編集部からのお知らせ
「ZDNet Japan Summit 2020」開催します!
新着記事まとめ:エッジコンピューティング

Teamsをより活用するために、押さえておきたい
セキュリティ対策のポイントとは?

 昨今、全国で急速に在宅勤務が広がっている。これまで全くリモートワークの仕組みを導入していなくとも、急に実施せざるを得ない状況になったため、連絡手段やウェブ会議などで新しいサービスを使い始めた企業も多いのではないだろうか。リモートワークで対面でのコミュニケーションの機会が減ったため、より周囲のメンバーとのコラボレーションを密にする必要がある。 それを実現できるのがMicrosoft 365に含まれるMicrosoft Teams(以下Teams)だ。

 Teamsには直接コミュニケーションを取ることができるウェブ会議・通話機能、プロジェクトでのコラボレーションを行うチーム機能、気軽なコミュニケーションを実現するチャット機能、データの共有を行うファイル共有機能など多くの機能を一つのツールに兼ね備えている。個々のツールの完成度が高いことはもちろん、それぞれが深く連携しているためアプリケーションごとにツールを変更する必要がなく、Teams上だけでツールを意識させないコミュニケーションを実現することができる。

 しかし日々の業務の効率化を考えると同時にセキュリティも同じように考えなければならない。 ここでは「Teams標準でできるセキュリティ対策」とさらに「Microsoft 365のセキュリティ機能と連携したセキュリティ対策」とで分けてご紹介したいと思う。

 まず「Teams標準でできるセキュリティ対策」として「外部アクセス制御」と「ゲストアクセス制御」の2つの機能を挙げる。これらは取引先やパートナーなどの外部とのコミュニケーションを取る上で便利な機能となっている。

 「外部アクセス制御」は取引先やパートナーなどの外部と、会議、チャット、呼び出しを行う手段である。例えば、取引先やパートナーへ連絡をとりたい時に、「外部アクセス機能」でそのTeamsユーザ(取引先)のアドレスを検索し、連絡をとることができる。Teamsにはプレゼンス機能も実装されているので、相手の状況も確認し、通話で連絡をとるか、チャットで連絡をとるかなど、連絡の取り方も変えることもできる。またSkype for BusinessやSkypeを利用している取引先へも外部アクセスを利用して連絡を取ることができる。

 「外部アクセス制御」は、既定の設定ではオンになっているので、Teamsでは全ての取引先と連絡を取ることができる。Teams管理者はこの機能をオフにすることも可能である。また特定の取引先を許可あるいは禁止といった設定も可能だ。

 「ゲストアクセス制御」は「外部アクセス」と比べて、もっと密にコミュニケーションを取りたい時に推奨される機能になる。あらかじめTeamsにて作成されたチームに招待し、取引先へTeamsの既存のチーム及びチャネルへのアクセス権を付与することで、Word、Excel、PowerPointなどのOffice 365アプリを使用して、チャット、通話、会議、組織ファイルでの共同作業を行うことができる。「ゲストアクセス制御」は規定の設定ではオフになっているため、利用する場合は管理者がTeams管理センターよりオンにする必要がある。また、「Azure Active Directory (以下Azure AD)」と連携し、高度なアクセス制御を適用し自社データへのアクセスを制御することも可能である。

 コミュニケーションの用途に応じて「外部アクセス」「ゲストアクセス」を使い分けることで、外部とのコラボレーションをセキュアかつ効率的に実施できる。


※クリックすると拡大画像が見られます

 次に、「Microsoft 365のセキュリティ機能と連携したセキュリティ対策」を紹介する。Microsoft 365では、多くのセキュリティ機能を提供し、生産性とセキュリティの両立を実現できる。Teamsを活用する際にも、Microsoft 365のセキュリティ機能と組み合わせることで、さらにセキュアなコラボレーションツールとして活用ができるようになっている。

 まず、Azure ADの条件付きアクセスを利用することで、Teamsへアクセスする際にさまざまな条件を設定することができる。「だれが」「どこから」「どのデバイス」「どのアプリ」といった条件を付加し、最終的にTeamsへアクセス許可するのか、多要素認証を実施して許可するのか、またはアクセス拒否するのかといったフローを設定できる。それにより、外部からの攻撃による不正アクセスのリスクを低減させることができる。なお、デバイスの条件付けの際にはMicrosoft Intune(以下Intune)が必要になる。

 Intuneのモバイル管理機能では、会社支給のスマートデバイスやBYODを実施してTeamsを利用したい時などにデバイスレベル、アプリケーションレベルで管理をすることが可能である。リモートでの企業データの削除、企業アプリの配布、デバイス登録などのさまざまはセキュリティポリシーを適用することができる。

 BYOD端末に対しては、企業データの個人アプリや他サービスへのコピー&アップロード禁止をさせることで、BYOD利用時のリスクを回避することができる。


※クリックすると拡大画像が見られます

 また、Teamsのチーム管理も同様にAzure ADで効率的な運用が可能だ。Teamsの活用が進んだ際には、使われなくなったような不要なチームも多くできてしまうこともあるだろう。その場合にIT管理者が社内全てのチームの状態を把握し、管理することはとても煩雑な作業になってしまう。その対策として、Azure ADでチームのサイクル期限を設定し、不要なチームは自動削除することが可能だ。チームの有効期限を設定し、その期限に近づいたら、チーム所有者に通知することができる。アラートを受け取ったチーム所有者はチーム管理画面より期限延長を実施することもできるため、効率的なチームの管理を実現できる。


※クリックすると拡大画像が見られます

 さらに、Teamsでファイル共有をする場合には、Teams上でやり取りされるデータの保護も重要になるが、Azure Information Protectionを活用することで、そういった情報漏えい対策も可能だ。Azure Information Protectionではファイル共有をする際に、あらかじめテンプレート化されたセキュリティポリシーを適用することが可能だ。これにより、共有を受けたユーザーはそのポリシーに従ったファイル操作のみになるので、情報漏えいのリスクを回避できる。

 またデータ損失防止機能では、テキストベースの情報漏えいも防ぐことができる。例えばユーザーがチャットで個人情報などを記載して送信しようした際ブロックし、情報漏えいの防止ができる。

 リモートワークをきっかけにして、取引先やパートナーとのコミュニケーションの取り方も大きく変わってきている。TeamsおよびMicrosoft 365を活用することで、ビジネススピードを落とさず、セキュアな環境で日々の業務を実施していくことができるだろう。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2021年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]