Chat with us, powered by LiveChat
Compilance Header

SharePointに潜む権限に関するセキュリティ上の懸念

執筆者 Paul Schnackenburg / 15.07.2026 /

SharePointは、Microsoft 365におけるコラボレーションとファイル共有の柱であり、その起源は2001年に登場したSharePoint Serverにまで遡ります。多くの組織は、Microsoftがホストする形のSharePoint Onlineを利用しており、今や「配管」のような基盤技術になっています。つまり、根幹を支える存在でありながら普段は目立たず、正常に動かなくなって初めてその存在に気づかれる、というものです。

これは、Microsoft 365内でのSharePointの使われ方を見るとさらに顕著です。おそらくみなさんも、チームや部門、国ごとにSharePointサイトを持っていることでしょう。しかし、SharePointサイトはそれだけでなく、全社員のOneDrive for Businessのファイルストレージのバックエンドとしても使われています。そして、Teamsでファイルやフォルダを共有する場合も、実はそのストレージの裏側にはSharePointがあります。つまり、SharePointサイト内のデータだけでなく、こうした他の場所に保存されているデータについてもガバナンスを効かせる必要があるのです。そして、これからお見せする通り、SharePoint内のデータアクセスを統制することは非常に困難です。

こうした歴史的経緯には、負の側面もあります。SharePointはオンプレミスのソフトウェアとして誕生し、現在ではホスト型サービスとして稼働しているという成り立ちは、深刻なセキュリティ上の重荷をもたらしています。本記事では、セキュリティリスクにつながりかねない権限の可視性の低さと、隠れたグループや隠れたユーザーがその状況をさらに悪化させている実態をご紹介します。さらに、カスタム権限レベルが権限付与において悲惨な結果を招きかねないこと、そしてユーザーアクセスの手作業による管理がセキュリティ上のミスを生む温床となっていることについても触れます。最後に、カスタムのドキュメントライブラリが攻撃者の隠れ家になり得ることもご説明します。

言い換えれば、みなさんのSharePoint環境はすでに攻撃者に侵入されているかもしれず、しかもそれに気づいていない可能性があるのです。少なくとも、貴社の権限設定はゼロトラストの原則の一つである「最小権限」の考え方には沿っていない可能性が高いでしょう。

多くのCISOやセキュリティ専門家は、ランサムウェアのような「派手な」脅威に注目しがちです。しかし、攻撃者が取り得る手口は他にも数多くあることを認識しておくことが重要です。たとえば、1つのユーザーアカウントを侵害できた攻撃者は、SharePoint内の取引先請求書フォルダなどをひそかに監視し続けるかもしれません。そして、これらの書類を収集した上で、支払先の情報を書き換えるという、典型的なビジネスメール詐欺(BEC)の手口を、この場合はメールを介さずに実行する可能性もあるのです。

可視性のギャップ

本記事の大部分では、SharePointサイト内のDocumentsフォルダーに焦点を当てます。ほとんどのサイトはファイル共有のために利用されているためです。

従来のファイル共有と比べた根本的な違いは、目に見えるフォルダーツリーの階層構造が存在しないことです。サブフォルダーの中にさらにサブフォルダーを作成することは可能で、どのフォルダーにもファイルを配置できますが、その階層構造を簡単に可視化する方法はなく、中身を確認するには一つひとつのフォルダーをクリックして開いていく必要があります。

さらに、どのユーザーアカウント、グループ、あるいは外部のゲストユーザーが各フォルダー(そして各ファイルにも異なる権限が設定され得ます)に対してアクセス権を付与されているかを実際に確認するには、そのオブジェクトをクリックし、「アクセスの管理」に進んで、誰がアクセスできるかを確認する必要があります。

2つ目の課題は、特定のフォルダーに権限を付与されているグループの名前は確認できるものの、「アクセスの管理」ダイアログ上では、そのグループに所属するユーザーアカウントを確認できないという点です。グループ名をクリックしてもメンバーの一覧は表示されず、実際のところ何も起こりません。

あるグループに所属するユーザーアカウントを確認するには、Microsoft 365管理センター(https://admin.microsoft.com)またはEntra IDポータル(https://entra.microsoft.com)のいずれかにアクセスする必要があります。管理者であればこれらのポータルにアクセスできますが、たとえばSharePointチームサイトの所有者である部門マネージャーが、自分のチームサイト内の各ドキュメントフォルダに誰がアクセスできるのかを確認しようとしても、IT部門に問い合わせない限り、この作業を完結させることはできません。

さらに厄介なことに(これも前述したSharePoint Serverからの歴史的経緯によるものですが)、SharePoint自体には、Microsoft 365管理センターにもEntra IDポータルにも表示されず、SharePoint管理センター(こちらも一般ユーザーはアクセスできません)でしか確認できないグループの種類が存在します。そのグループの中にさらに入れ子になったグループがあれば、先ほど挙げた3つの管理センターのいずれかを行き来して、それらのグループを探し出さなければならないこともあります。さらに、あるグループに権限を付与する際、そのグループの中にユーザー1人とグループが1つ含まれていた場合、画面上は「2人に権限を付与しています」と表示されますが、実際にはその入れ子になったグループの中に何百ものユーザーアカウントが含まれている可能性もあるのです。

