Microsoft Teams のセキュリティとコンプライアンス

  • [アーティクル]
  • 適用対象:
    Microsoft Teams

Microsoft Teams は Microsoft 365 上に構築されており、ハイパースケールのエンタープライズ レベルのクラウドOffice 365、お客様が期待する高度なセキュリティとコンプライアンス機能を提供します。 Microsoft 365 またはOffice 365でのセキュリティ計画の詳細については、セキュリティ ロードマップを開始することをお勧めします。 Microsoft 365 または Office 365 でのコンプライアンスの計画の詳細については、「セキュリティ & コンプライアンスの計画」を参照してください。

この記事では、Teams 固有のセキュリティとコンプライアンスについて詳しく説明します。 セキュリティとコンプライアンスに関する次の Microsoft Mechanics ビデオを見逃さないでください。

Important

Microsoft 365 または Office 365のお客様は、データを所有および管理します。 Microsoft は、お客様が登録したサービスを提供する以外の目的で、お客様のデータを使用することはありません。 サービス プロバイダーとして、広告のため、またはサービスに関連しない用途のために、メール、ドキュメント、チームをスキャンすることはありません。 Microsoft は、アップロードされたコンテンツにアクセスできません。 Microsoft 365 の OneDrive や SharePoint と同様に、顧客データはテナント内にとどまります。 信頼およびセキュリティに関連する情報の詳細については、Microsoft Trust Center で確認できます。 Teams は Microsoft Trust Center と同じガイダンスと原則に従っています。

セキュリティ

Teams では、チーム全体および組織全体の 2 要素認証、Active Directory を介したシングル サインオン、転送中のデータと保存データの暗号化が適用されます。 ファイルは SharePoint に格納され、SharePoint 暗号化が適用されます。 メモは OneNote に格納され、OneNote 暗号化が適用されます。 OneNote データはチームの SharePoint サイトに格納されます。 Wiki タブを使用してノートを取ることもできます。また、その内容もチームの SharePoint サイトに格納されます。

認証と Teams の詳細については、「ID モデルと認証」を参照してください。先進認証については、「先進認証のしくみ」が特に役立ちます。

Teams は SharePoint、OneNote、Exchange などと連携して動作するため、Microsoft 365 または Office 365 オールアップでセキュリティを快適に管理する必要があります。 詳細については、セキュリティを強化するために Microsoft 365 またはOffice 365 organizationを構成する方法に関するページを参照してください。

注意

現時点では、プライベート チャネルでサポートされるセキュリティとコンプライアンス機能は制限されています。 プライベート チャネルにおけるすべてのセキュリティ機能とコンプライアンス機能のサポートは、近日中に行われる予定です。

Microsoft Defender for Office 365

Microsoft Defender for Office 365は、コンテンツ管理のために Teams と統合される SharePoint および OneDrive アプリケーションと共に、Microsoft Teams で使用できます。 Defender for Office 365を使用すると、これらのアプリケーション内のコンテンツが本質的に悪意があるかどうかを判断し、このコンテンツをユーザー アクセスからブロックできます。

検出後の影響を受けるコンテンツの管理方法は、Microsoft 365 またはOffice 365で選択した設定に応じて行われます。 Defender for Office 365の構成に関しては、すべてのアプリケーションを検討することを強くお勧めします。また、詳細な読み取りについては、安全なリンクのしくみの概要と、セットアップ手順を参照して、開始するための詳細な情報を確認することをお勧めします。

Defender for Office 365安全なリンクは、Microsoft Teams で入手できます。 安全なリンクとは何か、この機能を使用する方法の詳細については、「 Teams の安全なリンク設定」を参照してください。 安全なリンクは、プラン 1 とプラン 2 の両方Defender for Office 365使用できます。

安全な添付ファイル

安全な添付ファイルは、悪意のある添付ファイルを確認して検出することで、ユーザーのセキュリティを強化するために設計された機能です。 グローバル管理者またはセキュリティ管理者は 、この機能をオンに し、悪意のある疑いのある添付ファイルを処理するための ポリシーを作成 して、ユーザーへの送信、クリック、操作を防ぎます。

安全な添付ファイル保護は、SharePoint、OneDrive、Microsoft Teams、および Microsoft Defender for Office 365 プラン 1 およびプラン 2 の Microsoft 365 またはOffice 365で使用できます。 安全な添付ファイルと、organizationの保護に役立つ方法の詳細については、この記事を参照してください。

