Microsoft Teamsをより安全に使うための8つのチェックポイント
Microsoft Teamsは高機能なコラボレーションツールであり、業務の効率化に大きく貢献する。そのため、多くの企業が導入し、活用しているだろう。しかし、利便性が高い一方で、適切な設定を行わないとセキュリティ上のリスクが生じる可能性がある。本記事では、Microsoft Teamsを安全に利用するためのポイントを解説する。
Microsoft Teamsに潜むセキュリティリスク
Microsoft Teams(以下、Teams)は、マイクロソフト社が提供するコラボレーションツールである。会議、通話、Officeファイルの共同編集、チャットといった機能を備えており、多くのMicrosoft 365プランに利用権が含まれているため、企業で広く導入されている。マイクロソフト社の調査によれば、2021年4月時点で日経225企業の94%がTeamsを利用しており、日本企業においても標準的なツールとして定着している。さらに、小中学校などの教育機関でも活用が進んでいる。しかし、便利な反面、セキュリティリスクも存在し、Teamsを標的とした攻撃も増加している。主なセキュリティリスクとして、次のような点が挙げられる。
1)設定ミスや内部犯行による情報漏えい
Teamsはコラボレーションツールであるため、適切なセキュリティ設定を行わないと、外部からの不正侵入を許すセキュリティホールとなる可能性がある。また、チャット機能を利用することで、意図的か否かに関わらず、従業員が機密情報を漏えいしてしまうリスクもある。その際、原因となるメッセージを特定するのに時間がかかり、悪意がある場合には証拠が隠滅される恐れもある。
2)窃取されたアカウント情報の悪用
TeamsのログインにはIDとパスワードが必要だが、ソーシャル・エンジニアリングやサイバー攻撃によってそれらの情報が盗まれると、不正アクセスが可能となる。さらに、社内やプロジェクトの関係者になりすまされることで、機密情報を詐取されるリスクもある。
3)不特定の端末からのアクセス
Teamsはインターネット環境さえあれば、あらゆる端末からアクセスできる利便性があるが、その反面、外部の第三者に狙われやすい環境ともいえる。そのため、IDやパスワードの漏えいを防ぐために十分な注意が必要だ。さらに、外出先でスマートフォンを無防備に放置すると、第三者にTeamsの画面を覗かれるリスクもある。
Microsoft Teamsのセキュリティインシデント事例
Teamsに関連するセキュリティインシデントの中でも、特に目立つのが閲覧権限の設定ミスによる情報漏えいである。ここでは、日本国内で発生した代表的な事例を4つ紹介する。
2024年4月に起きた都立高校の事例
2024年4月、某都立高校で、教諭がTeamsにアップロードした67名分の生徒の個人情報が、5月中旬まで他校からも閲覧できる状態だったことが判明し、情報漏えいが発生した。原因は、本来教職員専用アカウントで管理すべき情報を生徒と共有するアカウントで扱ったこと、さらに公開範囲を「パブリック」に設定してしまったことにある。
2023年8月に起きた自治体教育ネットワークの事例
2023年8月、某県の自治体が運用する教育ネットワーク内でのTeams利用において、公開設定の誤りにより児童の個人情報の一部が漏えいしていたことが判明した。原因は、教職員がグループを作成する際にプライバシー設定を「パブリック」にしたことで、111名分の児童の名簿や指導資料などが閲覧可能な状態になっていた。
2022年10月に起きた大学の事例
2022年10月、某大学においてTeamsの設定ミスが原因で、会議資料や大学院入試関連資料、個人情報を含む304件のファイルが、本来閲覧権限のない学生や職員でも閲覧可能な状態になっていた。
2022年7月に起きた都立高校の事例
2022年7月、某都立高校で、Teams内の生徒がアクセス可能なフォルダーに、同校1年生278名分の入学選抜に関する情報が保存され、14名の生徒がその情報にアクセスしたことが確認された。この事故の原因は、新1年生担当の教諭が機密情報を削除せずに学校の共有ファイルサーバーに保存し、その後、別の教諭が機密情報に気づかずにその名簿ファイルをTeams内の生徒が閲覧できるフォルダーにアップロードしたためである。こうした相次ぐ情報漏えいを受け、東京都教育委員会は2024年7月に「Teams事故再発防止委員会」を設置し、実際の状況に応じたセキュリティ対策を推進し、教職員の意見を反映させた体制で検討を進めることになった。教育機関の事例ではあるが、これはあらゆる企業や組織でも発生し得る問題であることを認識しておくべきだ。
Microsoft Teamsを安全に使うための8つのポイント
