Teams利用時のセキュリティリスクとは? リスクへの対策を解説
リモートワークの普及によって、Web会議ツールやチャットシステムを備えたMicrosoft Teamsの活用も浸透しました。Teamsを介して社内情報をやりとりしたり、大切な取引先と会議をしたりする機会が増えると、気になるのがセキュリティ面ではないでしょうか。
Teamsは便利なツールですが、活用には情報漏洩のリスクが伴うため、適切な対策をすることが重要です。本記事では、Teamsを利用する際に意識したいセキュリティリスクと、リスクへの対策について解説します。
Teamsとは、Microsoftが提供するグループウェアのこと
Microsoft Teams(以下、Teams)は、Microsoftが提供する様々な機能を備えたグループウェアです。組織やグループでのコミュニケーションを行えるビジネスチャット機能や、Web会議機能などが利用できます。
また、Word、Excel、PowerPointなど、同社が提供するサブスクリプションサービスであるMicrosoft 365のサービスと連携でき、Teamsを介してOfficeファイルをほかのメンバーと共同編集したり、共有したりすることもできます。
Teamsを利用する際のセキュリティリスク
Teamsはビジネス上のコミュニケーションを円滑にする便利なツールですが、利便性の向上に伴ってセキュリティリスクも生じています。下記の3点は、Teamsの利用に伴う代表的なセキュリティリスクです。
不正アクセスのハードルが下がる
Teamsを利用すると、外部の第三者が侵入しやすい環境が構築されるため、不正アクセスのハードルが下がります。社内ネットワークへの接続などは不要で、インターネット環境がある場所からなら、誰でも、いつでも、パソコン以外の端末からでもアクセスできます。Web会議への参加については、アカウント登録も必須ではありません。
また、Teamsには、IDとパスワードさえあればログインできます。つまり、何らかの方法でIDとパスワードを入手できれば、個人で所有しているスマートフォンやタブレットなどからでもログインできるということです。
時間や場所に制限されることなく働ける環境が構築できるのは、Teamsの特徴の1つですが、開かれた環境は悪意のある第三者の不正アクセスを許しやすいことにも注意が必要です。例えば、従業員が社外のカフェでテレワークをしていた際にノートパソコンを置き忘れたら、悪意のある第三者がノートパソコンからTeamsに不正ログインしてデータを閲覧することも難しくはありません。社内の機密情報が漏洩したり、情報の改ざんによって重要なデータが失われたりする可能性もあります。
もし、取引先とのWeb会議の情報や履歴などが漏洩すれば、自社だけの問題にとどまりません。大切な取引先との信頼関係が崩れ、売上に重大な影響を及ぼす恐れもあります。情報漏洩の事実が公表されることによって、社会的な信用も失うかもしれません。
ファイルの外部への持ち出しが容易
Teamsで生じるリスクの1つとして、ファイルの持ち出しが容易にできる点も挙げられます。Teamsでは、ファイルに十分なアクセス制限が設定されていないと、メンバーであれば誰でも共有ファイルにアクセスできてしまいます。そのため、本来はファイルへのアクセスを許すべきでないメンバーでも、初期設定のままでは、外部記録媒体に保存したり、メールに添付して送信したりすることでファイルを持ち出せます。
持ち出しが悪意によるものではなかったとしても、個人のデバイスに十分なセキュリティ対策がなされていなければ、業務上の機密情報などが外部に漏洩しかねません。また、Word、Excel、PowerPointなどのファイルを共有して共同編集できる機能も、アクセス制限の仕方によっては第三者によるファイルの持ち出しにつながる可能性を高めることになります。
チャットで情報漏洩が起きた場合の原因特定が困難
チャットの会話を通じて情報漏洩が起きた場合に、「いつ、どこで、誰が」を特定するのが困難であることも、Teamsで生じるセキュリティリスクの1つです。
