Office 365 のセキュリティ対策(情報管理)8つのポイント
先日、NTT DATA 様のセミナーで講演させて頂いた内容についてご紹介+スライドだけでは意味が通らない部分もあるので、少し補足したいと思います。
※ 当日セミナーに参加頂きました皆様、ありがとうございました。
おおむね SharePoint Online のお話しです
このスライド「Office 365 のセキュリティ対策(情報管理)8つのポイント」は先日、NTT DATA 様主催のセミナーで Office 365 を導入検討中、あるいは導入したばかり、という方を対象に離させて頂いたものです。
一般的に「セキュリティ」の話となると、どうしてもデバイス制御やネットワークなど「技術」の話になります。しかし、このセッションではそこから半歩引いて、より一般的な「情報を管理する」という視点から Office 365 でまず気を付けて欲しいポイントを 8 つご紹介する、という流れでです。必然的に、その大半が SharPoint Online 関連です。
8 つのポイント
1.Office 365 へのアクセス(認証)
2.SPOL のアクセスログ(監査/コンテンツ活用)
3.外部ユーザーの招待
4.OneDrive for Business
5.Information Rights Management
6.ニュースフィード / Yammer(ソーシャル)
7.プロフィールと顔写真(ユーザー情報)
8.サイトコレクションの管理者
各ポイントの詳細は、スライドを見てもらえればと思いますが、この中で特に重要なのは、やはり二番。アクセスログです。なぜならその機能は標準で無いから(汗)。この制約を、他社ソリューションや運用も含めて、いかに自社業務アダプトしつつ Office 365 を利用するか、が、最初に考えるべきポイントになります。
それに次いで、影響が大きい 1(認証)、3(外部ユーザー)、8(サイトコレクションの管理者)でしょうか。
利便性と管理/統制は相反する
このセッションで一番お話しした、ある意味裏テーマ(笑)がこれ。 Office 365 に限らず、利便性と管理性は背反する、ということです。もちろん、テクノロジー(IT)でそのギャップをある程度埋めることはできるのですが、本質はかわりません。
こと Office 365 については、企業内設置型(オンプレミス)の同製品が存在するので、それがいっそう鮮明になります。クラウドならでは、という利便性を追求するほど、従来オンプレミスで享受できていた利点(厳密なセキュリティやカスタマイズ等)スポイルされてしまう。
あえてすべてをクラウド側に寄せてしまう!という選択ができれば良いのかもしれませんが、現実にはなかなか難しい。かといってクラウドの可能性をすべて捨てて、オンプレミスに籠ってしまうのも、勿体ない。
そこでハイブリッド構成です?
こんなとき、Office 365 には「両方使う」という選択肢があります。そう、ハイブリットです。クラウドの利点+オンプレミスの長所の良いところどり。
例えば、上で挙げた「SharePoint Online では閲覧ログがとれない」という問題も、 厳重な管理が必要な情報とそうでな情報を別け、前者はオンプレミスでがっちり管理する、後者は利便性優先でクラウドの SharePoint Online で、という使い分けができます。
もちろん、ハイブリッドもよいことばかりではありません(運用負荷など)。その点は注意が必要です。しかし、幅広い選択肢あることは悪いことではありませんし、それこそが Office 365 ひいては Microsoft 製品最大の利点なんじゃないか、と個人的には思います。
リスク vs リータンで考えよう
そもそも論ではありますが、Office 365 を検討するにあたり、最も重要なのは「自社は何を期待して Office 365 を採用するのか」が明確であること、です。つまり Office 365 を利用することによるビジネスメリットは何か?という話。何故なら、これが明らかでないと「そのビジネスメリットを得るために、どこまで他のリスクを許容できるか?」の判断ができないからです。
わたしたちは「リスク」と言われると、どうしても全て叩いて潰さないといけない気分になりがちです(苦笑)が、クラウド(実態として SaaS)である Office 365 を検討するあたっては、そのアプローチはお勧めしません。従来のオンプレミス型システムと比較すれば、クラウドは(オンプレミスが得意とする領域については)限界があって当然なのですから。
あれが出来ない、その機能がない、これが駄目…使えない!
ではなく。
Office 365 で得られるビジネスメリット vs Office 365 のデメリット
これがプラスになるかどうか?を精査して、そこあら判断するのが、おそらく正しいアプローチだろうと思います。
とはいえ、仮に上の収支がプラスになりそうだったとしても、いくつかのデメリットは許容しにくい、ということは往々にしてあります。そんなとき、Office 365 ならではのハイブリッド構成が、有力な選択肢の一つになる筈です。
このエントリは Office 365 Advent Calendar 2014 としてお送りしました
昨日のエントリ:LightSwitch / Access / Project Siena – SharePoint 開発ツールを比較してみる
明日のエントリ:ー
Office 365 Advent Calendar 2014