Microsoft 365責任共有モデル

Russ Kerscher

SaaSバックアップの必要性に対する理解は進んでいるものの、いまだに次のような声をよく耳にします。「なぜMicrosoft 365 Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teamsのデータをバックアップする必要があるのですか?Microsoftが対応してくれないのですか?」

クラウド内にある以上、カバーされていると考えるのが自然です。しかし、本当にそうでしょうか?

この議論をもう少し明確にするために、Microsoft 365責任共有モデルを作成しました。このモデルはMicrosoftの独自の責任共有モデルの原則を利用していますが、特にMicrosoft 365データに重点を置いています。この責任共有モデルは、Microsoft 365に関わる全ての人が一線を引いて、Microsoftが何を扱い、どのような責任が企業自体にあるのかを正確に把握できるように手助けするものです。結局のところ、データはユーザーのものであり、それを保護するのもユーザーの責任です。この点をさらに強調するために、Microsoftは、Microsoft 365データを保護する必要があることに同意しており、サードパーティのソリューションを使用して保存することを推奨しています。Microsoftサービス規約には次のように記載されています。「サービスに保存するコンテンツやデータを定期的にバックアップするか、サードパーティのアプリやサービスを使用して保存することをお勧めします。」データを保護するための事前の対策を講じることで、組織は潜在的なデータ消失を防ぎ、ビジネス継続性を確保することができます。

Microsoft 365を保護する準備はできていますか?Microsoft 365バックアップにおけるマーケットリーダーに関する詳細は、こちらをご覧ください。

責任共有モデルとは

本題に入る前に、このモデルを定義しておきましょう。責任共有モデルは、IT環境において皆さんが責任を負うコンポーネントやタスクを理解するのに役立つフレームワークです。したがって、このモデルは、どこがあなたの義務で終わり、どこからサービスプロバイダーの義務が始まるのかを確立するのに役立ちます。

責任共有モデルにおけるMicrosoftの役割

Microsoft 365責任共有モデルを見ていくと、Microsoft 365におけるMicrosoftの主な責任は、バックエンドインフラストラクチャに関わる全てのタスクと、サービスの中断がほとんど、あるいはまったく発生しないようにサービス提供の回復性を提供することにかかっていることがはっきりと分かります。Microsoftはデータ処理者だと考えてください。

責任共有モデルにおけるMicrosoftの役割

データがMicrosoft 365に保存されている場合、そのデータはお客様の所有物です。ビジネスにとって重要なデータをお客様が管理し、アクセスできるようにする責任は、お客様のIT部門にあります。これには、Microsoft 365アプリとサービス全体で作成、保存、共有される全てのデータが含まれます。

では、IT環境はどのようにしてこれら全てを保護できるのでしょうか?データ保護のベストプラクティスでは、ソースとは独立して保存され、合意した目標復旧時間(RTO)内で簡単に復元できるバックアップが必要であるとされています。この場合、それはお客様のIT部門が完全に制御し、アクセスできるMicrosoft 365データのバックアップであり、サードパーティを通じて別途保存され、あらゆる種類のデータ消失インシデントの発生時に復元できるような方法で保存されます。

このブログでは、この責任共有モデルを視覚的に説明していきます。モデルの上半分は、コアのMicrosoft 365クラウドサービスに対するMicrosoftの責任についてです。下半分では、各企業(またはほとんどの場合、皆様)が負う責任について説明します。

責任共有モデルの主なコンポーネント

主な責任

まずは、各グループの主な責任について具体的にお話ししましょう。Microsoftの主な責任は、同社が持つグローバルインフラストラクチャと、数百万の顧客がこのインフラストラクチャを常に利用可能な状態に保てるよう維持することが重視されています。つまり、クラウドサービスについてアップタイムの確実性を一貫して提供し、世界中のユーザーの生産性を維持していかなければなりません。

IT組織の責任は、自社のビジネスにとって重要なデータがどこに保存されていたとしても、データへのアクセスと管理が可能な状態にしておくことにあります。データセンターであるか、Microsoft 365であるかは関係ありません。組織はビジネス上の意思決定によってSaaSアプリケーションを使用しているため、この責任が魔法のように消えてしまうことはありません。

支援テクノロジー

ここでは、各グループがそれぞれの主な責任を果たすために設計された支援テクノロジーについてご紹介します。Microsoft 365にはデータレプリケーション機能が組み込まれており、データセンター間の地理的冗長性が提供され、Microsoftアプリとサービスのダウンタイムを最小限に抑える(ほぼ排除する)ことができます。これは必要不可欠な機能です。例えば、Microsoftのグローバルデータセンターで問題が発生した場合、レプリケーションターゲットにフェイルオーバーしても、ほとんどの場合、ユーザーが変化に気づくことはありません。

