SharePoint と OneDrive における条件付きアクセス制御、暗号化制御、サイト分類機能の追加


(この記事は 2016 年 9 月 26 日に Office Blogs に投稿された記事 Enhanced conditional access controls, encryption controls and site classification in SharePoint and OneDrive の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

企業にとって、セキュリティは非常に重要です。信頼という商品はありません。信頼は付加価値として生み出されるものです。SharePoint と OneDrive におけるセキュリティ、プライバシー、コンプライアンスの原則は、”お客様のデータはお客様のもの” というシンプルなものです。お客様が所有し、お客様が管理します。マイクロソフトは、単なる管理人です。お客様にはデータを管理する機能を提供すると同時に、サービス運用とセキュリティ確保のために、マイクロソフトも独自の管理を行います。作成前の検討から削除まで、ファイルのすべての利用段階でポリシーが適用されます。

マイクロソフトは、次の主要な 5 つの要素を中心に投資を行っています。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 1

  • プラットフォーム セキュリティ – 階層化された暗号化機能、マイクロソフト データセンターのプロシージャ、お客様によるアクセス管理とキー管理によって、保存中および転送中のデータを保護します。
  • アクセスと共有のセキュリティ保護 – アクセス設定と共有設定の管理によって、機密データを確実に保護します。
  • 通知とインサイト – レポート機能と通知機能によって、アカウントとファイルのアクティビティをくまなく把握できます。
  • 情報ガバナンス – お客様のデータの保持ポリシー、検出ポリシー、削除ポリシーを管理します。
  • コンプライアンスと信頼 – マイクロソフトによる持続的なコンプライアンス、常時の保証、透明性の高い運用を行います。

セキュリティ、プライバシー、コンプライアンスは、Office 365 での共同作業を想定した SharePoint ビジョンの中心となる要素です。

このたびの Ignite では、企業の価値ある情報と知的財産をもっと効果的に管理するための、次世代の技術革新についてご紹介します。

  • エンドポイントの場所に応じてファイル アクセスを管理できる条件付きアクセス ポリシー (今回提供開始)。
  • デバイスの管理状態に基づく、きめ細やかな条件付きアクセス ポリシー (年内に提供開始)。
  • ドイツとカナダに新しい Office 365 データセンターを開設。展開地域数で業界トップの地位を確保し、お客様のコンプライアンス ニーズに対応 (カナダでは今回から、ドイツでは年内に提供開始)。
  • お客様自身が管理できる、SharePoint 暗号化キーおよび OneDrive 暗号化キー (年内に提供開始)。
  • ユーザーが情報の価値と機密性を理解する手助けとなるサイト分類機能。拡張することで、分類別にセキュリティ構成を適用することが可能 (年内に提供開始)。
  • サイト コレクション全体に対する統合監査機能を Office 365 およびオンプレミスの SharePoint Server 2016 Feature Pack 1 で提供 (2016 年 11 月中に提供開始)。

以降のセクションでは、このような新機能の概要について説明し、その他の関連情報のリンクもお伝えします。

場所に基づく条件付きアクセス ポリシー

従来のアクセス制御は、ユーザーまたはグループを対象としていました。今や、ユーザーの業務はデスクに置かれた 1 台のコンピューターだけで行われているわけではありません。ユーザーがモバイル デバイスで危険なネットワークに接続したり、個人所有の管理対象外デバイスを使用したりすると、情報漏えいのリスクが高まります。

SharePoint と OneDrive の条件付きアクセスでは、ユーザーのアクセス許可に加えて、さまざまな条件を組み合わせて指定することができます。たとえば、ユーザーやグループの ID、ユーザーが接続しているネットワーク、ユーザーが使用しているデバイスやアプリケーション、ユーザーがアクセスしようとしているデータの種類などです。このような幅広い条件を満たすユーザーに、アクセスが許可されます。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 2

場所に基づいてユーザー アクセスを制御

SharePoint Online の新機能である場所に基づく条件付きアクセス ポリシーを使用することで、特定の社内ネットワークや特定の場所へのアクセスを制限することができます。アクセスを社内ネットワークのみに制限した場合、ユーザーは社外にいるときに組織データにアクセスすることができなくなります。このポリシーは、犯罪者による組織データへのアクセスや、危険なネットワークからのアクセスを防止するために役立ちます。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 3

未知の場所からのアクセスをブロック

デバイスの状態に基づく条件付きアクセス

モバイル デバイスの利用がますます広がる中で、ユーザーは個人所有デバイスを含む複数のデバイスを利用して組織データにアクセスするようになっています。どのデバイスでも、ユーザーの生産性を保ったままデータのセキュリティを確保することが重要です。そのために、マイクロソフトは多様なデバイスに対し、その管理状態に応じてアクセス レベルを指定できる、新しいデバイス アクセス ポリシーを発表しました。

