結構危ないかも?M365のデータをバックアップすべき理由と方法

cloud data

企業でのSaaS利用で一番身近なのは Microsoft 365 (以降、M365に省略) ではないでしょうか。
SaaSでのデータをなくしたとして、どんな認識をお持ちですか?
・クラウドだからデータも守られてるのでは?
・マイクロソフトだから何か障害があっても責任は提供側でしょう
・削除したとしたらデータは復元してもらえるはず。

SaaS Data Loss Image
ソース: IT Pro Survey Reveals User Error as the Leading Cause of Data Loss in SaaS Applications

SaaS利用でのデータ損失の40% (米国 43%、英国 41%) が、ユーザーミスによるものだそうです。

これは、2016年にSPANNING社がIT pro で米国と英国のITプロフェッショナルに対して行った調査で明らかになった結果です。クラウド利用で先行している欧米企業の情報ですが、日本でも同じ傾向であるといえるでしょう。

実は、SaaSを利用する上でデータ保護は利用側の責任が前提です。
もちろん、M365の場合も同じです。
ユーザー側でうっかりして重要なデータを削除してしまった!
気が付いた時には、どこにいってしまったかもわからない
などなど、後の祭りにならないように

M365のデータを守るために、正しい認識をしてサードパーティ*のバックアップソフトやサービスを活用して、バックアップを取ることを強くお勧めします。

ここでは、バックアップを取ったほうがいい6つのポイント
おすすめのサードパーティのソフトやサービスを紹介します。
同時に、M365でできるデータ保護対策も提示します。

*サードパーティとは、第三者という意味で、サービスを利用しているマイクロソフト社以外の他社ソフトやサービスを意味します。

1. Microsoft 365のデータバックアップが必要な6つの理由 

ユーザーのデータをバックアップしておくことは必要です。理由は6つあります。以下、上から説明していきます。

1.1  利用者側の人為的なミスの対策のため

Microsoftはあくまでプラットフォームを提供しているに過ぎません。
ユーザー側のミスやトラブルによるデータ消失には責任を追ってくれません。
たとえば、従業員の操作ミスでファイルを削除してしまったり、会社のパソコンのエラーで消去してしまった場合などは、M365のクラウドからもファイルが自動的になくなることになります。

1.2  ランサムウェアなどの外部からの攻撃や感染リスクに備えるため

もし、社内PCがランサムウェアに感染したとして、感染したファイルがM365のクラウドストレージにもアップロードされていたら、感染が広がり、アップロードされたフォルダやドライブ全体や、他のPCからファイルにアクセスしたPCも感染してしまう可能性があります。
ランサムウェアの場合、感染したらファイルが暗号化されてファイルを解読できなくなり、データを人質にとられてしまいます。データを読めるように攻撃側に身代金を払ったとしても、暗号化されたデータを解除してもらえる鍵を提供してもらえる保証はありません。バックアップを取っておけば、ファイルやバージョンを数世代さかのぼって感染する前の状態に復元することは可能です。

1.3  社内の脅威に対処するため 

社内の脅威として、会社に不満をもつ従業員や退職前の従業員などが、嫌がらせで重要なデータを削除するリスクに備えてデータをバックアップしておくことです。

例えば、社員の証拠隠滅のようなことも考えられます。何かの不正を行い、証拠となりそうなファイルやメールを計画的に削除して、会社に損害を与えるというケースです。このように割合は少ないかもしれませんが、会社に何らかのダメージを与えることが目的になるものは、リスク管理の観点で備えておくことは非常に重要です。

1.4  障害発生時の重要データ損失リスクに備えるため

Microsoftのクラウドは安定性に優れており、サービス側で重大なトラブルが発生することはほぼありません。しかし、ちょっとしたサービス障害は意外とよく起きているようです。2020年9月末には、5時間程度の障害が発生して、日本リージョンでも影響があったこともありますので、過信は禁物です。

サービスの稼働状況を確認できるTwitter情報やサイトをMicrosoftで提供しているので、参考にしてみるといいでしょう。

英語の情報になりますが、Microsoft が管理する障害情報を確認することができます。

Twitter アカウントウェブ (管理者アカウントが必要)

「Microsoft 365 Status」

「Microsoft 365 Service health status」

1.5  退職者や重要データの保存、有事の監査などコンプライアンスに備えるため 

社員がすでに退職していて、M365のアカウントを削除することになった場合、そのユーザーのメールなどはすべて完全に消えてしまいます。退職した社員のメールデータがあとで必要になるケースなどがあります。

