Microsoft 365のデータは本当に安全か? ― 中小企業のバックアップ戦略と製品比較
「Microsoft 365を使っているから、データはMicrosoftが守ってくれている」
この認識は、残念ながら正しくありません。Microsoft 365のデータ保護には「共有責任モデル」が適用されており、データの保護責任の一部は利用者(企業)側にあります。
本記事では、Microsoft 365の共有責任モデルを解説し、中小企業が実施すべきバックアップ戦略と製品の選び方を紹介します。
共有責任モデルとは
Microsoftが公式に定めている責任分担は以下のとおりです。
Microsoftが責任を負う範囲: データセンターの物理的な安全性、サービスの可用性(稼働率99.9%のSLA)、インフラストラクチャの保護、災害復旧
利用者(企業)が責任を負う範囲: データの保護と復旧、アカウントのセキュリティ、アクセス制御、コンプライアンス対応
つまり、Microsoftは「サービスが動き続けること」には責任を持ちますが、「利用者のデータが失われないこと」については利用者側の責任です。
なぜサードパーティバックアップが必要なのか
Microsoft 365の標準機能でもある程度のデータ保護は提供されていますが、以下のシナリオでは標準機能だけでは不十分です。
誤削除。 ユーザーが重要なファイルやメールを誤って削除した場合、ごみ箱の保持期間(最大93日)を過ぎると完全に消失します。「3ヶ月前に削除されたファイルを復元したい」という要望には対応できません。
ランサムウェア感染。 OneDriveやSharePointのファイルがランサムウェアで暗号化された場合、バージョン履歴から復元できるケースもありますが、暗号化されたバージョンで履歴が埋め尽くされると復元が困難になります。
退職者データの保持。 退職者のライセンスを削除すると、そのユーザーのメールボックスやOneDriveのデータは一定期間後に完全に削除されます。訴訟や監査に備えてデータを長期保持する必要がある場合、標準のリテンション機能だけでは要件を満たせないことがあります。
悪意のある内部者。 退職間際の社員が意図的にデータを大量削除した場合、発覚が遅れると標準の復元機能では対応しきれません。
主要なバックアップ製品の比較
中小企業向けのMicrosoft 365バックアップ製品を比較します。
| 製品 | 月額目安(1ユーザー) | バックアップ対象 | 特徴 |
|---|---|---|---|
| Veeam Backup for M365 | 200〜400円 | Exchange、OneDrive、SharePoint、Teams | 業界シェアNo.1。機能が豊富。自社管理型とBaaS型を選択可能 |
| AvePoint Cloud Backup | 300〜500円 | Exchange、OneDrive、SharePoint、Teams、Planner等 | M365の幅広いサービスに対応。SaaS型で導入が容易 |
| Acronis Cyber Protect | 300〜600円 | Exchange、OneDrive、SharePoint、Teams | バックアップに加えてエンドポイントセキュリティも統合 |
| Barracuda Cloud-to-Cloud | 300〜500円 | Exchange、OneDrive、SharePoint | メールセキュリティとの統合が強み |
| Microsoft 365 Backup(純正) | 従量課金制 | Exchange、OneDrive、SharePoint | 2024年に正式リリース。高速復元が特徴だが機能は限定的 |
選び方の基準
コスト重視: Veeam Backup for M365の自社管理型が最もコストパフォーマンスに優れます。ただし、バックアップストレージ(Azure Blob Storage等)を自社で用意する必要があります。
導入の簡単さ重視: AvePoint Cloud BackupはSaaS型で、導入設定が最も簡単です。ストレージもサービスに含まれているため、追加の環境構築が不要です。
統合性重視: すでにAcronisやBarracudaのセキュリティ製品を導入している場合は、バックアップも同じベンダーに統合するとコストと管理の効率が良くなります。
中小企業向けバックアップ戦略
バックアップ対象の優先順位
- Exchange Online(メール) — 最優先。メールは法的証拠として求められることがあり、長期保持のニーズが高い
- SharePoint Online / OneDrive(ファイル) — 業務の中核データ。誤削除やランサムウェアからの復旧に必須
- Teams(チャット履歴) — 優先度は中。チャット内の重要な意思決定記録が失われるリスクに備える
バックアップの頻度
日次バックアップ(1日1回)が中小企業の標準的な設定です。RPO(Recovery Point Objective:データ損失の許容範囲)は最大24時間となります。より厳格なRPOが求められる場合は、1日3回のバックアップ設定が可能な製品を選択してください。
保持期間
一般的には1〜3年の保持が推奨されます。業種や法規制(税務上の書類保管義務等)に応じて、より長い保持期間が必要な場合があります。
復元テストの実施
バックアップは「取っていること」ではなく「復元できること」が重要です。四半期に1回、実際にバックアップからデータを復元するテストを実施し、手順と所要時間を確認してください。
費用の目安
100名企業がAvePoint Cloud Backupを導入した場合の年間コスト例を示します。
| 項目 | 費用 |
|---|---|
| ライセンス費用(100名×月額400円×12ヶ月) | 約48万円/年 |
| 初期設定費用(外部委託の場合) | 5〜15万円 |
| 年間合計 | 約53〜63万円/年 |
100名企業の場合、1人あたり年間約5,300〜6,300円の投資で、メール・ファイル・Teamsのデータを保護できます。ランサムウェア被害の平均被害額(2,386万円)と比較すれば、合理的な投資です。
まとめ
Microsoft 365のデータ保護はMicrosoftと利用者の「共有責任」です。誤削除、ランサムウェア、退職者データの保持といったリスクに備えるために、サードパーティのバックアップ製品の導入を推奨します。
情シス365のSecurity365(セキュリティ運用)では、Microsoft 365バックアップの導入・運用をサポートしています。バックアップ製品の選定から初期設定、復元テストの実施まで一括で支援します。無料ヒアリングからお気軽にどうぞ。