高機能なコラボレーションツールであり、さまざまな業務効率に貢献するMicrosoft Teamsを導入し、活用している企業も多いはずだ。 しかし、その利便性の反面、適切な設定を行わなければ、セキュリティホールとなるリスクも抱えることになる。この記事では、Microsoft Teamsを安全に利用するためのポイントについて解説していく。
Microsoft Teamsに潜むセキュリティリスク
Microsoft Teams(以下、Teams)とは、マイクロソフト社が提供するコラボレーションツールである。主に、会議、通話、Officeファイルの共同編集、チャットの機能が提供されており、Microsoft 365の多くのプランに利用権が付帯していることもあって、多くの企業で利用されている。
マイクロソフト社の調査によると、日経225企業でのTeams利用率は94%(2021年4月時点)に達しており、日本企業においてもTeamsは標準的なツールとして使われているほか、小中学校など教育現場でも広く使われている。
このように、コラボレーションツールとして便利なTeamsだが、セキュリティリスクも潜んでおり、Teamsを狙った攻撃も増えている。Teamsの主なセキュリティリスクとして、以下のようなものが挙げられる。
1)設定ミスや内部犯行による情報漏えい
Teamsはコラボレーションツールという性格上、セキュリティに関する設定を適切に行わないと、外部からの不正侵入を許してしまうセキュリティホールになりかねない。また、チャット機能を使うことで、意図的かを問わず、内部の従業員が機密情報を漏えいさせてしまう恐れもある。その場合、原因となるメッセージを突き止めるのに時間を要し、悪質な場合、証拠を隠滅されてしまう可能性もある。
2)窃取されたアカウント情報の悪用
TeamsはIDとパスワードさえあればログインできるため、ソーシャル・エンジニアリングやサイバー攻撃などによってアカウント情報(IDとパスワード)が窃取されてしまうと、そのアカウント情報を使ってなりすましによるログインが可能となる。社内やそのプロジェクトの関係者を騙ることで機密情報を詐取される可能性がある。
3)不特定の端末からのアクセス
Teamsはインターネット環境があれば、どのような端末からでもアクセスできることが特徴であり、外部の第三者が侵入しやすい環境ともいえる。そのため、IDとパスワードが漏れないよう細心の注意を払って利用する必要がある。また、外出先でスマートフォンを置いたまま離席したりすると、そこからTeamsを覗かれてしまう危険性もある。
Microsoft Teamsのセキュリティインシデント事例
Teamsを起因としたセキュリティインシデントの中でも特に顕著なのが、閲覧権限の設定ミスによる情報漏えいである。日本での代表的な事例を以下に4つ紹介していく。
2024年4月に起きた都立高校の事例
2024年4月、某都立高校において、Teamsに同校教諭がアップロードした同校生徒など67名分の個人情報が、5月中旬まで他校においても閲覧できる状態になっており、情報漏えいが判明した。この事故の原因は、教職員専用アカウントで取り扱うべき個人情報を教職員および生徒共有のアカウントで取り扱ったことと、「プライベート」としなければならない公開範囲を「パブリック」にしたことである。
2023年8月に起きた自治体教育ネットワークの事例
2023年8月、某県自治体の教育ネットワーク内におけるTeamsの利用に関して、公開設定のミスにより、児童の個人情報の一部が漏えいしたことが判明した。原因は、教職員がグループを作成する際にプライバシー設定を「パブリック」にしてしたことで、111名分の児童の名簿や指導資料などが漏えいした。
2022年10月に起きた大学の事例
2022年10月、某大学でTeamsの設定ミスにより、会議資料や大学院入試関係資料、個人情報などが含まれるファイル304件が、本来閲覧権限を持たない学生や職員でも閲覧できる状態になっていた。
2022年7月に起きた都立高校の事例
2022年7月、某都立高校において、Teams内の生徒が閲覧可能なフォルダーに、同校1年生278名分の入学選抜に係る情報が格納され、14名の生徒が当該情報にアクセスしたことが確認された。この事故の原因は、新1年生担当の教諭が機密情報を削除し忘れたまま学校の共有ファイルサーバーに保存し、さらに別の教諭によって、機密情報が含まれていることに気がつかないままその名簿ファイルをTeams内の生徒が閲覧可能なフォルダーにアップロードしたためである。
こうした相次ぐ情報漏えいを受けて、東京都教育委員会は2024年7月、「Teams 事故再発防止委員会」を設置し、実態に即したセキュリティ対策を推進するために、教職員の意見を踏まえて検討していく体制を整備した。
教育機関の事例を紹介したが、あらゆる企業や組織でも起き得るものであることには注意してほしい。
Microsoft Teamsを安全に使うための8つのポイント
このようにTeamsが原因となった情報漏えいは増えており、企業や教育機関にとって大きな脅威となっている。Teamsのセキュリティを高めるには、以下8つのポイントをしっかり適切に確認すべきだろう。
1)チームの作成権限の設定
Teamsには「チーム」と呼ばれるプロジェクト作成機能があり、チームにメンバーを追加することで、チーム内メンバーでコミュニケーションを取ったりファイルを共有したりできる。しかし、誰でもチームを作成できるようにしておくと、管理者が把握していないチームが無数に作成される恐れがあり、情報漏えいなどのトラブルが起こる要因となる。
そのため、チームの作成時に、プライバシー設定をパブリックではなくプライベートにすることを徹底する、あるいはチームの作成権限を管理者などの限定されたメンバーのみに付与するような対策が求められる。
