インサイダー リスク管理のための計画

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

組織内の インサイダー リスク管理 を開始する前に、情報テクノロジとコンプライアンス管理チームがレビューする必要がある重要な計画活動と考慮事項があります。 次の領域でのデプロイの徹底的な理解と計画は、インサイダー リスク管理機能の実装と使用が円滑に進み、ベスト プラクティスと整合していることを確認するのに役立ちます。

組織内の危険なアクティビティに対処するための計画プロセスの詳細と概要については、「 インサイダー リスク管理プログラムの開始」を参照してください。

組織の価値、文化、ユーザー エクスペリエンスを優先しながら、組織がリスクを防止、検出、封じ込めるのにインサイダー リスク管理ワークフローがどのように役立つかについては、以下のビデオをご覧ください。

組織内のユーザーからのデータ リスクを最小限に抑えるために、インサイダー リスク管理とコミュニケーション コンプライアンスがどのように連携するかについては、 Microsoft Mechanics のビデオ をご覧ください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

組織内の利害関係者と連携する

組織内の適切な利害関係者を特定し、インサイダー リスク管理のアラートとケースに対してアクションを実行するために共同作業を行います。 最初の計画に含めることと、エンド ツー エンドの インサイダー リスク管理ワークフロー に含めることを検討することをお勧めします。これは、組織の次の領域のユーザーです。

• 情報技術
• コンプライアンス
• プライバシー
• セキュリティ
• 人事管理
• 法務

地域のコンプライアンス要件を決定する

地理的領域と組織領域が異なると、コンプライアンスとプライバシーの要件が組織の他の領域とは異なる場合があります。 これらの分野の利害関係者と協力して、インサイダー リスク管理におけるコンプライアンスとプライバシーの制御と、組織のさまざまな領域で使用する方法を確実に理解します。 一部のシナリオでは、コンプライアンスとプライバシーの要件では、ユーザーの場合や地域の規制やポリシーの要件に基づいて、調査やケースから一部の利害関係者を指定または制限するポリシーが必要になる場合があります。

特定の地域、ロール、または部門のユーザーを含むケース調査に関与する特定の利害関係者の要件がある場合は、異なるリージョンと母集団を対象とする個別の (同一の場合でも) インサイダー リスク管理ポリシー を実装することをお勧めします。 この構成により、適切な利害関係者は、ロールとリージョンに関連するケースをトリアージして管理しやすくなります。 調査担当者とレビュー担当者がユーザーと同じ言語を話すリージョンのプロセスとポリシーを作成することを検討することをお勧めします。これは、インサイダー リスク管理のアラートやケースのエスカレーション プロセスを合理化するのに役立ちます。

レビューと調査のワークフローをサポートするためのアクセス許可を計画する

インサイダー リスク管理ポリシーとアラートを管理する方法に応じて、特定の役割グループにユーザーを割り当てて、さまざまなインサイダー リスク管理機能のセットを管理する必要があります。 異なるコンプライアンス責任を持つユーザーを特定のロール グループに割り当てて、インサイダー リスク管理機能のさまざまな領域を管理することもできます。 または、指定された管理者、アナリスト、調査担当者、閲覧者のすべてのユーザー アカウントを Insider Risk Management ロール グループに割り当てることを決定できます。 詳細については、「 インサイダー リスク管理の概要」を参照してください。

要件と依存関係を理解する

インサイダー リスク管理ポリシーを実装する方法に応じて、適切な Microsoft 365 ライセンス サブスクリプションを用意し、いくつかのソリューションの前提条件を理解して計画する必要があります。

ライセンス： インサイダー リスク管理は、Microsoft 365 ライセンス サブスクリプションの幅広い選択の一環として利用できます。 詳細については、 インサイダー リスク管理の概要に関する記事を 参照してください。

重要

現在、インサイダー リスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 組織でインサイダー リスク管理がサポートされていることを確認するには、 国/リージョン別の Azure 依存関係の可用性に関するページを参照してください。

既存の Microsoft 365 Enterprise E5 プランを持っていなくても、インサイダー リスク管理を試したい場合は、既存のサブスクリプションに Microsoft 365 を追加 するか、Microsoft 365 Enterprise E5 の 試用版にサインアップ できます。

