
SHAREPOINTに潜む危機
見通しが立たない。選択肢がない。
コントロールできない・・・。
SharePoint内の可視性の欠如:ベッドの下の怪物には気づけない
ハッキングされた場合の被害対応手段の欠如:怪物を追い出せない
サイバー攻撃を特定できたとしても、SharePointではアクセス権を削除することがほぼ不可能です。
AIの登場により、フィッシングメールに騙されやすくなっています。AIは実在の社員データを使い、どんな言語でも説得力のある文章を瞬時に生成できます。さらに、サイバー攻撃が成功する主な要因は今なお人的ミスです。
- SharePointの可視性は非常に低く、さらに、自社にリスクをもたらす権限を削除することはそれ以上に困難です。
- M365の初期設定は安全とは言えず、Teamsファイルを共有する際に匿名の共有リンクを生成してしまいます。
- M365のサインインブロック機能は、不満を抱えた退職者などのアクセス権を削除するのに非常に時間がかかることがあります。
過剰で増加し続ける権限がコンプライアンスの壁:怪物を止められない
サイバー攻撃を特定できたとしても、SharePointではアクセス権を削除することがほぼ不可能です。
従業員数約400人の企業でも、SharePoint内に200万件のファイルを保有し、個別のアクセス権は10万件を超えることも珍しくありません。
- SharePoint内で、どのユーザーが何にアクセスできるのかを特定するのは骨の折れる作業です。
- 組織内の誰一人として、この権限のジャングルを監視できていないのが実情です。その結果、権限は増加の一途をたどり、サイバー犯罪者に対して大きく門戸を開くことになります。
- 管理者は、どのユーザーがどのグループに属しているかを把握できず、データセキュリティについて誤った前提に基づいた判断をしてしまう恐れがあります。
問題は、 社員は自社データを外部に流出させてしまう可能性を持っている、ということ。
たとえそれに気づき、止めたいと思っても、そのための時間やリソースが不足していることが多いでしょう。
その結果、業務データや機密情報が漏えいし、金銭的損失やブランドイメージの毀損を招く恐れがあります。
そして、それらの多くは取り返しがつきません。
SharePointに潜む問題
SharePointには、ファイルの権限を設定するための様々なオプションが用意されています。しかし、ハッカーや内部の不正な社員といった悪意ある人物が、実はSharePoint内で自社の機密情報をすべて外部に晒すことができ、しかもあなたがそれにまったく気づけない可能性があることをご存じでしょうか。
フォルダの中に隠れる大量の項目
SharePointには階層的な表示機能がありません。フォルダを開くと、その中にさらに多くのフォルダやファイルが存在することがあります。必要なものを見つけるには、すべてのフォルダとファイルを一つひとつ確認しなければならず、しかもそれぞれについて権限を把握するために複数の画面やタブを開く必要があります。
ユーザーの隠れたアクセス権
権限やアクセス権について調べようとしても、一目で情報を得ることはできません。情報にたどり着くには、何度もクリックを重ねる必要があります。そしてようやく情報を見つけたとしても、SharePointはユーザー数について依然として不透明です。たとえば、ようやくアクセス権の情報を見つけ、あるサイトが4人だけと共有されていることを確認したとします。しかし、もう一度クリックしてみると、実は5人だった、ということも起こり得ます。
グループの背後に隠れたアクセス権
グループを含む権限を確認しても、SharePointはクリックしただけではそのグループのメンバーを表示してくれません。「WeLikeBananas」というグループには、一体誰が所属しているのでしょうか。
M365のActive Directory(Entra)にはグループ情報がありますが、問題は誰もがそこにアクセスできるわけではないということです。つまり、必要な情報を取得できるのはM365の管理者だけです。では、別のグループ「SUPA SECRET」を確認してみましょう。AD(Entra)内でこのグループを探してみます。
しかし、見つかりません。なぜでしょうか。それは、グループの情報がM365 AD(Entra)と、旧来の権限管理体系であるSharePointグループという、2つの場所に分かれて存在しているからです。「SUPA SECRET」を確認するには、そのサイトの詳細な権限設定画面を開く必要があります。しかも、モダンSharePointではなく、旧UIでなければなりません。それでも、まだ「SUPA SECRET」のメンバーは見つかりません。
見えるのは、あるメールアドレスだけです。そしてそこから、フォルダの権限として、SharePointグループの中にM365グループが入れ子になっているのではないかと推測せざるを得ません。ここまで複雑になっていることがお分かりいただけるでしょうか。そして、ようやくそこにたどり着いたとしても、さらにその入れ子になったグループの奥に、別のゲストユーザーが隠れていたことが判明するのです。
権限レベルの裏に隠された「フルアクセス」権限
権限レベルは管理者が独自に設定することも可能です。悪意ある人物は、「read(読み取り)」という名前でありながら実際には「フルコントロール」権限を持つレベルを作成することができ、これによりメンバーはそれが本当に「読み取り」権限だと思い込んでしまいます。
実際の権限を確認するために権限レベルをチェックしても、SharePointは正規の「Read」権限を表示するだけで、この偽の「read」権限は表示されません。そのため、ユーザーは「read」という権限レベルが無害なものだと誤解してしまうのです。
ドキュメントライブラリを使ったデータの持ち出し
管理者は、他のSharePointメンバーからは見えず、アクセスもできないような、秘匿されたロック状態のドキュメントライブラリを作成することができます。これにより、企業内のすべてのファイルをこの隠しライブラリにコピーすることが可能になります。
そのうえで、ゲストユーザーにこの隠しライブラリへのフルアクセス権を、誰にも気づかれることなく付与することができてしまうのです。
解決策
365 Permission Managerでコントロールを取り戻し、リスクを排除する
M365管理者、あるいはCISOの方であれば、誤って付与された権限を特定・排除するために、まさに365 Permission Managerが必要です。コンプライアンス体制の強化、違反の監視を可能にし、管理業務を格段に楽にするとともに、隠れた権限を分かりやすく一覧で把握できるようにします。
可視化によって
ベッドの下の怪物を見つけ出す
フォルダーツリービュー
SharePointフォルダをツリー形式で表示します。すべてのフォルダとその権限を一目で確認できるため、隠れたアクセス権は存在しません。
ファイルやフォルダごとの権限、そして誰がアクセスできるかを分かりやすく一覧表示します。
多くの手段を駆使して
怪物を排除する
一括操作とレポート
365 Permission Managerを使えば、管理者はユーザーが実際に何を閲覧できるかを把握できます。あるユーザーのアカウントが侵害された場合でも、1つの画面からワンクリックですべての権限を簡単に削除できます。
M365の標準設定では、ユーザーのオフボーディング(アクセス権削除)完了までに数時間かかります。これは、アカウントが悪用された場合にリスクとなり得ます。Permission Managerには、オフボーディングが完了するまでの間、そのユーザーが一切のアクセスをできないようにする機能が備わっています。
さらに、あるユーザーがどのファイルにアクセスできるか、また全サイト/OneDriveにわたるすべての権限を調査するためのレポートを作成することも可能です。
フルコントロールで
怪物の侵入を許さない
完全な把握と完全な権限
365 Permission Managerのすべての機能は分かりやすく設計されており、CISOや管理者の方に、現在および将来の権限に対する完全な権限を与えます。
共同での説明責任:CISOとして、自社のルールや各国の法規制に沿った独自のコンプライアンスポリシーを策定できます。
監査・レポート機能を通じて個々の社員を巻き込むことで、CISOの業務負担を軽減しつつ、社員一人ひとりが権限についての意識を高め、より大きな権限を持てるようになります。
365 PERMISSION MANAGERについて詳しく知る

