Microsoft 365

「Microsoft 365」のバックアップが必要な理由とは?「HYCU」利用のススメ(岩原裕樹のクラウド徹底活用コラム 第4回)

はじめに

時々、お客様より「Microsoft 365のバックアップはどうしたらいいんですか?」とご相談いただくことがあります。

「Microsoft 365」を利用している場合、データは地理的に離れたデータセンターへ保存され、冗長化が取られています。日本リージョンで使用している場合は、例えば大阪と東京の2つのエリアにそれぞれ複数のデータセンターが存在しており、それらにデータベースやデータが保存(ミラーリング)されています。
これにより、自然災害やサービスに影響を与えるような障害等から大切なデータを保護することが可能になります。もし、安定した広帯域の通信経路などをもたない一般的な組織が自前で地理的に離れた拠点やデータセンターと契約してこういった仕組みを構築しようとした場合には、技術的にもコスト的にも非常に大きな負担になってしまうでしょう。

また、ランサムウェアなどのサイバー攻撃を受けた場合、データセンターの冗長化やミラーリングは役に立ちません。なぜなら、改ざんや暗号化、削除が行われたファイルがデータセンター間で同期するため、すべての保管データが同じ状態になってしまうからです。
こういったケースに対応するため、「SharePoint(Teams)」や「OneDrive」といった「Microsoft 365」のストレージには、世代管理(バージョン履歴)と呼ばれるファイルの更新履歴を保持するサービスが標準で実装されています。この機能を利用して、過去の日付に遡ることで攻撃を受ける前の状態に復元できます。
すでに削除されたデータに関しては、管理者によるごみ箱機能からの復元、ごみ箱機能から削除されてしまっている場合には、マイクロソフトと14日以内に連携することで復元を試みることができます。
また、ユーザー自身が「OneDrive」を以前の状態に復元する機能もあります。30日以内の任意の時点に「OneDrive」全体を復元することが可能であるため、ランサムウェア(マルウェア)により削除や改ざん、破損してしまった状態を元に戻すことができます。


「Microsoft 365」のバックアップは、やはり不要なのか?

さて、これらの安全性や仕組みを考慮すると、「マイクロソフトが責任を持ってユーザーデータを保管・保護してくれているからバックアップは不要だ」とお考えになる方もいらっしゃると思います。
事実、前述の通りデータはミラーリングされているし、ファイルも世代管理が行われているため、
修復不能な事態の発生可能性は低いと言えます。
しかしながら、データを保護する責任がマイクロソフトにあるか?という問いに対しては、その答えは明確に「No」となります。

クラウドにおける共同責任(責任共有モデル)について、下記ページに以下のような記載がされています。
https://docs.microsoft.com/en-us/azure/security/fundamentals/shared-responsibility

For all cloud deployment types, you own your data and identities. You are responsible for protecting the security of your data and identities, on-premises resources, and the cloud components you control (which varies by service type).
 
Regardless of the type of deployment, the following responsibilities are always retained by you:
Data
Endpoints
Account
Access management

こちらは「Microsoft 365」だけでなく、「Microsoft Azure(マイクロソフトが提供するIaaSやPaaS)」による展開についても記載されていますが、この中で最も重要なポイントは後半5行で、日本語訳は以下のようになります。

展開の種類に関係なく、次の責任は常にお客様が保持します。
 データ
 エンドポイント
 アカウント
 アクセス管理

クラウドサービスのための仮想化基盤やそのアプリケーションなどはマイクロソフト側の責任であるが、損失や漏洩防止などのデータに関わる全般事項、IDや共有設定の管理などは、常にユーザーの責任であることがお分かりいただけるかと思います。

この考え方はマイクロソフトに限った話ではなく、クラウドサービス事業者のほとんどが同様です。

さらに詳しくご覧になりたい方はこちらもお薦めです。(英語)

「マイクロソフトShared Responsibility for Cloud Computing」
https://azure.microsoft.com/mediahandler/files/resourcefiles/shared-responsibility-for-cloud-computing/Shared%20Responsibility%20for%20Cloud%20Computing-2019-10-25.pdf


どのようなソリューションが最適なのか?