2)チームの自動削除の設定
管理ツールの「Azure AD」を利用すると、Teamsのチームに有効期限を設定できる。期限を迎えるとチームが自動的に削除されるため、データの漏えいや持ち出しなどのトラブルを防止しやすくなる。
3)ゲストのアクセス制限の設定
誰にでもどこからでも社内の情報にアクセスできてしまう状態を放置すると、情報漏えいにつながりやすくなる。Teamsのアクセス制限機能を利用し、メンバーに応じて適切なアクセス権限を与えることが重要だ。社外のゲストについては、ファイルを参照する権限のみを設定するといった対策が考えられる。
4)ファイルごとのアクセス制限の設定
Teamsのセキュリティを高めるためには、チームごとのアクセス制限ではなく、ファイルごとのアクセス制限を設定することも有効だ。ファイルごとにアクセスできるユーザーを制限することで、社内メンバーによる情報の改ざんや漏えいも未然に防げる。
5)パスワード設定によるファイル保護
Teamsにアップロードするファイルにパスワードを設定して、万一ファイルが漏えいした場合でも容易にファイルの閲覧ができないようにしておくことも効果的だ。
6)チャット履歴の保持期限の設定
チャット履歴の保持期限も適切に設定することが望ましい。チャットの履歴が削除されてしまうと、チャットによる情報漏えいが起きた際、チャットログを遡って事実確認をすることができなくなってしまうため、チャット履歴の保持期限は無期限に設定するとよいだろう。
7)監査ログの確認
Teamsでは、メンバーの利用状況を記録する「監査ログ」が保存されているため、定期的に監査ログを確認することもセキュリティ対策として有益だ。
8)多要素認証の利用
昨今、多くのアカウントサービスで多要素認証が利用できるようになっているがMicrosoft 365も例外ではない。多要素認証を設定してログインすることで安全性を飛躍的に高めることができる。企業・組織において、従業員それぞれが多要素認証を設定することも可能だが、できれば組織的に一括で設定することが望ましいだろう。
加えて、Teamsはチャットにとどまらず、Exchange Online、SharePoint、One Driveといったクラウドストレージにも対応している。そのため、こうしたクラウドストレージについても、組織的に適切な対策を実施することが求められる。
Microsoft Teamsをセキュリティリスクから保護するには
先述した7つのポイントを踏まえ、適切な設定を行うことで、着実にTeamsのセキュリティは高まるが、それだけでは万全とはいえない。先に紹介した7つのポイントは主にチャット機能に関する対策だが、クラウドストレージといった機能へは別途対策が必要となる。Teamsのセキュリティレベルをさらに高めるために、おすすめしたいのがTeamsに対応したセキュリティソリューションの利用だ。
例えば、Inbound Security for Microsoft 365(以下、IS365)は、高度な脅威検知機能とデータ保護機能を備えたソリューションである。Microsoft Teams、Exchange Online、SharePoint、OneDriveなどのMicrosoft 365サービス だけでなく、Box、Dropboxなどさまざまなクラウドサービスを多角的に保護する。IS365の主な特長を以下に3つ紹介する。
1)導入が容易
Microsoft 365とAPIで簡単に連携できるため、導入時の初期設定が容易。メール配信の経路を変更する必要がなく、最短1週間で運用を開始できる。
2)運用の負担を軽減
Microsoft 365のユーザー情報、グループ情報などを自動で取得するため、選任者がいなくても負担なく運用が可能となっている。
3)高度なセキュリティ
IS365には6つの高度なセキュリティ機能が搭載されており、攻撃の手法に応じた多層防御を実現。利用者を多角的に防御する。以下に、6つのセキュリティ機能を簡単に紹介する。
- 情報漏えい対策機能
ファイル内の文章の検査を行い、クレジットカード番号/個人情報/マイナンバーなどの検出を行うことが可能だ。あらかじめ規定した条件に一致したファイルのオンラインストレージへのアップロードなどをブロックする。
図1:Inbound Security for Microsoft 365の情報漏えい対策機能
- スパムメール対策機能
常に最新に更新されているエンジンにより、Exchange Online Protectionをすり抜けて届いたビジネスメール詐欺やフィッシングメールといったスパムメールを検出し、ブロックする。
- 不正プログラム検索機能
SharePointやOneDriveにアップロードされるファイルを自動検査し、ランサムウェアなどの不正プログラムを既知、未知に関わらず、駆除、隔離できる。
- ファイルブロック機能
exeなどファイルタイプを指定し、該当ファイルが添付されたメールやストレージへのアップロードをブロックできる。
- Webレピュテーション機能
メール本文や添付ファイル内に含まれているURLの検査を行い、不審なURLが含まれていた場合、そのメールを削除または隔離する。
- サンドボックス機能
仮想OS上でファイルを実行し、挙動を確認する。検体の解析によって、未知のウイルスを検出し、隔離、駆除することができる。
IS365のようなセキュリティソリューションの導入によって、Teamsに関連する内部不正や外部からの攻撃といったセキュリティリスクへの対策が可能となるのだ。コラボレーションツールやクラウドストレージは企業・組織にとって不可欠なものとなりつつある。ビジネスの停滞を招かないためにも、適切な対策を効果的かつ継続的に実施していくことが必要だろう。
