フェアユース株式会社

Microsoft Teams コンプライアンスガード個人情報、機密情報の漏洩対策

2019/8/20 Confidential 1

Skype for Business Onlineの終了に関する発表内容（2019年7月31日）

2019/8/20 Confidential 2

◼ Dynamic 911 米国内の電話回線についての説明（日本の110番回線に当たる電話番号への架電）

◼ Shorter Retention Periods ChannelやChat上のデータ保持期間を最低で１日に短縮化についての説明

◼ Teams and Skype Consumer Interop Public Skype(無料版Skype)とTeamsの接続が2020年の第一四半期にリリースされる予定

◼ Contact Center Integration and Compliance Recording Contact Center(コールセンター）向けのソリューションとコンプライアンス上の録音と記録についての説明

https://techcommunity.microsoft.com/t5/Microsoft-Teams-Blog/Skype-for-Business-Online-to-Be-Retired-in-2021/ba-p/777833https://blogs.windows.com/japan/2019/07/30/skype-for-business-online-to-be-retired-in-2021/ （日本語抄訳）

Teamsを利用する上での主要な問題点

◼ 強制全通話録音機能の欠如

手動での通話録音機能はMicrosoft Stream上にデータが保存される。

◼ 画面共有、アプリケーション共有時のログ

Office365管理者画面上で共有をした「履歴」は残るが具体的なファイル名が残らない。

◼ 会議の開催者、参加者のログ

会議の開催者、参加者のログはOffice365管理者画面上で閲覧が可能であるが、統計的な分析が出来ない。

2019/8/20 Confidential 3

実際の運用を想定した上でのコンプライアンス上の問題点

◼ iOS、Android利用における問題点端末側にテキスト情報が残る。

◆各「チーム」 → 「Channel」上のメッセージ◆チャット → 各ユーザ間のチャットメッセージ

※ iOSを用いる場合、金融庁の指針に合致しない危険性がある。

◼ Windows Desktop利用時における問題点二つのアプリケーションが存在している。

◆Desktop Application 内部はWebベースのアプリケーションを読み込んでいる 開発手法はElectronと呼ばれる開発プラットフォームを利用

◆Webブラウザーベース Microsoft Edgeでも全ての機能が利用出来るわけではない。（2019年8月20日現在）

VDIを利用する場合には双方ともPluginが必要となる。◆Citrix、VMWareの両方とも開発を行っている最中

https://tomtalks.blog/2019/04/microsoft-teams-collab-and-chat-vdi-vdi-support-install-into-program-files-directory-with-manual-client-update/

https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/multimedia/opt-ms-teams.html

2019/8/20 Confidential 4

最も基本的な機能である「分析＆レポート」使用状況

2019/8/20 Confidential 5

外部ユーザも含むユーザごとに「チャンネルメッセージ」、「チャットメッセージ」、「1:1の通話」の数を表示することが可能。しかし、「会議数」は2019年8月13日現在まだ表示することが不可能。

「分析＆レポート」のダウンロード機能

2019/8/20 Confidential 6

外部ユーザも含むデータをCSV形式で下記の通りにダウンロードすることが可能。しかし、 2019年8月13日現在件数データが入っていない。

Office365管理画面

2019/8/20 Confidential 7

デスクトップ共有、ビデオ通話の履歴は残りますが、具体的にどのようなファイルを共有したのかの履歴は残りません。

Microsoft Teamsの情報漏洩の危険性

Microsoft Teamsには各種のログ機能がありますが、画面共有時、アプリケーション共有時のファイル名が記録されません。また、会話を強制的に録音する機能が存在しておりません。Teamsには情報障壁の機能がありますが、Office365 E5、A5等のライセンスを全社レベルで購入する必要が御座います。

2019/8/20 8

社内でも本来は機密情報を閲覧できない立場のユーザ

社内で機密情報を取り扱う立場のユーザ

明日発表予定の決算報告書

特定の個人の契約情報

申請前の特許情報

コンプライアンス違反

画面共有、アプリケーション共有を実施した場合ファイル名が残りません。

強制的な全通話録音機能が存在していません。

情報漏洩の危険性を残しながらの運用

社内 社内

外部接続および匿名ユーザアクセス利用時の危険性

2019/8/20 Confidential 9

社外ユーザ

個人が無料もしくは安価にOffice365を契約しての利用が可能

社内で機密情報を取り扱う立場のユーザ

明日発表予定の決算報告書

特定の個人の契約情報

申請前の特許情報

コンプライアンス違反

外部接続および匿名ユーザアクセスを実施される場合、完全にログが残らない形で、ファイル内容の閲覧が可能になる利用パターンが明確に存在しています。

日本企業のほとんどが、この事実を知らずにSkype for Business

を運用しています。

外部接続 or 匿名ユーザ 外部接続 or 匿名ユーザ

各種のポリシー設定にて完全に組織外部との接続を遮断しない場合にはリスクが残ります。

2019/8/20 10Confidential