Microsoft 365 テナントのデータ保護・バックアップの重要性

Microsoft 365のクラウドサービスが普及する一方で、テナントのデータ保護、バックアップの重要性が高まっています。今回はMicrosoft 365のデータ保護が重要である理由、最適なデータ保護へのアプローチ方法、バックアッププロバイダーの選び方に加えて、時間の節約に有効なデータ保護サービスをご紹介します。

なぜMicrosoft 365のデータ保護が重要なのか

Microsoft 365は堅牢なセキュリティと安定性の高いクラウドサービスを提供していますが、クラウド上に作成される組織アカウントのテナントやデータの保護、管理はユーザー側で制御しなければなりません。ここではMicrosoft 365のデータ保護の重要性について具体的に解説します。

クラウド時代のセキュリティとリカバリー

働き方改革の推進や生産性向上のため、企業や組織ではオンプレミスからクラウド環境への移行がますます加速しています。オンプレミス環境では、企業や組織で運用するデータセンター、またはサーバーに保管するデータ保護・管理方法が主流でした。一方で、クラウド環境ではオンプレミス環境におけるハードウェアの代わりに仮想化されたサービスが提供されます。企業や組織は自社で必要なサービスレベルを検討し、サービスの利用が最適かを判断する必要があります。これはMicrosoft 365に限らず、SaaSプロバイダーはデータの保護責任がユーザーである企業や組織にあると明記しているためです。

万一、オンラインサービスが中断または停止した場合、保存したコンテンツやデータを取得できない可能性に触れた上で、定期的なバックアップやサードパーティのサービスで保存する方法を推奨しています。しかし、Microsoft 365がデータの保護やバックアップがサービスに含まれていると誤解しているケースが後を絶ちません。データ管理の責任が曖昧なまま運用を継続すると将来的に大きな損害を被るリスクがあります。また、近年はリモートワークも増加していることもあり、ファイル共有やチームビルディングの迅速性とセキュリティ面の両立が求められます。クラウドへの移行とリモートワークを安全に進めていくためには、自社のデータ保護やバックアップをどのように行うか検討することが大変重要です。

データロスによって発生するコスト

実際、Microsoft 365に限らず、SaaSサービスを利用している企業のうち、約80％が業務に関連するデータの損失を経験しているという調査結果もあります。自然災害や大規模な通信障害だけではなく、日々のトラブルや人為的ミスによるデータ損失も起こり得ます。

また、データ損失により業務の遂行や企業の運営が一定期間停止した際の損害額を正確に算出することは難しいでしょう。しかし、Verizonのレポートではデータロスが発生した場合、35,000 ドル（約390万円　1ドル＝110円で計算）の損失が発生すると報告しています。データ損失が企業や組織に与えるダメージや影響力の大きさを考えると、サードパーティのデータ保護ツールを導入することはもはや避けられない、必須条件と言えます。

現実に起こりえるデータロスのシナリオ

実際に起こり得るデータロスの事象について、ケースごとに解説します。

エンドユーザーによるデータロス

エンドユーザーの操作ミスやローカルPCのトラブルによって削除されたデータやファイルは、損失するリスクがあります。Microsoft 365にはエンドユーザーの誤操作に対応しているため、一定期間内であればゴミ箱から簡単に復旧できます。メールはデフォルトで14日、設定次第で最大30日以内、グループやチームなどのワークスペースは30日以内、ドキュメントは93日以内まで対処可能です。

しかし、保存期間を過ぎてしまえば、データ復旧はできません。

管理者によるデータロス

IT管理者のヒューマンエラーによるデータ損失のリスクもあります。IT管理者がワークスペースの権限構造の設定や編集を誤ったり、従業員の退職に伴ってメールボックスの保持期間を適切に行っていなかったりといったケースが考えられます。メールボックス保存の最大期限30日を過ぎてからメールボックスにアクセスする場合がないとも限りません。

悪意のある内部・外部ユーザーによるデータロス

不正を働いている従業員が証拠を隠滅するためにデータを削除したり、解雇されたことに不満を持ち、会社を去る前に重要データを削除したりするリスクがあります。悪意がなかったとしても、誤ってウイルスに感染したファイルをダウンロードして情報が流出したり、サイトにユーザー名やパスワードを入力してフィッシング被害に遭ったりするケースも考えられます。

悪意のある外部ユーザーによるデータロスでは、ランサムウェアをはじめとしたマルウェアやウイルスによるデータ損失の被害が深刻です。一般的に仮想通貨による身代金を支払うまでデータのアクセス権限をブロックするなどのシステム障害を起こし、事業に大打撃を与えます。しかし、Microsoft 365のExchange Onlineによる限定的なバックアップ、リカバリー機能では外部からのサイバー攻撃に十分に対処できません。