セキュリティ スコア

Microsoft Secure Score は、organizationのセキュリティ体制の測定値であり、数値が多いほど、より多くの改善アクションが実行されていることを示します。 Microsoft 365 セキュリティ センターにあります。 セキュリティ スコアに関する推奨事項に従うと、organizationを脅威から保護できます。 組織は、Microsoft 365 セキュリティ センターの一元化されたダッシュボードから、Microsoft 365 の ID、アプリ、デバイスのセキュリティを監視して作業できます。 Microsoft Teams にはセキュリティ スコアに関する推奨事項が追加されました。管理者は、プラットフォームでのセキュリティの姿勢を監視することをお勧めします。

セキュリティ スコアは、組織に役立ちます。

  • organizationのセキュリティ体制の現在の状態を報告します。
  • 検出可能性、可視性、ガイダンス、制御を提供することで、セキュリティ体制を改善します。
  • ベンチマークと比較し、主要業績評価指標 (KPI) を確立します。

Teams での条件付きアクセス ポリシーの仕組み

Microsoft Teams は、会議、予定表、相互運用チャット、ファイル共有などの主要な生産性シナリオで、Exchange Online、SharePoint、Skype for Business Online に大きく依存しています。 これらのクラウド アプリ向けに設定された条件付きアクセス ポリシーは、任意のクライアントの Microsoft Teams にユーザーが直接サインインするときに適用されます。

Microsoft Teams は、条件付きアクセス ポリシー Microsoft Entraクラウド アプリとして個別にサポートされています。 Microsoft Teams クラウド アプリ向けに設定されている条件付きアクセス ポリシーは、ユーザーがサインインするときに Microsoft Teams に適用されます。 ただし、Exchange Onlineや SharePoint などの他のアプリに対する正しいポリシーがないと、ユーザーはそれらのリソースに直接アクセスできる場合があります。 Azure portalでの条件付きアクセス ポリシーの設定の詳細については、「クイック スタートMicrosoft Entra」を参照してください。

Windows および Mac 版の Microsoft Teams デスクトップ クライアントは先進認証をサポートしています。 先進認証により、Azure Active Directory 認証ライブラリ (ADAL) に基づくサインインが、あらゆるプラットフォームの Microsoft Office クライアント アプリケーションに導入されています。

Microsoft Teams デスクトップ アプリケーションは、AppLocker をサポートしています。 AppLocker の前提条件の詳細については、「 AppLocker を使用するための要件」を参照してください。

コンプライアンス

Teams では、チャネル、チャット、添付ファイルの通信コンプライアンス、保持ポリシー、データ損失防止 (DLP)、チャネル、チャットとファイルの電子情報開示と法的ホールド、監査ログ検索、Microsoft Intuneによるモバイル アプリケーション管理など、コンプライアンス領域を支援する Microsoft Purview ソリューションの幅広い情報をサポートしています。 以下のセクションでは、これらのすべての領域に関するいくつかの情報を提供しました。このMicrosoft Purview コンプライアンス ポータルを使用してこれらのソリューションを管理できます。

監査

Microsoft Purview 監査 (Standard)、監査 (Premium)、監査ログ検索がMicrosoft Purview コンプライアンス ポータルに接続され、アラートを設定したり、監査イベントに関するレポートを作成したりできます。これにより、管理者が無制限に監査を使用して調査するためのワークロード固有のイベント セットまたは汎用イベント セットをエクスポートできますタイムライン。 Microsoft Purview コンプライアンス ポータル内のすべての監査ログ データのアラートを設定し、さらに分析するためにこのデータをフィルター処理してエクスポートできます。 Microsoft Purview コンプライアンス ポータルで Microsoft Teams イベントを検索する方法の詳細については、「Microsoft Teams のイベントの監査ログを検索する」を参照してください。

通信コンプライアンス

Microsoft Purview コミュニケーション コンプライアンスでは、攻撃的な言語、機密情報、および内部および規制基準に関連する情報について Microsoft Teams の通信を調べるために構成できるスコープ内ポリシーにユーザーを追加できます。 パブリックとプライベートの両方の Teams チャネル、個々のチャット、添付ファイルのチャット通信と関連する添付ファイルをスキャンして、organizationのコミュニケーション リスクを最小限に抑えることができます。 不適切な Teams 通信の検出、キャプチャ、アクションの実行に役立つポリシーを構成する方法の詳細については、「 コミュニケーション コンプライアンスについて学習する」を参照してください。