ポリシー テンプレートの要件: 選択したポリシー テンプレートに応じて、組織でインサイダー リスク管理を構成する前に、次の要件を理解し、それに応じて計画する必要があります。

• [出発ユーザーによるデータ盗難] テンプレートを使用する場合は、組織内のユーザーの辞任と終了日の情報を定期的にインポートするように Microsoft 365 HR コネクタを構成する必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。
• データ リーク テンプレートを使用する場合は、組織内の機密情報を定義し、重大度の高い DLP ポリシー アラートのインサイダー リスク アラートを受け取るために、少なくとも 1 つの Microsoft Purview データ損失防止 (DLP) ポリシーを構成する必要があります。 DLP ポリシーを構成するための詳細なガイダンスについては、 データ損失防止ポリシーの作成と展開 に関する記事を参照してください。
• セキュリティ ポリシー違反テンプレートを使用する場合は、セキュリティ違反アラートをインポートするために、Defender Security Center でのインサイダー リスク管理統合のために Microsoft Defender for Endpoint を有効にする必要があります。 Defender for Endpoint とインサイダー リスク管理の統合を有効にする詳細なガイダンスについては、「 Microsoft Defender for Endpoint で高度な機能を構成する」を参照してください。
• 危険なユーザー テンプレートを使用する場合は、組織内のユーザーのパフォーマンスまたは降格状態情報を定期的にインポートするように Microsoft 365 HR コネクタを構成する必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。

運用環境の少数のユーザー グループでテストする

運用環境でこのソリューションを広く有効にする前に、組織で必要なコンプライアンス、プライバシー、法的レビューを実施しながら、少数の運用ユーザーでポリシーをテストすることを検討する必要があります。 テスト環境でインサイダー リスク管理を評価するには、シミュレートされたユーザー アクションやその他のシグナルを生成して、トリアージと処理のためのケースのアラートを作成する必要があります。 このアプローチは多くの組織にとって実用的でない可能性があるため、運用環境の少数のユーザー グループでインサイダー リスク管理をテストすることをお勧めします。

ポリシー設定の匿名化機能を有効にして、このテスト中にインサイダー リスク管理コンソールでユーザーの表示名を匿名化し、ツール内でプライバシーを維持します。 この設定は、ポリシーが一致するユーザーのプライバシーを保護するのに役立ち、インサイダー リスク アラートのデータ調査と分析レビューの客観性を高めるのに役立ちます。

インサイダー リスク管理ポリシーを構成した直後にアラートが表示されない場合は、最小リスクしきい値がまだ満たされていない可能性があります。 [ ユーザー ] ページを確認して、ポリシーがトリガーされ、期待どおりに動作していることを確認し、ユーザーがポリシーのスコープ内にあるかどうかを確認します。

Microsoft 365 US Government Cloud と商用クラウド間の移行

Microsoft 365 US Government Cloud から世界中の商用クラウド、または世界中の商用クラウドから Government Cloud に組織を移行する場合、アクティブなケースとアラートは移行されません。 移行を開始する前に、アラートとケースを閉じます。

利害関係者向けのリソース

インサイダー リスク管理ドキュメントを、管理と修復のワークフローに含まれる組織内の利害関係者と共有します。

• インサイダー リスク ポリシーを作成して管理する
• インサイダー リスク アクティビティを調査する
• インサイダー リスクのケースに対処する
• インサイダー リスク コンテンツ エクスプローラーでケース データを確認する
• インサイダー リスク通知のテンプレートを作成する

始める準備はいいですか。

組織のインサイダー リスク管理を構成する準備はできましたか? 次の記事を確認することをお勧めします。

• インサイダー リスク管理設定を使用して 、グローバル ポリシー設定を構成します。
• インサイダー リスク管理を開始 して、前提条件の構成、ポリシーの作成、アラートの受信を開始します。
• 組織でフォレンジック証拠 のキャプチャを構成するためのステップ バイ ステップ ガイダンスについては、インサイダー リスク管理のフォレンジック証拠の使用を開始します。