Hornetsecurityの365 Permission Managerは、こうした可視性の問題を根本的に解決します。あるサイト、フォルダ、ファイルに対して権限を持つすべてのユーザーを表示するだけでなく、その権限がサイトから継承されたものか、そのオブジェクト固有のものかも分かります。また、組織外の特定の人物と共有されている場合や、匿名リンクが作成されている場合など、外部共有の状況も可視化します。

もう一つの革新的な機能は、選択したユーザーの「視点」からSharePoint/OneDrive for Businessのサイトを確認できる機能です。そのユーザーアカウントが、具体的にどのサイト・フォルダ・ドキュメントにアクセスできるのかを把握できます。これは、フォレンジック調査(侵害されたアカウントの持ち主が、どのデータにアクセスできたのか)、内部脅威の調査(悪意ある社員が及ぼし得る被害範囲はどこまでか)、そしてデータガバナンス(自社の権限設定はデータアクセスポリシーに合致しているか)といった場面で役立ちます。

権限レベル

SharePoint Onlineでは、フォルダやファイルに対して「所有者」「編集可能」「表示可能」「ダウンロード不可(ローカルへの保存はできず閲覧のみ)」という4つのアクセス権限レベルが用意されています。しかし、SharePoint Serverには今もなお、より包括的なモデルが存在し、複数の組み込み権限レベルに加え、カスタム権限レベルを作成する機能も備わっています。

これによって生じる最初の問題は、あるオブジェクトに付与された権限を確認する際、UI上ではもっとも近い権限レベルに「丸め込まれて」表示されることです。たとえば「デザイン」は、「編集」よりも多くの権限を付与するレガシーな権限レベルですが、UI上では「編集」として表示されてしまいます。

しかし、さらに恐ろしいのは、組み込みの権限レベルと同じ名前(たとえば「read」)を持つカスタム権限レベルを作成できてしまうことです。このレベルには、あらゆる権限を付与することが可能です(決して「read」という名前通りの読み取り専用ではありません)。これにより、権限をざっと確認しただけでは、あるグループやユーザーが読み取り権限しか持っていないと思い込んでしまう事態が生じるだけでなく、仮に「read」と「Read」という2つの権限レベルが存在することに気づいて調査しようとしても、UIには組み込みの権限レベルが表示され、カスタムのものは表示されません。カスタム権限レベルが組み込みのものと同じ名前を持つ場合、SharePointのURLは大文字・小文字を区別しないため、組み込みの権限レベルが表示されてしまうのです。

365 Permission Managerは、こうしたカスタム権限レベルを可視化し、SharePoint Online環境全体に可視性とガバナンスをもたらします。また、組み込みのポリシーを利用したり、さまざまな種類のサイトに適用できる独自のカスタムポリシーを作成したりすることも可能です。これにより、どのサイトが自社のポリシーの意図から逸脱しているかが分かり、ワンクリックで権限を是正できます。

サイト権限とドキュメントライブラリ権限の違い

もう一つのリスクは、サイト全体の権限とは異なる、ドキュメントライブラリ独自のカスタム権限を設定できてしまうことです。

一度権限が付与されると、監査を行った際にその権限を確認することはできますが、UI上でそれを変更することはできません。

この場合も、365 Permission Managerがこうした不整合を検出し、ポリシーからの逸脱として可視化した上で、便利なToDoリストに優先度付きで表示し、是正作業をサポートします。

隠されたドキュメントライブラリ

通常、SharePointサイトには単一のDocumentsフォルダーが存在しますが、それとは別に新たなライブラリを作成することも可能です。さらに、それをサイトのナビゲーションから非表示にする(つまり、他の誰にもその存在を知られないようにする)ことや、自分以外のすべてのユーザーの権限を削除し、自分だけがアクセスできるようにすることもできます。これは事実上、データ持ち出しの経路を作り出すことになります。攻撃者は、サイト内の機密文書をこの独自のドキュメントライブラリにコピーし、場合によっては定期的にアクセスして最新版のファイルを取得し続け、最終的に自分の端末にダウンロードすることができてしまうのです。

これは、侵害されたSharePointサイトにおいて非常に大きなリスクとなります。もちろん、365 Permission Managerは、こうしたカスタムの隠しドキュメントライブラリとその権限を可視化し、是正できるようにします。

さらに、非常に便利な機能がもう一つあります。それは、あるアカウントに対するSharePoint/OneDrive for Businessデータへのすべてのアクセス権を一括で取り消せる機能です。あるアカウントが侵害されたと分かった場合、あらゆる場所でのアクセス権を手作業で取り消すのは非常に時間がかかりますが、365 Permission Managerなら、ボタン一つでそれを実行できます。


