Skype for Business Onlineはどこまで安全なのか？⑨Office365の訴訟ホールド/インプレースホールドはどこまで安全なのか？

訴訟ホールドは一時的に当アカウントのExchange OnlineおよびSkype for Business Onlineの内容を凍結保持することで、該当ユーザおよび他のユーザが、何等かの自分たちにとって不利なコミュニケーションの証拠の隠滅を防ぐことが出来ます。

インプレースホールドも同様に検索キーワード等の検索ベースで、検索対象となったコミュニケーションを保持し、証拠隠滅を防ぐことが可能になります。例として、インプレースホールドにて "メールボックス内のすべてのアイテムを無期限に保持する" 設定を行った場合、メールや予定表などのアイテムの他、Skype for Business の保持対象となるアイテムも無期限に保持されます。

これによってユーザは証拠の隠滅を防ぐことが可能になったと考えてよいのでしょうか？

実際にはこれは大きな誤りでそもそもの根本的な考え方が欠落しています。Exchange OnlineもSkype for Business Onlineも訴訟ホールドやインプレースホールドをかけられる前にメールやコミュニケーションの履歴を削除してしまえば、証拠を隠滅してしまうことが可能になってしまいます。

そもそもExchange Online上のメールについても、Skype for Business Online上のIMなどを含む履歴についてもそうなのですが、メールアイテムを [削除済みアイテム] フォルダーから削除した際、削除したアイテムはメールボックスの削除領域である "回復可能なアイテム領域 (Recoverable Items フォルダー)" にいったん格納され、削除したあと 14 日間経過後に、メールボックスからアイテムが完全に削除される動作です。

つまり、インプレースホールドや訴訟ホールドが実施される14日間以上前にユーザがメール本文やSkype for Businessの履歴の削除を行ってしまった場合には、少なくともOffice365内では証拠を隠滅することが出来てしまいます。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？⑧～インプレースホールドでログが取得できない利用ケース～

インプレースホールドではログの取得が出来ない利用ケースが明確に存在しています。

主要なものは、

①プログラムの表示

P2P の通信、Skype 会議のどちらにおいても、表示したプログラム名は記録されません。

②デスクトップの表示

P2P の通信、Skype 会議のどちらにおいても、表示したプログラム名は記録されません。

③権限の受け渡し

上記①、②の利用時に操作権限を共有先の他者に渡すことが可能になります。

その他に下記のような利用パターンにおいて、インプレースホールドではSkype for Business Onlineのログを取得することが出来ません。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？⑦Skype for Business P1、P2のみ契約時の危険性

Skype for Business P1、P2のみを契約して利用する場合の、最大の問題点はインプレースホールドが利用できないため、情報漏洩が発生してもログが一切残らないという点です。このため、私個人としましては、企業利用においてP1、P2のみを契約することはお勧めできません。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？⑥Skype for Business WebAppの匿名アクセス

WebAppを利用して匿名アクセスが実施されると、ホワイトリスト形式、ブラックリスト形式に関係なく、ユーザがアクセスすることが可能です。情報漏洩が発生する原因のうちの一つになります。

何等かの方法で社外のユーザがSkype for Business会議のURLを入手し、アクセスを試みることが考えられます。対応方法としましては、会議主催者が常に匿名参加者が会議に参加してこないかを見張る必要があります。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？⑤訴訟ホールド/インプレースホールドはどこまで安全なのか？

Exchange Online、Skype for Business Onlineにはインプレースホールドという機能があります。この二つはもともと各企業内で、背任罪や情報漏洩等にて重大な問題が発生した場合に、証拠としてメールのやり取りを保持するために作られた機能です。恐らくMicrosoftの顧客企業からのニーズで作られた機能とは思われます。

