Microsoft Teams のセキュリティは安全か？2026年に知っておくべきこと

本記事は独立したガイドです。Microsoft Corporation との提携・推奨関係はありません。

IT 部門の責任者から「次の取締役会で Microsoft Teams は十分安全か」と聞かれた。CISO は金曜日までに書面での回答を求めている。インターネットで調べると「Teams は軍事レベルのセキュリティ」から「Teams は昨年ハッキングされた」まで、中間がない情報ばかり。

実際のところ、Microsoft Teams は安全なのか？ 多くの組織にとって、Teams は堅実な基本セキュリティを提供します。ただし「安全」は「はい/いいえ」で答えられる問いではありません。ライセンスの種類、管理者の設定、防御すべき脅威によって変わります。

本ガイドでは、Teams が何を保護し、どこにギャップがあり、機密情報をプラットフォームで扱う前に管理者が設定すべきことを解説します。以下の内容はすべて、Microsoft の公式ドキュメントとサードパーティの調査に基づいています（2026年3月時点）。

Microsoft Teams のデータ暗号化の仕組み

Teams は転送中と保存中の2つのレベルでデータを暗号化しています。それぞれ異なる脅威から保護するため、両方を理解することが重要です。

転送中の暗号化は、デバイスと Microsoft サーバー間を移動するすべてのメッセージ、ファイル、ビデオフレームを保護します。Teams はすべてのクライアント・サーバー間トラフィックに TLS 1.2（以上）を、オーディオ・ビデオストリームに SRTP（Secure Real-Time Transport Protocol）を使用しています。2026年3月時点で、デスクトップ、モバイル、Web のすべての Teams クライアントに適用されます。

保存中の暗号化は Microsoft サーバーに保存されたデータを保護します。SharePoint と OneDrive（Teams が共有ドキュメントを保存する場所）のファイルは AES-256 暗号化を使用しています。Exchange Online と Azure Cosmos DB に保存されるチャットメッセージとチャネルの会話は、デフォルトで Microsoft 管理のキーで暗号化されます。

**エンドツーエンド暗号化（E2EE）**はより複雑な問題です。Microsoft は2021年に1対1の音声・ビデオ通話用のオプション E2EE を導入しました。有効にすると暗号化キーは2つのエンドポイントにのみ存在し、Microsoft も通話を復号化できません。ただし、Teams の E2EE には制限があります。予定されていない1対1通話でのみ動作し、録音、ライブキャプション、通話転送などの機能が無効になり、2026年3月時点でグループ通話やチャットには対応していません。

例えば、CFO が CEO に電話して買収案件について話し合う場合、両方のアカウントで E2EE が有効であれば、Microsoft を含む誰からも通話は保護されます。しかし、同じ CFO が6人参加の週次財務チームミーティングを行う場合は、標準の SRTP 暗号化で行われ、Microsoft がキーを保持しています。

機密性の高いデータを扱う組織にとって、グループコミュニケーションでデフォルトの E2EE がないことが、現在の Teams における最大のセキュリティギャップです。

コンプライアンス認証と規制対応

Teams は幅広いコンプライアンス認証を取得しています。2026年3月時点で、各認証が組織にとって実際に何を意味するかを解説します。

SOC 1 および SOC 2 Type II は、Microsoft のデータ処理に関する運用管理が独立して監査されたことを確認するものです。SOC 2 はセキュリティ、可用性、処理の完全性、機密性、プライバシーを対象としています。監査は毎年更新されます。

ISO 27001 は、Microsoft が国際基準を満たす情報セキュリティマネジメントシステム（ISMS）を運用していることを認証します。ISO 27018 は個人識別情報（PII）に対するクラウド固有のプライバシー管理を追加します。

GDPR 準拠とは、Microsoft が EU 規制で求められる契約上の約束、データ処理契約、技術的管理を提供することを意味します。Teams は EU 内のデータ保管に対応し、Microsoft は GDPR の下でデータ処理者として機能します。組織は Microsoft Purview ポータルのコンプライアンスツールを使用してデータ主体のリクエストを処理できます。

HIPAA 対応には Business Associate Agreement（BAA）が必要で、Microsoft は対象プラン（Microsoft 365 E3/E5、Business Premium など）の組織と締結します。BAA は Teams のチャット、チャネル、会議、通話をカバーします。ただし HIPAA への準拠は自動ではありません。組織が Teams を適切に設定し、PHI の取り扱いについてユーザーを教育し、自社のコンプライアンスプログラムを維持する必要があります。