このようにTeamsが原因となった情報漏えいは増えており、企業や教育機関にとって大きな脅威となっている。Teamsのセキュリティを高めるには、以下8つのポイントをしっかり適切に確認すべきだろう。
1)チームの作成権限の設定
Teamsには「チーム」というプロジェクト作成機能があり、メンバーを追加することでチーム内でコミュニケーションを取ったりファイルを共有したりすることができる。しかし、誰でもチームを作成できる状態では、管理者が把握していない多数のチームが作成され、情報漏えいやその他のトラブルの原因となる可能性がある。そのため、チーム作成時にプライバシー設定を「パブリック」ではなく「プライベート」に設定することを徹底するか、チーム作成権限を管理者などの限られたメンバーのみに制限する対策が必要となる。
2)チームの自動削除の設定
「Azure AD」管理ツールを活用すると、Teamsのチームに有効期限を設定することができ、期限が過ぎるとチームは自動的に削除されます。これにより、データ漏えいや不正な持ち出しなどのトラブルを防ぎやすくなります。
3)ゲストのアクセス制限の設定
誰もがどこからでも社内情報にアクセスできる状態を放置すると、情報漏えいのリスクが高まる。そこで、Teamsのアクセス制限機能を活用し、メンバーごとに適切なアクセス権限を設定することが重要である。社外のゲストには、ファイルの参照のみを許可するなどの対策が有効だ。
4)ファイルごとのアクセス制限の設定
Teamsのセキュリティ強化には、チーム単位のアクセス制限ではなく、ファイル単位でのアクセス制限を設定することも有効である。ファイルごとにアクセス可能なユーザーを制限することで、社内メンバーによる情報の改ざんや漏えいを事前に防ぐことができる。
5)パスワード設定によるファイル保護
Teamsにアップロードするファイルにパスワードを設定することで、万が一ファイルが漏えいしても、簡単には閲覧できないように保護することができる。
6)チャット履歴の保持期限の設定
チャット履歴の保持期間も適切に設定することが求められる。履歴が削除されると、情報漏えいが起きた場合にチャットの内容を確認して事実確認ができなくなるため、チャット履歴は無期限に保持することが望ましい。
7)監査ログの確認
Teamsでは、メンバーの利用状況を記録する「監査ログ」が保存されているため、セキュリティ対策として定期的に監査ログをチェックすることが有効だ。
8)多要素認証の利用
現在、多くのアカウントサービスで多要素認証が利用可能となっており、Microsoft 365もその例外ではない。多要素認証を設定してログインすることで、セキュリティが大幅に強化される。企業や組織では、従業員個々に設定を行うこともできるが、できる限り組織全体で一括設定をする方が望ましい。また、Teamsはチャットにとどまらず、Exchange Online、SharePoint、OneDriveなどのクラウドストレージにも対応しているため、これらのストレージに対しても組織全体で適切なセキュリティ対策を講じることが重要だ。
Microsoft Teamsをセキュリティリスクから保護するには
7つのポイントを基に適切な設定を施すことで、Teamsのセキュリティは確実に向上しますが、これだけでは完璧ではありません。紹介した7つの対策は主にチャット機能に関するものですが、クラウドストレージなどの他の機能に対しては、別途セキュリティ対策が必要です。さらにTeamsのセキュリティを強化するためにおすすめしたいのが、Teams向けのセキュリティソリューションです。例えば、Inbound Security for Microsoft 365(IS365)は、進化した脅威検知機能とデータ保護機能を提供し、Microsoft Teams、Exchange Online、SharePoint、OneDriveに加えて、Box、Dropboxなどさまざまなクラウドサービスを包括的に保護します。IS365の特徴を3つ紹介します。
1)導入が容易
Microsoft 365とAPIが簡単に連携できるため、導入時の初期設定は非常にシンプルです。メール配信経路の変更が不要で、最短1週間で運用を開始できます。
2)運用の負担を軽減
Microsoft 365のユーザーやグループ情報を自動的に取得する仕組みがあるため、専任者が不在でもスムーズに運用を進めることができます。
3)高度なセキュリティ
S365には6つの高度なセキュリティ機能が搭載されており、攻撃の手法に応じた多層防御を実現。利用者を多角的に防御する。
IS365などのセキュリティソリューションを導入することで、Teamsに関連する内部の不正や外部からの攻撃に対するリスクに対策を講じることができます。コラボレーションツールやクラウドストレージは、企業や組織にとって重要な存在となっており、ビジネスが停滞しないように、適切な対策を効果的かつ継続的に実施することが大切です。