コンテンツ検索

コンテンツ検索では、豊富なフィルター機能を活用してすべてのチーム データを検索することができます。 結果として得られるデータは、特定のコンテナにエクスポートでき、コンプライアンスおよび訴訟のサポートとして用いることができます。 この操作は電子情報開示ケースの有無に関わらず実行できます。 これにより、コンプライアンス管理者は、すべてのユーザーにわたる Teams データを収集し、そのデータをレビューして、さらに処理するためにエクスポートできるようになります。 Microsoft Teams やその他の Microsoft 365 または Microsoft Purview コンプライアンス ポータル 内のOffice 365 コンテンツのコンプライアンス コンテンツ検索を実行する方法の詳細については、「コンテンツ検索」を参照してください。

ヒント

コンテンツ検索を使用すると、チャット、チャネル メッセージ、会議、通話など、Microsoft Teams のみのコンテンツへの絞り込みを必要に応じて行うことができます。

コンテンツ検索の構成に関する Teams 固有の情報の詳細については、「 Microsoft Teams でのコンテンツ検索」を参照してください。

カスタマー キー

Microsoft 365 では、コンテンツのサービス暗号化に加えて、追加の暗号化レイヤーが提供されます。 指定したキーを使用して、顧客キーは Microsoft Teams 内のいくつかの異なる種類のデータを暗号化します。 Customer Key をアプリケーション レベルで使用すると、顧客キーは SharePoint Online に格納されている Teams ファイルを暗号化します。 詳細については、「 Microsoft Purview カスタマー キーを使用したサービス暗号化」を参照してください。

テナント レベルで顧客キーを使用すると、顧客キーは次のように暗号化されます。

  • Teams チャット メッセージ (1:1 チャット、グループ チャット、会議チャット、チャネル会話)
  • Teams メディア メッセージ (画像、コード スニペット、ビデオ、Wiki イメージ)
  • Teams ストレージに格納されている Teams 通話と会議の記録
  • Teams チャット通知
  • Teams チャットの提案
  • Teams ステータス メッセージ

詳細については、「 テナント レベルでのカスタマー キーの概要 」を参照し、パブリック プレビューで Microsoft Teams の カスタマー キー サポートについて説明している Microsoft Teams ブログを参照してください。

テナント レベルで Customer Key を含むMicrosoft Purview 情報保護 リリースの詳細については、「機密データを把握して保護するための新しいMicrosoft Purview 情報保護機能の発表」を参照してください

データ損失防止 (DLP)

Microsoft Teams のMicrosoft Purview データ損失防止 (DLP) と、Microsoft Purview のより大きな DLP ストーリーは、機密性の高いドキュメントとデータの保護に関するビジネスの準備を中心に展開しています。 メッセージやドキュメントの機密情報に関する懸念がある場合、DLP ポリシーを使用すれば、ユーザーがその機密データを不適切な人々と共有しないようにすることができます。

Teams のデータ損失防止の詳細については、 Microsoft Teams の DLP に関するページを参照してください。 DLP の問題に関する良い記事は、「 データ損失防止について学習する」です

電子情報開示

Microsoft Purview eDiscovery (Premium) は、訴訟または調査での生産要求に応じて、電子的に保存された情報 (ESI) を特定、収集、生成する電子面をサポートします。 これらの機能には、Teams データのケース管理、保持、検索、分析、エクスポートが含まれています。 チャット、メッセージング、ファイル、会議と通話の概要も含まれています。 Teams の会議と通話では、会議と通話で発生したイベントの概要が作成され、電子情報開示で利用可能な状態になります。

Microsoft Purview コンプライアンス ポータルで電子情報開示ツールを使用して Teams コンテンツを検索する方法の詳細については、次を参照してください。

情報障壁

Microsoft Purview Information Barriers を使用すると、ユーザーまたはグループが相互に通信できないようにするポリシーを作成できます (ユーザーが通信する必要がない場合や、それらをブロックする規制上の理由がある場合)、ルックアップや電子情報開示などに関連するポリシーを設定することもできます (以下で説明します)。 これらのポリシーは、1 対 1 のチャット、グループ チャット、またはチーム レベルのユーザーに影響を与える可能性があります。

