アクセス権限設定ミスによる相次ぐ情報漏洩が問題になっています。企業のIT担当者は情報流出を徹底して阻止しなければなりません。しかし、正しく設定されているか自信がないというケースもあるようです。本記事では、情報漏洩を防ぐアクセス制御や、Microsoft 365に搭載されているセキュリティ機能について解説します。
アクセス制御とは
アクセス制御とは、コンピュータ、ネットワーク、ソフトウェアなどを利用できるユーザーを制限する機能で、情報化社会のセキュリティ対策に欠かせない機能の一つとなっています。
身近な例では、スマートフォンのロック機能がわかりやすいでしょう。あらかじめ自分の顔や指紋、パスワードなどを設定しておくことにより、個人情報や本体に保存された大切なデータを守ります。
企業の場合は、機密情報や社員や顧客の個人情報、取引先の情報といった大切なデータの漏洩を防ぐために、アクセス制御を設定します。
ユーザーごとに、どの範囲の情報にアクセスできるかが設定可能です。そのため、社内でも一般の社員が機密情報を見たり、自分の部署とは関係のない情報にアクセスしたりするのを防げます。
また、アクセスできるユーザーを一般ユーザーと管理者に分けて、異なる操作権限を付与することも可能です。一般ユーザーは閲覧のみ可能、書き込みや削除・作成は不可、といった制限を加えることで、大切な情報が勝手に改変されないようにします。
アクセス制御の機能
アクセス制限には、具体的にどのような機能があるのでしょうか。代表的な3つの機能について確認しておきましょう。
認証
「認証」とは、ネットワークやソフトウェア、または機器などを利用できるユーザーかどうかを識別することで、アクセス制御の第一関門といえる機能です。
先述のスマートフォンのロック解除や、インターネットバンキングや会員登録したWebサイトなどでのログインも、認証機能が働いています。企業で使うシステムの認証では、個人に利用者IDを発行して管理することが一般的です。
毎回ログインのたびにIDとパスワードの入力を求められ、いずれかを間違えるとログインはできません。ログインできたユーザーだけが、サイト内で操作できる権限があると認められます。何度か入力を間違うとロックがかかり、所定の手続きを踏んで間違いなく本人と確認できないとロック解除されません。
しかし、IDやパスワードの情報が漏洩してしまうと、不正ログインされてしまう危険性があります。そこで認証強度を高めるために、「二段階認証」の採用が増えてきました。英数字などを使って登録するIDやパスワードのほかに、合言葉を設定するのはその一例です。
二段階認証には、「二要素認証」が用いられている場合もあります。たとえば、ユーザーの知っていることを問うだけでなく、所有しているものを通して認証する方法です。登録時の携帯電話にSMSで送られた識別コードを入力するものや、ICカードやワンタイムパスワードを用いたものが挙げられます。ユーザーの用いるデバイスにクライアント証明書などの電子証明書をインストールさせることで、認証する仕組みもあります。
二要素認証として、近年は生体認証を用いるデバイスも少なくありません。指紋、網膜、静脈、顔などを登録しておくことで、ユーザー本人によるアクセスであることを確証できます。しかも、ユーザーの操作としては比較的手間がかからないことがメリットです。
認可
「認可」とは、アクセス制御の第2段階の機能ともいえるものです。認証でアクセス可能になったユーザーが、どこまでの操作を可能とするかを個別に設定することを「認可」といいます。
たとえば、社員の個人情報などは人事部の役職者だけが閲覧できる、給与や賞与、年末調整などのデータは経理部のみが閲覧と編集ができるように設定可能です。一方、就業規則や社内報は社員全員が閲覧できる、旅費精算書や有給休暇取得届などの決められた書式の共有ファイルは社員全員がダウンロードできるように設定できます。
部門別または個別に、アクセスの可否や可能な操作を管理者が設定する「アクセスコントロールリスト(ACL)」により、コンピュータがアクセスの可否を自動で判定します。アクセス権限を付与する条件はさまざまな設定が可能で、条件に合致したユーザーのみに、ネットワークルーターを通過したアクセスを許可できます。
また、許可していないアプリのインストールを阻むことで、不正アクセスのリスクを減らす効果もあります。
監査
「監査」とは、実際のアクセスログの検証を行い、アクセスコントロールリストを見直し改善することです。認証や認可など一連の処理の履歴を保存し、不審な怪しい動きがないか、不要な範囲まで認可していないかなどを検証します。
