Business | 2020年8月28日 2 min to read

Microsoft 365責任共有モデル

私たちが受ける質問で一番多いのは「Exchange OnlineやSharePoint Online、OneDrive for Business、Microsoft Teamsなど、Microsoft 365のデータをバックアップしなくてはならない理由は何ですか？」というものです。

大抵はこの質問の直後に、「Microsoftが対応してくれますよ」などの言葉が続きます。

「Microsoftが対応してくれる」、本当にそうでしょうか。

この議論をもう少し明確にするために、私たちはMicrosoft 365責任共有モデルを作成しました。SaaS、PaaS、IaaS、オンプレミスを対象とした、Microsoftのより一般的な責任共有モデルをベースとしたものです。この責任共有モデルは、Microsoft 365にかかわる全ての人が、Microsoftが負う責任と各企業が負う責任を正確に把握できるよう手助けするものです。結局のところ、Microsoft 365のデータは利用者である皆さんのデータなのですから。

責任共有モデルとは

本題に入る前に、まずは責任共有モデルとは何か明確にしておきます。責任共有モデルは、IT環境において皆さんが責任を負うコンポーネントやタスクを理解するためのフレームワークです。したがって、どこまでが顧客の義務で、どこからがサービスプロバイダーの義務なのかを明確にするのに役立ちます。これにより、注力しなければならないタスクや注意点とそうでないものについて、しっかりと理解することができます。

役割と責任を理解する

特にクラウド環境の場合、顧客とクラウドプロバイダーには明確な役割があります。顧客がその環境に関する全ての責任を負うであろうオンプレミスのデータセンターとは異なり、クラウド環境では、顧客が責任を負うコンポーネントとクラウドプロバイダーが責任を負うコンポーネントが分かれることになります。顧客が責任の全てを負担するコンポーネントもあれば、まったく心配する必要のないコンポーネントもあります。場合によっては、完全に共有された責任がひとつのコンポーネントに対して混在することもあります。

責任共有モデルにおけるMicrosoftの役割

責任共有モデルを見ていくと、Microsoft 365におけるMicrosoftの主な責任が、バックエンドインフラストラクチャに関するタスク全般にかかっていることがはっきりと分かります。Microsoftの責任は、サービスの中断がほとんど、あるいはまったく発生しないように、自社のサービス提供に耐障害性を提供することに重きを置いています。Microsoftは、Microsoft 365のデータ処理者としての役割を担います。

責任共有モデルにおける顧客の役割

顧客は、Microsoft 365のデータ所有者としての役割を担います。顧客の取り組みと責任は全て、データのアベイラビリティと保護を確保することに向けられています。

顧客がデータやアプリケーションを保護するにはどうすればいいでしょうか。顧客がデータのアベイラビリティを確保できる唯一の確かな方法は、データのバックアップを取っておくことです。そのバックアップをMicrosoftのクラウドとは別の場所に格納して、即座に簡単に復元でき、かつ好ましい目標復旧時間も達成できる状態にしておきます。

今回のブログでは、この責任共有モデルについて説明していきます。モデルの上半分はMicrosoftの責任についてです。この情報はMicrosoftのドキュメントの情報に基づいていますので、ご自身で確認したい場合はそちらをご覧ください。

下半分では、各企業、特にIT組織が負う責任について説明します。

責任共有モデルの主なコンポーネント

主な責任
支援テクノロジー
セキュリティ
規制

主な責任

それでは、両者それぞれの主な責任について具体的にお話しするところから始めていきましょう。Microsoftの主な責任は、同社が持つグローバルインフラストラクチャと、数百万の顧客がこのインフラストラクチャを常に利用可能な状態に保てるよう維持することに焦点が当てられており、クラウドサービスのアップタイムの確実性を絶えず提供し、世界中のユーザーの生産性を維持しています。

IT組織の責任は、自社のデータがどこに保存されていたとしても、データへのアクセスと管理が可能な状態にしておくことにあります。組織はビジネス上の意思決定によってSaaSアプリケーションを使用しているため、この責任が魔法のように消えてしまうことはありません。

支援テクノロジー

次は、各グループがそれぞれの主な責任を果たせるよう設計された支援テクノロジーについてです。Microsoft 365にはデータのレプリケーション機能が内蔵されており、これによりデータセンター間の地域冗長性が提供されます。これは必要不可欠な機能です。Microsoftのグローバル・データ・センターで問題が発生した場合、レプリケーションターゲットにフェイルオーバーできるので、ほとんどの場合、ユーザーが変化に気づくことはありません。

ただ、レプリケーションはバックアップではありません。しかも、このレプリカはユーザーのレプリカではなく、Microsoftのレプリカなのです。この点をより詳しく説明するので、次の質問について少し考えてみてください。

徹底的に保護してくれるのは、バックアップとレプリカのどちらでしょうか？

レプリカ、と主張する方もいるでしょう。なぜなら継続的に、または、ほぼ継続的にセカンドサイトにデータをレプリケートすることで、アプリケーションのダウンタイムを排除できるからです。しかし、レプリケーションだけのデータ保護戦略には問題があることをご存じの方もいらっしゃるでしょう。例えば、削除したデータや破損したデータも正常なデータと一緒にレプリケートされます。つまり、レプリケートされたデータも削除されたり、破損したりしてしまうということです。

徹底的に保護するには、バックアップもレプリカも必要です。この基本原則は10年以上にわたって、Veeamのデータ保護戦略の基礎をなしてきました。弊社の主力製品、Veeam Backup & Replicationは、まさにこの基本原則を表したものです。

