LANSCOPE セキュリティオーディターブログ

クラウドセキュリティ

OneDriveのセキュリティ対策。安全に利用するために抑えておくべきポイントを解説

どのような場所にいても気軽にデータにアクセスできるオンラインストレージは、近年注目を集めているサービスのひとつです。中でもMicrosoftが提供している「OneDrive」は、世界中の有力企業の多くが利用しているサービスで、豊富な機能と万全なセキュリティ対策が魅力です。

そこで今回は、OneDriveの概要やビジネス向けのOneDrive for Businessの詳細、セキュリティリスクへの対策方法などについて解説します。

OneDriveとは

OneDriveとは、オンライン上にあらゆるデータを保存しておけるオンラインストレージサービスのことです。Microsoftのアカウントを所有している人であれば、誰でも基本料0円で利用できます。

仕事に活用しているWordファイルやExcelファイル、写真や動画などを保存しておくことによって、パソコンだけでなく、スマートフォンやタブレット端末などどのような環境からでもファイルを参照できます。保存したデータは閲覧だけでなくオンライン上で編集もできるため、複数のメンバーで共有してビジネスに活用することもよくあります。ビジネス用プランの「OneDrive for Business」については次項で詳しく解説します。

OneDrive for Businessとは

OneDrive for Businessとは、OneDriveのビジネス利用を想定したプランのことです。「OneDrive for Business （Plan 1）」「OneDrive for Business （Plan 2）」「Microsoft 365 Business Basic」「Microsoft 365 Business Standard」の4つのプランが用意されており、自社の状況に応じて適切なものを選んで使いわけることができます。

「OneDrive for Business （Plan 1）」は1ユーザー月額540円から利用できるプランで、ユーザー1 人あたり1TBのストレージが用意されているOneDriveのみを利用対象としたプランです。複数ユーザーでファイル共有を行いたい場合は、このプランを契約すると最低限の機能は網羅されています。ただし、ファイルの監査と報告や電子情報開示、コンプライアンス認証などのセキュリティ機能は利用できず、Teamsとの連携にも対応していないため、高いセキュリティ性を求めていたりTeamsとの連携を必要としていたりする場合は他の上位プランを利用する必要があります。

「OneDrive for Business （Plan 2）」は1ユーザー月額1,090円から利用できるプランで、ストレージを無制限で利用できるというメリットがあります。大容量のデータを頻繁に扱う場合は、こちらのプランを契約しておくと安心です。また、前述の「OneDrive for Business （Plan 1）」と比べるとセキュリティ機能が豊富に揃っており、ファイルの監査と報告や電子情報開示、コンプライアンス認証などに対応しています。ただし、こちらのプランもビデオ会議やTeamsとの連携には対応していない点には注意が必要です。

「Microsoft 365 Business Basic」は1ユーザー月額540円から利用できるプランで、OneDriveに加えてMicrosoft TeamsとSharePoint、Exchangeが使えます。加えて、Web版とモバイル版の Word、Excel、PowerPointも利用できるというメリットがあります。ユーザー1人あたり1TBのストレージが提供されると同時に、最大250人のビデオ会議やTeams連携が可能になります。また、TeamsとOneDriveを連携させて、Teams上でファイル共有を行うことも可能です。

「Microsoft 365 Business Standard」は1ユーザー月額1,360円から利用できるプランで、ストレージの容量がユーザー1人あたり1TBであるという点は前述の「Microsoft 365 Business Basic」と同様ですが、OutlookやOneNote、Access、Publisherなどより多くのOfiiceアプリを使えるのが特徴です。

特長

OneDrive for Businessは、大容量のストレージを備えていて管理共有が容易であり、なおかつ高度なセキュリティを兼ね備えています。前述のようにどのプランも1ユーザーあたり最低1TBのストレージが与えられるため、大容量のデータを扱う企業であっても容量の上限を心配せずに使える可能性が高いといえます。
さらに、どのプランであってもファイル共有機能が完備されており、セキュリティを維持しながら組織内外の相手とファイルを簡単に共有する機能や、外部と共有されるファイルやフォルダーのアクセス有効期限の設定など、セキュリティ対策も十分に整えられています。

データはネットワーク上で管理されているため、どこからでもデータを参照できるのも強みのひとつです。AndroidやiOS、Windows用などさまざまなOSのOneDriveモバイルアプリが用意されていることから、どのような環境であってもファイルにアクセス可能です。

