IT プロフェッショナル向け: Microsoft Teams のプライバシーとセキュリティ
Microsoft 365 担当 コーポレートバイスプレジデント ジャレッド スパタロウ (Jared Spataro)
※ このブログは、米国時間 4 月 6 日 に公開された ”For IT professionals: Privacy and security in Microsoft Teams” の抄訳です
ここ数週間で、ビデオ会議、プライバシー、セキュリティについて多くのことがメディア上で評されてきました。IT プロフェッショナルとして、あなたは社内・社外問わず多くのご質問を受けているかもしれません。そのような IT プロフェッショナルの方を、マイクロソフトはご支援したいと考えています。プライバシーとセキュリティは常に IT にとって最優先事項ですが、エンドユーザーがリモートで作業している今のような時こそ、これまでになく重要になっていることを認識しています。リモートワークとセキュリティを両立するためのベストプラクティスを、マイクロソフトはお客様にご紹介してきました。本日は、Microsoft Teams におけるプライバシーとセキュリティへの取り組みについて、解説したいと思います。これは、弊社がユーザーの皆様に確約し取り組んでいる事柄です。
Teams でビデオ会議のプライバシーとセキュリティ管理を実現
- 会議オプション: 会議オプションを使用すると、組織外の誰が直接ミーティングに参加できるのか、誰が参加許可を得るまでロビーで待機するべきなのかといったことを決めることが可能です。PSTN コールからの参加者は、ロビーでの承認を経て会議に参加します。会議の主催者は、ミーティング中に参加者を削除することもできます。
- Teams会議での役割: Teams 会議の主催者は、「発表者」と「出席者」を指定することができ、会議のコンテンツの共有ができる人とできない人を管理できます。
- 会議レコーディングへの参加者の同意: 会議のすべてのレコーディング開始時には、レコーディングが行われていることが参加者に通知されます。この通知はオンライン参加者のプライバシー通知ともリンクしており、会議の主催者はどの参加者がレコーディングを開始できるかを制御できます。
- 会議の記録へのアクセス: 会議の記録へのアクセスは、会議の主催者が他の人に記録へのアクセスを許可しない限り、会議に実際に参加した人、または会議に招待された人に限定されます。記録は Microsoft Stream にアップロードされ、アカウント管理者が有効にした権限に従って、共有およびダウンロードできます。
- Teamsチャネルの管理と制御: Teams チャネルの所有者は、チャネルの会話を管理し、チャネルの会話内でコンテンツを共有できるユーザーと許可されていないユーザーを制御できます。これにより、適切なコンテンツのみが他のユーザーに表示されるようになります。
- コミュニケーションへのコンプライアンス: Teams 上のコミュニケーションコンプライアンス管理により、組織内でのいじめやハラスメントなどの否定的な行動を特定して防止することで、インクルージョンと安全な組織内文化を育むことができます。
プライバシー保護を前提とした設計
Microsoft Teams を利用する際、ユーザーはマイクロソフトに企業データや個人情報という最も貴重な資産を託していることになります。マイクロソフトのプライバシーへの取り組みは、ユーザーデータの収集や使用、配布に関する透明性を確保するというコミットメントに基づいています。マイクロソフトでは、プライバシーを後付けで検討しているのではなく、企業理念と製品の構築手法に深く根付かせているのです。ここで、マイクロソフトがプライバシーに関してユーザーに確約している内容を紹介します。
- ユーザーの Teams データを使って広告配信することはありません。
- Teams のミーティングに参加者が集中しているか、他のことをしていないかなどトラッキングすることはありません。
- サービスの契約が終了した場合、また期限が過ぎた場合は、データが消去されます。
- データへのアクセスを制限する強力な対策を講じているほか、政府がデータを要求した際の対応には慎重に要件を定義しています。
- 自社の顧客データにはいつでも、どのような理由であってもアクセスできます。
- 定期的に Transparency Hub にて透明性レポートを提供しています。Transparency Hub には、第三者からのデータの要求にマイクロソフトがどう対応したか、詳細が記載されています。