FERPA、FedRAMP、CJIS の認証により、Teams は教育機関、米国連邦機関、法執行機関でそれぞれ利用可能です。

競合があまり言及しない点があります。認証は Microsoft のインフラストラクチャと運用を対象としています。組織の Teams の使い方を認証するものではありません。ゲストアクセスが有効なパブリックチャネルで患者情報を共有すれば、Microsoft の認証に関係なくコンプライアンス違反です。効果的なオンライン会議を行うには、チーム側のセキュリティ意識も欠かせません。

最も重要な管理者セキュリティ設定

Teams のセキュリティにおいて最も大きな影響を持つのは、Microsoft の暗号化ではありません。管理者の設定です。Teams は許容的なデフォルト設定で提供されており、強化するのは組織の責任です。

条件付きアクセスポリシー

条件付きアクセス（Microsoft Entra ID P1 以上で利用可能）により、管理者は Teams へのアクセス条件を設定できます。すべての Teams ログインに多要素認証（MFA）を要求する、管理外デバイスからのアクセスをブロックする、特定の IP 範囲や国にログインを制限する、アクセス前にデバイスのコンプライアンスチェックを強制するといった設定が可能です。

これは利用可能な中で最も効果的なセキュリティ制御です。Microsoft のデータによると、MFA はアカウント侵害攻撃の99%以上をブロックします（Microsoft Digital Defense Report, 2024）。

ゲストおよび外部アクセス

デフォルトでは、Teams は外部ユーザーが組織とチャットや会議をリクエストできるようになっています。コラボレーションには便利ですが、攻撃対象領域を作ります。2023年末、脅威グループ Storm-0324 は Teams の外部メッセージングを利用して、メールセキュリティフィルターを完全に回避しながら標的組織にフィッシングを配信しました。

管理者は四半期ごとに外部アクセス設定を監査すべきです。外部アクセスを信頼できるドメインのみに制限する、匿名の会議参加を無効にする、すべての外部参加者にロビー承認を求める、不要であればゲストアクセスを完全に無効にするなどの対策があります。

会議のセキュリティ設定

Teams の会議には複数の制御レイヤーがあります。管理者はすべての外部参加者にロビーを適用する、グローバルで匿名参加を無効にする、プレゼンテーションや画面共有の権限を制限する、会議の録画可否と権限を制御する、共有コンテンツやビデオフィードに透かしを入れる（Teams Premium、2026年3月時点で利用可能）などの設定が可能です。

200人規模のフィンテック企業の IT 管理者 Sarah は次のように語っています。「組織外のすべての参加者にロビーを有効にし、匿名参加を無効にし、MFA を要求しました。設定に45分かかりました。2か月後、偽の表示名で四半期の取締役会に参加しようとしたソーシャルエンジニアリングの試みを検知しました。ロビーが防いでくれました。」

データの保管場所、DLP、情報保護

データがどこに保管され、誰が共有できるか。コンプライアンス担当者にとって最大の懸念事項です。Teams は両方に対する制御を提供しますが、その詳細さはライセンスによって異なります。

データの保管場所

Microsoft は Microsoft 365 テナントに関連付けられた地理的リージョンに Teams データを保管します。2026年3月時点で、EU、米国、英国、オーストラリア、日本、カナダ、インドを含む17以上のリージョンでデータレジデンシーを提供しています。厳格な主権要件がある組織向けに、Microsoft 365 Advanced Data Residency（アドオン）で特定のワークロードを国に固定できます。

チャットメッセージは Exchange Online のメールボックス（1対1およびグループチャット）と Azure Cosmos DB（チャネルメッセージ）に保管されます。ファイルは SharePoint Online へ、会議の録画は OneDrive または SharePoint に保存されます。各データタイプの正確な保管場所を把握することは、法務チームがコンプライアンスレビュー時に「データはどこに保管されていますか？」と質問する際に重要です。

データ損失防止（DLP）

DLP ポリシーは、Teams を通じて機密情報が組織外に漏洩するのを防止します。クレジットカード番号、社会保障番号、医療記録、カスタムパターン（社内プロジェクトコードなど）が Teams チャットやチャネルで共有されるのを検出・ブロックするルールを作成できます。

DLP は Microsoft 365 E3 以上で利用可能です。E5 では、正確なパターンに一致しない場合でも機械学習を使用して機密コンテンツを識別する高度な分類機能が追加されます。金融データを扱う組織にとって、DLP は不可欠です。

秘密度ラベルと情報バリア

秘密度ラベル（Microsoft Purview の機能）により、チーム、チャネル、会議を機密度レベルで分類できます。「極秘」ラベルは暗号化の強制、ゲストアクセスの制限、チーム外部へのコンテンツ共有の防止を自動的に行えます。

