Teams利用時のセキュリティリスクとは？　事例や対策を解説

不正アクセスのリスクが高まる

Teamsを利用すると、外部の第三者が侵入しやすい環境が構築されるため、不正アクセスのリスクが高まります。社内ネットワークへの接続などは不要で、インターネット環境がある場所からなら、誰でも、いつでも、パソコン以外の端末からでもアクセスできます。Web会議への参加については、アカウント登録も必須ではありません。

また、Teamsには、IDとパスワードさえあればログインできます。つまり、何らかの方法でIDとパスワードを入手できれば、個人で所有しているスマートフォンやタブレットなどからでもログインできるということです。

時間や場所に制限されることなく働ける環境が構築できるのは、Teamsの特徴の1つですが、開かれた環境は悪意のある第三者の不正アクセスを許しやすい点にも注意が必要です。例えば、従業員が社外のカフェでテレワークをしていた際にノートパソコンを置き忘れたら、悪意のある第三者がノートパソコンからTeamsに不正ログインしてデータを閲覧することも難しくはありません。社内の機密情報が漏洩したり、情報の改ざんによって重要なデータが失われたりする可能性もあります。

もし、取引先とのWeb会議の情報や履歴などが漏洩すれば、自社だけの問題にとどまりません。大切な取引先との信頼関係が崩れ、売上に重大な影響を及ぼす恐れもあります。情報漏洩の事実が公表されることによって、社会的な信用も失うかもしれません。

ファイルの外部への持ち出しが容易

Teamsで生じるリスクの1つとして、ファイルの持ち出しが容易にできる点も挙げられます。Teamsでは、ファイルに十分なアクセス制限が設定されていないと、メンバーであれば誰でも共有ファイルにアクセスすることが可能です。そのため、本来はファイルへのアクセスを許すべきでないメンバーでも、初期設定のままでは、外部記録媒体に保存したり、メールに添付して送信したりすることでファイルを持ち出せます。

持ち出しが悪意によるものではなかったとしても、個人のデバイスに十分なセキュリティ対策がなされていなければ、業務上の機密情報などが外部に漏洩しかねません。また、Word、Excel、PowerPointなどのファイルを共有して共同編集できる機能も、アクセス制限の仕方によっては第三者によるファイルの持ち出しにつながる危険性を高めることになります。

チャットで情報漏洩が起きた場合の原因特定が困難

チャットの会話を通じて情報漏洩が起きた場合に、「いつ、どこで、誰が」を特定するのが困難であることも、Teamsで生じるセキュリティリスクの1つです。

Teamsのチャット機能は、対面のコミュニケーションにおける雑談のような使い方もでき、離れて仕事をする従業員同士の交流を促進する便利な機能です。取引先との気軽な情報交換にも活用できます。しかし、気軽に使える分、不用意な情報漏洩には注意しなければなりません。

万が一、Teamsのチャット上のメッセージから重要なデータや機密情報が漏洩した場合、原因となるメッセージを突き止めるには時間がかかります。特に、リモートワークなどでチャット機能をメインのコミュニケーションツールとして活用している場合、チャット上では日々メッセージがやりとりされることになるため、会話をすべて確認するのは困難です。メッセージの削除や編集の権限も全員に付与されているため、情報漏洩に関連するメッセージを特定する前に、証拠を隠滅されてしまう可能性があります。

都立高校の事例

2024年4月、ある都立高校にて、生徒指導会議の資料をTeamsにアップロードした際に、約1か月間、他の学校の生徒・教職員からも閲覧可能な状態になっていたという事例が発生しました。これは、生徒と共有するアカウントで会議用データをアップロードし、さらにチーム設定が「パブリック」になっていたことが原因です。

その結果、67名分の学年、クラス、氏名、相談内容などの個人情報が含まれた資料が、他の都立高校の生徒・教職員から閲覧可能な状態になっていました。別の都立高校の生徒が問題に気付き、教育委員会に通報したことで発覚しました。

なお、2022年7月にも他の都立高校で、1年生278名分の入学選抜関連情報が、生徒が閲覧可能なフォルダに保存されるというインシデントが発生しており、継続的な設定ミスが問題となっています。