OneDriveのセキュリティリスク

OneDriveを運用していく上での注意点として、いくつかのセキュリティリスクが考えられます。ここでは、OneDrive運用中に発生しやす3つのセキュリティリスクをご紹介します。

なりすましによる攻撃の可能性がある

アクセスを許可されているユーザーになりすましてOneDriveに侵入し、データを盗み見たり持ち出したりする「なりすましリスク」には注意が必要です。なりすましが行われると、監査ログ上では一見アクセスを許可したユーザーがログインしているように見えるため、問題の発見が遅れて被害が拡大する恐れがあります。

そのため、アクセスを許可しているユーザーがIDやログインパスワードを外部へ流出させないようにしたり、推測しやすいパスワードを設定しないように徹底したりすることによってなりすましが起きにくい状況を作り出すことが大切です。加えて、不審なメールでIDやログインパスワードの入力を求められても安易に入力しないようなセキュリティ意識の醸成も重要でしょう。

外部からの不正アクセス

オンラインで利用するサービスであることから、外部からの不正アクセスにも注意する必要があります。外部から本来は許可していないはずの第三者が自社のOneDriveにアクセスして機密情報を盗み見たり、ファイルを持ち出して不正利用されたりすれば、情報漏えいとして信用問題に直結する危険性があります。

不正アクセスは、事前に十分なセキュリティ対策を行っていないことが原因で起こる可能性が高いといえます。セキュリティの脆弱性を突いて自社のネットワークに侵入され、そこからOneDriveに侵入してデータを盗み取られるのです。不正アクセスに対応するためにはOneDriveだけでなく自社のネットワーク自体のセキュリティ対策を十分に講じて、第三者がOneDriveにアクセスしない環境を整えることが重要です。

従業員の過失

セキュリティ対策を十分に行っていたとしても、従業員の過失によってデータを流出させてしまうリスクが残ります。例えば他のユーザーがOneDrive上にアップロードしたデータをダウンロードして第三者に送信したり、OneDriveにアクセスした状態のまま離席して第三者がパソコンの画面を操作したりするなどの過失が考えられるでしょう。

従業員の過失を防ぐためには、社内でセキュリティ研修などを実施してセキュリティへの意識を向上させるなどの対策が考えられます。システムが整備されていても、利用者の意識が低いと思わぬトラブルにつながる可能性があるという点は意識しておく必要があるでしょう。

管理者が行える対策方法

セキュリティ対策を行う上で、管理者が行える対策方法をご紹介します。

セキュリティ運用ルールの策定

OneDriveを運用する上で、社内のセキュリティ運用ルールを厳格に策定することは重要です。一定のルールを設けずに運用を始めてしまうと、個々のユーザーが自分の尺度で利用するために、「このくらいは良いだろう」と思って取った行動が重大なセキュリティ事故につながる可能性もあるからです。
企業としてOneDriveをどのように運用していくのか方針を定めて、そのルールを逸脱した行動を取っていないかどうかを定期的に監査ログなどを通じて監視することで、セキュリティリスクを未然に防ぐことが可能になります。

OneDrive for Businessそのものの利用制限

OneDrive for Businessは、ユーザーによって利用できる機能を細かく制限することができます。したがって、利用させたくない機能があれば、ユーザー登録の段階で細かく制限しておくことで不慮のトラブルを防止しやすくなります。

外部ユーザーへの共有設定

引用： https://www.microsoft.com/ja-jp/office/homeuse/scenario-share-files-and-folders.aspx

（共有ファイル・フォルダの選択後、共有するユーザーを選択）

外部ユーザーへの共有設定も、情報漏えいなどのセキュリティリスクを防ぐためには重要です。
OneDriveは気軽なファイル共有が魅力ですが、外部ユーザーに社内のユーザーと同じ権限を付与してしまうと機密情報などのファイルにまでアクセスできてしまう危険性が生じます。そこであらかじめ共有範囲を限定したり有効期限を設定したりすることで、セキュリティを高める効果が期待できます。

アクセス制限

引用： https://docs.microsoft.com/ja-jp/sharepoint/control-access-based-on-network-location

（SharePoint管理センター→「ネットワークの場所」）

OneDriveには、「指定されたIPアドレスの場所からのみアクセスを許可する」という機能が用意されています。この機能を活用すると、事前に許可したIPアドレス以外のアクセスを弾くことができるため、第三者から不正アクセスされるリスクを大幅に軽減することが可能になります。
オンライン上でファイルを管理できるからこそ、誰でもアクセスできないように制限を厳格にするように意識しましょう。