情報バリアはさらに進んで、ユーザーグループ間のコミュニケーション全体を遮断します。投資銀行はディールチームとアナリスト間の情報共有を防ぐために使用しています。学校は教職員と生徒のコミュニケーションを分離するために使用しています。これらの機能には Microsoft 365 E5 またはコンプライアンスアドオンが必要です。

現在のプランにこれらの機能が含まれていないため Microsoft Teams の代替ツールを検討している場合は、慎重に比較してください。多くの代替ツールはシンプルな権限モデルを提供しますが、Microsoft が提供する詳細な DLP と分類ツールが不足しています。

既知の脆弱性と実際の攻撃事例

どのプラットフォームもセキュリティインシデントと無縁ではありません。過去の問題を隠すよりも透明性を持つことのほうが有益です。

Storm-0324 と Midnight Blizzard（2023年）

2つの異なる脅威グループが Teams の外部メッセージングを悪用してフィッシング攻撃を実行しました。Storm-0324 は Teams チャットを通じて外部組織に悪意のあるリンクを送信しました。Midnight Blizzard（ロシアの国家支援活動に関連）は侵害された Microsoft 365 テナントを使用して政府機関やテクノロジー企業を標的にした Teams メッセージを送信しました。Microsoft は外部メッセージングへの新しい制限を追加し、Defender for Office 365 の脅威検出を改善して対応しました。

クロスサイトスクリプティング（XSS）の脆弱性

研究者は Teams で CVE-2023-4863（デスクトップクライアントに影響する libwebp の脆弱性）や、表示名インジェクションに関連する以前の問題を含む XSS 脆弱性を特定しました。Microsoft はこれらの脆弱性を修正しましたが、繰り返されるパターンがあります。Teams のデスクトップクライアント（Electron 上に構築）は純粋な Web アプリケーションよりも攻撃対象領域が広いのです。

GIFShell 攻撃（2022年）

セキュリティ研究者の Bobby Rauch が GIFShell と呼ばれる手法を実証しました。Teams の GIF レンダリングを利用して Microsoft 自身のインフラストラクチャを通じてコマンド実行とデータ流出を行うものです。Microsoft はこれを低い深刻度と分類し、即座に修正しなかったため、セキュリティコミュニティから批判を受けました。

組織にとっての意味

これらのインシデントには共通のパターンがあります。暗号化を破ったのではなく、機能（外部メッセージング、メディアレンダリング、フェデレーション）を悪用したものです。暗号化自体は堅牢でした。攻撃対象となるのは、Teams を便利にしているコラボレーション機能です。

IT チームはセキュリティアドバイザリのために Microsoft 365 メッセージ センターを購読し、四半期ごとに Microsoft Security Response Center（MSRC）で Teams 関連の CVE を確認すべきです。

Microsoft Teams は機密情報に安全か？

この質問こそ、「Microsoft Teams は安全か」と検索する人が実際に知りたいことです。結論から言えば、適切な設定とライセンスがあれば、安全です。

日常的なビジネスコミュニケーション（会議メモ、プロジェクトの進捗報告、チーム内の議論）には、有料プランであれば Teams のセキュリティで十分です。TLS 暗号化、保存時の暗号化、Microsoft のインフラストラクチャセキュリティが基本をカバーします。

機密性の高いビジネス情報（財務レポート、M&A 関連の議論、法務案件）には、E3 以上が必要です。秘密度ラベルを有効にし、DLP ポリシーを設定し、外部共有を制限し、機密性の高い1対1通話には E2EE を使用してください。ゲストアクセス設定を監査し、各チームのオーナー権限を持つユーザーを確認してください。

規制対象データ（患者の医療記録、学生の記録、機密の政府情報）には、E5 に加えて特定のコンプライアンス設定が必要です。HIPAA 用に BAA を締結してください。必要に応じて情報バリアを設定してください。コンプライアンスチームと協力して Teams の設定と制御を文書化してください。データ主権が重要な場合は Microsoft 365 Advanced Data Residency を検討してください。

パスワードや認証情報については、暗号化レベルに関係なく Teams チャットは適切なツールではありません。1Password、Bitwarden、または組織の既存のパスワード管理ツールをご利用ください。これは Teams に限らず、すべてのコラボレーションプラットフォームに当てはまります。

実用的な判断基準をお伝えします。ガラス張りの会議室で話せる内容であれば、適切なセキュリティ設定の Teams で問題ありません。電話を持ち込まない施錠された部屋でしか話さない内容であれば、最低でも E2EE が必要であり、クラウドプラットフォームが要件を満たすかどうか検討すべきです。