Enterprise Mobility Suite (英語) では、組織のニーズに合わせて、管理対象デバイスの定義をカスタマイズできます。管理対象外デバイスに対しては、フル アクセスの許可、すべてのアクセスの拒否、制限付きアクセスの許可のいずれかを指定できます。

新しい制限付きアクセス ポリシー機能を利用すると、ユーザーにブラウザー上でのファイル閲覧を許可する一方で、ファイルのダウンロード、印刷、同期を禁止することができます。そうすることで、ユーザーが個人所有の管理対象外デバイスで高い生産性を実現すると同時に、組織に管理されないデバイスで誤ってデータが漏えいされるリスクを避けられます。

どのポリシーを設定した場合でも、デバイスに基づく制限を適用できない従来のアプリケーションからのアクセスは既定でブロックされます。

お客様自身が管理できる暗号化キー

SharePoint Online におけるセキュリティの基本原則の 1 つが、お客様のデータはお客様のものであるという考え方です。マイクロソフトは、データの管理人でしかありません。情報のプライバシーと整合性を確保するために、データの保存と提供には常に複数のマイクロソフト暗号化管理機能が使用されます。

さらにこのたび、新機能としてお客様自身が管理できる暗号化キーを発表しました。この機能は BYOK (Bring Your Own Key) と呼ばれることもあります。暗号化キーをお客様自身が管理できるようになることで、現在提供しているセキュリティとプライバシーの上に、新しい階層のセキュリティとプライバシーが追加されます。お客様が管理する “マスター キー” を使って、各ファイルの暗号化に使用される個別の暗号化キーを暗号化したり、暗号化解除したりできます。このキーに対するアクセスを変更するか取り消すことで、暗号化されたファイルにマイクロソフトがアクセスすることを確実に防ぐこともできます。

サイト分類を使用した機密情報の指定、ユーザーへのガイダンス、セキュリティ構成の適用

新しいサイト分類機能を使用することで、SharePoint サイトおよび関連付けられた Office 365 グループにカスタム ラベルを適用することができます。このラベルによって、サイトとグループの情報の機密性を指定します。サイト分類はサイト ページとグループ ページのヘッダーに表示され、サイト上の情報の使用と共有に関するガイダンスが組織内に存在することをユーザーに知らせます。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 4

サイト分類はプロパティであり、プログラムからもアクセスできるため、レポート用スクリプトや、セキュリティ ポリシーを追加適用するスクリプトを作成できます。サイト分類機能は 10 月中に初回リリースが予定されています。SharePoint ホームからサイトやグループをプロビジョニングする際に分類を指定できるようになり、サイト ページやグループ ページのヘッダーにサイト分類が表示されるようになります。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 5

将来的には、スクリプトやコードを作成しなくても、Office 365 情報ポリシーをサイト分類に直接リンクできる機能が追加される予定です。

統合監査

SharePoint 統合監査では、Office 365 セキュリティ/コンプライアンス センターの統合コンソールを使用することで、クラウドとオンプレミスのデータをまとめた総合的な監査レポートを作成できます。統合監査は、2016 年 11 月中に SharePoint Server 2016 Feature Pack 1 の一部として、オンプレミスでご利用のお客様向けに提供される予定です。お客様は Feature Pack 1 が有効になった後で、SharePoint Online 管理センターにあるハイブリッド構成ウィザードを使用してパブリック プレビューに参加できるようになります。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 6

統合監査を有効にすると、下図に示すようにセキュリティ/コンプライアンス センターでオンプレミス データの監査機能を利用できるようになります。

Enhanced conditional access controls encryption controls and site classification in SharePoint and OneDrive 7

以上の新機能は、Office 365 のセキュリティとコンプライアンスに対してマイクロソフトが最近行ってきた投資の成果です。詳細については、次の最新記事をお読みください。

今回の発表は、セキュリティ、プライバシー、コンプライアンスの分野に対する継続的な投資を表しています。マイクロソフトでは、このような価値を重視しています。シンプルなユーザー エクスペリエンスを実現する基礎として、どのようにして強力なセキュリティ制御を実現しているかについては、こちらのホワイト ペーパー (英語) をお読みください。

ご意見やアイデアがございましたら、Microsoft Technical Community (英語) または SharePoint の UserVoice (英語) までお寄せください。Office 365 のセキュリティとコンプライアンスの最新情報については、Office 365 セキュリティ センターをご覧ください。

—Chris McNulty (SharePoint チームおよび OneDrive チーム、シニア プロダクト マネージャー)

※ 本情報の内容 (添付文書、リンク先などを含む) は、作成日時点でのものであり、予告なく変更される場合があります。

Skip to main content