top of page
検索

【ISMS特化】Teams / SharePoint の「Owner権限」を“監査で説明できる統制”にする


〜棚卸し+逸脱検知+証跡(提出物)まで、Microsoft 365で回す実務〜

※本記事は、ISMS(ISO/IEC 27001 等)運用のための一般的な情報提供です。個別案件の法的助言ではありません。※行政書士としては、規程・台帳・運用設計・証跡設計など「ガバナンス文書と運用の型」を整える支援が中心です(個別紛争対応等は別領域)。

1. ISMSで“Owner”が必ず論点になる理由

ISMSは、技術だけでなく「運用が継続できること」「説明できること」が問われます。Microsoft 365 環境でこの要件に最も直撃するのが、Teams / Microsoft 365 グループ / SharePoint サイトの Owner(所有者)権限です。

なぜなら Owner は、実務上 “特権アクセス(Privileged)” と同等だからです。

  • Teams の Owner は、メンバー/ゲストの追加削除や設定管理を行えます。

  • さらに、Teams では「チームを作成したユーザーには既定で所有者が付与」されます(=入口が広い)。

  • Owner 上限は仕様上 100 と高く、“増やせてしまう”。

ISMSの内部監査では、ここがセットで聞かれます。

  • Owner の付与・変更・取消は、誰がどの手順で承認し、証跡はどこにあるか

  • Owner が退職したらどうなるか(Ownerlessの扱い)

  • ゲスト(社外)がOwnerにならない統制はあるか

  • 定期棚卸しの頻度・観点・是正SLAはあるか

  • “設定変更”が起きた時に検知できるか(逸脱検知)

2. Teamsだけ見てはいけない:「Owner=Group Owner=SharePoint権限」問題

Owner統制で一番危険なのは「Teamsだけ統制して満足する」ケースです。

Microsoft 365 では、Teams は Microsoft 365 グループと結びついており、さらに SharePoint サイトに接続されます。Purview の秘密度ラベルも、Teamsに付けると Microsoft 365 グループと接続された SharePoint チームサイトに同じラベルが自動適用されます。

そして重要な仕様として、既存の SharePoint サイトを Microsoft 365 グループに接続すると グループの所有者がサイト コレクション管理者になり、サイト所有者グループにも追加されると説明されています。

つまり、Group Owner を増やす=SharePoint側の強権限を増やす になり得ます。ISMS的には「アクセス制御・特権管理・変更管理・ログ監査」の中心論点です。

さらに SharePoint 管理の観点でも、グループ接続されたチームサイトでは「グループの所有者」と「追加のサイト管理者」を追加削除できる、と明記されています。

3. ISMSに刺さる“Owner統制”の設計原則(監査で通る形)

ISMSで評価されやすい統制は、ざっくり言うと次の3点です。

原則A:Owner権限は「特権」と定義し、最小化する

  • Owner は便利だが、統制対象(=勝手に増えるのを許さない)

  • Owner数の社内上限(例:2〜5)を規程化

  • ゲストOwnerを禁止(例外は期限付き台帳)

原則B:「入口統制」+「定期棚卸し」+「逸脱検知」を三点セットで回す

棚卸しだけでもダメ、検知だけでもダメ。ISMSで強いのはこの三点セットです。

原則C:証跡は“提出物”として保存する(監査対応の最短距離)

「設定しています」ではなく、いつ・誰が・何を・なぜ・どう承認し、どう是正したか を提出できる状態にする。

4. 規程(Owner統制ポリシー)で決めるべき実務ルール

ここからが“監査で刺さる”具体ルールです。

4-1. 最小Owner数:2名(単一障害点を潰す)

ISMS視点で Ownerless は「統制不能」なので、最初から潰します。

SharePoint Advanced Management の「サイト所有権ポリシー」でも、最小所有者数として2を選ぶことで、1人Ownerのサイトが識別され「別Ownerをすぐ追加」でき、Ownerlessリスクを減らす趣旨が明記されています。

おすすめの2名構成(監査に強い)

  • 業務Owner(事業責任者)…業務上の必要性の責任

  • 技術Owner(情シス/情報セキュリティ窓口)…統制の責任・是正の責任

4-2. Ownerの資格要件(“Ownerにしてよい人”を定義)

最低限これだけは規程に書くと監査で強いです。

  • 原則:社内アカウントのみ(ゲストOwner禁止)

  • 異動・退職時の引き継ぎ責任(期限)

  • Owner研修(やっていいこと/ダメなこと)

4-3. Owner追加・削除は「変更管理(Change)」として扱う

Owner追加は、実態としてアクセス権変更です。ISMS的には「申請→承認→実装→証跡」の型があるかが問われます。

5. 入口統制:Ownerが“勝手に増える”を止める

5-1. Teams作成=Owner付与(入口が広い)を前提にする

「新しいチームを作る人は既定で所有者」とされているため、チーム作成が自由だと Owner が増殖します。

対策(現実解):

  • チーム作成の入口を「申請制」または「テンプレ+プロビジョニング(情シス発行)」に寄せる

  • 作成時に Owner を2名指定させる(業務+技術)

