OneDrive for Businessで不要な共有を検出・非公開化

皆さんこんにちは。国井です。
OneDrive for Businessは基本的に自分専用のストレージですが、
共有を設定することで他の人と特定のファイル・フォルダーだけ共有でき、
PPAPの代わりとしても重宝されていたりすると思います。

一方、安易に共有を設定することで、設定した本人も把握していない共有ができてしまい、
共有が放置されるというセキュリティ的によろしくないことが起きるわけです。
定期的に棚卸をしましょうというのは簡単なことですが、
実際にそれを各人にお任せしていたら間違いなく棚卸は一生行われないでしょう。

そこで今日トライしてみたいのは
Microsoft Cloud App Security(MCAS)のファイルポリシーです。

MCASについて

MCASはクラウドサービスの監視を行うCASBのサービスで、
クラウドサービスへのアクセス監視だけでなく、クラウドサービスそのものの監視を行うことも可能です。
どんな監視を行うのか?そしてどんなアラートを出力するのか?についてはMCASのポリシーで定義します。

MCASでポリシーを作成する

MCASで作成可能なポリシーには色々なものがあるのですが、
ここではその中からファイルポリシーについて解説したいと思います。
ファイルポリシーはMCASに連携されたクラウドサービスの中で扱うファイル・フォルダーの監視を行うポリシーで、ファイル・フォルダーが特定の条件を満たすときにアラートを出力する、アクセスをブロックするなどのアクセス制御ができるようになっており、これを利用することで、OneDrive for Businessで使われていない共有を見つけることができます。
実際に設定してみましょう。

MCASのポータルサイトから[ポリシー]-[ポリシーの作成]-[アクセスポリシー]の順にアクセスし、ポリシーを新規作成します。アクセスポリシーにはテンプレートが用意されており、この中から[外部共有ファイルの失効]を選択すると一定期間、ファイルへの変更がない共有フォルダーを見つけてくれます。

image

デフォルト設定では180日間、ファイルへの変更がない共有フォルダーという設定をしていますが、日数は変更可能です。また、[アクセスレベルが次と等しい]の欄もご覧のように共有レベルに合わせた監査が可能です。

image

そのほか、条件設定にはアプリ(Office 365、BOX、Dropboxなど)を選択することもできますし、

image

Office 365内の特定のアプリ(Teams, SharePointなど)を指定することやファイルの拡張子などで指定することも可能です。
マイクロソフトの認定試験に出てきそうな話としてはファイルの属性は作成日と最終変更日時で設定できるので、作成日にしておくことで共有を開始してから〇〇日経ったら強制的に共有解除という機械的な運用もできるわけです。

一方、アラート設定はこんな感じです。

image

アラートを出力する設定とは別に[ガバナンスアクション]メニューで共有を解除([非公開にする]を選択)したり、ゲストユーザーによるアクセスを制限([外部ユーザーの削除]を選択)したりできます。

アラートを参照

以上のポリシーを作成しておいてみましょう。
しばらくするとアラートが出力されます。

image

内容を見てみましょう。
WPというフォルダーの中にSurface3Deploymentという、いかにも前から放置されていたようなコンテンツが共有されていたことが確認できます。
(しかも作成日2015年、更新日2016年って..)
image

アラートは参照するだけでなく、アクションを選択すればアラートが出力されるような事象を放置せずに対処できます。例えば、[非公開にする]を選択すれば共有設定を解除することができますし、ファイル単位であればファイルを削除したり、AIPの分類ラベルを設定したり、することができます。

image

今回は上記のメニューから[外部ユーザーの削除]を選択してみました。
すると、アラート内の[レポート]でアクションの履歴を参照できます。
今回は2人のユーザーに共有されていたので、ログが2つ出ていることが確認できます。

image

以上のようにMCASを使って定期的に監視するように構成すれば、ユーザーによって野放図に行われる共有の取り締まりができるので、

OneDrive for Businessの共有 = なんとなく危険そうだから禁止

ではなく、適切ではない使い方を見つけられる仕組みを活用しながら、新しいテクノロジーに入り込んでいくってことを検討したいですね。