Teams で情報バリアを使用する方法の詳細については、「 Microsoft Teams の情報バリア」を参照してください。

訴訟中、裁判での証拠として使用できるように、ユーザー (管理人) または Teams に関連付けられているすべてのデータを変更不可として保持する必要がある場合があります。 この要求に対応するには、ユーザー (ユーザー メールボックス) または Teams を訴訟ホールドにします。 チームの訴訟ホールドの場合、チームのメールボックスを次のホールドに含めることができます。

  • インプレース ホールド (対象のクエリまたはフィルター処理されたコンテンツを使用した、メールボックスまたはサイト コレクションのサブセットがホールドになります)、あるいは
  • 訴訟ホールド (メールボックスまたはサイト コレクション全体がホールドになります)。

どちらの場合でも、ホールドに設定されれば、エンド ユーザーがグループのメールボックス内のチャネル メッセージを削除または編集しても、そのコンテンツの不変のコピーが維持され、電子情報開示の検索で利用できるようになります。 訴訟ホールドは、通常、電子情報開示ケースのコンテキスト内で適用されます。

Microsoft Purview コンプライアンス ポータルでの保持と保持の詳細については、「アイテム保持ポリシーの概要」を参照してください。 法的保留に関する Teams 固有の詳細については、 Microsoft Teams ユーザーまたはチームを法的保留に して詳細を確認することもできます。

アイテム保持ポリシー

Microsoft Teams のアイテム保持ポリシーを使用すると、規制、法律、ビジネス、その他の理由で、organizationにとって重要なデータを保持し、保持に関連しないコンテンツや通信を削除することもできます。 アイテム保持ポリシーを使用して、データを一定期間保管してから削除することもできます。 詳細については、「 Microsoft Teams のアイテム保持ポリシー」を参照してください。

秘密度ラベル

秘密度ラベルを適用して、チーム内のコラボレーション中に作成された機密性の高い組織コンテンツへのアクセスを保護および規制します。 たとえば、チームのプライバシー (パブリックまたはプライベート) を構成し、ゲスト アクセスと外部共有を制御し、管理されていないデバイスからのアクセスを管理するラベルを適用します。 詳細については、「 Microsoft Teams の秘密度ラベル」を参照してください。

プライバシー

Microsoft では、データの保護が最優先事項です。 プライバシーに関するプラクティスについては、以下を参照してください。

情報保護アーキテクチャ

次の図は、Teams のファイルやメッセージに対応する、Exchange と SharePoint の両方への Teams データの取り込みフローを示しています。

Exchange と SharePoint への Teams データのワークフローの図。

次の図は、Teams 会議および通話データの Exchange への取り込みフローを示しています。

Teams 会議のワークフローと Exchange へのデータの呼び出しの図。

Important

Teams のコンテンツの開示には最大で 24 時間の遅延が発生する場合があります。

ライセンス

情報保護機能に関しては、Microsoft 365 サブスクリプション、Office 365 サブスクリプション、および関連するスタンドアロン ライセンスによって、使用可能な機能セットが決定されます。

セキュリティとコンプライアンスの機能を実装する必要があるライセンスの決定については、セキュリティとコンプライアンス機能の ライセンス要件を 確認してください。

注意

コンテンツ検索、電子情報開示 (Standard)、電子情報開示 (Premium) は、Microsoft Purview コンプライアンス ポータルで有効にする必要はありません。 詳細については、「 Microsoft 365 電子情報開示ソリューション」を参照してください。

Teams のデータの場所

Teams のデータはご利用の Microsoft 365 または Office 365 の組織に関連付けられている地理的領域内に存在します。 現在サポートされている地域を確認するには、「Microsoft Teams のデータの場所」を参照してください。

ご利用のテナントのデータがどの地域で格納されるかを確認するには、[Microsoft 365 管理センター]>[設定]>[組織プロファイル] に移動してください。 下にスクロールして [データの場所] に移動します。

管理センターの Teams を含むデータの場所テーブルのスクリーンショット。

コンプライアンス基準

Teams では、 ISO 27001ISO 27018SSAE18 SOC 1、SOC 2HIPAAEU モデル句 (EUMC) を使用しています。 Microsoft コンプライアンス フレームワーク内では、Microsoft 365 と Office 365 アプリケーションとサービスが 4 つのカテゴリに分類されます。 各カテゴリは、Microsoft 365 または Office 365 サービス、または関連する Microsoft サービスをそのカテゴリに一覧表示するために満たす必要がある特定のコンプライアンス コミットメントによって定義されます。

詳細については、「 データ保護リソース」を参照してください。 Teams では、Cloud Security Alliance のコンプライアンスもサポートされています。