Office 365 のセキュリティ対策(情報管理)8つのポイント

先日、NTT DATA 様のセミナーで講演させて頂いた内容についてご紹介+スライドだけでは意味が通らない部分もあるので、少し補足したいと思います。

※ 当日セミナーに参加頂きました皆様、ありがとうございました。

おおむね SharePoint Online のお話しです

このスライド「Office 365 のセキュリティ対策(情報管理)8つのポイント」は先日、NTT DATA 様主催のセミナーで Office 365 を導入検討中、あるいは導入したばかり、という方を対象に離させて頂いたものです。

一般的に「セキュリティ」の話となると、どうしてもデバイス制御やネットワークなど「技術」の話になります。しかし、このセッションではそこから半歩引いて、より一般的な「情報を管理する」という視点から Office 365 でまず気を付けて欲しいポイントを 8 つご紹介する、という流れでです。必然的に、その大半が SharPoint Online 関連です。

8 つのポイント

1.Office 365 へのアクセス(認証)
2.SPOL のアクセスログ(監査/コンテンツ活用)
3.外部ユーザーの招待
4.OneDrive for Business
5.Information Rights Management
6.ニュースフィード / Yammer(ソーシャル)
7.プロフィールと顔写真(ユーザー情報)
8.サイトコレクションの管理者

各ポイントの詳細は、スライドを見てもらえればと思いますが、この中で特に重要なのは、やはり二番。アクセスログです。なぜならその機能は標準で無いから(汗)。この制約を、他社ソリューションや運用も含めて、いかに自社業務アダプトしつつ Office 365 を利用するか、が、最初に考えるべきポイントになります。

それに次いで、影響が大きい 1(認証)、3(外部ユーザー)、8(サイトコレクションの管理者)でしょうか。

利便性と管理/統制は相反する

このセッションで一番お話しした、ある意味裏テーマ(笑)がこれ。 Office 365 に限らず、利便性と管理性は背反する、ということです。もちろん、テクノロジー(IT)でそのギャップをある程度埋めることはできるのですが、本質はかわりません。

こと Office 365 については、企業内設置型(オンプレミス)の同製品が存在するので、それがいっそう鮮明になります。クラウドならでは、という利便性を追求するほど、従来オンプレミスで享受できていた利点(厳密なセキュリティやカスタマイズ等)スポイルされてしまう。

あえてすべてをクラウド側に寄せてしまう!という選択ができれば良いのかもしれませんが、現実にはなかなか難しい。かといってクラウドの可能性をすべて捨てて、オンプレミスに籠ってしまうのも、勿体ない。

そこでハイブリッド構成です?

こんなとき、Office 365 には「両方使う」という選択肢があります。そう、ハイブリットです。クラウドの利点+オンプレミスの長所の良いところどり。

例えば、上で挙げた「SharePoint Online では閲覧ログがとれない」という問題も、 厳重な管理が必要な情報とそうでな情報を別け、前者はオンプレミスでがっちり管理する、後者は利便性優先でクラウドの SharePoint Online で、という使い分けができます。

もちろん、ハイブリッドもよいことばかりではありません(運用負荷など)。その点は注意が必要です。しかし、幅広い選択肢あることは悪いことではありませんし、それこそが Office 365 ひいては Microsoft 製品最大の利点なんじゃないか、と個人的には思います。

リスク vs リータンで考えよう

そもそも論ではありますが、Office 365 を検討するにあたり、最も重要なのは「自社は何を期待して Office 365 を採用するのか」が明確であること、です。つまり Office 365 を利用することによるビジネスメリットは何か?という話。何故なら、これが明らかでないと「そのビジネスメリットを得るために、どこまで他のリスクを許容できるか?」の判断ができないからです。

わたしたちは「リスク」と言われると、どうしても全て叩いて潰さないといけない気分になりがちです(苦笑)が、クラウド(実態として SaaS)である Office 365 を検討するあたっては、そのアプローチはお勧めしません。従来のオンプレミス型システムと比較すれば、クラウドは(オンプレミスが得意とする領域については)限界があって当然なのですから。

あれが出来ない、その機能がない、これが駄目…使えない!
ではなく。

Office 365 で得られるビジネスメリット vs Office 365 のデメリット

これがプラスになるかどうか?を精査して、そこあら判断するのが、おそらく正しいアプローチだろうと思います。

とはいえ、仮に上の収支がプラスになりそうだったとしても、いくつかのデメリットは許容しにくい、ということは往々にしてあります。そんなとき、Office 365 ならではのハイブリッド構成が、有力な選択肢の一つになる筈です。

このエントリは Office 365 Advent Calendar 2014 としてお送りしました

昨日のエントリ:LightSwitch / Access / Project Siena – SharePoint 開発ツールを比較してみる
明日のエントリ:ー
Office 365 Advent Calendar 2014


Author

中村 和彦(シンプレッソ・コンサルティング株式会社 代表)が「ユーザ視点の SharePoint 情報」を発信します。元大手製造業 SharePoint 運用担当。現SharePoint コンサルタント。お仕事のお問い合わせはこちらまでお願いします。当ブログにおける発信内容は個人に帰属し所属組織の公式発信/見解ではありません。
FB : 中村 和彦
blog: Be・Better!
MS MVP SharePoint 2009/10-2011/9
MS MVP Office 365 2012/10-2014/9