5-2. “ラベルで縛る”だけでは不足:Ownerはラベルも変えられる

Teams の秘密度ラベルは統制に有効ですが、公式に「チーム所有者は秘密度ラベルとプライバシー設定をいつでも変更できる」と明記されています。

つまり ISMSでは、「ラベルで縛る」+「Ownerの権限自体を統制」+「ラベル変更を逸脱検知」 が必須になります。

6. Ownerless(所有者不在)対策:ISMSでは“放置禁止”

Ownerが退職すると、現場は静かに止まります。その状態は「アクセス管理の維持」ができないので、ISMS的に弱いです。

Microsoft 365 管理センターには「所有者がいない場合にメールを送信し、アクティブなメンバーに所有者になるよう依頼する」Ownerless対策ポリシーが用意されています。

ISMSに効く運用ルール

  • Ownerless は「検知した日から◯日以内に是正」

  • 是正できない場合は「アーカイブ/凍結/閉鎖」の判断基準を規程化

  • Ownerlessポリシーの通知先(=責任者)を固定

7. SharePoint側:サイト所有権ポリシーで“棚卸しの自動化”に寄せる

2026年時点の Microsoft Learn では、SharePoint Advanced Management の「サイト所有権ポリシー」が公開され、

  • サイトの責任者(所有者/管理者)定義

  • 最小所有者数/管理者数(現在は2人まで)

  • 非準拠サイトを識別してレポート化

  • アクティブモードでは毎月実行し、通知も送れる

  • シミュレーションモードで試してからアクティブへ移行


    といった運用が説明されています。

これ、ISMSの「定期レビュー」「是正処置」「継続的改善」に相性が良いです。棚卸しを“人手のExcel更新”から脱却できます。

また、SharePoint Advanced Management の概要でも、サイト所有権ポリシーは「所有者のないサイトのリスクを軽減し、セキュリティとコンプライアンス維持に役立つ」と整理されています。

注意:SharePoint Advanced Management はライセンス要件があります(基本ライセンスに加えて Copilot ライセンス or SharePoint 高度な管理ライセンス等)。

8. 棚卸し(Access Review含む)の設計:ISMSで刺さる“頻度×リスク”

ISMSで現実的に回る棚卸しは、リスク区分で頻度を変えることです。

  • 高リスク(外部共有あり/機微情報ラベル/全社重要)…月次

  • 中リスク(部門共有・準機微)…四半期

  • 低リスク(内輪・短期)…半期〜年次

さらにゲスト(社外)を含む場合、Microsoft Entra のアクセスレビューで「継続アクセスが必要か」をレビューできる設計が用意されています。

ISMS向けの着地

  • ゲストは「期限付き」+「アクセスレビュー」

  • レビュー結果(削除/継続/例外)を証跡として保存

9. 逸脱検知:ログで“変わった瞬間”を掴む(監査対応の要)

棚卸しだけだと「点検の合間」に事故が起きます。ISMSで強いのは、“変更”をログで検知し、是正する仕組みです。

9-1. Microsoft Entra 監査ログで「誰が・何を・どう変えたか」

Entra 監査ログは、日時、サービス、カテゴリ/名前、状態に加え、ログエントリ詳細として アクター/ターゲットの詳細や、変更されたプロパティの 古い値・新しい値 を表示できる旨が説明されています。

Owner統制の逸脱検知では、ここが“証跡の核”になります。

9-2. Microsoft Purview 監査で Microsoft 365 側の操作も追う

Purview 監査を使うには、監査ログを検索/エクスポートできるロール(監査閲覧者/監査マネージャー等)を付与する必要がある、と説明されています。 監査を有効化する手順や、反映に最大60分かかる点も記載があります。

監査ログの保持も重要です。監査ログ保持ポリシーの保持期間オプションや、ライセンス要件(E5等)も整理されています。

ISMS的には「保持要件」を“自社のISMS文書(規程)側”で決め、Purview 側で実装して、設定画面のスナップショットも証跡にします。

10. “ISMS監査で刺さる”Owner統制の提出物(Evidence)セット

ここを作っておくと、内部監査・外部審査が一気にラクになります。

10-1. 規程・手順(Plan)

  • Owner統制ポリシー(Ownerの資格要件、最小/最大、例外、棚卸し、逸脱対応)

  • Owner変更手順(申請→承認→実装→証跡)

  • ゲスト運用手順(期限、レビュー、終了時削除)

10-2. 台帳(Do/Check)

  • Team/Group/Site を M365グループID をキーに紐づけた Owner台帳

  • 例外台帳(期限、承認、根拠、代替案検討、是正計画)

10-3. ログとレポート(Check/Act)

  • Entra 監査ログ(Owner変更、重要設定変更のエクスポート)

  • Purview 監査ログ(調査・監査用)

  • SharePoint サイト所有権ポリシーの非準拠レポート(使える場合)

  • Ownerless対策ポリシーの設定証跡


参考リンク

(Teams Ownerの権限)


(Teamsの秘密度ラベル:Ownerが変更可能)


(SharePoint:グループ接続でOwner権限が強くなる点)


(Ownerless対策)


(SharePoint Advanced Management / サイト所有権ポリシー)


(Entra監査ログ)


(Purview監査:有効化/権限/保持)


(アクセスレビュー:ゲスト含む)

 
 
 

コメント

Instagram​​

x

note

You Tube

info@shizuoka-yamazaki-jimusho.com

Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。
本ページは一般的な情報提供を目的とし、個別案件は状況に応じて整理手順が異なります。

※本ページに登場するイラストはイメージです。
Microsoft および Azure 公式キャラクターではありません。

Microsoft, Azure, and Microsoft 365 are trademarks of Microsoft Corporation.
We are an independent service provider.

​所在地:静岡市

©2024 山崎行政書士事務所。Wix.com で作成されました。

bottom of page