【Teams】Insider Risk Managementで異常な大量ファイル共有を検知する設定

Office・仕事術
【Teams】Insider Risk Managementで異常な大量ファイル共有を検知する設定
🛡️ 超解決

Microsoft Teamsで、組織内の機密情報が意図せず外部に共有されていないか、心配になることはありませんか。

大量のファイルが短時間で共有されるなどの異常なアクティビティは、情報漏洩の兆候かもしれません。

この記事では、Microsoft 365のInsider Risk Management(IRM)を活用して、Teamsにおける異常な大量ファイル共有を検知・管理するための設定手順を解説します。

これにより、組織のセキュリティリスクを低減し、情報資産を保護するための具体的な方法を習得できます。

【要点】Teamsでの異常な大量ファイル共有を検知・管理する設定

  • Insider Risk Managementポリシーの作成: 異常なファイル共有アクティビティを定義し、検知するためのポリシーを設定します。
  • アクティビティの監視とアラート設定: ポリシーに違反するアクティビティが発生した場合に、管理者に通知されるアラートを設定します。
  • 調査と対応手順の確立: 検知されたインシデントに対して、迅速かつ適切に対応するための調査フローを定めます。

ADVERTISEMENT

Insider Risk Managementの概要と異常ファイル共有検知の仕組み

Insider Risk Management(IRM)は、Microsoft 365のコンプライアンス機能の一つです。組織内のユーザーによる意図的または偶発的な情報漏洩、不正行為、セキュリティポリシー違反などを検知・調査・対処することを目的としています。

Teamsにおける異常な大量ファイル共有を検知する仕組みは、IRMが収集する様々なアクティビティログに基づいています。具体的には、ユーザーがTeamsチャットやチャネル内で共有したファイルの数、共有先の外部ユーザー数、共有されたファイルの機密性ラベルなどを分析します。

これらのデータから、通常では考えられないほどのファイルが短期間に共有されたり、機密性の高い情報が不適切に共有されたりするパターンを「異常」と判断し、管理者にアラートを通知します。

この機能を利用するには、Microsoft 365の適切なライセンス(例: Microsoft 365 E5、Office 365 E5 Compliance、Microsoft 365 E5 Security)が必要です。また、IRMの設定と管理には、グローバル管理者またはコンプライアンス管理者の権限が求められます。

お探しの解決策が見つからない場合は、こちらの「Teams/Outlookトラブル完全解決データベース」で他のエラー原因や解決策をチェックしてみてください。

Teamsでの異常ファイル共有を検知するポリシー作成手順

Insider Risk Managementで異常な大量ファイル共有を検知するには、まずMicrosoft Purviewコンプライアンスポータルで専用のポリシーを作成します。このポリシーで、どのようなアクティビティを「異常」とみなし、どのように対応するかを定義します。

ポリシー作成ウィザードの開始

  1. Microsoft Purviewコンプライアンスポータルにアクセスする
    Webブラウザで「https://compliance.microsoft.com/」にアクセスし、管理者アカウントでサインインします。
  2. Insider Risk Managementに移動する
    左側のナビゲーションメニューから「ソリューション」を展開し、「Insider Risk Management」を選択します。
  3. ポリシーの作成を開始する
    ポリシー」タブを選択し、「ポリシーの作成」ボタンをクリックします。

ポリシーテンプレートの選択

  1. テンプレートの選択画面
    ポリシーの作成」ウィザードが表示されたら、「テンプレートの選択」画面で「データ漏洩の管理」セクションを探します。
  2. 「機密データの共有」テンプレートを選択する
    機密データの共有」テンプレートを選択し、「次へ」をクリックします。このテンプレートは、機密情報が不適切に共有されるシナリオを検知するために設計されています。

ポリシー設定の構成

  1. ポリシー名の入力
    ポリシーの設定」画面で、「名前」にポリシーを識別できる名前(例: 「Teams大量ファイル共有監視ポリシー」)を入力します。「説明」には、ポリシーの目的や内容を具体的に記述します。
  2. アクティビティの選択
    アクティビティの選択」セクションで、監視したいアクティビティを選択します。Teamsにおける異常なファイル共有を検知するために、以下の項目を選択することが推奨されます。
    • SharePoint サイトにファイルをアップロードする
    • SharePoint サイトからファイルをダウンロードする
    • Teams チャットまたはチャネルでファイルを共有する
    • Teams チャットまたはチャネルでファイルを共有する (外部)
    • OneDrive にファイルをアップロードする
    • OneDrive からファイルをダウンロードする