例えばハラスメントが起こった場合などには、過去のメールのやりとりなどを証拠として提出を求められたりする可能性があります。また、該当する退職者のアカウントを残しておくという方法もありますが、ライセンス料としてカウントされるのでコストがかさんでしまいます。また、GDPRや関税法等が適用される業種等では長期保管が必要になってきますので、バックアップ対応は必要です。

2. サードパーティ製品・サービスを使ったデータ保護対策がおすすめ 

前章の理由から、利用側でデータのバックアップをする必要性を理解していただけたかと思います。
バックアップには、大きく2つ方法があります。

SaaS Data Backup Methods

1つは、サードパーティ製品・サービスを利用してバックアップをとる方法、

2つ目はM365の機能内もしくは追加オプションやライセンスレベルをアップグレードする方法です。

お勧めは、サードパーティ製品・サービスを利用したバックアップです。

このサードパーティとは、Microsoft社以外の製品やサービスを意味します。ここでは特に、バックアップに特化した専用ベンダーの提供するソフトウェアやサービスと捉えてください。

何故、バックアップに特化した他社製品の利用をお勧めするかといいますと、
(筆者がバックアップベンダー側だからという理由もありますが)、
現時点では、バックアップに特化した製品、サービスのほうが利用しやすく、利用の仕方ではコスト的にも優位性があるためです。

たとえばですが、アンチウイルスソフトを考えてみましょう。
Windows 10に同梱されているアンチウイルスソフト Microsoft Defender は無料で使えます。
これで十分と割り切って考えるか、、、
それとも有料でも他社セキュリティベンダーのアンチウイルスを導入するべきか、、、
各組織のセキュリティ方針によって進め方は異なるはずです。

みなさんの会社ではどうでしょうか。
企業のデータ保護の観点からは、現在、サードパーティ製品の導入をされる企業が多く、関心も高いようです。以下、私が普段よく聞く3つの理由を以下で説明します。

2.1  クラウドやネットワーク障害時でのリカバリ対応

普段からのバックアップをとることを業務プロセスに組み入れることで、ちょっとしたサービス障害が発生して、メールの受信が不安定になるなどの影響を被ったとしても、業務に支障が出ないように、データのリカバリができるようになるので安心です。サードパーティ製品であれば、データバックアップとリカバリに特化した操作性が考えられている点から、利便性が高いといえるでしょう。

2.2  詳細バックアップと確実なリカバリ

M365は、Exchange Online、クラウドストレージのOneDriveや社内共有向けSharePointなど、サービスごとに異なるバックアップ方法やリカバリが必要です。そのため、バックアップが非常に煩雑になります。サードパーティ製品で、M365に対応しているソフトやサービスですと、まとめて、簡単、かつ詳細に、バックアップがとれ、迅速にリカバリを行えます。ユーザーの操作性を考慮したインターフェースや管理ツールなどで煩雑になりがちな業務を効率的に管理できるように工夫されています。

2.3 オンプレミス、クラウドの混在環境もまとめてバックアップ 

現在、すべてがクラウド環境という会社は少ないでしょう。
多くの企業のIT環境は、自社物理・仮想環境のサーバやプライベートのデータセンター、クラウドなど混在環境で利用していることが多いです。これらの環境を、環境ごとにバックアップすることは、煩雑かつ手間のかかる運用なので、運用する側は、様々な環境を一元管理できることが理想です。
M365のデータも含めて、一元化してバックアップができれば、かなり手間が省けて効率的になるでしょう。サードパーティ製品を活用すると、様々な環境を一元管理が現実になります。

3. M365 向けのおすすめの3つのデータ保護対策のアプローチ 

企業がM365を利用するにあたり、データ保護対策としてお勧めの3つのアプローチを説明していきます。

3.1  組織全体をまとめてデータ保護運用

M365をきっかけに、全体最適化を考えるアプローチです。
2.3で説明した通り、企業ではM365だけでなく、様々なIT環境でシステムを提供しています。
管理側からすれば、これらシステムを一本化して管理できたほうが重複作業が減り、効率化できます。また、M365自体も、様々なアプリケーションから構成されているので、各アプリケーション向けにバックアップを準備する必要があります。サードパーティ製品であれば、M365向けに対応しているだけでなく、様々な環境を一元管理できる仕組みを提供しています。バックアップ業務全体を纏めるきっかけになる可能性もあるので、全体を纏めてバックアップできる仕組みを検討されるとよいと思います。

