Microsoft 365 (旧Office365) の責任共有モデルの理解


企業がMicrosoft 365 (旧Office365)のようなSaaSプラットフォームを利用するのは、便利だからに疑問はありません。ソフトウェアを自社のサーバーに導入して管理する必要がないからです。しかしSaaSがセキュリティ管理の手間を省いてくれるわけではありません。SaaSプロバイダはセキュリティの一部を管理していますが、多くのセキュリティ関連事項、特にデータ保護とセキュリティに関連する事項を、責任共有モデルとして顧客に委ねています。

Microsoft 365 (クラウド)の共有責任モデルがどのように機能するか、また、Microsoft 365 をビジネスに導入したり、マネージドサービスに組み込んだりする場合に知っておくべきことが重要です。

マイクロソフトの責任範囲

Microsoft 365 SaaSプラットフォームの一部として、マイクロソフトは以下項目の管理と保証をしています。

●アップタイム:Microsoft は、Microsoft 365 をホストするインフラストラクチャとソフトウェアの最大アップタイムを保証します。

●データレプリケーション:Microsoft 365 に保存されているデータの高可用性と信頼性を確保するために、マイクロソフトはデータを複数のロケーションにレプリケーションします。ただし、マイクロソフトによるデータのレプリケーションは、ユーザが誤ってデータを削除した場合には保護されないことに注意が必要です。ユーザがファイルを削除すると、Microsoftのインフラストラクチャ上のそのファイルのコピーはすべて削除されます。

●アクセス制御:Microsoft 365で利用可能なアクセス制御には、基本的なパスワードベースの認証に加えて、多要素認証があります。

●設定と管理:マイクロソフト は、Microsoft 365 をホストするインフラストラクチャの設定と管理を行います。管理には、サービスの可用性を阻害する可能性のある電気障害、自然災害、その他の問題からの保護が含まれます。

●物理的なアクセス:マイクロソフト は、Microsoft 365 をホストする物理的なインフラストラクチャへの不正アクセスに対する保護を提供しています。これにより、攻撃者は Microsoft 365 をホストするサーバに物理的にアクセスすることで、システムに保存されているデータにアクセスできなくなることを確実にします。

このように、マイクロソフトはMicrosoft 365のセキュリティの一部と、データやサービスの可用性などの関連問題を管理しています。

ユーザの責任範囲

Microsoft 365 ユーザの主な責任は、Microsoft 365 プラットフォーム上で保存および管理するデータのセキュリティを確保することです。データを保持するインフラやサービスはマイクロソフトが管理していますが、ユーザーは以下のようなリスクに備える必要があります。

●誤ってのデータ削除:マイクロソフトは、誤ってデータを紛失するリスクを軽減するために、Microsoft 365リサイクルビンのようなツールを提供していますが、削除されたデータは一時的にしか保存されません。

●内部および外部からの攻撃:例えば、悪意のある従業員が意図的にデータを削除したり、Microsoft 365 リソースにアクセスした第三者がデータを暗号化し、ランサムウェア攻撃の一環として身代金を要求したりする可能性があります。

●規制順守:ユーザは、Microsoft 365 に保存するすべての機密データが、そのデータを規制ポリシーに準拠した方法で管理されていることを確認する必要があります。マイクロソフトの訴訟ホールド(Litigation Hold)機能は、訴訟ホールドの対象となるデータの管理に役立ちますが、これは、規制上の問題の一つに過ぎません。

●データの保持:Microsoft 365 のデータを、適用される法律や企業の内部ポリシーで指定された期間保持する責任はユーザにあります。また、特定のデータを一定期間後に削除する必要がある場合もあります。マイクロソフト は、非アクティブなアカウントのデータを 90 日後に自動的に削除しますが、これはデータ保持ポリシーへの準拠を保証するのに十分な期間ではない可能性があります。

要するに、マイクロソフトは顧客のインフラを安全に保つ一方で、お客様のデータの安全とコンプライアンスの維持は顧客に委ねられているのです。

Microsoft 365 のデータを保護する方法

前述のとおり、Microsoft 365 には、データコンプライアンスのニーズを管理し、偶発的なデータ損失のリスクを軽減するための限定的な機能が含まれています。しかし、これらの機能は、完全なデータ保護ソリューションにはほど遠いものです。

だからこそ、外部のデータ保護ソリューションを導入し、Microsoft 365のすべてのデータを定期的にバックアップすることが重要なのです。誤ってプラットフォームから削除したファイルや、悪意のあるユーザが故意に削除した(または身代金を要求した)ファイルを確実に復元することができます。

また、定期的にバックアップを行うことで、データ保持や規制のコンプライアンスを容易に満たすことができます。Microsoft 365 の高度なバックアップソリューションでは、データのライフサイクルを作成することで、保持する必要がなくなったデータを自動的に削除することができます。

Microsoft 365用の包括的なバックアップソリューションがなければ、自社や顧客のデータの管理は非常に限られたものになります。また、データ保持ポリシーのギャップや規制へのコンプライアンス違反のリスクも高くなります。

関連トピックス:

カテゴリー: BCP, クラウド・仮想インフラ タグ: , , , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

 

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

この記事のトラックバック用URL