エネルギー業界のための、コンプライアンスとセキュリティの重要な検討事項

[アーティクル]
01/26/2024

クラウドを使用するさまざまな業界のグローバルビューの描写。

はじめに

エネルギー業界は、人々が日々依存している燃料と重要なインフラストラクチャを社会に提供しています。基幹系統に関連するインフラストラクチャの信頼性を確保するために、規制当局はエネルギー業界組織に厳格な基準を課しています。これらの規制基準は、電力の生成と伝送だけでなく、エネルギー企業の日常業務に不可欠なデータと通信にも関連しています。

エネルギー業界の組織は、通常の運用の一環として、さまざまな種類の情報を処理し、交換します。この情報には、顧客データ、資本エンジニアリング設計ドキュメント、リソースの場所マップ、プロジェクト管理成果物、パフォーマンスメトリック、フィールドサービスレポート、環境データ、パフォーマンスメトリックが含まれます。これらの組織は、運用とコラボレーションシステムを最新のデジタルプラットフォームに変革しようとしているため、Microsoft を信頼できるクラウドサービスプロバイダー (CSP) として、Microsoft 365 を最高のコラボレーションプラットフォームとして見ています。 Microsoft 365 は、Microsoft Azure プラットフォーム上に構築されているので、組織はクラウドに移行するときに、コンプライアンスとセキュリティ管理を考慮しながら、両方のプラットフォームを検討する必要があります。

北米では、NERC (North America Electric Reliability Corporation) が、NERC 基幹インフラストラクチャ保護 (Critical Infrastructure Protection: CIP) 基準と呼ばれる信頼性基準を実施しています。 NERC は、米国連邦エネルギー規制委員会 (U.S. Federal Energy Regulatory Commission: FERC) およびカナダの政府当局による監督を受けます。基幹系統のすべての所有者、運用者、および利用者は NERC に登録し、NERC CIP 基準に準拠する必要があります。クラウドサービスプロバイダーや Microsoft などのサードパーティベンダーは、NERC CIP 標準の対象ではありません。ただし、CIP 基準には、登録エンティティが基幹系統 (Bulk Electric System: BES) の運用業者を使用する場合に検討すべき目標が含まれています。基幹系統を運用する Microsoft のお客様は、組織で NERC CIP 基準への準拠を確保することに対して、全責任を負います。

Microsoft クラウドサービスと NERC の詳細については、次のリソースを参照してください。

エネルギー組織が検討を推奨される規制基準には、FedRAMP (US Federal Risk and Authorization Management Program: 米国連邦リスクおよび認可管理プログラム) が含まれます。これは、NIST (National Institute of Standards and Technology: 米国国立標準技術研究所) SP 800-53 Rev 4 基準に基づいており、これを補強します。

Microsoft Office 365 および Office 365 米国政府には、それぞれ中程度の影響レベルで FedRAMP ATO (Authorization to Operate: 運用のための承認 ) が付与されています。
Azure および Azure Government には、それぞれ最高レベルの FedRAMP 承認を表す FedRAMP High P-ATO (Provisional Authorization to Operate: 運用のための暫定承認) が付与されています。

Microsoft クラウドサービスと FedRAMP の詳細については、次のリソースを参照してください。

FedRAMP Moderate コントロールセットと NERC CIP 要件の間の比較により、FedRAMP Moderate コントロールがすべての NERC CIP 要件を網羅していることが示されているため、これらの成果はエネルギー業界にとって重要です。詳細について、Microsoft は「NERC 監査のためのクラウド実装ガイド」を開発しました。これには、NERC CIP 基準の現行のセットと NIST 800-53 Rev 4 で文書化されている FedRAMP Moderate コントロールセット間のコントロールマッピングが含まれています。

エネルギー業界は、コラボレーションシステムの近代化を目指しているため、コラボレーションツールやセキュリティコントロールの構成と配置に関して、次のようなことを真剣に検討する必要があります。

一般的なコラボレーションシナリオの評価
生産性を高めるために従業員が必要とするデータへのアクセス
規制遵守要件
データ、顧客、組織に関連するリスク

Microsoft 365は、最新の職場向けクラウド環境です。また、セキュリティで保護された柔軟な企業全体のコラボレーションを可能にするだけでなく、厳格な規制遵守フレームワークに従うために管理やポリシーの適用を可能にします。次の記事を通じて、Microsoft 365 がエネルギー業界が最新のコラボレーションプラットフォームに移行する一方で、データとシステムをセキュリティで保護し、規制に準拠したままにする方法について説明します。