Microsoft 365の権限管理、コンプライアンスポリシーの適用、違反の監視を手間なく行うには、Hornetsecurityの365 Permission Managerをご活用ください。Microsoft 365環境を保護し、管理業務を簡単にします。


まとめ

Microsoftの多くの技術と同様に、下位互換性を重視する姿勢は、長年にわたり企業にとって強みとなってきました。オンプレミスのSharePoint Serverに多額の投資を行い、何千もの活発なサイトと数TBものデータを抱える組織が、これをSharePoint Onlineへ移行する場面を想像してみてください。この互換性は不可欠な要件です。

しかしその一方で、恐ろしいセキュリティ上のリスクも伴います。現実として、今日多くの企業がすでに侵害を受けている可能性があり、悪意ある人物が発見されることなくほぼ自由に、貴社にとって最も貴重な知的財産データを持ち出しているかもしれません。

だからこそ、自社のSharePoint環境全体に包括的なデータガバナンスを適用したいと考えるCISOには、365 Permission Managerが必要なのです。

ハッキングされてしまった! どうすればいい?

Hornetsecurityの365 Permission Managerを使えば、SharePoint環境のコントロールを取り戻し、即座に自社のビジネスを守ることができます。

ハッキングされてしまった!どうすればいい?

Hornetsecurityの365 Permission Managerを使えば、SharePoint環境のコントロールを取り戻し、即座に自社のビジネスを守ることができます。

  • ユーザーアクセス削除機能:
    365 Permission Managerのオフボーディング機能を使えば、ワンクリックでアクセス権を取り消し、即座に攻撃者の活動を止めることが可能です。これにより、それ以上の不正アクセスや情報漏えいを未然に防げます。
  • 「View as(視点確認)」機能:
    365 Permission Managerの「View as」機能を使えば、侵害されたユーザーがどのファイルにアクセスできたのかを把握可能です。この機能により、そのユーザーの視点からSharePointを確認できるため、不正アクセスの可能性がある箇所を特定し、是正措置を講じることが可能です。
  • フォレンジック用レポートの生成:
    セキュリティ侵害の被害範囲を正確に把握することは、効果的な対応とコンプライアンス対応の両面で欠かせません。365 Permission Managerを使えば、あるユーザーがどのファイルにアクセスできたか、そしてすべてのSharePointサイトおよびOneDrive for Business内の権限の全容を示す、詳細なフォレンジックレポートを生成可能です。この情報は、侵害の範囲を特定し、被害状況を評価し、今後同様のインシデントを防ぐために必要なセキュリティ対策を講じる上で、非常に貴重な材料となります。

FAQ

SharePointにおける隠れた権限に関する主なセキュリティ上の懸念は何ですか?

SharePoint内の隠れた権限は、管理者やユーザーが気づかないうちに不正アクセスを許してしまう可能性があるため、重大なセキュリティリスクとなります。主な問題点は以下の通りです。

可視性の欠如:
SharePointの権限設定は複雑で不透明なため、誰が何にアクセスできるのかを把握するのが困難です。これには、権限が容易には確認できない隠れたグループやユーザーも含まれます。

カスタム権限レベル:
カスタム権限は誤解を招く可能性があります。たとえば、「read(読み取り)」という名前の権限レベルが、実際にはフルアクセス権を持っている場合があり、適切に管理されていなければセキュリティ侵害につながりかねません。

隠れたドキュメントレベル:
攻撃者は、自分だけがアクセスできる隠れたドキュメントライブラリを作成し、検知されることなくデータを持ち出すことができます。こうした隠しライブラリはSharePointのナビゲーション上では見つけにくく、大きなリスクとなります。

365 Permission Managerは、SharePointにおけるセキュリティリスクの軽減にどのように役立ちますか?

365 Permission Managerは、SharePointのセキュリティとガバナンスを強化するため、以下のような機能を提供します。

可視性の向上:
サイト、フォルダ、ファイルに対するすべてのユーザー、グループ、権限を、継承された権限か固有の権限かも含めて表示します。この包括的な可視性により、隠れたアクセスの問題を特定し、対処することができます。

権限管理:
カスタム権限レベルや不整合を可視化し、管理者がポリシーに沿って権限を標準化できるようにします。これにより、設定ミスによるアクセス権のリスクを軽減します。

アクセス制御:
侵害されたアカウントについて、ワンクリックですべてのアクセス権を取り消せる機能を提供し、セキュリティインシデントへの迅速な対応と、それ以上の不正アクセスの防止を実現します。

Hornetsecurityは、SharePoint環境の保護にどのように役立ちますか?

Hornetsecurityの365 Permission Managerは、すべてのユーザー権限に対する包括的な可視性を提供し、カスタム権限レベルの管理・標準化を行い、侵害されたアカウントのアクセス権を即座に取り消せるようにすることで、セキュリティを強化します。これにより、堅牢なデータガバナンスとセキュリティインシデントへの迅速な対応が可能になります。