Microsoft 365にはサードパーティのバックアップサービスが不可欠

今日のペースの速い業務環境において、企業は業務を中断させず、生産性を維持するために、あらゆるデバイスからデータに簡単にアクセスできるようにする必要があります。企業において業務のクラウド利用が進む中、信頼性の高い安全なデータアクセスがこれまで以上に重要になっています。Microsoft 365は、クラウドベースの生産性とコラボレーションアプリケーションの強力なスイートであり、世界中で 3 億 4,500 万人の有料ユーザーの支持を獲得しています。

Microsoftは、M365のデータのバックアップを提供していますが、Eメールなどの一部のリソースについては保持期間が非常に限られています。これには、多くの企業で標準化している、詳細復元や長期のRPO（目標復旧時点）が含まれていません。たとえば、ランサムウェア攻撃を受けた場合、Microsoft はメールボックスを 2 週間遡って一括復元できますが、その間の作業はすべて失われ、偶発的な削除によって失われた個々のリソースを復元することはできません。

そのため、データ保護レイヤーを追加し、安全なオフサイトロケーションにデータをバックアップするためには、企業はサードパーティのM365バックアップツールの導入を検討する必要があります。実際、Microsoft 自体もまさにこうした方法を推奨しています。標準的な M365 サービスレベル契約 から引用すると、以下のようになります。「マイクロソフトは、本サービスの稼動状態を維持するよう取り組んでいますが、すべてのオンライン サービスには中断および停止が時折発生します。マイクロソフトは、結果としてお客様に生じることがある中断または損失について一切責任を負いません。停止が発生した場合、お客様は、保存しているお客様のコンテンツまたは本データの取得ができなくなることがあります。本サービスに保存しているお客様のコンテンツおよび本データは、定期的にバックアップするか、第三者のアプリおよびサービスを使用して保存することをお勧めします」

M365 に対するサードパーティのバックアップソリューションの使用は、単に「当社はほとんど保護しないので、お客様自身のデータは自分で保護してください」という Microsoft 推奨に従うことを意味するだけではなく、データセキュリティの強化、データ復元の容易化、データバックアップの管理強化、規制コンプライアンスなどの追加のメリットもあります。

この記事では、M365のセキュリティが限定的であること、M365に対するサードパーティのバックアップサービスの重要性、サードパーティのバックアップサービスプロバイダーを選択するためのベストプラクティスについて説明します。

Microsoft 365は、Word、Excel、PowerPoint、OneNote、Outlook、Teamsなどの一連の生産性向上ツールからなるクラウドベースのサブスクリプションサービスです。これには、Exchange Online（メッセージングアプリ）、OneDrive for Business（クラウドベースのファイルストレージアプリ）、SharePoint Onlineなどのコラボレーションツールや、Office アプリケーションのオンライン版へのアクセスも含まれています。

M365のツールにより、クラウドストレージ、E メールとカレンダーの管理、コミュニケーションが可能になります。複数のユーザーが 1 つのドキュメントを同時に作業できるため、ドキュメント、スプレッドシート、プレゼンテーションにおいて簡単にコラボレーションが可能です。ただし、すべての M365ツールはデータを共有するため、そのデータのバックアップ、セキュリティ、復元可能性が非常に重要です。

M365のデータバックアップ機能は限定されています。Microsoft 365は、関係のある各当事者がその関係の成功に部分的に責任を負うという原則に基づく共有責任モデルをサポートしています。つまり、Microsoftとそのカスタマーの両方が、データの可用性とセキュリティを確保する役割を担っています。

Microsoft は、M365が実行する物理的なインフラの高可用性でよく知られていますが、データ保護は M365の標準ライセンスに含まれておらず、セットアップには追加の複雑な構成が必要です。Microsoft のドキュメントには、データの整合性と保持はユーザーの責任であるとも記載されています。基本的に、Microsoftは基盤となるクラウドインフラに対して責任を負いますが、Microsoft 365のデータのセキュリティはユーザーの責任となります。

M365のビルトインのバックアップ機能は限定されており、ユーザーは以下に注意すべきです。

誤ってファイルを削除してしまうことは、ランサムウェアに次いでデータ損失の原因としてよく知られています。誤って削除してしまったファイルを発見し、その発見が以下に指定された復元期間を超えている場合、データは永久に失われます。

デフォルトでは、SharePoint Onlineは削除されたアイテム（ファイルを含む）を 93日間保持します。この間、削除されたファイルは、ごみ箱または SharePoint Online管理センターを使用して復元できます。93日間の保持期間が経過すると、削除されたファイルは SharePoint Online の第2段階のごみ箱に移動し、そこでさらに 7日間保持されます。この間にファイルが復元されなかった場合、そのファイルは永久に削除され、復元できなくなります。ただし、一部の規制では、特定のデータを数日ではなく数年間保存するよう企業に求めています。

Microsoft 365は、多くのサードパーティサービスとデータを統合して共有するため、施行されている規制に関して懸念があります。たとえば、GDPRは個人のデータを保護するものであり、EU/ EEA（欧州経済領域）外にこうしたデータを転送する場合は、この規制に準拠する必要があります。英国も同様に GDPR を独自に導入しています。Microsoftは、転送を促進および規制するために標準的契約条項（SCC）などのデータ転送メカニズムを提供していますが、不透明であると報告されています。

