SharePointの運用で注意したいポイントは？

皆さんは、ファイル・情報共有サービスとして、Microsoft 365の「SharePoint Online」を使っていますか？

SharePointはクラウドストレージサービスの一種で、インターネット環境のある場所でならいつでも・どのデバイスからでもアクセスできる、リモートワークには欠かせない超便利ツールです。

ところが、SharePointで適切なアクセス権限の管理やバックアップを徹底しないと、情報漏えい・データ消失により取り返しのつかない事態になる恐れも・・・。

そこで今回は、SharePointのセキュリティを維持しながら効率的に運用していくうえで外せない10個のポイントをご紹介します！

直近でSharePointの導入を予定している方や、SharePointを実際に導入したばかりの方は、ぜひ参考にしてみてくださいね！

※今回の内容は、以下記事の抜粋になっています。完全版はこちらから↓

SharePointのセキュリティを保つ！運用ルール策定の際に注意したいポイントとは？ – コンピュータマネジメント

１．Microsoftアカウントの作成／無効化

アカウント作成

SharePointを利用するためには、まずユーザーごとにMicrosoftアカウントを作成する必要があります。

この段階で明確に定めるべきなのは、

・誰が
・いつ
・どのタイミングで

アカウントを作成するか？になります。

タイミングについては、

「社員番号が採番された後」
「社内ネットワークの申請書が提出された後」

・・・といったように、どの部分を起点として作業を実施するのか、できるだけ具体的に定めておきましょう。

アカウント無効化

退職や休職など、ユーザーが何らかの形で業務から離れる場合も考えて、「アカウント無効化のタイミング」も併せて決めておきます。

退職等に伴う情報の持ち出しを防ぐためにも、社員が会社を去ったその日のうちに、速やかに無効化の手続きを行うのがセキュリティ上安全です。

２．サイトの作成

SharePointでは、部署やプロジェクトごとに「サイト」を作成することにより、特定のユーザー同士でファイルの共有や共同編集を簡単に行うことができます。

しかし、特段のルールを設けずにユーザーによる自由なサイト作成を認めていると、いずれ必ず「サイトの乱立」に悩まされることになります。

不要なサイトの乱立を防ぎ、チームで効率良く情報共有を行うためには、

・誰が
・いつから
・何の目的で
・誰の承認を得て

サイトを使用し始めたのかをしっかりと管理することが大切です。

３．アクセス権限の管理

SharePointを利用するうえで最も重要になるのが、「ユーザー全員分のアクセス権限の管理」です。

各ユーザーに対し、職務内容に応じた最適なアクセス権限レベルを割り当てることで、意図しないデータの損失や流出を防ぎ、セキュリティを確保することができます。

「SharePointグループ」を利用した権限の設定

サイトやファイル単位で個別に細かく権限を設定していては、いずれ運用が立ち行かなくなってしまうため、できるだけシンプルな形で権限を設定しましょう。

おすすめは「SharePointグループ」で権限の設定を行う方法です。

SharePointのサイト作成時にデフォルトで既定されている以下の権限グループを活用します。

SharePoint権限グループ

1ユーザーごとに個別にアクセス許可を与えていては、手間も時間もかかってしまいます。

グループ単位で権限の付与を行うことで、グループに追加した全ユーザーに対して、同じアクセス権限レベルを一気に割り当てることができます。

アクセス権の付与／はく奪

次に考えたいのは、

実際にサイトへのアクセス権の付与・はく奪を行う人は誰か？

という点です。

「アクセス権の管理」と聞くと、ユーザーからの申請をもとに情シス部門がアクセス権の集中管理を行う方法をまず思い浮かべるでしょう。

しかし、この方法だと、ユーザーの数が増えれば増えるほど情シス部門の負担が大きくなり、最悪運用が破綻はたんしてしまいます。

SharePoint Online の集中管理で大失敗！権限はユーザーに委譲せよ！

そこで、情シス部門への一極集中を防ぐためにも、各サイトの所有者にアクセス権の管理を一任してみましょう。

これにより業務が分散し、運用がスムーズに回りやすくなります。

定期的なアクセス権の棚卸

もう１つ、SharePointのセキュリティを維持するうえで欠かせないのが、「定期的なアクセス権の棚卸」です。

サイトごとに、

・SharePoint上で実際にアクセスを許可されているユーザーの一覧
・Excelなどで文書化したアクセス許可ユーザーの一覧

を比較し、一致するかどうかサイト管理者に確認してもらいます。

実施時期についても、「3月と9月の半年に1回」など、明確に定めておくことが大切です。

特に、異動や退職などに伴う「アクセス権限の削除忘れが無いか？」は慎重に確認しましょう。

「アクセス許可を与えられていないのでアクセスできない」

状態よりも、

「アクセス許可が残っているので引き続きアクセスできてしまう」

状態の方が、セキュリティ上遥かにリスクが大きいためです。

４．不要データの削除

使わなくなった文書類が出てきた時に、

「いずれまた使うかもしれないし、消さずに取っておこう」

・・・と、ついデータを削除せず残してしまうことはありませんか？