「データはユーザーの責任である」というからには、より安全に安心してクラウドサービスを使う工夫が必要であり、前述のように、修復不能な事態が発生する可能性は低くても、不測の事態に備えておくことは重要であると思います。

しかし、せっかく安心安全なクラウドサービスを使っているはずなのに、「追加で対策を講じるとは何とも腑に落ちない」、と思う方もいらっしゃるかもしれませんが、日常生活においても同じようなことが言えると思います。
例えば、「毎日ジムでトレーニングメニューをこなしていて、健康や体力には自信があっても、さらにドリンク剤やサプリメントなどの栄養補助食品を摂取している方もいらっしゃるでしょう。また、「規則正しい生活を送っていて健康ではあるが、病気やケガに備えて保険に入っている方」もいらっしゃるでしょう。

そこで重要となることは、追加で講じる対策のコストと手間の適切な度合いであると思います。
サプリメントや保険が高額であれば長く続ける事が難しかったり、途中で見直しをしたりする必要性が出てきますし、組み合わせや数が多いと面倒になってしまう可能性もあります。

それでは、データバックアップに話を戻してコストや手間の度合いを考慮した場合、
どのようなソリューションでデータ保護を実現すれば良いのでしょうか?


Microsoft Office 365向けバックアップ&リカバリー「HYCU Protégé for O365」

その答えの1つが、今回ご紹介する「Microsoft 365」と連携して、簡単に低価格でデータを保護できる「HYCU Protégé for O365」です。
HYCU社は、米国マサチューセッツ州ボストンに本社を置くエンタープライズ向けのクラウドデータバックアップやリカバリーなどを専門とする企業で、ハイパーコンバージドインフラストラクチャ(HCI)であるNutanix 向けのデータ保護ソリューションとしても定評があります。
そのようなデータ保護のプロフェッショナル企業が展開する「Microsoft 365」向けのサービスが「HYCU Protégé for O365」です。


「HYCU Protégé for O365」は導入がとにかく簡単

前述の通り、「Microsoft 365」はデータのミラーリングや世代管理が行われていますが、メールを保護する仕組みとしては、「Exchange Online Archiving サービス」による、「アーカイビング(バックアップ)」や「電子情報開示」 機能によるメールやドキュメント、Teams データなどのコンテンツを検索する機能があります。

また、「SharePoint」に関しては既定値にて世代管理が行われるように構成されています。
これらは「Microsoft 365」上の機能となりますが、表現や設定が少々複雑であることや、誤設定により運用環境への影響や無効化してしまったらどうしよう?といった悩みや不安を抱えられている担当者の方も多いのではないでしょうか?この「HYCU Protégé for O365」は「Microsoft365」とは独立した別サービスであるため、現在の運用環境に一切影響を与えないことはもちろん、非常に簡単な操作で導入し運用を開始できますので、そのような心配は必要ございません。
具体的に必要な作業は、「アカウントの設定とMicrosoft 365での権限設定」のみです。
えっ?もう他に設定は無いの?と逆に不安になってしまうような簡単さでバックアップサービスが開始されます。

「HYCU Protégé for O365」へログイン後のダッシュボードに表示される画面。サインインボタンを押して管理者IDでの認証をするだけで、セットアップが完了します。

「HYCU Protégé for O365」はメールのバックアップだけではない

バックアップソリューションには、メール専用のものやストレージ用のものなどもありますが、「HYCU Protégé for O365」はひとつのソリューションで包括的な保護が可能です。そのため、送受信された全てのメールはもちろん、「SharePoint」、「OneDrive」、「Teams」や「OneNote」など、「Microsoft 365」内の重要な要素を簡単に保護することが可能です。
さらにそれらの保持期間は既定で無期限ですので、コンプライアンス対策など法的な要求事項への対応も特別な設定は不要です。

バックアップされたデータを復元する時の選択項目。ご覧の通りメールはもちろん「OneDrive」や「Teams」などの項目もわかりやすく表示されています。

「HYCU Protégé for O365」は現在運用中の環境への復元や移行が可能

バックアップされたメールデータを復元する際、 .pst や .eml 形式ファイルへの復元(ダウンロード)はもちろん、現在運用中の環境への復元も可能です。
これにより、ごみ箱やアーカイブなどMicrosoft365内の機能にて復元が不可能となってしまったアイテムに関してもユーザー自身が期間を指定するだけで、自分の運用環境へ復元できます。

メールデータ復元時の復元(移動)先選択画面。元の場所への復元はもちろん、他のフォルダや新しく作成するフォルダへの復元も可能です。

さらに便利な機能として、同一のユーザー(アカウント)への復元ではなく、異なるユーザーや、Gmail(Google Workspace)への復元(移行)が可能となります。
既に退職等でユーザーを削除してしまい時間が経過してしまったケースにおいても簡単に復元できます。

もちろん、これらの操作のユーザー許可は会社のポリシーで決められていることが一般的であるため、それによりセキュリティリスクが増大するような可能性は低いと思われます。


「HYCU Protégé for O365」は便利!でも注意が必要

「HYCU Protégé for O365」は非常に簡単で便利なソリューションではありますが、注意も必要です。
例えば、バックアップの頻度は既定で設定(固定)されており、ユーザー側で変更することはできません。バックアップのタイミングも利用者側で指定することはできません。