    次へ」をクリックします。

  3. アクティビティのしきい値の設定
    アクティビティのしきい値」画面では、どのアクティビティが「異常」とみなされるかの条件を設定します。Teamsでの大量ファイル共有を検知するため、以下の設定が考えられます。
    • 「Teams チャットまたはチャネルでファイルを共有する」: 1日あたり100件を超えるファイルを共有した場合
    • 「Teams チャットまたはチャネルでファイルを共有する (外部)」: 1日あたり50件を超えるファイルを外部と共有した場合
    • 「SharePoint サイトにファイルをアップロードする」: 1日あたり200件を超えるファイルをアップロードした場合

    これらの数値は組織の通常の使用状況に応じて調整してください。しきい値の設定は、誤検知を減らすために重要です。「次へ」をクリックします。

  4. 除外するユーザーの設定
    除外するユーザー」画面では、このポリシーの監視対象から除外したいユーザーやグループを指定できます。通常、この設定は空のままにしておくのが一般的ですが、特定の役割を持つユーザーなど、除外が必要な場合はここで設定します。「次へ」をクリックします。
  5. インシデントのトリガー
    インシデントのトリガー」画面では、ポリシー違反が検出された際のインシデントの優先度を設定します。通常は「」または「」を選択し、「次へ」をクリックします。

アラートと調査の設定

  1. アラートの設定
    アラート」画面では、ポリシー違反が検出されたときに誰に通知するかを設定します。「アラートの追加」をクリックし、通知を受け取るユーザーまたはグループ(例: セキュリティチーム、コンプライアンス担当者)を指定します。通知頻度(例: 毎日、毎週)も設定できます。「次へ」をクリックします。
  2. 調査の設定
    調査」画面では、インシデントが発生した場合の調査担当者を指定します。通常は、アラートを受け取るユーザーと同じ担当者を指定することが多いです。「次へ」をクリックします。
  3. レビューと送信
    レビューと送信」画面で、これまでに設定した内容を確認します。問題がなければ、「送信」ボタンをクリックしてポリシーを保存・有効化します。

ポリシーの作成には、数分から数時間かかる場合があります。作成が完了すると、設定した条件に基づいてTeamsやOneDrive、SharePointでのファイル共有アクティビティが監視されるようになります。

検知されたインシデントの調査と対応

Insider Risk Managementポリシーが有効になると、定義されたしきい値を超える異常なファイル共有アクティビティが検出された場合に、インシデントが生成されます。これらのインシデントを適切に調査し、対応することが重要です。

インシデントキューの確認

  1. Microsoft Purviewコンプライアンスポータルにアクセスする
    「https://compliance.microsoft.com/」にアクセスします。
  2. Insider Risk Managementに移動する
    左側のナビゲーションメニューから「ソリューション」>「Insider Risk Management」を選択します。
  3. インシデントキューを確認する
    インシデント」タブを選択すると、検出されたインシデントの一覧が表示されます。各インシデントには、発生日時、関与したユーザー、ポリシー名、優先度などの情報が含まれています。

インシデントの詳細調査

  1. インシデントを選択する
    調査したいインシデントをクリックして、詳細画面を開きます。
  2. アクティビティの詳細を確認する
    詳細画面では、インシデントを引き起こした具体的なアクティビティ(どのファイルが、いつ、誰によって、どのように共有されたか)を確認できます。Teamsのチャットやチャネルでの共有、外部共有の有無なども表示されます。
  3. 関連ドキュメントの確認
    共有されたファイル自体の内容や、機密性ラベルが付与されているかなども確認できる場合があります。
  4. ユーザーのコンテキスト情報を確認する
    関与したユーザーの過去のアクティビティ履歴や、所属部署などのコンテキスト情報も確認し、状況を把握します。

対応アクションの実行

  1. インシデントのステータス更新
    調査の結果、ポリシー違反と判断された場合、インシデントのステータスを「進行中」や「解決済み」などに更新します。
  2. アラートの解除またはエスカレーション
    誤検知であった場合はアラートを解除し、実際に情報漏洩の可能性がある場合は、組織のセキュリティインシデント対応プロセスに従って、関係部署(例: 法務部、人事部、情報セキュリティ部門)へエスカレーションします。
  3. 是正措置の検討
    必要に応じて、共有されたファイルのアクセス権限の取り消し、対象ユーザーへの注意喚起、トレーニングの実施などの是正措置を検討・実行します。
  4. インシデントのクローズ
    調査と対応が完了したら、インシデントを「クローズ」します。クローズする際には、対応内容を記録として残しておくと、将来の参考になります。

IRMの調査機能は、Microsoft 365の他のコンプライアンス機能(例: データ損失防止(DLP)ポリシー、電子情報開示(eDiscovery))と連携させることで、より包括的なセキュリティ管理が可能になります。

