Skype for Business OnlineはWeb会議だけでなく、インスタントメッセージによる簡易的なミーティングや個人的な情報共有、ファイル共有の場としても活用されるので情報が集約する場所でもあります。
そんなSkype for Business Onlineのセキュリティ要件について気になるユーザーは多いのではないでしょうか?
2016年もサイバー攻撃のインシデントは増加傾向にあり、6月には大手旅行代理店による800万件近い個人情報流出事件も起きています。今後も組織のセキュリティは予断を許さない状況にあるのです。
そこで今回は、Skype for Business Onlineの気になるセキュリティ要件について紹介していきたいと思います。Web会議システムを比較検討しているユーザーはぜひ参考にしてください。
「Web会議」について調べてみよう!
データセンターは国内にあり!それでも海外法は適用される
まずユーザーデータを保管する場所であるデータセンターに関してですが、MicrosoftではSkype for Business Onlineを含むOffice 365のデータセンターを2014年に国内で設立し、現在では日本ユーザーのほとんどが国内センターで管理されています。
施設内ではバッジとスマートカード、生体スキャナー、セキュリティ責任者、継続的なビデオ監視、多要素認証、複数の認証プロセスにより物理環境がガードされています。加えてネットワーク環境に関してもファイアウォールやポート制御など、セキュリティ対策は万全と言えるでしょう。
つまり自社独自にセキュリティ体制を敷くよりも強力なセキュリティ性を維持できるケースがほとんどです。
ただ注意していただきたいのが国内データセンターであっても“海外法が提供される”という点です。
データセキュリティに関する有名な海外法と言えば米国の“パトリオット法”であり、噛み砕いて言うと米国企業は政府の要請があった場合、いかなる理由があっても"データを開示しなければならない”という法律です。また、政府がデータを取り押さえるという強硬行為も容認されています。
つまりMicrosoftに限らず米国企業が提供するサービスを利用している以上、パトリオット法によりデータを開示しなければならないという義務が発生するのです。
ただ幸いにも、Microsoftがこのパトリオット法に対し毅然とした姿勢を見せ、常にユーザー側に立っています。
“たとえ政府機関からのデータ開示要求であったとしても、正当な理由や手続きを踏んでいない場合は、マイクロソフトは要求に応じることはない。正当な手続きに対してデータを提供する場合は、法的に禁止されていない限り、お客様に通知後に提供を行っている。なお、こうした手順は契約書の中にも明記している。”
サインイン追跡でエラーログを検出して不正サインインを察知
Skype for Business Online(およびSkype for Business Server 2015)ではサインイン追跡により、サインインログにアクセスしエラーログを検出することができます。
サインインプロセスでエラーが発生した場合に出力されるログなので、頻発している場合は第三者が不正にサインインしようとしている可能性があるのです。また、Skype for Business Onlineで発生した問題を分析するためにも重要なので、有効にしておく必要があります。
Office 365ではサインインログ以外にもメール、チャット、ドキュメント、タスクリスト、問題のリスト、ディスカッショングループ、スケジュールなどの表示・編集・削除のログを常に監視することができます。
実は情報漏洩事件の8割は内部犯行や過失によるものだと言われているので、ログ監視は内部セキュリティに対して有効な対策の一つなのです。
アクセス制限により部外者を会議に参加させない
Skype for Business Onlineでは管理者がユーザーごとにアクセス制限をかけることができます。また、参加申請者以外のユーザーを拒否することもできるので、機密性の高いミーティングでも安心してWeb上で行うことができるのです。
また、アクセス制限だけでなくインスタントメッセージ無効化や参加者のミュート、参加者のビデオをブロックするなど細かい制限もかけられるので、セキュリティ性をより高めることができます。
Skype for Business Onlineのセキュリティ性を高めるために実行したいこと
もともとセキュリティ性の高いSkype for Business Onlineですが、Microsoftのセキュリティ対策に依存してしまっては、残るリスクがいくつもあります。
例えば内部犯行による情報漏洩はいくらセキュリティ性が高いと言ってもMicrosoftには物理的に手の届かない範囲です。従ってSkype for Business Onlineのセキュリティ性をより高めるために、組織としてのセキュリティ対策も必要になります。
アカウントIDやパスワードは管理を徹底させる
Skype for Business Onlineはクラウドサービスですので、アカウントIDとパスワードさえあればどこからでもどのデバイスからでもアクセスできてしまいます。従ってアカウントIDとパスワードが第三者に漏れないように管理を徹底させましょう。
よくデスク上にアカウントIDのパスワードをメモした付箋を見かけますが、悪意ある社員がいれば不正アクセスを簡単に許してしまいます。
持ち出しデバイスはこまめにサインアウト状態にする
Skype for Business Onlineは時間や場所を選ばず利用できるというメリットがあるので、外出先からWeb会議に参加する方も少なくないと思います。そこで注意していただきたいのが盗難や紛失によるデバイスからの情報漏洩です。
クラウドサービスというのはローカルにデータが保存されないので基本的には安全なのですが、万が一サインイン状態を保持したままですとそのままアクセスして情報を搾取することは用意です。
従って持ち出し用デバイスではSkype for Business Onlineをこまめにサインアウト状態にしておきましょう。
基本的なネットワークセキュリティ対策を実施
社員が閲覧しているインターネットや受信したメールからウイルスに感染し、不正アクセスを許してしまうことは少なくありません。従ってユーザーとしてもウイルス対策ソフトやファイアウォールなど基本的なネットワーク対策が欠かせないのです。
まとめ
Skype for Business Onlineは数あるWeb会議サービスの中でもトップクラスのセキュリティを誇っていますので、安心して利用できるサービスです。しかし、何度も言うように情報漏洩事件のほとんどは内部不正や過失によるものですので、内部セキュリティの強化を怠らないでください。
なおもサイバー攻撃が深刻化している現代ビジネスだからこそ、セキュリティ性を重視して正しい製品選定を行っていただければと思います。
無料のオンラインCSSの整頓により、スタイルシートを美しくすることができます。 html-cleaner.comで今すぐチェックしてください!
