Microsoft 365

Microsoft 365のバックアップは必要か? ― データ消失リスクと対策

#Microsoft 365#バックアップ#データ保護#セキュリティ#中小企業

「Microsoft 365はクラウドだから、データは自動的にバックアップされているはず」。この認識は、残念ながら正確ではありません。

確かにMicrosoftは自社のインフラレベルでの可用性を担保しています。データセンターの障害やハードウェアの故障からデータを保護する仕組みは備わっています。しかし、ユーザー側の操作ミスやセキュリティインシデントによるデータ消失は、Microsoftの責任範囲外です。

本記事では、Microsoft 365における「責任共有モデル」の考え方と、中小企業が取るべきバックアップ対策を解説します。

責任共有モデルとは

クラウドサービスには「責任共有モデル(Shared Responsibility Model)」という考え方があります。インフラの可用性やセキュリティはクラウド事業者が担保しますが、データの管理とバックアップはユーザー側の責任です。

Microsoftの利用規約にも「お客様のコンテンツおよびデータを定期的にバックアップすることを推奨します」という趣旨の記載があります。つまり、Microsoftはインフラを守りますが、あなたのデータを守るのはあなた自身です。

データが消失する5つのシナリオ

1. ユーザーの誤操作:ファイルを誤って削除した、メールを完全削除した。ゴミ箱の保持期間(通常93日)を過ぎると復元できなくなります。

2. 退職者のアカウント削除:退職者のアカウントを削除すると、そのユーザーのOneDrive、メールボックス、Teamsのチャット履歴もすべて削除されます。デフォルトでは削除から30日以内であれば復元可能ですが、それを過ぎると完全に消失します。

3. ランサムウェア感染:ランサムウェアに感染すると、OneDriveやSharePointの同期フォルダ内のファイルが暗号化される可能性があります。OneDriveにはバージョン履歴があるため復元できるケースもありますが、大量のファイルの復元は手間がかかります。

4. 悪意のある内部者:退職前の社員が意図的にデータを削除するケースは珍しくありません。気づいたときには保持期間を過ぎていた、ということもあり得ます。

5. サードパーティアプリの誤動作:Microsoft 365と連携しているサードパーティアプリの不具合により、データが意図せず変更・削除されるケースもあります。

Microsoft 365の標準的な保護機能

Microsoft 365にはいくつかの標準的なデータ保護機能があります。

ゴミ箱(第1段階・第2段階):削除されたファイルやメールはゴミ箱に移動し、一定期間保持されます。SharePointは93日、Exchange Onlineは14日(管理者設定で最大30日)が既定値です。

バージョン履歴:OneDriveとSharePointのファイルには自動的にバージョン履歴が記録され、過去のバージョンに戻すことができます。

訴訟ホールド / リテンションポリシー:Exchange OnlineやSharePointに保持ポリシーを設定することで、ユーザーが削除してもバックグラウンドでデータを保持できます。ただし設定には管理者の知識が必要です。

これらの機能はある程度の保護を提供しますが、「完全なバックアップ」ではありません。特に、長期間にわたるデータの保持や、テナント全体のポイントインタイムリカバリには対応していません。

サードパーティバックアップの選択肢

Microsoft 365の標準機能では不十分な場合、サードパーティのバックアップソリューションを導入することで、より確実なデータ保護が実現します。

主要な選択肢として、AvePoint、Veeam Backup for Microsoft 365、Barracuda Cloud-to-Cloud Backupなどがあります。これらのツールは、Exchange Online、OneDrive、SharePoint、Teamsのデータを自動的にバックアップし、任意の時点に復元する機能を提供します。

費用は1ユーザーあたり月額200〜500円程度が相場です。従業員50人の会社であれば月額1万〜2.5万円の追加コストで、データ消失のリスクを大幅に軽減できます。

中小企業が最低限やるべきこと

予算や人的リソースの制約がある中小企業でも、以下の対策は最低限実施すべきです。

退職者のデータ保持ポリシーを決める:退職者のアカウントを削除する前に、メールとOneDriveのデータを共有メールボックスやSharePointに移行するフローを確立しておきましょう。

リテンションポリシーを設定する:Microsoft 365のコンプライアンスセンターで、メールとドキュメントの保持期間を設定しておくと、ユーザーが削除しても一定期間はバックグラウンドで保持されます。

重要データのエクスポート習慣:経理データや契約書など、特に重要なファイルは定期的にエクスポートして、別の場所に保管する習慣をつけましょう。

まとめ

Microsoft 365のデータは「クラウドにあるから安全」ではありません。ユーザーの誤操作、ランサムウェア、退職者のアカウント削除など、データ消失のリスクは常に存在します。

最低限のリテンションポリシー設定から始めて、予算に応じてサードパーティバックアップの導入を検討するのが現実的なステップです。情シス365では、Microsoft 365のバックアップ設計から運用までをサポートしています。

まとめ・ご相談

セキュリティ対策の強化をご検討の方は、Security365(セキュリティ運用・SOCライト)をご覧ください。

貴社のIT課題について、まずは60分の無料相談でお気軽にご相談ください。

☁️Support365 — 運用代行・ヘルプデスク

Microsoft 365の運用管理・トラブル対応・アカウント管理まで、日々のIT業務をまるごとサポート。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談