SharePoint Onlineのドキュメントライブラリを社内で共有していると、外部公開用の資料と社内限定の資料が同じライブラリに混在してしまうケースがよくあります。意図せず機密情報が外部に漏れるリスクを避けるためには、明確な区別とアクセス制御が欠かせません。本記事では、公開資料と社内資料を効果的に分ける具体的な方法を、実務の視点から解説します。管理画面の操作手順や注意点も含めて、すぐに実践できる内容をまとめました。
【要点】この記事で確認すること
- 最初に見る場所: 現在のライブラリのアクセス許可設定と、資料の機密レベルを確認します。
- 切り分けの軸: 「アーキテクチャ(フォルダー分割)」「メタデータとアイテムレベルの権限」「セキュリティグループとアクセス許可の継承」の3軸で比較します。
- 注意点: 会社PCの管理者権限が必要な作業があります。SharePoint管理者やテナント管理者との連携が必要な場合もあるため、勝手に変更しないようにしましょう。
ADVERTISEMENT
なぜ公開資料と社内資料を分ける必要があるのか
公開資料と社内資料が混在すると、意図しない外部共有や過剰な権限設定による情報漏洩のリスクが高まります。特に社外の取引先と共有する資料に、内部の経営戦略や顧客リストが含まれていた場合、企業の信用を大きく損なう可能性があります。また、コンプライアンス上の観点からも、個人情報や機密情報を含む資料は適切に分離・制御する必要があります。運用面でも、検索や更新の効率が低下し、必要な資料にたどり着くまでの時間が増えるため、業務生産性にも悪影響を及ぼします。
公開資料と社内資料を分ける3つの方法
公開資料と社内資料を分ける方法は、主に3つあります。それぞれの特徴を比較表にまとめました。
| 方法 | メリット | デメリット |
|---|---|---|
| ライブラリ分割 | 管理がシンプル、権限設定が容易 | サイト数増加、ナビゲーションが複雑 |
| メタデータ制御 | 一覧で管理可能、柔軟な表示 | 設定が複雑、アイテム数が多いと負荷 |
| グループ+継承解除 | 粒度の高い制御、同一ライブラリ内で区分 | 管理コスト大、誤設定リスク |
方法1:ライブラリを物理的に分ける
最も単純な方法は、公開用ライブラリと社内用ライブラリを別々に作成する方法です。例えば、同じサイトに「社外公開資料」と「社内限定資料」という二つのドキュメントライブラリを用意します。それぞれに異なるアクセス許可を設定することで、混在を防止できます。以下の手順で行います。
- SharePointサイトにアクセスし、右上の歯車アイコンから「サイトのコンテンツ」をクリックします。
- 「新規」→「ドキュメントライブラリ」を選択し、名前を「社外公開資料」と入力します。必要に応じて説明も追加します。
- 作成後、ライブラリの「アクセス許可」を開き、「アクセス許可の継承を停止」をクリックします。確認ダイアログで「OK」を押します。
- 「アクセス許可の付与」から、公開先のグループ(例:社外ユーザー)に「読み取り」権限を付与します。同時に、編集が必要なメンバーには「編集」または「投稿」権限を付与します。
- 同様に、「社内限定資料」ライブラリを作成し、こちらは社内ユーザーだけにアクセス権を設定します。外部ユーザーは追加しないように注意します。
この方法はシンプルで間違いが少ない反面、ライブラリが増えると管理が煩雑になる点に注意が必要です。
方法2:メタデータとアイテムレベルのアクセス許可を活用する
一つのライブラリ内で、メタデータ(列の値)に基づいて表示を切り替えたり、アイテムごとに異なるアクセス許可を設定する方法です。例えば、「機密レベル」という選択肢列を追加し、「公開」「社内限定」「極秘」のような値を設定します。さらに、各アイテムのアクセス許可を個別に設定することで、細かい制御が可能になります。操作手順は以下のとおりです。
- ライブラリの「列の追加」から「選択肢」を選び、列名を「機密レベル」とし、選択肢に「公開」「社内限定」「極秘」を入力します。規定値は「社内限定」にしておくと安全です。
- 各ドキュメントのプロパティを開き、「機密レベル」に適切な値を設定します。
- 公開対象のアイテムだけを絞り込んだビューを作成します。ライブラリの「現在のビュー」の横にある「…」→「ビューの編集」で、フィルター条件に「機密レベル が 公開 と等しい」と設定します。
- アイテムごとにアクセス許可を変更する場合、アイテムの「…」→「アクセス許可の管理」を開き、「アクセス許可の継承を停止」してから特定ユーザーやグループに権限を付与します。
- ただし、アイテム数が多いと個別設定が大変なため、機密レベルの変更は一括更新ツール(Power Automateなど)を検討します。
この方法は、一覧性を保ちながら細かい制御ができる反面、設定が複雑で、アイテム数が増えると運用負荷が高まります。
方法3:セキュリティグループとアクセス許可の継承解除で制御する
あらかじめセキュリティグループを作成し、各グループに適切なアクセス許可を割り当てた上で、ライブラリやフォルダーのアクセス許可の継承を解除する方法です。例えば、「公開資料_編集者」「公開資料_閲覧者」「社内資料_編集者」などのグループを作成しておきます。そして、共有したいフォルダーに対してこれらのグループを割り当てます。手順は以下のとおりです。
- SharePoint管理センター(またはAzure AD)でセキュリティグループを作成します。名前は「SharePoint_公開_閲覧」など、目的がわかるようにします。