アイテムバックアップ頻度
メールジャーナリング(常時)、2時間毎
OneDrive、連絡先、カレンダー、タスク、プライベートチャット1回/日
SharePoint、グループとチーム3回/日
           ツール別「HYCU Protégé for O365」規定のバックアップ頻度

そのため、「1日に5回のバックアップが必要」だったり、「任意のタイミングでスナップショットのバックアップを取りたい」といったこと事はできません。バックアップ取得タイミングを細かく指定されたいが場合は注意が必要です。その代わり、「HYCU Protégé for O365」はそういった細かい設定を行う項目もないため複雑なポリシー策定なども必要なく、非常にシンプルな設定画面が実現されているとも言えます。
また、メールは異なるユーザーやGmailへの復元が可能であるとお伝えしましたが、「SharePoint」においては、異なるテナントへの復元はできないため注意が必要です。「HYCU Protégé for O365」をご検討いただく際にはこれらの点にご注意ください。


「HYCU Protégé for O365」はコンプライアンス対応も充実

「『Microsoft 365』とは異なるサービス上で、バックアップされたユーザーデータへアクセスできる」ということは、万が一の際に非常に心強いツールとなりますが、コンプライアンスの観点では慎重に扱わなければならないツールであることは、周知の事実であると思います。その点についても、何点かご紹介いたします。
まず、各種監査ログ機能が実装されており、メールへのアクセスや復元、確認プロセスなどアクティビティの詳細を管理できるため、安全なサービス運用が可能です。

監査ログとして確認可能な項目の一部。必要なログを選択して簡単に確認できます。

また、「Azure AD」と連携したシングルサインオンにも標準で対応しているため、ユーザーにバックアップデータへのアクセスを許可するケースにおいても、アクセス元の場所やデバイスの制限、多要素認証の強制できます。
これにより、退職したユーザーが引き続きバックアップファイルにアクセスできてしまうなどのリスクも軽減することが可能です。

もちろん、バックアップされたデータや監査ログなどは、すべて日本国内のスケーラブルなパブリッククラウドに保管されるため日本国内の法律が適用されます。そのため、万が一の際にも「Microsoft 365」同様に安心です。


追加対策なのでコストも重要

さて、先ほども最適なソリューション検討の要素として、コスト面も挙げました。
長く継続的に使用する必要があるソリューションであるため、やはり非常に重要なポイントになります。コストが割高になると来期予算策定で議題に上がってしまったり、見直しが検討されたりすることになりかねません。
また、バックアップソリューションの中には、利用をやめるときには全ての取得済みのバックアップを
諦める(今までの対策がムダになってしまう)ソリューションもありますので注意が必要です。

この「HYCU Protégé for O365」は、1ユーザー年額7,920円(税込)で利用することが可能です。月に換算すると1回分のワンコインランチやドリンク剤2-3本程度の660円(税込)で無制限のデータ保護が行えることになります。

いかがでしたでしょうか?
オンプレミスでもクラウドでも、どのジャンルにおいても完璧なソリューションというものは存在せず、必ずリスクは存在します。
そのリスクによる影響を最小限にするために、サービスプランの追加や信頼できるパートナーソリューションとの組み合わせで、より安全で安心できる運用をしていただくことが重要だと思います。
ハードウェアやサービスは時間とお金をかければ再構築が可能ですが、日々蓄積されるデータの再構築は不可能に近いと思いますので、「HYCU Protégé for O365」を保険としてぜひご検討いただければと思います。「HYCU Protégé for O365」につきましては、お気軽にディーアイエスサービス&ソリューションまでお問い合わせください。

本コラムは2022年6月時点での情報を基に作成しています。


著者プロフィール
岩原 裕樹(いわはら ひろき)
神奈川県出身。マイクロソフト クラウドサービス提案・販売のスペシャリスト。2000年入社、2021年当時注目を浴び始めていたセキュリティ拡販プロジェクトに参画。大手セキュリティベンダーとともにインターネット関連業界へのセキュアーなWebサービス環境の構築支援に従事。2019年に弊社「Microsoft Power Platform」を使った業務改革に着手。社内での活用アプリの企画、開発を主導。その経験に基づき多くのユーザ企業に対してセキュリティを含めDX推進に繋がるシステム導入実績を持つ。


「岩原裕樹のクラウド徹底活用コラム」一覧
第1回:Windows Server 2012 / 2012 R2 EOS に向けて
第2回:今注目の「Azure Virtual Desktop(AVD)」について
第3回:CISCOソリューションで実現する「SASEモデル」とは?

「HYCU Protégé for O365」製品・トライアル紹介ページ


その他のバックアップソリューション

Print Friendly, PDF & Email