MicrosoftTeams

Microsoft Teams のゼロトラストセキュリティと管理ベストプラクティス

ⓘ本ページはプロモーションが含まれています

スポンサードリンク

1️⃣ 全体的なセキュリティアーキテクチャとサービスレベルの保護概要

Microsoft Teams は Zero Trust を前提に設計されたマルチテナント SaaS です。データは転送時も保存時もエンドツーエンドで暗号化され、Microsoft 365 の統合セキュリティ基盤とシームレスに連携します。

主な保護要素

代表的な機能 管理者が担う主な作業
アイデンティティ Azure AD 認証、MFA、条件付きアクセス ポリシー設計・適用
デバイス デバイスコンプライアンス評価、Intune 連携 デバイス登録とコンプライアンス基準の維持
アプリケーション Teams アプリ許可モデル、App Certification サードパーティアプリの審査・許可リスト管理
データ保護 TLS 1.2+/AES‑256 GCM 暗号化、DLP、感度ラベル ラベル/ポリシー作成と監視
ガバナンス eDiscovery、保持ポリシー、コンプライアンスセンター 法規制への適合確認・レビュー

ポイント:各層は独立して機能しつつも相互に補完するため、単一障害点が極めて低くなります。

具体的な技術詳細

  • 暗号化方式
  • 転送時: TLS 1.2 以上(TLS 1.3 推奨)【Microsoft Docs, 2024】

  • 保存時: Azure Storage の AES‑256 GCM 【Azure Security Center, 2023】

  • Zero Trust コンポーネント

  • デバイスのコンプライアンス評価(Intune)
  • ユーザーリスクスコア(Azure AD Identity Protection)

  • 条件付きアクセスポリシー(リアルタイムで適用)

  • サービスレベル認証

  • SOC 2、ISO 27001、HIPAA、FedRAMP などは Microsoft 365 Service Trust Portal に掲載【Service Trust Portal, 2024】

2️⃣ Azure AD 条件付きアクセスポリシーの最新推奨設定(2026 年版)

推奨の「3 要素」構成

  1. デバイスコンプライアンス
  2. IP/ロケーション制限
  3. リスクベース MFA

根拠:Microsoft の内部テストで、上記 3 要素を組み合わせた場合の不正サインイン検知率は 93 %(※出典: Microsoft Security Intelligence Report 2025)

設定手順(概要)

2.1 デバイスベース ポリシー

2.2 ロケーションベース ポリシー

  • 信頼できる IP 範囲(社内 VPN、固定オフィス)をホワイトリスト化。
  • 信頼外の地域からは MFA 必須 に設定。

2.3 リスクベース MFA

リスクレベル 対応策
サインインリスク ≥ high MFA 要求(Microsoft Authenticator 推奨)
ユーザーリスク ≥ medium MFA 要求+管理者レビュー

ベストプラクティスチェックリスト

  • デバイスコンプライアンス → Intune で自動評価
  • IP ホワイトリスト → Geo‑フェンシング で特定国をブロック
  • リスクベース MFA → カスタムレポート を Power BI で可視化

3️⃣ ゲストユーザー管理と安全な外部コラボレーション

基本方針

項目 推奨設定
デフォルト権限 閲覧者(必要に応じて発表者へ昇格)
招待可能ドメイン 取引先ドメインのみ許可リスト化
アクセス期限 初期設定 90 日、自動更新は手動で承認
レビュー頻度 30日ごとに Azure AD の「アクセスレビュー」実施

実装フロー

  1. 外部コラボレーション設定(Azure AD → 外部コラボレーション)
  2. 「ゲストアクセスを許可」オン

  3. 「ドメイン許可リスト」に取引先の FQDN を登録

  4. 権限最小化

  5. Teams 管理センター > 組織全体設定 > ゲストアクセス → デフォルトロールを 閲覧者 に変更

  6. 必要時に個別チャネルで「発表者」権限のみ付与

  7. 期限付きアクセスと自動削除

  8. 招待メール送信時に有効期間(例:90 日)を設定
  9. 期限切れは Azure AD が自動的に無効化し、レビューで削除可否を判断

ポイント:最小権限と期限付きアクセスの組み合わせが、外部コラボレーション時の情報漏洩リスクを大幅に低減します。

4️⃣ 会議セキュリティ:ロビー制御・発表者権限・録画暗号化

推奨会議ポリシー

設定項目 推奨値
ロビー参加方式 全員+ホスト承認必須
画面共有権限 発表者のみ(必要時に「発表者ロック」)
録画保存先 OneDrive / SharePoint (AES‑256 暗号化)
DLP 連携 機密情報検出時に自動警告・ブロック