- 必要なグループをすべて作成したら、SharePointサイトのアクセス許可に移動し、作成したグループを追加します。このとき、グループ自体に直接権限を付与するのではなく、サイトやライブラリにグループを追加するようにします。
- ライブラリ内で、公開資料を格納するフォルダーを作成します。例えば「公開用」というフォルダーです。
- フォルダーの「アクセス許可」を開き、「アクセス許可の継承を停止」します。続いて、不要な既存の権限を削除し、「公開用閲覧者」グループに「読み取り」権限、「公開用編集者」グループに「投稿」または「編集」権限を付与します。
- 同様に、社内資料用のフォルダーを作成し、継承を停止して、社内グループのみに権限を付与します。
この方法は柔軟性が高い反面、グループ管理が複雑になりがちで、誤ってグループのメンバーを間違えるとアクセス権限の混乱を招きます。定期的な棚卸しが必要です。
失敗パターンとその回避策
継承解除を忘れて全ユーザーにアクセス権が与えられる
フォルダーやアイテムのアクセス許可継承を停止せずに、上位の権限設定だけ変更した場合、意図せず全社員に公開されてしまうことがあります。回避策として、公開用資料を配置する前に必ず継承解除を行い、最小限の権限だけを付与するようにします。また、定期的にアクセス許可の監査レポートを確認することも重要です。
メタデータの入力ミスで社内資料が外部に公開される
メタデータを手動で設定する場合、ユーザーが誤って「公開」を選択してしまうリスクがあります。これを防ぐには、列の既定値を「社内限定」に設定し、公開にする場合のみ承認ワークフローが必要なようにします。また、Power Automateを利用して、機密レベルが「公開」に変更された際に監査ログを記録するフローを設定すると、事後の追跡が容易になります。
グループのメンバーシップが古くなり、退職者がアクセスできる
セキュリティグループ方式では、グループのメンバー管理を怠ると、退職者が引き続きアクセスできる状態が続きます。SharePoint管理センターの「アクセスレビュー」機能を定期的に実行し、不要なメンバーを削除します。また、Azure ADの動的グループを利用して、属性ベースで自動的にメンバーシップを更新する方法も有効です。
管理者に確認すべき項目
公開資料と社内資料の分離を進める前に、SharePoint管理者またはテナント管理者に以下の点を確認してください。
- 外部共有設定: テナント全体の外部共有レベルが「制限付き」や「既存の外部ユーザーのみ」になっているか。公開資料を社外に共有する際に、組織外ユーザーの招待が許可されている必要があります。
- 情報保護ポリシー: Microsoft PurviewのラベルやDLP(データ損失防止)ポリシーが適用されているか。機密ラベルをドキュメントに自動適用することで、公開・内部の区別を強化できます。
- 監査ログ: 誰がどのアイテムにアクセスしたかを追跡できるように、監査ログが有効になっているか。特に公開資料のアクセスログは定期的に確認することを推奨します。
- サイトコレクションの管理: ライブラリ分割時に新しいサイトを作成する場合、サイトコレクションの記憶域制限やクォータの確認が必要です。
よくある質問と回答
Q1: 既存のライブラリに大量の資料が混在している場合、どの方法がおすすめですか?
A1: まずはメタデータによる分類をおすすめします。既存のドキュメントに「機密レベル」列を追加し、一括更新で値を設定します。その後、アイテムごとの権限が必要な場合のみ継承解除を行います。すべてをゼロから再構成するよりも段階的に移行できます。
Q2: 公開資料を外部ユーザーと共有する際、招待リンクの有効期限を設定できますか?
A2: はい、可能です。共有リンクを作成する際に「特定のユーザー」を選択し、「リンクの設定」で「このリンクを使用できるユーザーを制限する」や「有効期限を設定する」オプションを利用します。管理者がテナントレベルで既定の有効期限を設定することもできます。
Q3: 社内資料はモバイルからもアクセス制限したいです。方法はありますか?
A3: 条件付きアクセスポリシーを利用します。Azure ADでSharePoint Onlineアプリに対して、準拠デバイスからのみアクセスを許可するポリシーを作成します。これにより、社内資料へのアクセスを会社支給の端末に限定できます。
まとめ
公開資料と社内資料の分離は、情報漏洩リスクの低減とコンプライアンス遵守のために不可欠です。本記事で紹介した3つの方法(ライブラリ分割、メタデータ制御、セキュリティグループ+継承解除)は、組織の規模や運用体制に応じて選択できます。最初は小規模なパイロット導入から始め、徐々に全社に展開することをおすすめします。管理者と連携しながら、適切なアクセス制御を実現してください。
超解決 リモートワーク研究班
Microsoft 365の導入・保守を専門とするエンジニアグループ。通信障害やサインイン不具合など、ビジネスインフラのトラブル対応に精通しています。
Office・仕事術の人気記事ランキング
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Excel】文字が入っているセルの「個数」を数える!COUNTA関数の簡単な使い方
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Outlook】予定表の「祝日」が表示されない!最新カレンダーの追加と二重表示の修正手順
- 【Teams】画面共有時に「音声」も共有する方法!音が流れない時の設定手順