しかし、レプリケーションはバックアップではありません。Microsoft 365では、このレプリカは「あなたのレプリカ」ではありません。それはMicrosoftのものです。この点をより詳しく説明するので、バックアップとレプリケーションに関する次の質問について少し考えてみてください。

一般的に、どちらの方がより保護されているでしょうか?バックアップかレプリカか

私はこの質問をライブの聴衆に投げかけ、議論やアイデアが展開されるのを見るのが大好きです。正解はレプリカだ、と主張する方もいるでしょう。なぜなら、継続的に、または、ほぼ継続的にセカンドサイトにレプリケートされるアプリケーションは、障害発生時の冗長性を確保し、アプリケーションのダウンタイムを排除できるからです。ただし、レプリケーションのみによるデータ保護戦略には問題があると主張する人もいるかもしれません。例えば、削除したデータや破損したデータも正常なデータと一緒にレプリケートされます。つまり、レプリカにはその削除したデータや破損したデータが含まれていることになります。この陣営の人々は、バックアップによってのみ保護できる特定のデータ消失の脆弱性があるため、バックアップによってより適切に保護されると考えるかもしれません。

このひっかけ問題に対する正しい答えは、両方が必要だということです!この基本原則は15年以上にわたって、Veeamのデータ保護戦略の基礎をなしてきました。弊社の主力製品、Veeam Backup & Replicationは、まさにこの基本原則を表したものです。

ではなぜ、VeeamのMicrosoft 365バックアップソリューションにはレプリケーション機能が含まれていないのでしょうか?実は、Microsoftはすでにその部分をカバーしています。足りないのはバックアップだけです。

皆様はおそらく、「でも、Microsoft 365にはごみ箱があるのでは?「それは一種のバックアップでしょう。」と思うかもしれません。確かに、Microsoftにはいくつか異なるごみ箱のオプションがあり、限定的ではありますが、管理者やユーザーが短期間のデータ消失を復元できます。これらのごみ箱は、Microsoftの広範な保持ポリシーのほんの一部であり、各Microsoft 365サービスに応じて、保持されるデータの種類と保持期間を決定する、深くて複雑な問題です。さらにコンパイルを追加すると、これらの設定は管理者によってさらにカスタマイズされ、標準プロトコルには従いません。Microsoft 365の管理者と話すと、これらのポリシーの管理と監視に苦労することがよくあります。一般に、管理者は自分たちは保護されていると思っていても、そうでないことに気づくのは手遅れになってからです。

従業員が会社を退職する場合がそのよい例です。多くの場合、そのデータは1か月後に完全に削除されます。今年の初めにSally Smithが取り組んでいた複雑な収益予測モデルを覚えていますか?彼女は数週間前に会社を辞め、そのモデルは彼女のOneDriveに保存されていました。つまり、もうなくなってしまいました。ゼロからやり直さなければなりません。 

Veeamでは、ビジネスにとって重要なデータに完全にアクセスして制御するには、ごみ箱に頼るだけでは不十分であり、完全な保持が必要であると強く信じています。これには、短期保持、長期保持、およびあらゆるデータ消失シナリオで簡単に復元して、あらゆる保持ポリシーのギャップを埋める機能が含まれます。また、きめ細かな復元、一括リストア、特定の時点への復元オプションもすぐに使用できる必要もあります。

また、Microsoftが最近、2024年にMicrosoft 365データ向けの独自のバックアップソリューションをリリースしたことも重要です。これにより、Microsoft 365サービス自体はクラウドサービス内で本質的に保護されていないことがさらに裏付けられます。これには、Exchange、SharePoint、OneDriveの大量のデータを超高速でバックアップおよびリストアできる優れた新技術が含まれています。VeeamとMicrosoftは緊密なパートナーシップを結んでおり、Veeamはこの新しいバックアップ技術を自社製品に統合して顧客が使用できるようにした最初のバックアップベンダーの1社です。

セキュリティ

Microsoft 365責任共有モデルの次の階層を紐解いていくにあたり、いつも話題になっているセキュリティについてお話ししましょう。これに関しては、両者の責任が別々ではなく混在する形になっています。これは、MicrosoftとIT組織の双方がこの点に関して責任を負っており、協力して取り組む必要があります。

MicrosoftはMicrosoft 365をインフラストラクチャレベルで保護しています。これには、データセンターの物理的なセキュリティや、クラウドサービスにおける認証と識別、Microsoft 365のUIに組み込まれたユーザーと管理者の保護が含まれます。

インフラストラクチャレベル以外にも、サイバーレジリエンスの強化に役立つセキュリティ機能が多数組み込まれています。これには、多要素認証(MFA)などのセキュリティ機能が含まれます。この機能により、攻撃者が簡単に複製できない追加の手順でユーザーを検証します。また、Microsoft 365にはさまざまな種類の暗号化が活用されており、デバイス上のファイルや、Exchange OnlineのメールやTeamsのメッセージなど、ユーザー間で転送中のファイルなどの元の情報に対して、承認された関係者だけがアクセスできるようにしています。また、プロアクティブな脅威検出機能もあり、環境内の不審なアクティビティを防止、検出、対応するのに役立ちます。また、Microsoftでは、一元化されたログ システムを使用して、セキュリティ インシデントが発生したことを示す可能性のあるアクティビティを分析します。これら全てのセキュリティメカニズムには利点がありますが、お客様のデータは依然としてMicrosoftの責任ではありません。   