アークサーブでは、アプライアンスソフトウェア (UDP) を活用して、M365も社内環境もまとめて管理する仕組みを提供しています。

3.2  クラウド上でバックアップ (Cloud To Cloud) 

M365 対応しているクラウドバックアップサービスを利用して、M365とクラウドバックアップのサービス間でバックアップを行うアプローチです。このアプローチをCloud To Cloudともいわれています。
このアプローチですと、利用者側は意識することなく、確実にバックアップを取ることができます。SaaSデータのバックアップにお勧めのアプローチです。

アークサーブでは、クラウドバックアップサービス Arcserve UDP Cloud Hybrid を活用することで実現できます。

3.3  メールの長期保管 (アーカイブ)

メールのバックアップだけでなく、メール自体を長期保管しておくアプローチです。

メールを長期保管する目的は、企業のコンプライアンス対策です。
退職者の過去メールが、契約や取引上等で後になって必要になったり、何かのトラブルで訴訟となった際の証跡として過去に遡って、メールのやり取りが必要になる場合に重宝します。大量の長期保管メールのためデータ量が多くなる前提で、アーカイブ内を、簡単で迅速に検索できることも考慮する必要があります。

アークサーブでは、オンプレ向け (バーチャルアプライアンス) Arcserve Email Archiving もしくは、クラウドサービス (SaaS 型) で提供している Arcserve Email Archiving Cloud があります。 

4. M365でできるデータ保護対策

M365の主要サービスでは、削除されたデータを復元できる機能を標準で備えています。
主に、メールとクラウドストレージのサービスでのデータ復元期間が判断ポイントになります。
データ保護の観点からすると、限定的になりますが、標準のまま利用する場合の制限事項を認識し、判断基準としてご参考になればと思います。

4.1  削除メールの保管期間 (Exchange Online)

データを間違って削除した場合、戻したいケースが多いのはメールではないでしょうか。
M365でのメールサービス機能は Exchange Online になります。
Exchange Onlineを一般的な利用プランで利用されている場合 (Exchange Online プラン1)、
最大30日間前まで削除済みデータを復元することができます。
既定のメールの削除済みアイテムの保持期間は標準で 14日、設定変更によって最大 30 日間までにすることができます。

Exchange Online プラン 2 のライセンス、または Exchange Online Archiving のライセンスの付いた Exchange Online プラン 1 のライセンスの含まれるプランは、訴訟ホールドやアイテム保持ポリシーを利用して、無期限長期間保管が可能です。

M365 一般法人向けで Exchange Online 利用できるプランは以下の3つに分類されます。

Microsoft 365 Business Basic 

¥540 ユーザー/月相当

(年間契約)

消費税は含まれていません。

Microsoft 365 Business Standard

(Exchange Online Plan1 含まる)

¥1,360 ユーザー/月相当

(年間契約)

消費税は含まれていません。

Microsoft 365 Business Premium

(Exchange Online Plan1 +  Exchange Online Archiving 含まる)

¥2,180 ユーザー/月相当

(年間契約) 消費税は含まれていません。

ソース: 一般法人向けプランページ および 詳細ドキュメントを参照

4.2  クラウドストレージ (SharePoint / OneDrive) のデータ保管期間

SharePoint や OneDrive for Business では、削除されたファイルは「ごみ箱」から93日以内であれば復旧可能です。参照元 

5. まとめ 

M365で作成したデータは基本的に、利用側の責任範疇です。
人為的なミスやセキュリティ、社内脅威への対処、障害発生リスク、コンプライアンス対策、そして利用契約内容と6つのバックアップが必要な理由を示しました。
おすすめのサードパーティ製品・サービスを活用したデータ保護対策、おすすめのバックアップのアプローチを検討するか、既存のM365でできるデータ保護を認識したうえで、組織にあったM365のデータ保護対策を確保していただければと思います。

盲点になりがちな、クラウドサービスのなかでもSaaSのデータ保護は、基本的にデータは利用者側の自己責任となることをお忘れなく、その前提でサービスを利用しましょう。

M365を活用したITの生産性向上の一助となれば幸いです。

 

コメント

ダウンロードして、その実力を実際にお試しください。当社の高性能で革新的な製品およびソリューションで、IT管理におけるリスクと複雑さを低減しましょう。
無償トライアルを試す
無償トライアルを試す