Office 365 エンタープライズ版環境は各種応用できる方法と便利な機能がありますが、企業機密や知財を大事に抱えている企業にとって、Office 365の各種便利機能は社内の防壁を簡単に抜け出し、機密データを社内で把握していないデバイスと競合相手に漏洩するリスクがあります。しかしリスクがあるからと言って、Office 365を禁止するのも非現実的です。これまでマイクロソフトのOffice 365開発経緯を見ると、利便性と安全性の秤でどちらを取るかの悩みは遅かれ早かれ訪れる必然でしょう。
もちろんOffice 365は企業の安全性に対する要求に全力で応えようとしていますが、各企業の異なる視点と商習慣の中でサードパーティ製のセキュリティ製品を導入し、Office 365以外のマイクロソフト製セキュリティもある程度運用して、市場のニーズに沿う保護の仕組みと構造を構築する方がより良いソリューションになると思います。Office 365とサードパーティが市場のニーズに応えて互いを補うセキュリティ保護機能が開発されている中、それでもOffice 365の高い汎用性によりセキュリティホールが発生し、情報が漏洩するケースがあります。
サードパーティの保護の仕組みはOffice 365と統合して組み合わせないと、情報漏洩を十分に防ぐことができません。本文を執筆するにあたって、慎重を期した上、Office 365 E3ライセンスでテスト環境を構築して関連検証を実施しましたが、Office 365は未だに改善と新たな応用機能を開発し続けています。
Office 365 エンタープライズ版環境のリスク
Office 365 E3ライセンス環境で注意すべきリスクと問題点を以下で分析します。Office E3ライセンス環境はユーザのロールに応じて使用する機能を制限できるセキュリティ機能もありますが、企業にとってOffice 365に他のセキュリティリスクがあるかどうかを慎重に検討する必要があります。
- Office 365 のWord/ Excel/ PowerPointにおけるオンライン編集と保存の機能は制限と制御が必要になります。この機能はブラウザ経由で編集して、ローカルやクラウドに保存できる他、印刷もできます。安全性を考えると、企業はファイルの操作記録と制御を強化する必要があります。
- Office 365を誰が使用しているのかを把握するのも制御における重要なポイントです。特定のデバイスを制御しても、誰が実際にファイルを操作・移動しているかを把握できません。そのため、DLP制御機能のあるソフトウェアを導入して、制御するデバイスを正しく把握すべきです。
- Office 365のファイルが外部へ移動するルートは、One Drive のクラウドロッカーに強制的に保存させて企業が決めたメンバー以外に共有できないように制限できますが、例えばメールなどで外部に転送するルートはいくらでもあります。
- Office 365はTeams機能と組み合わせてLINEやSkypeのようなインスタントメッセンジャーのように使用できます。当然ファイルを添付して外部に転送することもできるので、同じように漏洩するリスクがあります。さらにTeamsのチャット内容の記録と検索もセキュリティ上注意すべきポイントです。
- ChromeでOffice 365の企業アカウントにログインした後にWordを起動して、そこからOne Driveに保存されている機密ファイルを開いてOffice 365のWordでPDFに印刷すれば、Googleドライブに保存できます。またはクラウドプリントで個人のプリンターで印刷すれば、制御を回避できてしまいます。
マイクロソフトのAzure Information Protection(AIP)、RMS、DLPのような制御の仕組みを構築する際は、サードパーティの端末制御の仕組みを利用しなければ安全性を確保できません。企業はOffice 365の機能と環境を1から検証して、有効な制御の仕組みを構築することを推奨します。