- 私たちは、ユーザーのデータへのアクセスについて、バックドアがなく、また政府による直接または自由なアクセスもなされないための措置を講じています。
個人情報とアカウント情報の保護
- 多要素認証(MFA): 多要素認証では、ユーザーが身元を証明するために追加の形式の認証情報を提供する必要があり、脆弱なパスワードや盗難パスワードを利用した攻撃からユーザーを保護します。
- 条件付きアクセス: 条件付きアクセスを使用すると、ユーザーコンテキスト、デバイスの状態、ロケーション情報などに基づいて、リスクベースのアクセスポリシーを設定できます。
- Microsoft Endpoint Manager: Microsoft Endpoint Manager を使用すると、デバイスとアプリを管理し、任意のデバイスに条件付きアクセスを適用できます。
- 安全なゲストアクセス: 安全なゲストアクセス制御により、ユーザーは組織データへのアクセスを制御しながら、組織外のゲストと共同作業できます。
- 外部アクセス: 外部アクセスは、別の組織への認証された接続を提供し、組織間でのコラボレーションを可能にします。
データ保護およびサイバーセキュリティの脅威に対する防御
- 暗号化: Teams のデータは転送中も静止状態でも暗号化が施されます。Microsoft は、TLS やSRTP などの業界標準のテクノロジーを使用して、ユーザーのデバイスと Microsoft データセンター間、および Microsoft データセンター間で転送されるすべてのデータを暗号化します。これには、メッセージ、ファイル、会議、およびその他のコンテンツが含まれます。エンタープライズデータは、Microsoft データセンターで保管時にも暗号化されます。これにより、組織は必要に応じてコンテンツを復号化し、eDiscovery などのセキュリティとコンプライアンスの義務を満たすことができます。
- データ損失防止: データ損失防止は、機密情報が誤って他者と共有されることを防ぎます。
- 機密ラベル: 機密ラベルを使用して、チームごとのプライバシーとゲストの設定を制御することで、チームにアクセスできるユーザーを規制できます。
- Advanced Threat Protection: Advanced Threat Protection は、OneDrive または SharePoint に保存されているファイルを含む、ファイルに隠された悪意のあるソフトウェアからユーザーを保護するのに役立ちます。
- Cloud App Security: Cloud App Security は、チームの大規模な削除や不正ユーザーの追加など、疑わしいまたは悪意のあるアクティビティを特定して軽減するためのツールを提供します。
90 以上の規制や業界標準に対応
- コンプライアンスおよび規制基準: Teams は、国際的な規制や国家での規制、地域や業界での規制に準拠できるよう、90 以上の規制基準や法律に対応しています。対応する基準の中には、HIPAA、GDPR、FedRAMP、SOC、さらには学生や子どもたちのセキュリティを守る家庭教育機関/プライバシーに関する法律 (FERPA: Family Educational Rights and Privacy Act) も含まれています。
- 情報バリア: 情報バリアを使用すると、Teams 内のユーザーとグループ間の通信を制御して、利益相反またはポリシーの問題が発生した場合にビジネス情報を保護できます。
- eDiscovery、訴訟ホールド、監査ログ、およびコンテンツ検索: eDiscovery および関連機能により、訴訟に関連する可能性のある情報を簡単に識別、保持、および管理できます。
- 保持ポリシー: 保持ポリシーを使用すると、情報を削除または保持して組織のコンテンツを管理し、組織のポリシー、業界の規制、および法的要件を満たすことができます。
弊社はセキュリティ、コンプライアンス、プライバシーがこれまでになく重要になっていることを認識しています。オンラインで学習している学校や大学から、リモート作業に移行するエンタープライズ組織まで、Teams を活用されるすべてのお客様の組織の生産性と安全性の維持をご支援するため、日々学び続け、改善していくことをお約束します。
これらの重要な課題への私たちのアプローチは、この困難な期間以降も安心しながら Teams をご使用いただくために必要な制御と管理性を提供することを第一義としております。更なる詳細については、Microsoft トラストセンターをご覧ください。
Join the conversation
Please sign in to comment