共存期間中のアクセス制御 ― 「見せてはいけないデータ」をどう守るか|テナント分離ガイド第7回
テナント分離プロジェクトの 共存期間(事業譲渡クロージング後〜カットオーバー前)は、最も情報漏洩リスクが高い時期です。組織は契約上分かれているのに、ITシステム上では同じテナントに同居している。「分離対象部門の社員が、まだ親会社の機密情報を閲覧できてしまう」状態が続きます。
本記事では、共存期間中のアクセス制御に使える4つの仕組みを解説し、それらをどう組み合わせるかを示します。
共存期間に発生する典型的なリスク
リスク1:分離対象社員が親組織のデータを閲覧
カットオーバー前は分離対象社員のアカウントは旧テナントに残っています。社内SharePoint、全社配布メール、Teamsチームを通じて、親組織側の情報にアクセスできてしまいます。
リスク2:親組織社員が分離対象データに不用意にアクセス
逆も発生します。分離対象部門のSharePointサイト、メールボックス、Teamsチームに親組織の社員がアクセスし、データを編集・削除してしまうケース。
リスク3:監査ログでの追跡が困難に
「誰が・いつ・何にアクセスしたか」を後から追跡しようとしても、ログ保持期間や監査範囲の設計が不十分だと、分離プロジェクト終了後の説明責任を果たせません。
リスク4:M&A情報そのものの漏洩
事業譲渡が公表される前、分離プロジェクトの存在自体が機密情報です。プロジェクト関連のメール・ファイルが、対象外社員に見えてしまうと、インサイダー情報として法的問題になります。
アクセス制御の4つの手段
手段1:Sensitivity Label(機密度ラベル)
Microsoft Purview の Sensitivity Label は、ファイル・メール単位で機密度を表現し、ラベルに応じて暗号化・アクセス制限・透かしを適用できます。
共存期間での活用例
- 「親組織機密」「分離対象機密」「分離プロジェクト関連」のラベルを定義
- ラベルに応じて、特定のセキュリティグループのみが閲覧・編集できる
- ラベル未設定のファイルにも、自動分類ルールでラベルを付与
ラベル名:分離プロジェクト機密
適用範囲:ファイル、メール
保護:暗号化(AES-256)
アクセス可能ユーザー:sg-separation-pmo(PMOメンバーのみ)
透かし:「TSA期間中のみ・社外秘」手段2:DLP(Data Loss Prevention)
Microsoft Purview DLP は、機密情報の外部送信・共有を検知して防止します。
共存期間での活用例
- 分離プロジェクト関連キーワード(譲渡相手企業名、プロジェクトコードネーム)を含むメールの外部送信をブロック
- 分離対象社員から親組織のSharePointサイトへの大量ダウンロードを検知してブロック
- 機密ラベル付きファイルの外部共有を防止
ポイントは 早期に Audit モードで運用を開始 すること。本番でブロック動作にする前に、検知件数と誤検知傾向を把握します。
手段3:条件付きアクセス(Conditional Access)
Entra ID の条件付きアクセスは、ユーザー・場所・デバイス・リスクスコアに応じて、サインインを許可・ブロック・追加認証要求できます。
共存期間での活用例
- 分離対象社員からの旧テナント管理ツール(管理センター)へのアクセスを、特定のセキュリティグループに限定
- 機密ラベル付きSharePointサイトへのアクセスは、管理対象デバイスのみに制限
- 管理者権限を持つアカウントは、PIM(Privileged Identity Management)で時限付きアクセスに
条件:
ユーザー:分離対象社員グループ
対象アプリ:旧組織機密SharePointサイト
デバイス:すべて
場所:すべて
制御:
アクセスをブロック手段4:Information Barrier(情報バリア)
Microsoft Purview Information Barrier は、特定のユーザーグループ間の Teams・OneDrive・SharePointでのコミュニケーションを物理的に制限する機能です。
共存期間での活用例
- 分離対象社員と特定のM&A情報保有者(CFO、経営企画等)のTeamsチャットをブロック
- 共有チャネルでの相互招待を制限
- 既存のチームでも、メンバー間に情報バリアが設定されると相互閲覧できなくなる
Information Barrier は強力ですが、 過去に正常だったコラボレーションを意図せずブロックしてしまう副作用 があります。導入前にコラボレーションパターンの調査が必須です。
