Office 365 のセキュリティ対策（情報管理）8つのポイント

先日、NTT DATA 様のセミナーで講演させて頂いた内容についてご紹介＋スライドだけでは意味が通らない部分もあるので、少し補足したいと思います。

※ 当日セミナーに参加頂きました皆様、ありがとうございました。

おおむね SharePoint Online のお話しです

このスライド「Office 365 のセキュリティ対策（情報管理）8つのポイント」は先日、NTT DATA 様主催のセミナーで Office 365 を導入検討中、あるいは導入したばかり、という方を対象に離させて頂いたものです。

一般的に「セキュリティ」の話となると、どうしてもデバイス制御やネットワークなど「技術」の話になります。しかし、このセッションではそこから半歩引いて、より一般的な「情報を管理する」という視点から Office 365 でまず気を付けて欲しいポイントを 8 つご紹介する、という流れでです。必然的に、その大半が SharPoint Online 関連です。

8 つのポイント

1.Office 365 へのアクセス（認証）
2.SPOL のアクセスログ（監査/コンテンツ活用）
3.外部ユーザーの招待
4.OneDrive for Business
5.Information Rights Management
6.ニュースフィード / Yammer（ソーシャル）
7.プロフィールと顔写真（ユーザー情報）
8.サイトコレクションの管理者

各ポイントの詳細は、スライドを見てもらえればと思いますが、この中で特に重要なのは、やはり二番。アクセスログです。なぜならその機能は標準で無いから（汗）。この制約を、他社ソリューションや運用も含めて、いかに自社業務アダプトしつつ Office 365 を利用するか、が、最初に考えるべきポイントになります。

それに次いで、影響が大きい 1（認証）、3（外部ユーザー）、8（サイトコレクションの管理者）でしょうか。

利便性と管理/統制は相反する

このセッションで一番お話しした、ある意味裏テーマ（笑）がこれ。 Office 365 に限らず、利便性と管理性は背反する、ということです。もちろん、テクノロジー（IT）でそのギャップをある程度埋めることはできるのですが、本質はかわりません。

こと Office 365 については、企業内設置型（オンプレミス）の同製品が存在するので、それがいっそう鮮明になります。クラウドならでは、という利便性を追求するほど、従来オンプレミスで享受できていた利点（厳密なセキュリティやカスタマイズ等）スポイルされてしまう。

あえてすべてをクラウド側に寄せてしまう！という選択ができれば良いのかもしれませんが、現実にはなかなか難しい。かといってクラウドの可能性をすべて捨てて、オンプレミスに籠ってしまうのも、勿体ない。

そこでハイブリッド構成です？

こんなとき、Office 365 には「両方使う」という選択肢があります。そう、ハイブリットです。クラウドの利点＋オンプレミスの長所の良いところどり。

例えば、上で挙げた「SharePoint Online では閲覧ログがとれない」という問題も、 厳重な管理が必要な情報とそうでな情報を別け、前者はオンプレミスでがっちり管理する、後者は利便性優先でクラウドの SharePoint Online で、という使い分けができます。

もちろん、ハイブリッドもよいことばかりではありません（運用負荷など）。その点は注意が必要です。しかし、幅広い選択肢あることは悪いことではありませんし、それこそが Office 365 ひいては Microsoft 製品最大の利点なんじゃないか、と個人的には思います。

リスク vs リータンで考えよう

そもそも論ではありますが、Office 365 を検討するにあたり、最も重要なのは「自社は何を期待して Office 365 を採用するのか」が明確であること、です。つまり Office 365 を利用することによるビジネスメリットは何か？という話。何故なら、これが明らかでないと「そのビジネスメリットを得るために、どこまで他のリスクを許容できるか？」の判断ができないからです。

わたしたちは「リスク」と言われると、どうしても全て叩いて潰さないといけない気分になりがちです（苦笑）が、クラウド（実態として SaaS）である Office 365 を検討するあたっては、そのアプローチはお勧めしません。従来のオンプレミス型システムと比較すれば、クラウドは（オンプレミスが得意とする領域については）限界があって当然なのですから。

あれが出来ない、その機能がない、これが駄目…使えない！
ではなく。

Office 365 で得られるビジネスメリット vs Office 365 のデメリット

これがプラスになるかどうか？を精査して、そこあら判断するのが、おそらく正しいアプローチだろうと思います。

とはいえ、仮に上の収支がプラスになりそうだったとしても、いくつかのデメリットは許容しにくい、ということは往々にしてあります。そんなとき、Office 365 ならではのハイブリッド構成が、有力な選択肢の一つになる筈です。

このエントリは Office 365 Advent Calendar 2014 としてお送りしました

昨日のエントリ：LightSwitch / Access / Project Siena – SharePoint 開発ツールを比較してみる
明日のエントリ：ー
Office 365 Advent Calendar 2014