Microsoft Teams を使用して包括的なコラボレーションプラットフォームを実現する
エネルギー業界でセキュリティで保護された規制を遵守するコラボレーションを実現する
機密データを特定し、データ損失を防止する
記録を効果的に管理してデータを管理する
エネルギー市場の FERC および FTC 規制に準拠する
データ流出とインサイダーリスクから保護する

Microsoft のパートナーである Protiviti は、この記事のために情報や重要なフィードバックを提供してくれました。

Microsoft Teams を使用して包括的なコラボレーションプラットフォームを実現する

コラボレーションでは通常、ドキュメントを保存したりアクセスしたりする機能や、必要に応じて他のアプリケーションを統合する機能など、複数形態の通信が必要になります。グローバル企業でもローカル企業でも、エネルギー部門の従業員は通常、他の部門のメンバーやチーム全体で共同作業を行い、コミュニケーションを取る必要があります。また、多くの場合、外部のパートナー、ベンダー、またはクライアントとコミュニケーションを行う必要があります。その結果、サイロを作成したり、情報の共有を困難にするシステムを利用することは、通常はお勧めできません。ただし、従業員がポリシーに従って安全に情報を共有できるようにしたいと考えています。

従業員が最も生産性の高いツールを選択して簡単に統合できる、最新のクラウドベースのコラボレーションプラットフォームを従業員に提供することで、作業と共同作業に最適な方法を見つけることができます。 Microsoft Teams を、組織を保護するセキュリティコントロールやガバナンスポリシーと共に使用することにより、従業員はクラウドで容易に共同作業できるようになります。

Microsoft Teams は、従業員を連携させ、一般的なイニシアチブまたはプロジェクトで、共同作業を行うことができる組織向けのコラボレーションハブを提供します。これにより、チームメンバーは会話を行い、共同作業を行い、ドキュメントを共同編集できます。これにより、ユーザーはファイルを保存して、チームメンバーまたはチーム外のユーザーと共有できます。また、企業の音声と動画が統合されたライブ会議を開催することもできます。 Planner、Dynamics 365、Power BI などの Microsoft 製アプリや、サードパーティ製基幹業務アプリに容易にアクセスするように Microsoft Teams をカスタマイズすることも可能です。 Teams により、Office 365 サービスやサードパーティ製アプリへのアクセスが簡単になり、組織のコラボレーションとコミュニケーションのニーズを一元化できます。

すべての Microsoft のチームの背後には、Office 365 グループがあります。 Office 365 グループは、Microsoft Teams を含む Office 365 サービスのためのメンバーシッププロバイダーと見なされます。 Office 365 グループを使用して、メンバーと見なされるユーザーとグループの所有者であるユーザーを安全に制御できるようにします。この設計により、Teams 内のさまざまな機能にアクセスできるユーザーを簡単に制御できます。その結果、チームメンバーと所有者は、利用が許可されている機能にのみアクセスできます。

エネルギー組織が Microsoft Teams を活用する一般的なシナリオは、植生の管理などのフィールドサービスプログラムの一部として、請負業者や外部企業との共同作業を行うシナリオです。請負業者は通常、植生を管理したり、電力系統設備の周りの樹木を除去したりします。多くの場合、作業指示を受け取り、ディスパッチャーやその他のフィールドサービス担当者と通信し、外部環境の写真を撮影して共有し、作業が完了したらサインアウトし、本社とデータを共有する必要があります。従来、これらのプログラムは電話、テキスト、紙の作業指示書、またはカスタムアプリケーションを使用して実行されます。この方法では、多くの課題が発生する可能性があります。例:

プロセスは手動またはアナログであり、指標の追跡が困難になります
コミュニケーションがすべて 1 か所でキャプチャされるわけではありません
データはサイロ化されており、必ずしもそれを必要とするすべての従業員と共有されているわけではありません
作業が一貫して、または効率的に実行されない可能性があります
カスタムアプリケーションはコラボレーションツールと統合されていないため、データの抽出と共有やパフォーマンスの測定が困難になります

Microsoft Teams では、コラボレーションのための使いやすいスペースが提供されるので、チームメンバーや外部のフィールドサービス請負業者との間で情報を安全に共有し、会話を行うことができます。 Teams を使用して、会議の開催、音声通話の発信、作業指示の一元的な保存と共有、フィールドデータの収集、写真のアップロード、ビジネスプロセスソリューション (Power Apps と Power Automate で構築) との統合、基幹業務アプリの統合を行うことができます。この種類のフィールドサービスデータは、影響が小さいと見なされる場合があります。ただし、これらのシナリオでは、コミュニケーションを一元化し、従業員とフィールドサービス担当者間のデータにアクセスすることで効率を高めることができます。