Microsoft 365のセキュリティについては、引き続きIT組織がデータレベルで責任を負っています。社内外のデータセキュリティリスクは、意図せぬ削除や、悪意ある管理者によるアクセス権の悪用、ランサムウェアなど枚挙にいとまがなく、これらはほんの一部の例にすぎません。こちらの5分間の動画では、Microsoft 365がランサムウェアに乗っ取られるとどうなるかをご覧いただけます。見ただけでも恐ろしくなります。

多くのバックアップソリューションには、IT組織が使用できるバックアップ環境のサポートを拡張することにより、Microsoftが本来備えているインフラストラクチャ機能の多くを拡張する機能が備わっています。例えば、MFA、送信中および転送後の暗号化が保護され、Microsoft 365のバックアップデータに対する保護が強化されます。

規制

Microsoft 365責任共有モデルの最後の要素は、法的要件とコンプライアンス要件について考えることです。MicrosoftはMicrosoft 365のトラストセンターにおいて、ユーザーはデータを所有し、その役割はデータを処理することであると非常に明確にしています。この姿勢がデータプライバシーに対する同社の重点的な取り組みを推進しています。また、同社のサイトでは、Microsoft 365のクラウドサービスにコンプライアンスを準拠させるための優れた機能と業界認定の一覧を確認することができます。皆さんのデータがMicrosoft 365に保存されていたとしても、IT組織は依然としてデータの所有者です。この責任には、各業界からのさまざまな外圧や、法務、コンプライアンス、人事などの各部署からのコンプライアンスについての要求も加わります。

例、シナリオ

顧客が負う責任の実行を、代わりにMicrosoft任せにして行うとどうなるでしょうか?意図せぬ削除やランサムウェア攻撃のようなデータ消失の場合であれば、Microsoftにも何らかのセーフティネットはあります。しかし、これらは短期間のデータ消失に対する必要措置や、Legal Holdなどのコンプライアンスツールに対応するものであり、必要なデータを正確に復元することは非常に困難です。消失したデータをMicrosoft頼みで取り戻すことにした場合、そのデータが戻ってくるかどうか、またいつ戻ってくるのか、実際の保証はありません。だからこそ、データ所有者としての役割を真剣に受け止めることが非常に重要なのです。サードパーティを通じて保存された貴社保有のMicrosoft 365データに完全にアクセスして管理できれば、そのデータを随意にリストアできます。

利点と課題

責任共有モデルの利点は、自分たちの責任範囲を顧客が間違いなく明確に理解できるという点です。また、組織やIT部門が、実行する必要のある義務やタスクに対して常に責任を負うのにも役立ちます。リスクは、自分の責任を真剣に受け止めないことです。このモデルでの自分たちの責任を認識してはいるものの、Microsoft 365データについて、実際よりも自分たちの責任は少ないはずだと思い込んでいる組織は、いまだに多く存在します。

責任共有モデル実践のベストプラクティス

Microsoft 365のデータ所有者として責任共有モデルを効果的に実践するための第一歩は、貴社のバックアップがサードパーティのソースから確実に分離されており、そのサードパーティを通じて貴社のデータが保護されていることを確認することです。ただし、そのためには一般的なバックアップソリューション以上のものが必要です。ビジネスで求められるバックアップのカスタマイズ、柔軟な復元、そしてパワフルな検索機能が必要です。

Veeamが提供する支援

これで、MicrosoftがMicrosoft 365で何をカバーしているのか、またなぜそのようなことをしているのかについて、しっかりと理解していただけたことと思います。Microsoft 365のバックアップがなければ、保有データへのアクセスと管理が制限されることになります。また、保持ポリシーのギャップやデータ消失の危険にさらされる可能性があります。また、組織を社内外の重大なセキュリティリスクや規制違反のリスクにも晒してしまうことになります。サードパーティのMicrosoft 365バックアップの導入が増えている一方で、ある調査では意外なことに、71%の企業がいまだに保護されていないことが判明しています。 

シンプルで使いやすいMicrosoft 365バックアップソリューションをお探しでしょうか?

業界のリーダーに勝るものはありません。Veeamでは、Microsoft 365の保護について、主に次の2つの選択肢があります。

Veeamは、ガートナー社のマジック・クアドラントにおいてリーダーに選出されているだけでなく、実行能力においても5度目となる最高評価を獲得しています。Veeamを是非お試しいただき、お確かめください。

関連コンテンツ

Exit mobile version