国立大学の事例

2022年10月、ある国立大学において、Teamsの共有設定に不備があり、関係者以外の学内アカウント所有者でも機密情報にアクセスできる状態になっていたことが判明しました。

この事例の要因となったのは、チームを「パブリック」に設定したまま運用していたことです。その結果、学生の氏名やメールアドレス、成績情報など901人分の個人情報と、大学院入試問題を含む資料304件が、学内の多くのユーザーに公開されていました。

地方自治体の教育ネットワークの事例

2023年8月、ある地方自治体の教育ネットワークで、Teamsを利用していた際に、一部の教職員が作成したグループでのプライバシー設定に問題があり、児童の個人情報がグループ外の利用者から閲覧可能な状態になっていたことが発覚しました。

原因は、グループのプライバシー設定を「パブリック」にしていたことです。このインシデントは、児童が持ち帰った端末から保護者がグループ内の情報を閲覧したことで発覚しています。

この事例も、Teamsの設定とその管理が適切に行われていなかったことによる情報漏洩リスクの一例です。

ゲストのアクセス制限の設定

Teamsでは、組織外のユーザー（ゲスト）も招待してコミュニケーションや共同作業を行うことができますが、ゲストのアクセス制限を設定することでセキュリティを向上させることができます。誰でもアクセスできる自由度の高さは、Teamsのメリットです。しかし、同時にセキュリティリスクも増大するため、適切にアクセス権限を設定しなければなりません。ゲストに関するアクセス制限の設定は必須といえます。

Teamsでは、タスクやプロジェクト別のメンバーで組織された「チーム」や、チーム内で共同作業を行う場である「チャネル」を設定でき、チームやチャネルごとにゲストのアクセスを許可するかどうかを設定できます。社外のゲストに閲覧させてはならない情報を扱うチームやチャネルでは、ゲストがアクセスできないように設定しましょう。

併せて読みたい

• アクセス制御とは？　機能や制御方式の種類をわかりやすく解説

パブリックチームの使用制限

チームのプライバシー設定が「パブリック」に設定されていると、組織内の誰でも内容を閲覧できる状態になるため、基本的には「プライベート」をデフォルトにし、必要な場合のみパブリックを許可するルールを設けましょう。

パブリックの設定は、情報共有の利便性がある一方で、意図しない閲覧や漏洩のリスクも高まります。あえてパブリックに設定する必要がない場合についてはプライベートにするようルールを設定するのがお勧めです。

プライベートチャネルの使用制限

チャネルについては、特定メンバーのみが閲覧可能なプライベートチャネルを設定できますが、その設定により管理が煩雑になる側面もあるため、原則としてプライベートチャネルの使用を制限するのも1つの方法です。プライベートチャネルによって管理者の目が届きにくくなると、内部不正や設定ミスが発見されにくくなります。

ファイルごとのアクセス制限の設定

Teamsのセキュリティを高めるためには、チームやチャネルごとのアクセス制限だけではなく、ファイルごとのアクセス制限を設定する方法も有効です。ファイルごとにアクセスできる人と範囲を制限することで、本来はそのファイルにアクセスさせるべきでない社内メンバーによる情報の削除や編集、漏洩も未然に防げるようになります。

チーム単位のアクセス制限ではなく、特定のユーザーにだけ閲覧権限を与えたり、ユーザーごとに付与する権限の範囲を変更したりすることも可能です。例えば、機密情報が含まれるファイルを社内に共有する際に、管理職などの特定のメンバーのみにファイルの共同編集の権限を与え、他の社内メンバーの権限は閲覧のみに制限することもできます。

この方法によって、社内メンバーによる機密情報の持ち出しや書き換え、削除などの内部不正を防げるようになります。

パスワード設定によるファイル保護

Teamsにアップロードするファイルは、パスワードを設定して簡単にアクセスできないようにしておくことも、セキュリティ対策として効果的です。Teamsには、アップロードされたファイルを暗号化する機能が備わっていて、第三者が不正にデータを入手しても読み取りが困難になるよう対策が施されていますが、パスワードを設定してより厳重に情報を保護することをお勧めします。