記事を読む
Microsoftの多くの技術と同様に、下位互換性を重視する姿勢は、長年にわたり企業にとって強みとなってきました。オンプレミスのSharePoint Serverに多額の投資を行い、何千もの活発なサイトと数テラバイトものデータを抱える組織が、これをSharePoint Onlineへ移行する場面を想像してみてください。この互換性は不可欠な要件です。
しかしその一方で、恐ろしいセキュリティ上のリスクも伴います。現実として、今日多くの企業がすでに侵害を受けている可能性があり、悪意ある人物が発見されることなくほぼ自由に、貴社にとって最も貴重な知的財産データを持ち出しているかもしれません。

動画を見る
リモートワークの普及、外部フリーランサーとの協業、そしてMicrosoft Teamsやメールを使ったファイル共有の増加に伴い、権限管理の重要性はますます高まっています。
このエピソードでは、SharePointが抱える複雑さについて解説するとともに、アクセス管理のコントロールを取り戻すための方法をご紹介します。ぜひご視聴ください。
製品トライアル(無償)をご依頼ください!

今すぐ製品トライアル(無料)を申し込み、コンプライアンス体制を強化しましょう。
使いやすいGRC(ガバナンス・リスク・コンプライアンス)サービスで、Microsoft 365の権限管理、コンプライアンスポリシーの適用、違反の監視を手間なく実現します。