不要な資料をいつまでも保持しておくことは、情報漏えいなどのリスクもあり、セキュリティ上好ましいとはいえません。
機密情報を含んでいた場合はなおさらです。

「過去5年より前の古いファイルは定期的に削除する」など、ルールを決めて不要なデータはどんどん削除していき、管理するドキュメントを極力減らすようにしましょう。

５．使いやすいフォルダ構成

共有フォルダを使用するうえで何かと悩ましいのが「フォルダ構成」だと思います。

フォルダ階層を深くしすぎると、目的のファイルを見つけるまでに何度もクリックが必要になり、効率が非常に悪くなります。

かと言って、階層を浅くしすぎても縦スクロールが長くなり、かえって目的のファイルを見つけにくくなります。

おすすめは、フォルダ階層を3～4階層までにとどめることです。

また、フォルダ名の頭に番号や日付（yyyymmdd）を付けておくと、後から新しいフォルダを追加しても並び順が変わらないため便利ですよ。

６．エクスプローラー同期

SharePointのようなクラウドストレージサービスを使ううえで避けては通れないのが、「エクスプローラー同期」機能の利用です。

同期を有効にすると、わざわざ編集後のファイルを手動でアップロードしなくても、PCのローカル上で編集した内容がそのままSharePoint上のファイルに反映されます。

ただし、同期を行うとローカル上にもファイルのデータが残ることになるため、そのままだとPCの紛失・盗難時に情報漏えいのリスクが高くなってしまいます。

対策としては、Windowsに標準搭載されている「BitLocker機能」の有効化により、PCのハードディスクを暗号化しておくことが有効です。

７．外部共有の設定

近年、添付ファイルのパスワードを別メールで送信する「PPAP」手法がセキュリティ上問題視されていることを受け、その代替策としてクラウドストレージの利用が注目されています。

SharePointにもコンテンツのリンク共有機能が付いており、社外の人へファイルを簡単に共有できます。

特定のフォルダやファイルを外部へ共有する際に、リンクの種類を「特定のユーザー」に設定しメールを送信することで、SharePointに保管されている他データの流出を心配せず、安全に共有を行うことが可能です。

サイトの既定の共有リンクを変更する - SharePoint in Microsoft 365

８．バックアップとリカバリ

クラウドストレージサービスでは、日々データを失うリスクと常に隣り合わせです。

代表的なリスクとしては次のようなものがあります。

・利用者のヒューマンエラー
・ランサムウェアなど、外部からのサイバー攻撃やウイルス感染
・会社に不満を持つ従業員や退職者による嫌がらせ
・サービス障害発生時における重要データの損失

特に、SharePointを含むMicrosoft 365では、サービス側で利用者のデータ保護を一切保証していないことから、データのバックアップは必要不可欠となります。

バックアップの方法や範囲などを検討する際は、「有事の際のデータ保護に対するビジネス要件」をまず確認しましょう。

大規模な自然災害やサービス障害等が発生した場合に備え、

・RPO（過去のどの時点までのデータを復旧させるか）
・RTO（いつまでの復旧を目指すか）

を明確化し、その目標値に応じたバックアップのやり方を見極めます。

さらに、バックアップからデータを確実にリカバリできるように、定期的なデータ復旧訓練を普段の業務プロセスの中に組み込んでおくと安心です。

９．監査ログの分析

Microsoft 365では、ユーザーや管理者の操作・アクセス履歴を記録した監査ログを取得する機能が標準搭載されています。

SharePointに限らず、様々なMicrosoft 365サービスの監査ログが取得可能ですが、運用面で監査ログを取得しただけでは全く意味がありません。

その先の「取得した監査ログをどのように活用するか？」の部分まで考えを巡らせておくことが重要です。

おすすめは、Microsoft 365の各サービスと連携が簡単な「Microsoft Sentinel」に監査ログを取り込み、分析を自動化することです。

日々膨大な量が蓄積される監査ログを手動で分析するのはかなり非現実的なので、ログ取得の目的に応じて上手にツールを活用し、賢くデータの分析を行いましょう。

１０．ユーザー教育

SharePointの利用方法やルールは、利用マニュアルに明記して社内の全ユーザーに周知しましょう。

クラウドサービスをあまり使い慣れていない人でも分かりやすいように、画像キャプチャを用いながら一手順ずつ丁寧に記載していきます。

必要に応じてFAQなども整備しておくと、ユーザー自身による問題の自己解決を促せるため、問い合わせ数の削減につながります。

まとめ

ここまで、SharePointのセキュリティを維持しながら効率的に運用していくうえで外せない10個のポイントをご紹介してきましたが、いかがでしたでしょうか？

情シス部門にSharePointの管理をすべて任せきりにしてしまうと、どこかで歪みが生じて最終的に運用が破綻はたんしかねないので、各部門に上手く業務を分散してスムーズに運用を回していきましょう！

※今回の内容は、以下記事の抜粋になっています。完全版はこちらから↓

SharePointのセキュリティを保つ！運用ルール策定の際に注意したいポイントとは？ – コンピュータマネジメント