ただし、どれだけ厳重に対策をしても、日々進化するサイバー攻撃を完全に防ぐことは困難です。Teamsのファイル暗号化機能に頼るだけでなく、二重三重の対策を施して、情報漏洩のリスクを可能な限り軽減しましょう。

チームの作成権限の設定

Teamsでは、チームの作成権限を適切に設定することも、セキュリティを高める方法の1つです。Teamsの初期設定では、メンバーは誰でもチームを作れる設定になっているため、管理者の知らない間にチームが増えてしまう可能性があります。

管理者の目が行き届かないチームが増えると、セキュリティへの意識や取り組みにばらつきが生まれ、情報漏洩などの原因になることもあり得ます。情報漏洩が起こっても長期間気付けずに、迅速な対処がとれないこともあるかもしれません。チームを作成できる権限の範囲を限定し、社内で作られるチームを適切に管理しましょう。

チームの自動削除の設定

Teamsのセキュリティ対策では、チームの自動削除について設定しておくことも重要です。プロジェクトが完了したり、メンバーが異動したりして不要になったチームを放置していると、チームの管理が不十分になり、チームに残ったデータを持ち出される可能性があります。Teamsでは、チームごとに有効期限を設定できるため、使われていないチームを削除するのが効果的です。

チームの有効期限を設定すると、有効期限が切れる30日前、15日前、1日前にチームの所有者に通知が届き、チームを削除したくなければ期限延長の設定をすることができます。期限を延長せずにチームが削除されれば、チーム内で共有されていたチャット履歴やファイルなどのすべての情報にアクセスできなくなるため、誰も管理していないチームから情報が漏洩するリスクがなくなります。

チーム名の命名ルールの導入

チーム名に規則性がないと、管理や検索が煩雑になるため、チーム名の命名ルールを導入することも重要です。「部署名_プロジェクト名_作成年」という形にするなどのルールを設けることで、チームの可視性と管理効率が向上します。

チャット履歴の保持期限の設定

「チャット履歴」の保持期限の設定も、Teamsを利用する際に推奨されるセキュリティ対策です。Teamsでは、チャット履歴の保持期限を管理者が設定することができます。

チャットの履歴が削除されてしまうと、チャット上で情報漏洩が起こったときに、チャットログをさかのぼって事実確認できなくなってしまうため、チャット履歴の保持期限は無期限に設定しましょう。併せて、チャット履歴を定期的にエクスポートしておくと、万が一データが消えた際にもトラブルの原因特定をすることができます。

監査ログの確認

Teamsでは、メンバーの利用状況を後から確認したいときに役立つ「監査ログ」が保存されているため、監査ログを確認するのもセキュリティ対策として有効です。

監査ログを見れば、Teamsで共有されているファイルへのアクセスやダウンロード、チーム・チャネルの操作履歴、メッセージ送信などのアクティビティを確認できます。定期的にチェックしておけば、情報漏洩をしているメンバーがいた場合に、早期発見して迅速な対処ができるかもしれません。

保護ファイルの使用状況の追跡

TeamsにアップロードするOfficeファイルは、Microsoftが提供する情報保護サービス「Microsoft Purview 情報保護」で使用状況を追跡できるため、その機能によってセキュリティを高めることが可能です。

「Microsoft Purview 情報保護」の追跡機能では、アクセスが発生したドメインや場所などを追跡できるため、不正な持ち出しや不正利用の有無を即座に判断できます。

機密保持違反などの言動の自動監視

Teamsでは、システム内で行われる利益相反などの言動を自動監視する機能を活用することもできます。「Microsoft 365 E5 Compliance」など、対応するコンプライアンス ライセンスを契約していると、「インサイダー リスク管理」と呼ばれる機能を利用でき、Teams上のメッセージやファイル、会議内容を自動分析し、機密保持違反やインサイダー取引などの内部不正につながる言動を検知して管理者に通知することが可能です。場合によっては、情報漏洩などが起こる前に対処することもできます。

多要素認証の導入

Teamsへのログインについては、多要素認証を導入することもできます。通常のID・パスワード認証に加え、スマートフォンの認証アプリやSMSによるコード入力など、複数の認証要素を組み合わせることで、不正ログインのリスクを大幅に低減できます。