エネルギー業界が Microsoft Teams を活用できるもう 1 つの例は、フィールドサービス担当者が、サービス停止中にサービス復旧に取り組んでいる場合です。フィールドスタッフは、多くの場合、変電所、発電所の概略図データ、現場の資産の青写真にすばやくアクセスする必要があります。このデータは影響が大きいと考えられ、NERC CIP 規制に従って保護する必要があります。サービス停止中のフィールドサービス作業には、フィールドスタッフとオフィス従業員の間のコミュニケーション、同様に最終顧客とのコミュニケーションが必要です。 Microsoft Teams では、コミュニケーションとデータ共有を一元化することで、フィールドスタッフは、容易に重要なデータにアクセスしてたり、本社に情報や状況を伝達したりすることができます。たとえば、Microsoft Teams を使用すると、サービススタッフはサービス停止中に電話会議に参加できます。現場スタッフは、環境の写真やビデオを撮影し、本社と共有することもできます。これは、フィールド機器が回路図と一致しない場合に特に重要です。フィールドから収集されたデータと状態は、Power BI などのデータ可視化ツールを使用して、オフィス従業員やリーダーシップに提示することができます。 Microsoft Teams を使用すると、最終的には、これらの重要な状況において、フィールドスタッフは、より効率的かる生産的に作業を行うことができます。

Teams: コラボレーションを改善し、コンプライアンスリスクを軽減する

Microsoft 365 では、基盤となるメンバーシッププロバイダーとして Office 365 グループを使用することにより、その他の一般的なポリシーの機能が Microsoft Teams に提供されます。これらのポリシーは、コラボレーションを改善し、コンプライアンスニーズを満たすのに役立ちます。

Office 365 グループの名前付けポリシーにより、Office 365 グループおよび Microsoft Teams に、会社のポリシーに従った名前を付けることができます。チームの名前は、適切に名前が付けられていないと問題が発生する可能性があります。たとえば、従業員が間違って名前を付けた場合、作業するチームや情報を共有するチームがわからない場合があります。グループの名前付けポリシーは、適切な検疫を適用するのに役立ち、予約語や不適切な用語など、特定の単語の使用を妨げる可能性もあります。

Office 365 グループの有効期限ポリシーは、Office 365 グループ、つまり Microsoft Teams が、organizationで必要な期間よりも長い期間保持されないようにするのに役立ちます。この機能では、2 つの重要な情報管理の問題を防止できます。

不要または使用されていない Microsoft Teams の急増
組織で不要になったデータの超過期間保持

管理者は、Office 365 グループの有効期限を日数で指定できます (90 日、180 日、365 日など)。 Office 365 グループを基盤とするサービスが有効期限の期間非アクティブである場合、グループ所有者は通知を受け取ります。操作が何も行われないと、Office 365 グループと、Microsoft Teams を含むすべての関連サービスが削除されます。

Microsoft Teams にデータを過剰に保持すると、組織に訴訟リスクをもたらす可能性があります。組織を保護するためには、有効期限ポリシーの使用が推奨されます。組み込みの保持ラベルやポリシーと組み合わせることにより、Microsoft 365 は組織が規制遵守義務を果たすために必要なデータだけを保持するようにします。

Teams: 独自の要件を簡単に統合する

Microsoft Teams では、セルフサービスのチーム作成が既定で有効になります。ただし、多くの規制対象組織は、現在従業員によって使用されているのはどのコラボレーションスペースか、機密データが含まれているのはどのスペースか、組織スペースの所有者は誰かということを管理し、理解することを望みます。これらの管理を容易にするために、Microsoft 365 を使用して、組織はセルフサービスのチーム作成を無効にできます。また、Power Apps や Power Automate などの組み込みのMicrosoft 365 ビジネスプロセス自動化ツールを使用して、組織で簡単なプロセスを構築して新しいチームを要求できます。使いやすいフォームに記入すると、マネージャーによって承認が自動的に要求されます。承認されるとチームは自動的にプロビジョニングされ、要求元には新しいチームへのリンクが送信されます。このようなプロセスを構築することにより、組織はカスタム要件を統合して、他のビジネスプロセスを促進することもできます。