Teamsのチャット機能は、対面のコミュニケーションにおける雑談のような使い方もでき、離れて仕事をする従業員同士の交流を促進する便利な機能です。取引先との気軽な情報交換にも活用できます。しかし、気軽に使える分、不用意な情報漏洩には注意しなければなりません。
万が一、Teamsのチャット上のメッセージから重要なデータや機密情報が漏洩した場合、原因となるメッセージを突き止めるには時間がかかります。特に、リモートワークなどでチャット機能をメインのコミュニケーションツールとして活用している場合、チャット上では日々メッセージがやりとりされることになるため、会話をすべて確認するのは困難です。メッセージの削除や編集の権限も全員に付与されているため、情報漏洩に関連するメッセージを特定する前に、証拠を隠滅されてしまう可能性があります。
Teamsの機能によるセキュリティリスクへの対策
Teamsの利用によって生じるセキュリティリスクは、Teamsの機能などを使って軽減することができます。Teamsを安全に使うための主な対策としては、下記の9点が挙げられます。
ゲストのアクセス制限を設定する
Teamsでは、組織外のユーザー(ゲスト)も招待してコミュニケーションや共同作業を行うことができますが、ゲストのアクセス制限を設定することでセキュリティを向上させることができます。誰でもアクセスできる自由度の高さは、Teamsのメリットです。しかし、同時にセキュリティリスクも増大するため、適切にアクセス権限を設定しなければなりません。ゲストに関するアクセス制限の設定は必須といえます。
Teamsでは、タスクやプロジェクト別のメンバーで組織された「チーム」や、チーム内で共同作業を行う場である「チャネル」を設定でき、チームやチャネルごとにゲストのアクセスを許可するかどうかを設定できます。社外のゲストに閲覧させてはならない情報を扱うチームやチャネルでは、ゲストがアクセスできないように設定しましょう。
- あわせて読みたい
ファイルごとのアクセス制限を設定する
Teamsのセキュリティを高めるためには、チームやチャネルごとのアクセス制限ではなく、ファイルごとのアクセス制限を設定する方法も有効です。ファイルごとにアクセスできる人と範囲を制限することで、本来はそのファイルにアクセスさせるべきでない社内メンバーによる情報の削除や編集、漏洩も未然に防げるようになります。
チーム単位のアクセス制限ではなく、特定のユーザーにだけ閲覧権限を与えたり、ユーザーごとに付与する権限の範囲を変更したりすることもできます。例えば、機密情報が含まれるファイルを社内に共有する際に、管理職などの特定のメンバーのみにファイルの共同編集の権限を与え、ほかの社内メンバーの権限は閲覧のみに制限することもできます。
この方法によって、社内メンバーによる機密情報の持ち出しや書き換え、削除などの内部不正を防げるようになります。
パスワード設定によるファイル保護
Teamsにアップロードするファイルは、パスワードを設定して簡単にアクセスできないようにしておくことも、セキュリティ対策として効果的です。Teamsには、アップロードされたファイルを暗号化する機能が備わっていて、第三者が不正にデータを入手しても読み取りが困難になるよう対策が施されていますが、パスワードを設定してより厳重に情報を保護することをお勧めします。
ただし、どれだけ厳重に対策をしても、日々進化するサイバー攻撃を完全に防ぐことは困難です。Teamsのファイル暗号化機能に頼るだけでなく、二重三重の対策を施して、情報漏洩のリスクを可能な限り軽減しましょう。
チームの作成権限の設定
Teamsでは、チームの作成権限を適切に設定することによって、セキュリティを高めることもできます。Teamsの初期設定では、メンバーは誰でもチームを作れる設定になっているため、管理者の知らない間にチームが増えてしまう可能性があります。
管理者の目が行き届かないチームが増えると、セキュリティへの意識や取り組みにばらつきが生まれ、情報漏洩などの原因になることもあり得ます。情報漏洩が起こっても長期間気付けずに、迅速な対処がとれないこともあるかもしれません。チームを作成できる権限の範囲を限定し、社内で作られるチームを適切に管理しましょう。