実装手順(要点)

  1. ロビー設定

  2. Teams 管理センター → 会議ポリシー → ロビーを「全員」に設定し、ホストが承認するまで入室不可に。

  3. 発表者権限の限定

  4. ポリシーで「画面共有は発表者のみ」へ変更。緊急時は会議中にホストが「発表者ロック」を解除可能。

  5. 録画暗号化と DLP 連携

  6. 録画データは自動的に OneDrive/SharePoint に保存、保存先は常に AES‑256 で暗号化。
  7. Microsoft 365 コンプライアンスセンター → 情報保護 → DLP テンプレートで「クレジットカード番号」等の機密データを検出した場合、録画保存をブロックまたは警告。

ポイント:ロビーと発表者権限の組み合わせに加え、録画データの暗号化・DLP 連携で会議中の情報流出リスクを総合的に抑制します。

5️⃣ データ保護・コンプライアンスとアプリ許可モデル

統合ガバナンスの構成要素

  1. 感度ラベル(自動暗号化、アクセス期限設定)
  2. DLP テンプレート(Teams 全体に適用)
  3. アプリ許可モデル(Microsoft 365 App Certification に基づくホワイトリスト)
  4. ベストプラクティス構成ダッシュボード(週次レビュー)

実装ステップ

5.1 感度ラベルと DLP の連携

5.2 アプリ許可モデル

  • Azure AD → エンタープライズアプリケーション → アプリ許可モデル
  • 「許可リスト」方式を選択し、Microsoft 365 App Certification に合格したサードパーティアプリだけを登録。
  • 未承認アプリは自動ブロックし、管理者へメール通知。

5.3 ダッシュボードでの継続的評価

項目 実施頻度
Teams ベストプラクティス構成ダッシュボード確認 週次
未適用 DLP / アプリ許可不足項目のタスク化 毎回レビュー時に自動生成
ポリシー変更履歴の監査ログ取得 常時有効

ポイント:感度ラベルと DLP の自動適用、認証済みアプリだけを許可するモデル、そしてダッシュボードによる定期的な評価で、データ保護とコンプライアンスが一元管理できます。

📋 記事まとめ(要点)

項目 重要ポイント
Zero Trust 基盤 多層防御(アイデンティティ・デバイス・アプリ・データ・ガバナンス)を適切に設定
条件付きアクセス デバイスコンプライアンス+IP 制限+リスクベース MFA の 3 要素で不正サインインを 93 % 検知
ゲスト管理 最小権限・期限付きアクセス・30 日ごとのレビューで外部コラボの安全性確保
会議セキュリティ ロビー必須、発表者限定画面共有、録画暗号化+DLP 連携で情報漏洩防止
データ保護・コンプライアンス 感度ラベルと DLP の統合、認証済みサードパーティアプリのみ許可、ダッシュボードで継続的評価

参考文献・出典

  1. Microsoft Docs – TLS encryption in Microsoft Teams (2024)
  2. Azure Security Center – Encryption at rest with AES‑256 GCM (2023)
  3. Microsoft Security Intelligence Report 2025 – 不正サインイン検知率 93 %(内部テスト)
  4. Service Trust Portal – SOC 2, ISO 27001, HIPAA compliance (2024)
  5. Microsoft 365 App Certification – アプリ許可モデルのベストプラクティス (2026)

次のステップ:本ガイドに沿って組織固有のポリシーを作成し、PowerShell や Graph API を活用した自動化を検討してください。継続的な監査とダッシュボードレビューでセキュリティ姿勢を常に最新に保つことが重要です。

スポンサードリンク

-MicrosoftTeams