Go to Qiita Advent Calendar 2024 Top
LoginSignup
10
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

プライム・ブレインズAdvent Calendar 2024

Day 10
@uknifek(Yuki)in株式会社プライム・ブレインズ

Teams「リンクを知っていれば誰でも編集可能」←ヤバくね?

Last updated at Posted at 2024-12-09

はじめに

弊社環境では、Teamsでチャットでファイルを送信したりすると⇩のような表示が出てきます。
image.png

チャットで送信しただけでファイルに「リンクを知ってさえいれば社内全員が閲覧と編集可能」の権限がついてしまう...ってセキュリティ的にどうなのよ?
と、疑問に思ったので共有の方法と、そのオペレーションで設定される権限について調査を行いました。

前提知識(OneDrive)

まずTeamsで共有されたファイルがどこに格納されているのかの前提知識です。

➀チャットで送信する場合

チャットで送信されたファイルは個人領域のOnedirveの「Microsoft Teams チャットファイル」なる場所に格納されます。
image.png

【余談】
誰に送ろうがここに格納されます。
格納場所が同じなので、同じ名前のファイルを後で他の人に送ろうとすると名前がぶつかってしまいますね。
⇩の場合、「テスト.txt」の名前が使われているため、別名のファイルにしてアップロードする挙動になっています。
image.png

②チームにアップロードする場合

チームにアップロードされたファイルは、組織のOneDrive上に構築されたSharePointサイトに格納されます。(少し複雑ですね)

【チーム】
image.png
 ⇅
【SharePoint】
image.png
 ⇅
【OneDrive】
image.png


OneDrive上にSharePointのサイトを挟むかどうかが違いになってそうです。
image.png
チャットの場合とチームの場合も確認しましたが、どちらもOneDriveを利用するため、
設定される権限についてはOneDriveのルールを確認すれば良さそうです。

OneDriveの権限

OneDriveにあるファイルは以下の権限設定が可能です。

  1. ユーザー
  2. グループ
  3. リンク

これは、OneDrive > アクセス許可の管理 から確認できます。
image.png

ユーザーはそのままユーザーのこと、グループはチームやセキュリティループなどの所謂グループのことです。


リンクの方は、更に設定に種類があり、

  1. 自組織のユーザ
  2. 既存のアクセス権をもつユーザ
  3. 選択したユーザ

に割り当てることができます。
image.png

前提知識は以上です。ここからは実際に設定される権限について書かせていただきます。

実際に設定される権限設定

チャットでのファイル送信とチームへのファイルのアップロードを行ってみて、OneDrive上のファイルにどんな権限がつくのかを確認してみました。

結果はこちらです。
image.png
・「チャットで送ったときに送信先の相手に権限が設定されること」
・「チームにアップロードしたときに置かれたチームのグループに権限が設定されること」
この2点はあまり違和感が無いのですが、チャットでファイルを送った時のリンクの設定は少し違和感がありました。
チャットでファイルを送信してしまうと「リンクを知っている人が誰でも編集可能」になってしまうことには少し注意が必要ですね。

一方、チームに置いたファイルはグループに権限が設定されるので大丈夫!と思いますが、運用によっては落とし穴がありそうです。
「リンクのコピー」からリンクを取得すると「リンクを知っている人が誰でも編集可能」のリンクがファイルに設定されてしまいます。

避けるためにはリンクの作成後に歯車の設定ボタンからリンクの権限設定を変えましょう。
image.png
 ↓
image.png

Teamsの設定を変える

「リンクを知っている人が誰でも編集可能」のリンクがついてしまうのは避けられないかというとそうでもなく、組織のTeams設定によって恐らく変更が可能です。


「Microsoft365管理センター」 > 「SharePoint管理センター」 > 「ポリシー」 > 「ファイルとフォルダーのリンク」に以下の項目があります。

image.png

ここの設定によって規定されている挙動に見受けられるので、見直したい場合はここを修正しましよう。(実験できてないのでどんな挙動になるのかわかりませんがw)

で、「リンクを知っている人が誰でも編集可能」の設定ってやばいの?

リンクを知っていれば、の条件がだいぶ厳しいので多分ヤバくないです。
「リンクを知っている人が誰でも編集可能」の権限があるだけでは、他人のOneDrive領域にあるファイルを見つけることはできないでしょう。
(タイトル詐欺ですね。)


無理やり考えた実際に起こりうるセキュリティリスクとしては、
・「ファイルを送信したのちに権限が他の人についていることを忘れてしまって、重要な情報をファイルに追加してしまう」
・「他の人がチームのファイルを共有している状態に気づかずに、重要な情報をファイルに追加してしまう」
あたりでしょうか.

この辺りがセキュリティリスクとして評価されるのであれば設定の見直しを行うべきだと思います。



ただやっぱり「リンクを知っている人が誰でも編集可能」というのは気持ち悪いなと。
直した方がいいんじゃないのかなというのがこの記事の趣旨でした。

以上です、読んでくれてありがとうございました。
補足や訂正があれば大歓迎ですのでコメントをいただけますと幸いです。

10
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
10
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?