チームの自動削除の設定
Teamsのセキュリティ対策では、チームの自動削除について設定しておくことも重要です。プロジェクトが完了したり、メンバーが異動したりして不要になったチームを放置していると、チームの管理が不十分になり、チームに残ったデータを持ち出される可能性があります。Teamsでは、チームごとに有効期限を設定できるため、使われていないチームを削除するのが効果的です。
チームの有効期限を設定すると、有効期限が切れる30日前、15日前、1日前にチームの所有者に通知が届き、チームを削除したくなければ期限延長の設定をすることができます。期限を延長せずにチームが削除されれば、チーム内で共有されていたチャット履歴やファイルなどのすべての情報にアクセスできなくなるため、誰も管理していないチームから情報が漏洩するリスクがなくなります。
チャット履歴の保持期限の設定
「チャット履歴」の保持期限の設定も、Teamsを利用する際に推奨されるセキュリティ対策です。Teamsでは、チャット履歴の保持期限を管理者が設定することができます。
チャットの履歴が削除されてしまうと、チャット上で情報漏洩が起こったときに、チャットログをさかのぼって事実確認できなくなってしまうため、チャット履歴の保持期限は無期限に設定しましょう。併せて、チャット履歴を定期的にエクスポートしておくと、万が一データが消えた際にもトラブルの原因特定をすることができます。
監査ログの確認
Teamsでは、メンバーの利用状況を後から確認したいときに役立つ「監査ログ」が保存されているため、監査ログを確認するのもセキュリティ対策として有効です。
監査ログを見れば、Teamsで共有されているファイルへのアクセス履歴や、ダウンロード履歴、チャット履歴などを確認できます。定期的にチェックしておけば、情報漏洩をしているメンバーがいた場合に、早期発見して迅速な対処ができるかもしれません。
保護ファイルの使用状況の追跡
TeamsにアップロードするOfficeファイルは、Microsoftが提供する情報保護サービス「Microsoft Purview 情報保護」で使用状況を追跡できるため、その機能によってセキュリティを高めることが可能です。
「Microsoft Purview 情報保護」の「Azure Information Protection Premium P1」プランに加入していると、保護対象として登録されたファイルへのアクセスを追跡できます。この追跡機能では、アクセスが発生したドメインや場所などを追跡できるため、不正な持ち出しや不正利用の有無を即座に判断できます。
機密保持違反などの言動の自動監視
Teamsでは、システム内で行われる利益相反などの言動を自動監視する機能を活用することもできます。Microsoft 365 E5プランに加入していると、「インサイダー リスク管理」と呼ばれる機能を利用でき、Teams上のメッセージやファイル、会議内容を自動分析し、機密保持違反やインサイダー取引などの内部不正につながる言動を検知して管理者に通知します。場合によっては、情報漏洩などが起こる前に対処することもできます。
Teamsのセキュリティリスクに適切な対策をし、安心・安全な環境で活用しよう
Teamsは、ビジネスの様々なシーンで活用できる多機能ツールです。社内外との情報共有やWeb会議などで便利に活用できますが、インターネットに接続できればどこからでもアクセスできてしまうなど、セキュリティリスクがあることは否定できません。Teamsに備わっているセキュリティ対策用の機能などを活用して、リスクを低減しましょう。
ただし、Microsoftで加入しているプランによっては利用できない機能もあるため、より万全な対策を講じるなら情報漏洩対策用のツールを併用するのがお勧めです。
インターコムが提供する情報漏洩対策・IT資産管理ツール「MaLion」シリーズは、従業員のPC操作を監視し、必要に応じて操作を制御することができます。Webアクセス監視やアプリケーション起動監視、アクティブウインドウ監視によってTeamsの利用を制限することができます。Teamsの安全な活用法を検討している場合は、ぜひ導入をご検討ください。