GDPRおよび英国 GDPRでは、個人は自分の個人データにアクセス、修正、消去する権利を有すると規定されています。Microsoftは、組織がデータの要求に対応できるように Microsoft 365コンプライアンスセンターなどのツールを提供していますが、これらのツールの使用は複雑であることがわかっています。

Microsoft は M365のデータを世界中のデータセンターに保管しています。しかし、特定の消費者データプライバシー規制では、組織は指定されたロケーションにデータを保管することが求められています。たとえば、GDPRによれば、EU居住者のデータは EU内に保管する必要があります。したがって、 EU に拠点を置く組織の米国に保管されている M365のデータは GDPRに違反します。一方、米国クラウド法によれば、米国諜報機関は米国に拠点を置く企業が保管するあらゆるデータにアクセスできなければならないため、Microsoftは法的に自社のユーザーデータを全米のクラウドデータセンターに保存することになります。

このようなシナリオは規制の衝突を招くことになります。さらに、Microsoftによるデータの保管および収集方法が不透明であることも加わり、M365は制裁と風評被害の両面で組織に打撃を与える可能性があります。2022年、サードパーティによるデータアクセスに関する懸念から、ドイツでは学校での Microsoft の使用が全面的に禁止されました。

上記のとおり、Microsoftは実際にサードパーティのバックアップソリューションの利用をカスタマーに推奨しています。これだけでも、サードパーティのバックアップサービスを利用する十分な理由になります。

OneDriveの同期機能はバックアップとは異なります。OneDriveストレージを使用すると、ローカルデータに対する操作はすべて同期コピーにレプリケートされます。つまり、ローカルデータが破損した場合、そのデータの破損は同期コピーにレプリケートされます。このため、大規模で複雑な組織において惨事が発生する可能性があります。サードパーティのバックアップサービスを利用するメリットは他にもあります。

サードパーティのバックアップサービスは、データをオフサイトロケーションに保存し、M365の断片的なデータ復元戦略よりも高速で容易な、データの詳細復元を提供します。サードパーティのバックアップソリューションは、直感的なインターフェースで使いやく、管理しやすいため、データにすばやくアクセスできます。

データ損失が発生した場合、サードパーティのバックアップサービスは、Microsoft のビルトインのバックアップツールよりも短時間で復元します。これは、ダウンタイムを最小限に抑え、ビジネスの継続性を確保するために重要です。また、スケーラブルであるため、ビジネスの成長に合わせて、外部ソリューションによりさらに大量のデータを処理できます。

Microsoft以外のプロバイダーを利用することで、データバックアップや復元期間をより柔軟に設定できます。また、暗号化や多要素認証などの追加のデータセキュリティ機能も備えており、医療や金融などの規制の厳しい業界で活動する組織に最適です。

M365 のデータ保護にサードパーティのバックアップサービスを選択する場合に、従うべきガイドラインがいくつかあります。以下の要素が最も重要です。

バックアップのニーズを確認します。プロバイダーがニーズに合ったデータ復元機能を備え、容易かつ迅速に結果を提供していることを確認します。自動バックアップ、暗号化機能、ポイントインタイムリカバリ、詳細復元、複数のデータの種類（Eメール、ファイル、SharePointなど）をバックアップする機能を確認します。また、バックアップメディアとロケーションの多様性に関して、サービスが 3-2-1 バックアップ標準に準拠していなければなりません。

他のカスタマーからのレビューやフィードバックを検索し、プロバイダーが長期にわたりビジネスを行っており、Microsoft 365の実装経験を有していることを確認します。転送時およびクラウド上の両方でデータバックアップへのアクセスを制限する機械学習技術によるデータ暗号化や、ランサムウェア攻撃を検出して停止する AI ベースのランサムウェア対策技術など、次世代のテクノロジーが使用されているかどうかを確認します。

バックアップサービスプロバイダーは、24時間 365日のサポート、迅速な対応、ヘルプデスクに連絡する複数のチャネル（電話、Eメール、チャットなど）を提供する必要があります。サービスは、期待される応答時間やサービス品質などを定義した SLA によって管理される必要があります。

バックアッププロバイダーがコンプライアンス要件に準拠していることを確認します。機密データを扱う場合、プロバイダーは医療分野の HIPAA など、業界に関連するコンプライアンス基準に準拠する必要があります。また、欧州連合のGDPRや米国カリフォルニア州のCCPAなど、政府が定めた消費者データのプライバシー基準への準拠をサポートする必要がある場合もあります。さらに、プロバイダーはコンプライアンス証明を提供し、そのアプローチが NIST CSF、CIS Controls、ISO 27001などのエンドツーエンドのサイバーセキュリティフレームワークに合致していることを実証できなければなりません。

最後に、バックアップサービスの料金を検討します。隠れた費用の発生しない透明性の高い料金を提供する、予算に合ったソリューションを選択します。

サードパーティのバックアップサービスは、Microsoft 365のデータのインテグリティとアクセシビリティを維持するために重要であり、追加の保護レイヤーを提供し、Microsoft 365に対する保護機能面でのギャップを埋めます。

アクロニスは、上記で述べたすべてのベストプラクティスに準拠する、評価の高いサードパーティのバックアップサービスを提供します。Eメール、連絡先、カレンダー、OneDriveのファイル、SharePoint サイト、Teamsデータなどの Microsoft 365環境全体を、安全で信頼性の高いオフサイトロケーションにバックアップできます。

Acronis Cyber Protectは、詳細データの復元、バージョン管理、アーカイブ機能も提供します。詳細機能を今すぐお試しください。