4つの手段をどう組み合わせるか
単独で使うのではなく、層状に組み合わせます。
Layer 1(最外層):条件付きアクセス
├─ 認証段階で「誰が・どこから・どのデバイスで」を制御
Layer 2:Sensitivity Label
├─ ファイル・メール単位で機密度に応じた暗号化・アクセス制御
Layer 3:DLP
├─ コンテンツの外部送信・共有を検知して防止
Layer 4(最内層):Information Barrier
└─ 特定ユーザーグループ間の通信を物理的に分断例えば「分離対象社員(東京支社)」が「親組織機密SharePointサイト(経営企画部所有)」にアクセスしようとした場合:
- 条件付きアクセス:BYODデバイスからのアクセスをブロック
- Sensitivity Label:機密ラベルにより、対象社員はそもそも閲覧できないACL
- DLP:もし閲覧できても、ファイルダウンロードを検知・記録
- Information Barrier:経営企画部メンバーとTeamsチャット不可
実装ステップ
ステップ1:機密データの棚卸し
第3回アセスメントの延長で、機密データを次の4分類で棚卸しします。
| 分類 | 例 |
|---|---|
| 親組織機密 | 親会社の戦略文書、未公表業績、人事評価 |
| 分離対象機密 | 譲渡対象事業の顧客情報、契約書 |
| プロジェクト機密 | 事業譲渡契約書、デューデリジェンス資料 |
| 共通公開情報 | 全社規程、業務マニュアル等(共存可能) |
ステップ2:セキュリティグループの整備
sg-parent-org-only:親組織専属sg-target-business-only:分離対象事業専属sg-separation-pmo:分離プロジェクトPMOのみsg-cross-org-allowed:両組織アクセス可能
ステップ3:Sensitivity Label の設計
事業譲渡完了までの限定ラベルとして「TSA-Confidential」のような時限ラベルを定義します。TSA終了後はラベル定義ごと削除します。
ステップ4:DLP ポリシーの段階展開
- Week 1:Audit モードで全ポリシー導入、誤検知傾向を把握
- Week 2-3:ポリシー調整、Notify モードへ
- Week 4以降:Block モードで本番運用
ステップ5:Information Barrier の慎重な適用
Information Barrier は最後に適用します。コラボレーションへの影響が大きいため、法務・コンプライアンスからの強い要請がある場合に限定するケースが多いです。
カットオーバー後にやること
カットオーバー後、共存期間用のアクセス制御は段階的に解除します。
- 分離対象社員が新テナントに完全移行 → 旧テナント側のアカウントを無効化
- TSA期間中の限定ラベル → カットオーバー後は不要
- 共存期間用 DLP ポリシー → 通常運用ポリシーへ統合
- Information Barrier → 解除(テナント自体が分かれているので不要)
ライセンス要件
これらの機能はライセンス要件があります。
| 機能 | 必要ライセンス |
|---|---|
| Sensitivity Label(基本) | M365 E3 / Business Premium |
| Sensitivity Label(自動分類) | M365 E5 |
| DLP(Email + SharePoint) | M365 E3 / Business Premium |
| DLP(Endpoint) | M365 E5 |
| 条件付きアクセス | Entra ID Premium P1 |
| Information Barrier | M365 E5 / E5 Compliance |
E3 / Business Premium 環境では Information Barrier が使えないため、条件付きアクセスとSensitivity Label を中心に設計します。E5 アップグレードを期間限定で行い、TSA終了後にダウングレードする選択肢もあります。
次に読むべき記事
共存期間を乗り越えたら、最終局面のドメイン分離・DNSカットオーバーが待っています。
情シス365の支援
共存期間中のアクセス制御設計は、Microsoft Purview の知識と組織内の合意形成、両方が必要な領域です。情シス365では事業譲渡PMOと連携した設計・導入を支援しています。