ローカルフォルダとの同期設定

（端末上のOneDrive→「設定」→アカウント→「フォルダーの選択」）

OneDriveはローカル環境で保存したファイルを自動的に同期する設定を利用できますが、全てのファイルをOneDrive上に保存したくない場合は、同期設定を解除しておくことをおすすめします。必要なファイルだけを自分でアップロードすることで、あらゆるファイルにオンラインでアクセスすることを避けて、セキュリティを高められます。
自動的に同期する設定を利用すると、どのファイルがアップロードされているのか自分ではわからない状態に置かれる可能性が高くなります。アップロードされているファイルを正確に把握・管理するためには、同期設定の見直しも視野に入れると良いでしょう。

ユーザー個人が行える対策

続いて、ユーザー一人ひとりが行える対策についてご紹介します。

パスワード設定

（Microsoftアカウントにログイン→「パスワード変更」）

どのようなサービスでも同様ではありますが、パスワードは第三者が推測しにくいものを設定しましょう。紙に書き出して見えやすい場所に貼りつけておくなどの行動は、第三者が簡単にパスワードを把握できてしまうため危険です。

さらに、一度設定したパスワードを長期間使い続けるのではなく、一定期間ごとに変更することもセキュリティを高めるポイントのひとつです。

二段階認証

（Microsoftアカウントにログイン→2段階認証を「有効にする」）

OneDriveはパスワードとセキュリティコードの二段階認証を設定可能です。よりセキュリティを高めるのであれば、二段階認証を設定してログインのたびにメールまたは電話番号にセキュリティコードを送付して、そのコードを入力しなければログインできない設定にしておくことをおすすめします。少しの手間はかかりますが、その分安全性は高まります。

共有ファイルへの操作制限

引用：https://support.microsoft.com/ja-jp/office/onedrive-%E3%81%AE%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E3%81%A8%E3%83%95%E3%82%A9%E3%83%AB%E3%83%80%E3%83%BC%E3%81%AE%E5%85%B1%E6%9C%89-9fcc2f7d-de0c-4cec-93b0-a82024800c07

（OneDrive→共有したいファイル・フォルダの上部にある「共有」を選択→リンクの設定のメニュー内にある「ダウンロードを禁止する」をオンにする）

共有ファイルを誰でもダウンロードできる設定にするのではなく、ダウンロードを禁止して閲覧のみを許可するなどの操作制限を設ける対策も有効です。ダウンロードを禁止するだけでそのファイルを相手のもとで改ざんされるリスクを軽減し、「見せたいけれどダウンロードはしてほしくない」という要望を実現できます。

ログを活用したセキュリティ対策

OneDriveを運用するなら、ログを十分に活用して不正をいち早く検知できる体制を整えることが大切です。OneDriveのログを活用したセキュリティ対策には、主に次の2種類があります。

onedriveでのファイル共有状況をログで管理する

Microsoftが提供する監査ログを活用することによって、OneDriveのファイル共有状況を管理することが可能になります。
「Microsoft 365 コンプライアンスセンター」から「OneDrive for Business」の監査ログを取得できるようになっているため、監査ログの中からOneDriveにアクセスしているユーザーの行動を検索し、どのファイルにアクセスしているかを追いかけることで不正操作が行われていないかどうかを把握できます。

ただし、サーバー管理者の知識が必要になるため、可能であれば次のご紹介するログ管理機能が備わったツールを利用した方が管理は容易になります。

ログ管理をツールを使って実施する

ログ管理機能が用意されたツールを使うと、ユーザー一人ひとりの行動をサーバー管理の知識がなくても簡単に把握できます。SYNCPITではMicrosoft365と連携をすることで、監査ログを見やすく成形し、可視化できます。さらに、利用状況や特定のキーワードなどに基づいてアラートを設定留守ことも可能です。
このようにツールと連携を行えば、どの端末で誰がいつどのような行動を取ったのかを見える化したり、不審な動作に対してすぐ反応したりすることができます。

OneDriveで不正な動きがあればSYNCPIT上でまとめて検知できるので、他の操作と合わせて端末ごとの不正操作を管理するツールとして高い効果を発揮するでしょう。