AvePointが考える最適なデータ保護へのアプローチ

Microsoft 365 のデータを安全に保護する方法は、主にセルフホスト型ソフトウェアの活用、またはSaaSソリューションの活用の2つに分かれます。セルフホスト型ソフトウェアでバックアップを行う場合、自社でプラットフォームのインストールや構成、サーバーのスケーリングや展開、ネットワーク帯域の確保とモニタリング、ストレージの確保などを行わなければなりません。データ増加に伴うソフトウェアの構成や継続的なメンテナンスも必要です。

セルフホスト型ソフトウェアはバックアップやメンテナンスに時間を取られることから、導入する企業は減少しています。現実的で最適なMicrosoft 365のデータ保護対策には、SaaSソリューションの利用をおすすめです。SaaSのデータ保護では、サーバーやストレージ、ソフトウェアの準備は不要です。タイミングを設定することで、定期的なバックアップの自動化も可能です。

SaaS バックアッププロバイダーの選び方

SaaSのクラウドサービスは数多く存在します。その中からMicrosoft 365のデータ保護対策に最適なSaaSバックアッププロバイダーを選ぶポイントを解説します。

RPOとRTO

Microsoft 365のデータ保護対策で押さえておきたいのがRPO（Recovery Point Objective：目標復旧時点）と、RTO（Recovery Time Objective：目標復旧時間）の2つです。RPOは万一のトラブルによって損失するデータ量が許容できるリスクを超えないように、バックアップの頻度と復旧作業の開始時点を決める指標です。秒単位から日単位までの範囲で設定でき、アイテムレベルやサイトなど復旧する単位やMicrosoftモジュールの何種類をカバーするかも考慮します。

例えば毎日午後8時にバックアップを実行する企業が、翌日の午後3時にシステムトラブルが発生によってデータをロストしたとすると、前日の午後8時時点以降の復旧作業が求められます。そのため、1日に複数回のバックアップが理想的でしょう。

RTOはシステム障害が起きて復旧するまでの時間を表す指標です。RPOと同様に秒単位から日単位の時間で設計します。業務で許容できるダウンタイムの時間や、一定時間内に入手できるコンテンツのサイズもチェックすべきポイントです。ダウンタイムが長引けば、企業や組織の業務遂行に深刻な影響を及ぼします。適切なデータ保護対策の実施は、IT部門に限らず、組織全体のためにも重要です。

使いやすさ

SaaSソリューションはインストールやメンテナンスに時間を取られない点がメリットですが、その利点を活かすには見やすく使いやすいインターフェイスや、シンプルな操作性が必要不可欠です。また、世界的なグローバル企業の場合、国や部門の枠を横断し、大規模で複雑化したテナントを管理しなければなりません。Microsoft 365テナント全体のアクセス権を維持しつつ、主なテナントを個別コンテナに分類して部門レベルで管理できれば、使いやすくなると同時にヒューマンエラーを大幅に抑制することが可能です。

セキュリティと信頼性

ユーザーである企業や組織のセキュリティレベルは、使用しているSaaSベンダーのセキュリティレベルがそのまま反映されます。クラウドサービスに関するセキュリティレベルは、国際規格の第三者認証を取得しているかを判断材料にします。代表的なものにISO/IEC27000シリーズがあり、一般的な情報セキュリティ規格ISO/IEC27001に加えて、2015年から設定されたクラウドサービスに関する情報セキュリティ規格ISO/IEC27017を取得していると安心でしょう。また、各テナントに暗号化キーを提供して不正アクセスを防止するなどアクセス権のレベルや、データ保護の実績も信頼性を測る重要なポイントです。

ライセンス形態

自社のニーズに合わせてSaaSソリューションを購入しやすいように、ライセンスの形態が各種揃っていることや、オプションを選択できることも重要なポイントです。多くのベンダーはユーザー数を単位としたライセンス契約となっていますが、企業や組織の業務形態によってはバックアップの重要度が高く、バックアップの従量制でライセンス契約をした方が適している場合もあります。

ライセンス形態の選択肢が豊富であるほど、自社のニーズに近いツールを選択することが可能です。導入後のユーザー追加や業務変更による契約プランの変更など、柔軟に対応できれば、ツールをカスタマイズできる度合いも高まるでしょう。

データ保護の時間節約に貢献する「AvePoint バックアップコストシミュレーション」

「AvePoint バックアップコストシミュレーション」は年々増大するデータ量に対応した、SaaS型クラウドデータ保護サービスのシミュレーションツールです。Microsoft 365ユーザー数を入力すれば、SaaSプラットフォームを利用したデータ保護で、以降3年間にどのくらい時間を節約できるかを概算で表示できます。AvePointのクラウドバックアップはRPO/RTOのレベルアップ、高度なセキュリティと信頼性、さらには使いやすさにすぐれていて複数のライセンスプランの選択も可能です。30日間の無料トライアルも利用できるため、自社との相性を確認してから本格的に導入できます。

まとめ

Microsoft 365の導入企業や組織は、データロスによる被害を予防するデータ保護・バックアップ対策が求められます。データ保護には、自社の運用実態に適したSaaSソリューションがおすすめです。まずはAvePoint バックアップコストシミュレーションで節約できる時間を確認してみてください。