ADVERTISEMENT

新しいTeams (v2) との関連性・注意点

Microsoft Teamsは、新しいTeams (v2) への移行が進んでいます。Insider Risk Managementの機能自体は、Teamsのバージョンに依存せず、Microsoft 365のバックエンドサービスとして動作します。

したがって、新しいTeams (v2) を利用している環境でも、Insider Risk Managementのポリシー設定やインシデント調査は、Microsoft Purviewコンプライアンスポータルを通じてこれまで通り行うことができます。

ただし、新しいTeams (v2) では、UIや一部の機能の動作が変更されている可能性があります。ファイル共有のインターフェースや、共有時のオプションなどが若干異なる場合でも、IRMが監視するアクティビティ(例: 「Teams チャットまたはチャネルでファイルを共有する」)の根本的なイベントは引き続き記録されます。

新しいTeams (v2) 環境でIRMの運用を行う上で、特に注意すべき点は以下の通りです。

新しいTeams (v2) での確認事項

1. 共有アクティビティの正確な把握

新しいTeams (v2) でファイルが共有される際、どの種類の共有(チャット、チャネル、外部共有)に該当するかをIRMが正確にログとして記録できているかを確認します。通常、Microsoft 365の監査ログは変更されませんが、UIの変更に惑わされないよう、IRMのインシデント詳細画面で共有の種類が正しく表示されるかを定期的にチェックすることが推奨されます。

2. 監査ログの保持期間

IRMはMicrosoft 365の監査ログに依存しています。組織の監査ログ保持ポリシーが、IRMによるインシデント調査に必要な期間(例: 90日、1年)を満たしていることを確認してください。保持期間が短い場合、過去のアクティビティを遡って調査できなくなる可能性があります。

3. ライセンスと権限の確認

Insider Risk Managementを利用するには、前述の通り特定のMicrosoft 365ライセンスが必要です。新しいTeams (v2) 環境でも、これらのライセンスがユーザーに割り当てられているか、またIRMを管理する担当者に適切な管理者権限が付与されているかを確認してください。特に、新しいTeams (v2) の管理機能とMicrosoft 365コンプライアンス機能の権限体系を混同しないように注意が必要です。

4. ポリシーの定期的な見直し

Teamsの利用状況や組織のセキュリティポリシーは変化します。新しいTeams (v2) の導入に伴い、ファイル共有のパターンが変わる可能性もあります。そのため、作成したIRMポリシーのしきい値や監視対象アクティビティを定期的に見直し、組織の実情に合っているかを確認することが重要です。

Mac版・モバイル版・Web版との違い

Insider Risk Managementの機能自体は、Microsoft 365のバックエンドサービスとして提供されます。そのため、ユーザーがTeamsを利用するデバイスやプラットフォーム(Windows、Mac、Webブラウザ、モバイルアプリ)によって、IRMによる監視やポリシー設定に根本的な違いはありません。

Teamsのデスクトップアプリ(Windows版、Mac版)、Web版、モバイルアプリ(iOS版、Android版)のいずれからファイルが共有されたとしても、そのアクティビティはMicrosoft 365の監査ログに記録され、IRMのポリシーによって検知・監視されます。

ただし、各プラットフォームのUIや機能の制約により、ファイル共有の操作方法や利用できるオプションが異なる場合があります。例えば、モバイルアプリではデスクトップ版ほど多くのファイルを一度に共有する操作が直感的でないかもしれません。しかし、IRMが検知する「共有アクティビティ」というイベント自体はプラットフォームを横断して収集されます。

管理者がIRMポリシーを設定・管理する際には、常にMicrosoft Purviewコンプライアンスポータル(Webブラウザ経由)を使用します。この管理インターフェースは、どのプラットフォームからユーザーがTeamsを利用しているかに関わらず、一貫した操作性を提供します。

まとめ

Microsoft Teamsにおける異常な大量ファイル共有を検知するために、Insider Risk Managementの活用は非常に有効です。

この記事で解説したポリシー作成手順とインシデント調査フローを実践することで、組織の情報漏洩リスクを低減し、セキュリティ体制を強化できます。

今後は、作成したポリシーのしきい値や監視対象アクティビティを定期的に見直し、新しいTeams (v2) 環境での運用状況も考慮しながら、継続的にセキュリティ監視体制を最適化していくことをお勧めします。

👥
Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。

ADVERTISEMENT

この記事の監修者
🌐

超解決 リモートワーク研究班

Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。

解決 関連記事でさらに詳しく

Office・仕事術の人気記事ランキング