インプレースホールドと、訴訟ホールドですが、それぞれどんな違いがあるのでしょうか？

これにはMicrosoft社のtechnetの文章をそのまま引用するのが良いですね。

https://technet.microsoft.com/ja-jp/library/ff637980(v=exchg.160).aspx

「Exchange Server 2016 では、2 種類の保持が可能です。訴訟ホールドとインプレース ホールド。訴訟ホールドではメールボックスの LitigationHoldEnabled プロパティが使用されます。訴訟ホールドが有効な場合、すべてのメールボックスのアイテムが保持されます。一方、インプレース ホールドを使用すると、インプレース電子情報開示ツールを使用して定義した検索クエリの条件と一致するアイテムのみを保持できます。インプレース ホールドはメールボックスに複数設定できますが、訴訟ホールドはメールボックスに対して有効または無効のいずれかにされます。保持の両方のタイプについて、アイテムを保持する期間も指定できます。期間は、メールボックス アイテムが受信または作成された日から計算されます。期間が設定されていない場合は、アイテムは無期限に、またはそ保持が解除されるまで保持されます。訴訟ホールドをメールボックスから削除しても、1 つまたは複数のインプレース ホールドがメールボックスにある場合は、インプレース ホールドの基準と一致するアイテムが、保持設定で指定されている期間だけ保持されます 」

つまり簡単にいうと訴訟ホールドはメールボックス全体を保持するのに対して、インプレースホールドはキーワード等を用いて検索をしたその対象のメールおよびSkype for Businessの内容のみが保持されることになります。

これで一安心と思われるかもしれませんが、訴訟ホールド、インプレースホールドにはそれぞれ限界があります。（次回へと続く）

フェアユース株式会社　足立洋介

Skype for Business Onlineはどこまで安全なのか？④同一テナント内で複数の企業利用

企業ユーザの中には、グループ企業で全体で一つのテナントを御利用になられるといったケースも中には御見受けしています。先日ある外資系金融企業のある事情をおうかがいしました。その企業は国際的に非常に有名な金融機関で、本国にグループ企業各社があり、また日本にもそれぞれの支社があるとのことです。実際、日本でも10社近くの関連企業があり、日本国内ユーザ数は２万以上になります。本国のHead Quaterから本国は本国で一テナント、日本は日本で一テナントで運用するようにとの指示が出たとのことです。

Office365ではそもそも同一テナントで複数ドメインを登録することを可能としています。これはグループ企業での運用等に配慮した結果です。

ここで問題になる点は、日本国内に10社近い会社が存在しているので、基本的には別会社なのに、Skype for Business Onlineとしては同じ会社もしくは一の会社としてのコミュニケーションが出来てしまう点です。主要３社はほぼほぼ同一の業種ですが、中には金融グループにありがちな、投資目的で傘下に収めている全く金融と関連の無い企業もあります。まあ、たとえ話としてあえて挙げるのなら、ウォーレン・バフェットの投資ファンドのバークシャー・ハサウェイ社が鉄道で有名なBNSF鉄道を傘下に有しているようなものです。

基本的には日本の金融庁は一つ一つの会社ごとに管理を任せ、問題発生時の報告義務を課しています。ただし、業務内容や運用も異なる企業グループが日本の金融庁のガイドラインに沿った形で同一テナント内で運用が出来るかについては、大変興味深く、見守る必要があります。

なぜならば、Exchange Onlineのアドレス帳、SharePoint Onlineのユーザプロファイル検索、Skype for Business Onlineの社内連絡先検索等にて、実質的には別会社で、まったく異なる情報セキュリティ運用を実施する他社と簡単にコミュニケーションが出来てしまうことになるからです。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？③～外部ユーザとのコミュニケーション～

