Office 365と企業コンプライアンス

2021.06.24

2021年5月28日、Brian Babineau

Office 365環境は拡大しており、最近のリモートワークへの移行によって、ビジネスのOffice 365への依存は加速する一方です。Thexyzのブログによると、2019年10月～2020年4月に、毎月のOffice 365ユーザの平均増加数は約4倍になっています。この主な理由は、現在の世界的なパンデミックの間に、さらに多くのコラボレーション環境が必要になっているためです。

Office 365に依存するユーザが増加しているため、データとアプリケーションを保護するために、セキュリティ、および信頼性の高いデータバックアップの必要性が高まっています。金融、医療、法律など、規制の厳しい業界では、コンプライアンスによって、セキュリティの課題に新しい一面が加わっています。

現在、Office 365は特定のコンプライアンス要件のあるユーザに必要なセキュリティ機能を提供していますが、マイクロソフトがどの程度の保護を提供しているかについては、混乱があります。つまり、MSP（マネージドサービスプロバイダ）がコンサルティングサービスとサポートを顧客に提供し、追加のデータバックアップ機能を販売およびサポートする機会が多いということです。

マイクロソフトが保証することは、サービス可用性のみであり、データ保存ではありません。また、顧客には、サードパーティのバックアップを使用することを推奨します。Office 365のネイティブツールを使用するリストアは困難であり、医療などの業界では、このようなツールだけでは不十分です。

最近、バラクーダは、現在のユーザからの調査データに基づいて、「Office 365バックアップの現状」レポートを発表しました。このレポートには、データセキュリティ、バックアップとリストア、SaaS（Software as a Service）ソリューションなどの問題に関するITプロフェッショナルの懸念と選択に関するデータが含まれています。

このレポートによると、回答者の73%はデータプライバシー要件への準拠を懸念しています。この理由は、特定の業界のユーザにとって、データストレージには、セキュリティと企業コンプライアンスの両方が必要であるためです。また、データ保存およびストレージ要件は国によって異なる場合があります。

たとえば、多国籍企業にとっては、このタスクは特に管理が複雑で困難になります。データ侵害がなくても、コンプライアンス違反があると、重い罰金が科せられます。米国の企業はデータが地理的に離れた場所にバックアップされることを最も懸念（80%）しています。米国内の規則は州によって異なるため、このような企業がコンプライアンスの取り組みに自信を持つことは困難です。

Office 365とコンプライアンス

このようなユーザが、データプライバシーおよびストレージを保護し、業界と政府の規制に準拠するには、どうすればよいでしょうか。幸いにも、マイクロソフトは支援機能を実装しており、ギャップを埋めるサードパーティのツールもあります。

まず、マイクロソフトは、コンプライアンスに準拠したデータの管理を支援するために、業界に特化したツールを開発しています。たとえば、Matter Center for Office 365は企業がドキュメントとメールを共有および整理するための法的ドキュメント管理ソリューションです。このソリューションは、ISO（国際標準化機構）27001およびHIPAA（Health Insurance Portability and Accountability Act、医療保険の携行性と責任に関する法律）標準に準拠して設計されており、ユーザが権限設定をカスタマイズできるようになっています。

金融機関は、Office 365のSecurity & Compliance Center、Advanced Security Management、Advanced Data Governance、Advanced eDiscoveryなどのアプリケーションを活用して、個人情報漏洩のリスクを最小限に抑制できます。

医療機関は、HIPAAに準拠したOffice 365セットアップを活用し、業界ベースのテンプレートを使用して、使用ポリシーを作成して、データ損失を防止できます。

Office 365は、2FA（2要素認証）など、基本的なセキュリティ機能を実装しているため、通信を保護し、このような要件に準拠できます。

MSPは、Office 365セットアップが、すべての地域で業界の基本的なセキュリティおよびプライバシー標準を満たしていることを確認できるように、顧客を支援します。しかし、ネイティブな機能だけでは不十分です。

バラクーダの調査によると、保存ポリシーが複雑であり、ネイティブツールが緻密なリストアを実行できないにもかかわらず、回答者の67%はバックアップとリストアをOffice 365の組み込み機能のみに依存しています。

バラクーダのBarracuda Cloud-to-Cloud Backup、メール保護製品など、サードパーティのツールは、このような企業が必要としているデータセキュリティとコンプライアンスを実装しています。上記のレポートによると、回答者の84%は無制限のストレージを実装するバックアップソリューションが必要であると述べており、77%はExchange、SharePoint、Microsoft OneDrive、およびMicrosoft Teamsの緻密なリストア機能が不可欠であると述べています。このような機能は、サードパーティのソリューションを導入しないと、実現できません。

Office 365データの保護は、急速に高まっている要件であり、企業は、業界と政府の規制に確実に準拠するために、包括的で使いやすいバックアップソリューションを必要としています。企業は、緻密な保存、ユーザのメールボックスを他の場所またはユーザにリストアする機能、およびロールベースのアクセス制御を求めています。しかし、多くの企業は、このような機能を実装していないマイクロソフトのネイティブな保存に依存しています。

MSPは、顧客の業界のセキュリティとコンプライアンスのニーズを満たすために、Office 365の設定を案内できます。また、障害または攻撃の場合は、データとアプリケーションのバックアップとリストアに必要な機能を実装するサードパーティのデータバックアップおよびリストアツールへのアクセスを提供することもできます。

レポートを入手

この記事はChannel Futuresに掲載されたものです。

原文はこちら：

Office 365 and regulatory compliance

May 28, 2021 Brian Babineau

https://blog.barracuda.com/2021/05/28/office-365-and-regulatory-compliance/