「でも、Microsoft 365にはごみ箱があるのでは？」確かに、Microsoftにはいくつか異なるごみ箱のオプションがあり、限定的ではありますが、短期間のデータ消失については復元可能です。しかし、保有データを完全に管理するなら「限定的」では不十分です。ビジネス上の重要なデータに対する完全なアクセスと管理を可能にするには、完全なデータ保持が必要です。完全なデータ保持とは、短期間の保持、長期間の保持、そしてあらゆる保持ポリシーのギャップを埋められることを指します。また、きめ細かな復元や一括リストア、特定の時点への復元オプションもすぐに使用できる必要もあります。

セキュリティ

Microsoft 365責任共有モデルの次のコンポーネントはセキュリティです。これに関しては、両者の責任が別々ではなく混在する形になっています。これは、MicrosoftとIT組織の双方がセキュリティに対して責任を負っているためです。

MicrosoftはMicrosoft 365をインフラストラクチャレベルで保護しています。これには、データセンターの物理的なセキュリティや、クラウドサービスにおける認証と識別、Microsoft 365のUIに構築されたユーザーと管理者の管理が含まれます。

IT組織はデータレベルでのセキュリティに責任を負っています。データに関する社内外のセキュリティリスクは、意図せぬ削除や、悪意ある管理者によるアクセス権の悪用、ランサムウェアなど枚挙にいとまがなく、これらはほんの一部の例にすぎません。こちらの5分の動画では、Microsoft 365がランサムウェアに乗っ取られるとどうなるかをご覧いただけます。見ただけでも恐ろしくなります。

規制

最後は法的およびコンプライアンス要件です。MicrosoftはMicrosoft 365トラストセンターにおいて、データ処理者としての同社の役割を非常に明確に記しています。これにより同社はデータプライバシーへより注力することができ、また、同社のサイトでは多くの業界認定を取得していることも確認できます。皆さんのデータがMicrosoft 365に保存されていたとしても、IT組織は依然としてデータの所有者としての役割を負っています。さらにこの責任には、各業界からの様々な外圧や、法務、コンプライアンス、人事などの各部署からのコンプライアンスについての要求も加わります。

例、シナリオ

顧客が責任を負う部分を、代わりにMicrosoft任せにしてみたらどうなるでしょうか？意図せぬ削除やランサムウェア攻撃のようなデータ消失の場合であれば、Microsoftにも何らかのセーフティネットはあります。しかし、これらは、ごみ箱のように短期的なデータ消失に対応するものであったり、単純に保持ポリシーのようなコンプライアンスツールであったりします。消失したデータをMicrosoft頼みで取り戻すことにした場合、そのデータが戻ってくるかどうか、またいつ戻ってくるのか、実際の保証はありません。そのため、データ所有者としての役割を真剣に受け止めることが非常に重要なのです。データを管理することができれば、自由に復元することができるのですから。

利点と課題

責任共有モデルの利点は、自分たちの責任範囲を顧客が間違いなく明確に理解できるという点です。自分たちが真に責任を負う義務とタスクに対して、組織やIT部門が常に責任を負う助けになります。リスクは、自分たちの責任を真剣に受け止めないことです。このモデルでの自分たちの責任を認識してはいるものの、Microsoft 365データについて、実際よりも自分たちの責任は少ないはずだと思い込んでいる組織は、いまだに多く存在します。

責任共有モデル実践のベストプラクティス

Microsoft 365でデータ所有者として責任共有モデルを効果的に実践するための第一歩は、データを確実に保護することです。つまり、3-2-1-1-0ルールのようなベストプラクティスを導入します。3-2-1-1-0ルールとは、データのコピーを3つ作成して、そのデータを2つの異なるメディアに保存し、1つはオフサイトに保存、1つは物理的に隔離された状態にし、バックアップエラーを0にするというものです。しかし、この作業を行うには、単なるバックアップソリューションでは不十分です。ビジネスで求められるバックアップのカスタマイズ機能、柔軟な復元機能、そしてパワフルな検索機能が必要です。

Veeamを活用する

以上で、Microsoft 365におけるMicrosoftの保護範囲と保護している理由について、しっかりと理解していただけたことと思います。Microsoft 365のバックアップがなければ、保有データのアクセスと管理が制限されてしまいます。皆さんも保持ポリシーのギャップやデータ消失の被害者となる可能性があるのです。また、組織を社内外の重大なセキュリティリスクや規制違反のリスクにも晒してしまうことになります。サードパーティによるMicrosoft 365バックアップ製品を導入する動きも増えてきていますが、ある調査によると、なんと71%もの企業がいまだに保護されていない状態だそうです¹。

これは全て、データをバックアップすることで簡単に解決できます。バックアップをお好きな場所に保存しておくことで、復元したいデータへ、必要なときに簡単にアクセスすることができます。

シンプルで使いやすいMicrosoft 365バックアップソリューションをお探しでしょうか？

であれば、Veeam Backup for Microsoft 365 以上にふさわしい製品はありません。このソリューションで、すでに世界で1300万のMicrosoft 365ユーザーが保護されています。また、VeeamはForbesが選ぶ世界のクラウド企業ベスト100に選出されたほか、MicrosoftのGoldパートナーでもあります。是非Veeamをお試しいただき、素晴らしい機能の数々を実際にご体験ください。

まだご納得いただけない方は、Microsoft 365データのバックアップが不可欠な理由についてご覧ください。

出典：

¹Segment Sentiment Research 2021, Veeam