラインストレージは不安だから、利用を制限したい!?OneDrive for Business と安全対策
(1)[おさらい] OneDrive for Businessとは?
まず、「OneDrive for Businessとは何ぞや?」というMicrosoft 365ビギナーの方に、OneDrive for Businessについて簡単にご説明します。
OneDrive for Businessとは、大容量(1TB/ユーザー)の個人用オンラインストレージのことです。
最近では、テレワークとオフィス勤務双方を組み合わせた「ハイブリッドワーク」という働き方も増えていますが、例えば、在宅勤務時に自宅で作成していたOfficeドキュメントを、OneDrive for Businessに保存しておけば、次に会社に出社したときや外出先などでも、いつ・どこからでも・様々な端末から作業の続きができるようになります。
Google DriveやDropbox、boxなども同じくオンラインストレージですね。その他のサービスとの差別化ポイントは、やはりなんと言ってもWordやExcelを提供しているMicrosoftが提供している純正サービスと言うだけあって、Officeアプリケーションとの相性がバッチリなところでしょうか。
(2)オンラインストレージを従業員に利用させることへのセキュリティリスクとは
次に、こうしたオンラインストレージのサービスを利用する際のセキュリティリスクについてですが、それはズバリ情報漏えいですよね。IT管理者の皆さんはやはりここが気になる部分ではないでしょうか。
- 外部からの不正アクセス:マルウェアに感染して、利用しているサービスのID/パスワードが流出、悪意のある第三者がオンラインストレージ不正にアクセスし、機密情報が流出してしまう、というケース
- オンラインストレージ事業者へのサイバー攻撃:オンラインストレージの事業者サイドへのサイバー攻撃やその他の原因で、オンラインストレージにあずけているデータが漏洩してしまうというケース
- 従業員の過失(故意的/非・故意的問わず):上記2つは「外的」要因ですが、これは「内的」要因ですね。IDとパスワードがあれば簡単にアクセス出来てしまうだけに、ID/パスワードが流出して情報漏えいしたり、従業員が故意的に会社の資料を個人所有のデバイスに保存するシャドーITによる情報漏えい、ファイルの共有設定を誤って社外秘情報を誰でもアクセスできるようにしてしまったり、といったケースなど
ちなみに2つ目の、オンラインストレージ事業者へのサイバー攻撃については、Microsoft に関してはあまり心配していただく必要はないかもしれません。というのも、Microsoft はセキュリティ対策に年間1,000億円を投資し、ユーザーが安全にMicrosoft 365を利用できるよう努めています。そして日々8兆件ものサイバー攻撃に対処し、更にその処理情報はビッグデータとしてマイクロソフトに蓄積され、AIにはそれを機械学習させて更に高度な対策ができるよう活用しています。
(3)OneDrive for Business と安全対策
さて、テレワークやハイブリッドワークのこの時代に、OneDrive for Businessは1TBのファイルストレージとしての利便性が高いものの、やはりこうしたセキュリティリスクは気になりますよね。個人で使わせたくない、外部への共有は禁止したい、情報漏えいを徹底的に回避したい...そういう声が聞こえてきそうです。
では、OneDrive for Businessではどのような安全対策が施せるでしょうか?
OneDrive for Businessでは、個人で利用するオンラインファイルストレージを次の2段階で制限ができます。
- 管理者から制限
- OneDrive for Businessそのものの利用制限
- 外部ユーザーへの共有設定
- アクセス制限
- ローカルフォルダとの同期設定 - ユーザー自身でファイルを共有する際に制限
- 外部ユーザーへの共有設定
では、それぞれの概要と方法について、詳しく見ていきましょう。
2.管理者側で設定できる制限と方法
(1)OneDrive for Businessそのものの利用を禁止/許可する
OneDrive for Businessそのものの利用を、下記の手順で禁止/許可することができます。
- (Microsoft 365の管理者のアカウントで、Microsoft 365にサインインし、[Microsoft 365管理センター] > [すべての管理センター]から)「ShreaPoint 管理センター」を開く
- [その他の機能]からユーザープロファイルの[開く]ボタンをクリックし、[ユーザープロファイル]画面を開く
- [ユーザー権限の管理]をクリックし、制限したいアカウントやグループを追加し、制限の設定を行い[OK]
「個人用サイトを作成する」のチェックを外すと、ユーザーはOneDrive for Business(=個人用サイト)を作成できなくなります。ただし、これを不許可にする前に作成してしまったOneDrive for Businessをあとから使わせなくすることは出来ません。Microsoft 365のライセンスを付与し、利用者に使用開始させる前に設定しておきましょう。
(2)外部共有を禁止, 制限する
管理者側で、取引先など外部との共有を下記の手順で禁止、制限することができます。
- 「ShreaPoint 管理センター」を開く
- [ポリシー] > [共有] をクリックし、[共有]設定画面を開く
- [コンテンツを共有できる相手]や、 [外部共有の方再設定] 項目を自社のポリシーに沿って設定し[保存]
ここでは、下記のような設定などが行なえます。