ログのデータには、どのユーザーが何時何分にログインしログアウトしたのか、どのような操作や処理をしたのかなどの情報が残されています。そこから、外部からの不正なアクセスがないか、不正なアクセスを試みたユーザーがいないかなど、不審な動きを知ることが可能です。悪意ある外部からの侵入や不正ログインなどのログも記録されているため、不審な挙動をするユーザーを特定するのにも役立ちます。
監査によりアクセス情報を分析して、認証や認可の設定を見直すことで、さらなるセキュリティレベルの強化が可能です。
Microsoft 365でファイル共有機能情報漏洩を防ぐには
企業ではさまざまな社内システムやクラウドサービス、業務支援アプリを利用することも多いでしょう。しかし、設定ミスが原因で、重要な情報を意図せず流出させてしまう事例が後を絶ちません。
ITリテラシーの異なる社員を多く抱える企業などでは、徹底したセキュリティ管理が必要です。その点、Microsoft 365なら二重三重の情報漏洩防止機能が利用できます。以下に、Microsoft 365のファイル共有機能から外部へ情報流出を阻止できる機能について解説します。
外部ユーザーに対するアクセス権の制御
Microsoft 365も不正アクセスやサイバー攻撃などに対して、先述した「認証・認可・監査」の段階的なセキュリティ機能を持っています。
まず、IPアドレス別にアクセス制限の設定が可能です。IPアドレスとは、パソコンやスマートフォンなどの通信端末が持つ識別コードで、1台ずつ異なる番号が割り振られています。たとえば、社内ネットワークで使用する機器にそれぞれIPアドレスを付与して、該当する機器に限定してアクセス可能にすることで、それ以外のIPアドレスのパソコンやスマートフォンからのアクセスをシャットアウトできます。
たとえば、社内で貸与するパソコンやスマートフォンのIPアドレスのみアクセスを許可しておけば、社員個人が所有するパソコンから勝手にアクセスしようとしても、通信を拒否できます。逆に、社員個人のデバイスをリモートワークで用いる必要がある場合は、該当するIPアドレスのアクセスを許可しておけばよいわけです。
さらに、外部ユーザーからの不正アクセスも制御できるため、共有ファイルなどの情報漏洩を未然に防げます。取引先との作業の際など、外部ファイル共有の必要がある場合には、サインインや確認コードにより認証を受けないとアクセスできないような設定も可能です。
共有した際にアラートを通知
Microsoft 365なら、アラートダッシュボード作成ツールでアラートポリシーの条件を設定しておけます。そうすることで、条件と一致する不正アクセスを検出すると即時に管理者に通知されるようになります。
たとえば、スパムやマルウェアに関するフィルターポリシーが突然無効化されたり、外部ユーザーとデータ共有されたりした場合は、緊急に対応しなければなりません。このようなアクションに対して、管理者にメールがすぐ送信されるよう設定できます。
また、社内から外部への情報漏洩予防策として、ユーザー別にアラートポリシーを設けて、外部へのメール送信の制限が可能です。たとえば、メール送信が制限されている社員が共有ファイルにアクセスして外部へ送信しようとした場合、それをブロックし、該当する社員を特定できます。さらには、時間を設定して営業時間外のメール送信のブロックも可能です。このような不審な動きがあったときに、即時管理者へメール通知をするかどうかを設定できます。
監査ログで定期的に状態を監視
管理者個人では、社員一人ひとりのすべての操作を分析してコンプライアンスに反する行為がなかったかを見定めたり、外部からの攻撃を逐一監視したりすることはできません。
しかし、Microsoft が提供するいくつものサービスやソリューションで実際に社員やユーザー、管理者などが操作した記録は、一括して監査ログにまとめて記録して保存されます。Microsoft 365 のコンプライアンスセンターを使用すれば、統合監査ログの多大なデータから条件を指定して検索し、ユーザーの操作を確認できます。統合監査ログを定期的にモニタリングすることにより、誰がどのような動向をしているのか詳細に把握することが可能になり、コンプライアンス管理もスムーズになるでしょう。
まとめ
企業では不正アクセスや情報流出を阻止する堅牢なアクセス制御機能が重要です。リモートワークの導入などで社外からのアクセスが増えれば、さらに徹底したセキュリティ管理が望まれます。Microsoft 365なら、機密性の高い重要なファイルを共有する際にも、アクセス制御の機能により情報の漏洩を未然に防止できます。