質問

2016年08月17日 12時57分
  • Office365:アカウント管理上のリスクとは?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

現在、Office365の社内アカウントおよびパスワードを情報システム部門で全て管理しています。
ユーザーにはパスワードの通知を行っていません。
その運用を変更し、各アカウントのパスワード管理を情報システム部門からユーザーに移管しようと考えています。
こうした場合、どのようなリスクが考えられるでしょうか。

皆様のお知恵を拝借できればと思います。
環境・背景は以下のとおりです。
お目通しいただいて、「いや、そもそも○○だろ」といったご意見もございましたら、お寄せいただければ幸甚でございます!

■環境
Windows 7
32bit
64bit
Office 365
Pro Plus 2013
Business 2013

■背景
Office365の2013パッチ配信停止までに2016へのグレードアップ対応を実施することに。
自動更新によるグレードアップを目指し、検証を開始。
検証端末(Windows7 32bit/Office365 Pro Plus 2013)で自動更新に成功するも、Officeを起動するとアカウントがサインアウトされた状態になっている・・・。
パスワードはユーザーに通知していないので現運用だと情報システム担当者が社内のPCをサインインしてまわらないといけない!?
運用を変更してユーザーにパスワードを通知するか・・・?
これはパスワードを通知した場合のリスクを考えねばなるまい!

12件の回答があります

回答

よくわからないのですが
> ユーザーにはパスワードの通知を行っていません。
でユーザはパソコンを起動できないのではないの?

普通は
 ・当初のパスワードは情シスで決めるがユーザは最初のログオン時にパスワードを変更する
 ・ユーザが決めたパスワードを情シスに連絡して情シスがサーバに登録する
 ・情シスがパスワードを決定してユーザに知らせる
というような方法にするのではないでしょうか

2016年08月17日 13時11分

回答

説明不足ですみません。
ここでいうパスワードとは、パソコンではなくOffice365のアカウントに対するパスワードです。
各端末でOfficeの認証を行ったり、Office365のポータル画面(https://login.microsoftonline.com)にサインインしたりする場合に使用します。
現状、Officeの認証作業はPCセットアップ時に情報システム部門にて行っているため、ユーザーがパスワードを必要とする場面はありません。
一度認証すれば、次回以降もOfficeがサインイン状態であるためです。
ところが、2016へのグレードアップ後にOfficeを起動すると、(Officeが)サインアウトされていたため、Officeへのサインイン作業をどうするか? ということから今回の投稿をしています。

回答

ぱっと思いつくのは私用の端末からの利用と、それを発端で起きるセキュリティ事故でしょうか。ADと連携させてSSO認証で運用するのがその対策ソリューションになるのかなと思いますが良く分かりません。

2016年08月17日 14時53分

回答

パスワードを教えて生じるリスクとしては、1アカウントで5台までインストールできるので、自宅のパソコンでOfficeを利用されちゃうことがリスクでしょうか。あと、パスワードを変えられて忘れられちゃった場合再設定の手間があると思います。

うちもOffice365midsizeBizからProPlusに変更するときに再度サインインしなくてはいけないケースがあるとのことでした。その場合はパスワードを教えずに、リモート接続を行って情シス側でやろうと思っていました。幸い1件もそのような連絡はありませんでしたが。(200台中)

話が変わりますが、ライセンスを追加購入したときに、ライセンスの追加購入にするか、ライセンスの延長とするかで間違えそうになって怖いです。MSの人は戻せないって言ってました。

回答

>パスワードを教えて生じるリスクとしては、1アカウントで5台までインストールできるので、自宅のパソコンでOfficeを利用されちゃうことがリスク
ウチでOffice365のOffice製品を検討したときに話題になったのがこれですが、「なにがリスクなの? 自宅のPCもExcelが使えていいじゃん 退社してアカウントを抹消すれば使えなくなるのでしょ(ですよね)」の一言で「リスクじゃない」になりました
もっとも、Excelなどは単体で多く購入しているので「Office365のOffice製品を使う必要はない」 ということになり E1(メールだけ)になりましたけど...

2016年08月17日 15時44分

回答

>desatoさん
確かにリスクじゃないですね。
しかし良い会社ですね~
うちも自宅用に使わせて欲しいです。

回答

365ユーザーじゃないので外してたら無視してください。

もしメールもOffice 365のメールを使うのであれば私物端末からのメール利用が考えられます。
モバイルからのアクセスは制御出来たはずですが、自宅PCのOutlookからのアクセスは制限できないと思います。

Excel/Word/PowerPointの利用についてもOne Driveの利用をする場合は情報流出のリスクはあるのかなと思います。
他のクラウドストレージでも同じリスクはありますが、最初からサービスが統合されていて利用のハードルが低いため、知識がない人でも簡単に使えちゃう点は他サービスよりもリスクが高いかと。

2016年08月17日 16時35分

回答

> 「リスクじゃない」になりました
自宅でExcel使えることはリスクじゃなくて、それによる情報漏えいがリスクですよね。ポータルにログイン→Webアプリ版Excelを使う→OneDriveに保存→自宅でダウンロード→ウィルス感染して漏洩orノートPCを紛失というパターンです。

2016年08月17日 17時37分

回答

ほんまや。
OneDriveってのがありましたね。

回答

社内でADを使用しているならAzure Directory SyncとADFSを使ってSSOさせるのが良いかと。うちではそうしてます。

他のクラウドサービスを使う時にも使えるので、作っておくと後々良いことあるかも?

回答

みなさま

たくさんのご意見をありがとうございました。
リスクを鑑み、ユーザーにパスワードを通知しないということになりました。
みなさまのおかげで早期に結論を出すことができました。
また、対処策についてもご意見をいただき、大変勉強になりました。
ありがとうございます。

>desatoさん
自分が把握していることを相手に正確に伝えることは難しい。端折っちゃだめよ、ということを改めて気づかせていただきました。
また、そんな中でもアドバイスをいただきありがとうございます。
それにしても、会社のOffice365を自宅PCでもインストールしてOKとは何て羨ましい・・・。

>take88さん
ADと連携させてSSO認証・・・!
情シス初心者の私、大変勉強になります。

>ラムチョップさん
インストール、確かにできてしまいますね。
自分にそういった発想(自宅PCにインストールしちゃえ☆)が無かったので、なるほどな~とちょっと関心してしまいました。
MSのライセンス購入/延長の手続きは確かにちょっと分かりづらいですね。

>cyanさん
おっしゃるとおり、One Driveを介して情報流出するリスクがありますね!
今回、パスワードを通知しない方向で話が固まったのはこのリスクネタが大きかったと思います。

>びっぐらさん
SSO認証を実際に構築しておいでなのですね。
今回は、スケジュールと担当者(私です・・・)スキルの問題でSSO認証対応は難しいと思いますが、今後に向けSSO認証の仕組みを提案・構築したいと思います!

回答

> 会社のOffice365を自宅PCでもインストールしてOK
ライセンス管理さえしっかりすれば、今時、そんなのは当たり前と思っていたのですが...
某社は社員が不祥事(横流し、横領)を起こすので、会社が全く社員を信用していなくって「社外ではメール禁止」となっていました。パンデミックや計画停電のときはまったく業務が止まっていましたね。

2016年08月20日 02時01分

あなたもコメントしましょう!