- ユーザー単位で外部共有の禁止/許可共有
- 共有相手先ドメイン単位で外部共有の禁止/許可
- 外部共有範囲の制限(アクセス時のログイン方法)
→「匿名」or「組織内(同一テナント内Office 365ユーザー)」or 「Microsoftアカウント/他Office 365ユーザー」 - リンクの期限切れオン・オフと期限切れまでの日数設定
(3)アクセス制限
下記の手順で、指定されたIPアドレスの場所からのみアクセスを許可する事ができます。
- 「ShreaPoint 管理センター」を開く
- [ポリシー] > [アクセスの制御] をクリックし、[アクセスの制御]画面を開く
- [ネットワーク上の場所]にて特定のIPアドレスからのアクセスのみ許可する設定を行う
管理者のグローバルIPアドレスの追加も忘れないようにしてください。また、IPアドレスが変更になった場合、アクセスできなくなる可能性もありますので注意しましょう。
なおこの画面ではこの他にも、管理されていないデバイス(非準拠またはドメイン未参加のデバイス)からのアクセスを制限したり、非アクティブなブラウザー セッションから自動的にサインアウトさせたり、デバイス ベースの制限を矯正できないOffice 2010およびその他のアプリからのアクセスをブロックする設定も可能です。
(4)ローカルフォルダとの同期制限
同期可能なドメインを許可することで、ローカルフォルダとの同期制限をかけることもできます。例えば、会社支給でない自宅の個人所有のPCなどとの同期を防ぐことに役立ちます。
- 「ShreaPoint 管理センター」を開く
- [設定] > [OneDrive 同期] をクリックし、[同期]画面を開く
- [特定のドメインに参加しているコンピューターでのみ同期を許可する]にチェックを入れて[保存]
この設定を行うと、同期端末は許可されたドメイン参加が必要となりますので注意しましょう。
3.ユーザー自身で出来る制限と方法
ここまでは、管理者が出来る設定でしたが、OneDrive for Businessのユーザー自身も、OneDrive for Businessの安全対策として下記のような設定が行なえますよ。
- 外部共有範囲の制限(アクセス時のログイン方法)
→「匿名」or「組織内(同一テナント内Office 365ユーザー)」or 「Microsoftアカウント/他Office 365ユーザー」 - 共有ファイルへの操作制限
→「編集可能」or「表示可能」、ダウンロード禁止 - 共有ファイルの有効(公開)期限
- 共有ファイルの共有提示
ユーザーがファイルを共有するときに設定いただくのですが、詳細はこちらの記事もあわせてお読みください!
まとめ
いかがでしたか?今回は、Microsoft 365の個人用クラウドストレージである【 OneDrive for Businessの利用制限 】についてご紹介しました。管理者側からはほとんど[SharePoint 管理センター]で設定を行うので、ぜひチェックしてみてください。(なお、OneDrive 管理センターはSharePoint 管理センターに統合されました)
【 Microsoft 365 伝道師 五味ちゃんのワンポイントまとめ 】
- OneDrive for Businessとは
大容量(1TB/ユーザー)の個人用オンラインストレージ - オンラインストレージを利用するときの主なリスク
- 外部からの不正アクセス
- オンラインストレージ事業者へのサイバー攻撃
- 従業員の過失 - OneDrive for Businessでできる安全対策
→ 管理者から制限
- OneDrive for Businessそのものの利用制限
- 外部ユーザーへの共有設定
- アクセス制限
- ローカルフォルダとの同期設定
→ユーザー自身でファイルを共有する際に制限
- 外部ユーザーへの共有設定
このように、管理者とユーザーそれぞれ、OneDrive for Businessを安全に利用する対策があります。
OneDrive for Businessそのものの利用を禁止するのが良いかどうかは企業のポリシーにもよりますが、しかし、オンラインストレージは、テレワークやハイブリッドワークが主体となったこの時代において、セキュアで快適に仕事をするためには非常に便利なツールです。頭ごなしに全部NGとするのではなく、時代に合わせて変化していけると良いですね。
しかし一方では、「これだけは安全対策はまだ十分ではない」という方もいらっしゃるかもしれませんね。その場合には、Microsoft 365のオプション機能Office文書暗号化/利用制限ができる「Azure RMS」、3rd Party提供の情報漏えい対策ソリューションをご導入いただくことをおすすめしております。
この他、法人でのMicrosoft 365導入時(導入前)のご相談は、Microsoft 365相談センターまでお気軽にお問い合わせください。
Microsoft 365の専任スタッフが皆さまからのお問い合わせやご相談に丁寧に回答いたします。
- ※ 導入後のお問い合わせは、販売店さま、もしくは購入後の問い合わせ窓口までお願いいたします。
それではまた、次回のブログでお会いいたしましょう!
IT管理者向けに関する記事
注目の記事
人気の記事
カテゴリ一覧
製品についてのお問い合わせ
導入検討にあたって
情報収集中の方へ
Microsoft 365導入にあたって情報収集中の方に嬉しいホワイトペーパーをご提供しています。
導入でお困りの方へ
Microsoft 365導入にあたって不明点などございましたら、Microsoft 365相談センターへ。Microsoft 365に精通したスタッフが皆さまからのお問い合わせをお待ちしております。