チームが一日中協力して働くバーチャルオフィスでは、Flat.social のプライベートルームが物理的な分離を実現する防音壁を提供しています。チャットチャネルとは異なるモデルであり、空間的なアプローチによって誰がどの会話を聞けるかがより明確になります。

管理者のための Microsoft Teams セキュリティベストプラクティス

Microsoft の公式ガイダンスと実際のインシデントに基づいた実践的なチェックリストです。以下の設定は2026年3月時点の Microsoft 365 E3/E5 テナントに適用されます。

認証とアクセス：

• 条件付きアクセスを通じてすべてのユーザーに MFA を有効化（ユーザーごとの MFA ではなく — Microsoft は段階的に廃止予定）
• レガシ認証プロトコルをブロック
• Teams アクセスに準拠デバイスを要求する条件付きアクセスポリシーを作成
• 名前付きの場所を設定し、事業を展開していない国からのサインインをブロック

外部およびゲストアクセス：

• 外部アクセスを「すべて許可」ではなく信頼できるドメインの許可リストに制限
• ゲストユーザーに MFA を要求
• ゲストアクセスの有効期限を設定（90日が一般的な基準）
• 四半期ごとに非アクティブなゲストアカウントを確認・削除

会議と通話のセキュリティ：

• 組織外のユーザーに対してロビーを「全員」に設定
• 特に必要でない限り匿名の会議参加をグローバルで無効化
• 機密性の高いプレゼンテーションに会議の透かしを有効化（Teams Premium）
• 会議の録画を主催者と共同主催者に制限

データ保護：

• Teams チャットでクレジットカード番号、マイナンバーなどの PII パターンに対する DLP ポリシーを展開
• 秘密度ラベルを有効にし、新しいチームにデフォルトラベルを設定
• Microsoft Purview で監査ログを有効化
• 必要以上にデータが保持されないよう保持ポリシーを設定

監視：

• Teams 用の Microsoft Defender for Office 365 安全な添付ファイルと安全なリンクを有効化
• 毎月 Teams 管理センターのセキュリティレポートを確認
• Microsoft 365 サービスの正常性とメッセージ センターのアラートを購読
• 四半期ごとに攻撃シミュレーショントレーニングを実施してユーザーの意識をテスト

従来のビデオ会議の代替手段を探しているチームには、Flat.social のような空間型プラットフォームが異なるアプローチでセキュリティを実現しています。チャネル権限や DLP ルールの代わりに、セキュリティモデルが空間的です。プライベートルームが音を遮断し、誰が会話を聞ける距離にいるかが一目で分かります。よりシンプルですが、エンタープライズコンプライアンスとは異なる用途向けです。

Microsoft Teams、Microsoft 365、Microsoft Entra ID、Microsoft Purview、Microsoft Defender は Microsoft Corporation の商標です。その他のすべての商標はそれぞれの所有者に帰属します。

結論：Microsoft Teams は十分に安全か？

Microsoft Teams は適切に設定すれば、本当に安全なプラットフォームです。暗号化は堅牢で、コンプライアンス認証は本物であり、管理ツールは充実しています。

ただし「安全」には条件があります。組織には適切なライセンス（実際のセキュリティ制御には最低 E3、高度なコンプライアンスには E5）が必要です。条件付きアクセス、DLP、ゲストアクセスの制限を実際に設定する管理者が必要です。そして Teams チャットでパスワードを共有するのはどのプラットフォームでも安全ではないと理解するユーザーが必要です。

今週やるべきこと：

1. 外部およびゲストアクセスの設定を監査する。 ほとんどの組織は確認したことのない過度に許容的なデフォルト設定になっています。
2. まだの場合は条件付きアクセスで MFA を有効化する。 この1つの変更でアカウント侵害の大半を防げます。
3. DLP ポリシーを確認する。 まだ設定していなければ、クレジットカード番号やマイナンバーの組み込みテンプレートから始めてください。
4. Teams のライセンスを確認する。 E1 や Business Basic の場合、重要なセキュリティ機能が欠けています。
5. Microsoft 365 セキュリティアドバイザリを購読する。 ユーザーより先に脆弱性を把握できます。

Teams のセキュリティは一度設定して終わりではありません。継続的な取り組みです。しかし適切な設定があれば、組織のコミュニケーションを安心して任せられるプラットフォームです。

50項目の管理コンソールなしでオンライン会議をよりシンプルにしたいチームには、Flat.social のような空間型プラットフォームが異なるモデルを提供しています。誰が近くにいるかが見え、機密性が必要なときはプライベートルームに入り、複雑な権限レイヤーをスキップできます。1万人規模の企業で Teams を置き換えるものではありません。しかし、安全で自然な会話を求める5〜200人のチームには、検討する価値があります。