私たちは、日々の生活において、消費するサービスや製品について十分な情報に基づいた選択と決定を下す必要があり、徹底的な調査と推奨事項に頼らなければなりません。このような場合、私たちはしばしば、それぞれの分野の専門家であると考える人に目を向けます。Gartner は、業界に実用的で客観的な所見を提供することに専念しているトップテクノロジー調査会社の1つです。
本記事は全3回からなるブログシリーズの第1回であり、Gartnerの専門家により指摘されたMicrosoft 365のリスクについて掘り下げます。Gartnerは、この質問に対する回答を記したドキュメントを掲載しました。「Microsoft 365をバックアップすべきか」。この回答からは、リスク、Microsoftのネイティブ機能、責任共有モデル、サードパーティ製バックアップソリューションの使用について、多くの重要なインサイトを得ることができました。ドキュメントの全文はこちらからご覧いただけます(これらのインサイトは、この分野におけるVeeamの経験とも一致するものです)。
Gartnerとは?
ガートナー社はテクノロジー分野で有名なアナリスト企業で、主に調査の実施、消費者や専門家へのコンサルティング、カンファレンスの開催に重点を置いています。Gartnerは、同社が提供する信頼性の高い調査レポート、ベンチマーク、ツールでその名を馳せています。
Magic Quadrant(マジック・クアドラント)は、各業界の競合を客観的に示す、Gartner独自のレポートです。実際のところ、Veeamは近年、7回連続で「リーダー」に選出されており、「実行能力」においては4年連続で最高評価を獲得しました。マジック クアドラント以外にも、Microsoft 365の対応方法など、さまざまな製品についてITリーダーに戦略的なアドバイスを提供しています。
Microsoft 365データに関するガートナーの推奨事項は何ですか?
Gartnerは、Microsoft 365を使用する際に考慮すべき5つの主要なリスク要因を特定しました。SaaS環境に移行したとはいえ、Microsoft 365データにまつわる責任と脆弱性は依然として存在します。ガートナーが強調したリスクは次のとおりです。
- 人為的ミス:Microsoft 365がどれほど高度になっても、人為的ミスが意図せぬデータ消失につながる可能性は常にあります。Microsoft 365の広範な性質と、その異なる管理者センターやごみ箱は、潜在的なデータ消失へとつながるギャップを生み出す可能性があります。アカウントの侵害、偶発的な削除、データの誤配置などが、このリスクの一因となっています。
- マルウェア/ウイルス/ランサムウェア:初期のMicrosoft 365ユーザーの中には、データがクラウドに保存されてスキャン対象となっていたため、SaaSによってデータの暗号化攻撃やファイルの侵害の問題が解決されたと考える人もいました。しかし、攻撃者はすぐにこの状況に適応し、SaaS環境に格納されているデータもランサムウェア攻撃の標的となりました。回復力のあるランサムウェアであれば、SaaSストレージに焦点を移してファイルバージョンを改変することで、データの破壊につなげることが可能です。
- ハッキング(内部/外部):悪意を持った攻撃者は 多くの場合、最も破壊的で影響力があります。攻撃者がデータを侵害したり削除したりすることで、企業の生産性が低下し、評判も損なわれる可能性があります。
- プログラムのエラーまたは欠陥:Microsoftは、環境の管理とスケーリングに役立つ一連のAPIと PowerShellコマンド を提供しています。しかし、適切な管理や注意を払わずにこれらのエンドポイントを利用すると、組織内で意図しない影響、設定ミス、またはデータ消失が発生する可能性があります。
- 不満を抱いているユーザー:内部知識を持つ従業員は、重大な脅威となる可能性があります。こうした従業員は、重大な損害を迅速に引き起こすこともできれば、長期間検出されない不可逆的な損害を引き起こすこともできる可能性があります。
Microsoftでは、Microsoft 365内にネイティブ保護機能をいくつか提供していますが、これらの機能はすべての潜在的なリスクに完全に対応できるわけではないことを理解しておく必要があります。つまり、組織はデータ消失に対して脆弱な状態にあることになります。
Microsoft 365の管理に関するその他の調査
Veeamでは、弊社製品の方向性を見極めるべく、さらなる調査を継続的に行っています。そのために、VeeamはGartnerなどのトップアナリスト企業や独立系調査機関と提携し、「クラウドプロテクションレポート2023」で提示されたような質問に対する回答を模索しています。この調査では、複数の回答者に次の質問をしました:「Microsoft 365のデータをバックアップする主な理由は何ですか?」この質問は過去に何度も尋ねましたが、Microsoft 365管理者とバックアップ管理者の両方の間で、その回答は「意図せぬデータの削除」から「サイバーセキュリティ攻撃に対する備え」や「コンプライアンスまたは規制要件」が最大の懸念事項であると大きく変化しています。
このレポートでは、IaaS、PaaS、SaaS、BaaS、DRaaS、その他のクラウド関連テクノロジーについて、全体的な分析情報を提供しています。SaaSのセクションでは、バックアップを行うのは誰か、利害関係者は誰か、このトピックに対するVeeamの見解はどのようなものかについてより詳しく説明しています。「クラウドプロテクションレポート」、Microsoft 365に関するGartnerのガイダンス、そして新たにリリースされた2023年版のGartner Magic Quadrantをまだダウンロードされていない方は、ぜひダウンロードしてお読みください。
まとめ
いまだに、クラウドベースのワークロードにバックアップは必ずしも必要ないと考えるITリーダーもいますが、その場合、組織はデータ消失とそれに伴うビジネス上の悪影響に対して脆弱な状態となることがほとんどです。Microsoftは組織に対して多くのセキュリティツールやコンプライアンスツールを提供していますが、それらは、特権の境界、データ分離、きめ細かな復元に関連するリスクを軽減するものではありません。これらの強化機能は大きな価値をもたらしますが、バックアップに代わるものではありません。
本ブログシリーズの次の記事では、Microsoft 365データを保護するためにMicrosoftが行っていること、そしてサブスクライバーに対する期待事項を探ります。Microsoft 365のPremiumレベルにおけるMicrosoftのネイティブ保護機能の詳細と、Microsoftの責任共有モデルの概念について掘り下げていきます。是非ご期待ください。