1.社外ユーザとのコミュニケーションを禁止する方法

組織の社外のユーザとのコミュニケーションを禁止する方法は、下記の３通りあります。

■外部アクセス

①完全にオフにする

外部ユーザとのコミュニケーションを一切禁止することが可能です。これにより社内ユーザだけでコミュニケーションが収支します。

②禁止したドメインを除いてオンにする

いわゆるブラックリスト形式と呼ばれる制御方法になります。

③許可したドメインに対してのみオンにする。

いわゆるホワイトリスト形式と呼ばれる制御方法になります。

■パブリックIM接続

Skype for Businessではなく、通常のSkypeとの接続の可否を選択することが出来ます。

フェアユース株式会社　代表取締役　足立洋介

Skype for Business Onlineはどこまで安全なのか？②「プレゼンスプライバシーモード」の設定

Skype for Businessの便利な機能の中にプレゼンスと呼ばれる機能があります。プレゼンスは「連絡可能」/ 「取り込み中」/「取り込み中」/「応答不可」/「一時退席中」/「業務時間外」/「退席中表示」などを自分で選び他のユーザに自身がどのような状態なのかを提示します。

当機能ですが、利用ユーザとその上司、同僚、部下までの範囲でしたら、Exchangeの予定表とも連携するので、自分の状況を伝える上で非常に便利な機能なのですが、少なくとも同一組織内の全員が参照することが出来てしまいます。

これを禁止させるのが、「プレゼンスプライバシーモード」になります。「プレゼンスプライバシーモード」を利用すると、Skype for Businessの連絡先リストに含まれているユーザにしかメッセージを送ることが出来なくなります。

なお、そもそもSkype for Businessにはプライバシー関係という概念があり、下記のプライバシーレベルごとにアクセス可能になる情報がことなります。

・外部連絡先

・仕事仲間

・ワークグループ

・友人および家族

Skype for Business のプレゼンス情報へのアクセスを制御する

https://support.office.com/ja-jp/article/Skype-for-Business-%e3%81%ae%e3%83%97%e3%83%ac%e3%82%bc%e3%83%b3%e3%82%b9%e6%83%85%e5%a0%b1%e3%81%b8%e3%81%ae%e3%82%a2%e3%82%af%e3%82%bb%e3%82%b9%e3%82%92%e5%88%b6%e5%be%a1%e3%81%99%e3%82%8b-fea86e34-60cf-4dd0-bfb2-169a42afd92c?ui=ja-JP&rs=ja-JP&ad=JP

フェアユース株式会社　足立洋介

Skype for Business Onlineはどこまで安全なのか？①～個人情報・機密情報漏洩対策～国内金融機関における利用の考察

国内の金融機関で非常に厳重な取り扱いがされているのはいうまでもない個人情報です。個人情報は個人情報保護法の下安全な管理と運用が求められています。個人情報はいわゆる名簿屋に販売すると高値で売ることが出来ますので、取り扱いには十分きをつけなければなりません。

金融庁は国内の各金融機関に対してその取扱いと保護措置、さらに漏洩した場合の報告義務等に関する指針、ガイドラインを提示しています。詳しくは下記のPDFファイルの他、金融庁のWebサイトを参考にしてください。

金融機関における個人情報保護に関するＱ＆Ａ

http://www.fsa.go.jp/common/law/hogo_qa/02-1.pdf

国内の企業には電子メールの運用には約20年近い歴史があり、各企業とも厳重な対策を取っています。例えば国内の大手銀行もしくは証券会社では、社員が社外に電子メールを送信する時には必ず上司が承認をしなければなりません。そればかりか、社外に電子メールを送信することが出来る社員が限られたりしています。

また電子メールを送信出来たとしても、メールにファイルが添付される場合、自動的にZipファイルでかつ暗号化されることが今日当たり前となっています。

Skype for Business OnlineはMicrosoft社が提供するOffice365の３大製品のうちの一つです。電子メールのExchange Online同様に社内だけでなく、社外のユーザともコミュニケーションを図ることが可能なのですが、情報漏洩対策についての理解は未だ進んでいません。

当ブログでは当分Skype for Businessの日本企業での利用時における安全性について記載します。

フェアユース株式会社代表取締役　足立洋介