最近社内でTeamsのセキュリティについて話題になる事があるので記事にまとめようと思います。この記事はマイクロソフト「Microsoft 365」担当バイスプレジデントのコメントを私なりにまとめ直したものなのでかなりマイクロソフトよりの発言であることを冒頭述べて置きます。
全体像
マイクロソフトは「Teamsでプライバシーとセキュリティの保護を最重視し、会議に参加する人と会議情報にアクセスできる人を管理できるようにする。」としています。
例えば、会議中に参加者を削除し、「発表者」と「出席者」を指定して制御することもできます。どの会議参加者がコンテンツを提示できるか、コンテンツの投稿と共有を許可するユーザーと許可しないユーザーも制御することができます。
プライバシーの保護
Teamsを使用すると、我々は最も価値のある資産の1つであるデータと個人情報をマイクロソフトに委託することになってしまいます。マイクロソフトはプライバシーに対するアプローチを、データの収集、使用、および配布について透明性を提供すると言っています。以下はその取り組みの抜粋です。
- Teamsデータを使用して広告を配信することはありません。
- Teamsミーティングでは、参加者の注意やマルチタスクを追跡しません。
- サブスクリプションの終了または有効期限が切れると、データは削除されます。
- データへのアクセスが制限されるように強力な対策を講じ、政府のデータ要求に対応するための要件を慎重に定義します。
- 透明ハブで定期的に透明性レポートを提供し、サードパーティのデータ要求にどのように対応したかを詳しく説明しています。
セキュリティーの保護
多要素認証(MFA)を使用する事で、身元を証明するために2番目の検証フォームを提供するように要求することにより、ユーザー名とパスワードを保護します。このシンプルな2段階認証プロセスは、脆弱なパスワードや盗まれたパスワードを利用する攻撃からユーザーを保護することができます。
またセキュリティの脅威対策としてマイクロソフトは以下を明言しています。
データを保護し、サイバーセキュリティの脅威から守ります
セキュリティのリーダーとして、マイクロソフトは毎日8兆を超えるセキュリティシグナルを処理し、それらを使用してセキュリティの脅威からプロアクティブに保護します。チームでは、送信中および保存中のデータを暗号化し、データセンターの安全なネットワークにデータを保存し、ビデオ、オーディオ、およびデスクトップ共有にSecure Real-time Transport Protocol(SRTP)を使用します。
90以上の規制および業界標準を満たしています
Teamsは、グローバル、国、地域、業界固有の規制に準拠するために、HIPAA、GDPR、FedRAMP、SOC、および家族の教育上の権利とプライバシーに関する法律(FERPA)を含む90以上の規制基準と法律のサポートを約束します。
これらの約束を果たすために構築した機能の詳細については、Microsoft Teamsのプライバシーとセキュリティに関する詳細な投稿を参照するか、Teams製品のドキュメントを参照してください。また、チームを含むすべての製品におけるセキュリティ、コンプライアンス、プライバシーへの取り組みについて詳しくは、マイクロソフトセキュリティセンターにアクセスしてください。
まとめ
セキュリティ視点で言えば現時点で「Microsoft Teams が一番安全なWeb会議ソリューション」の1つである事は疑う必要のない事実です。
「セキュリティに不安があるから自社内でWeb会議システムを作るんだ!」と言う声も聞こえてくる場合がありますが、脅威の検証や法律・規制の対応などを自社SEに丸投げされると非常に困ります。実質対応は不可能です。その様な場合は「自社で固めてしまうのは他社とのコラボレーションを辞退してしまう悪手です。自社の枠を超えた取り組みを行わないと会社として生き残れません。」と上申してみましょう。
この記事がWeb会議システム導入に悩まされているSEへの一助になればと思います。
この記事へのコメントはありません。