エネルギー業界でセキュリティで保護された規制を遵守するコラボレーションを実現する

説明したとおり、Microsoft Office 365 および Office 365 米国政府は、それぞれ中程度の影響レベルで FedRAMP ATO を獲得しています。 Azure および Azure Government は、それぞれ最高レベルの FedRAMP 承認を表す FedRAMP High P-ATO を獲得しています。さらに、FedRAMP の中程度の管理セットには、すべての NERC CIP 要件が含まれているため、エネルギー業界の組織 (「登録エンティティ」) は、既存の FedRAMP 承認を NERC 監査要件に対処するためのスケーラブルで効率的なアプローチとして活用できます。ただし、FedRAMP はポイントインタイム認定ではなく、継続的な監視のプロビジョニングを含む評価と承認プログラムであることに注意することが重要です。この規定は主に CSP に適用されますが、基幹系統を運用する Microsoft のお客様は、組織で NERC CIP 基準への準拠を確保することに対して責任を負います。一般に、organizationのコンプライアンス体制を継続的に監視して、規制への継続的なコンプライアンスを確保することをお勧めします。

Microsoft は、長期間にわたり規制への準拠を監視するのに役立つ重要なツールを提供しています。

Microsoft Purview コンプライアンスマネージャーは、現在の組織のコンプライアンス体制を理解し、改善するために行うことができる処置を把握するのに役立ちます。コンプライアンスマネージャーは、リスクベースのスコアを計算します。これはデータ保護と規制基準に関連するリスクの削減に役立つ処置の完了における進展に基づいて測定されます。コンプライアンスマネージャーは、Microsoft 365 データ保護ベースラインに基づいて、初期スコアを提供します。このベースラインは、一般的な業界の規制と基準を含む一連のコントロールです。このスコアは有効な出発点ですが、その企業の業界とより関連性の高い評価が追加されると、コンプライアンスマネージャーの機能はさらに強化されます。コンプライアンスマネージャーでは、FedRAMP Moderate コントロールセット、NIST 800-53 Rev. 4、および AICPA SOC 2を含む NERC CIP コンプライアンス義務と関連性のある規制基準が複数サポートされています。エネルギー業界の組織は、必要に応じてカスタムコントロールセットを作成またはインポートすることもできます。

コンプライアンスマネージャーに組み込まれたワークフロー機能により、エネルギー業界の組織は規制コンプライアンスに関連するプロセスを変換しデジタル化できます。従来、エネルギー業界のコンプライアンスチームが直面する課題は次のとおりです。

修復アクションの進捗状況の一貫性のないレポートまたは追跡
非効率的または非効果的なプロセス
リソース不足または所有権の欠如
リアルタイム情報の欠如と人的ミス

コンプライアンスマネージャーを使用して、規制コンプライアンスに関連するプロセスの側面を自動化することにより、組織は法的およびコンプライアンス関連機能の管理上の負担を軽減できます。このツールは、修復アクションに関するより最新の情報、より一貫性のあるポート、およびアクションの文書化された所有権 (アクションの実装にリンクされています) を提供することにより、これらの課題に対処するのに役立ちます。組織は時間の経過とともに修復アクションを自動的に追跡し、全体的な効率の向上を確認できます。この機能を使用すると、スタッフは、より効果的にリスクをナビゲートするのに役立つ分析情報の取得と戦略の開発に重点を置くことができるようになります。

コンプライアンスマネージャーは、特定の標準または規制に対する組織のコンプライアンスの絶対的な尺度を表していません。個人データや個々のプライバシーのリスクを減らすことができる管理策をどの程度取り入れたかが示されます。コンプライアンスマネージャーからの推奨事項は、コンプライアンスの保証として解釈しないでください。コンプライアンスマネージャーで提供されるお客様のアクションは推奨事項です。実装前に規制上の義務を満たすために、これらの推奨事項の有効性を評価するのは、各organization次第です。コンプライアンスマネージャーで見つかった推奨事項は、コンプライアンスを保証するものとして解釈しないでください。

FedRAMP Moderate コントロールセットおよびNERC CIP 基準には、多くのサイバーセキュリティ関連のコントロールが含まれています。ただし、Microsoft 365 プラットフォームに関連する主要なコントロールには、セキュリティ管理コントロール (003-6 CIP)、アカウントおよびアクセス管理/アクセスの取り消し (004-6 CIP)、電子セキュリティの境界 (CIP-005-5)、セキュリティイベントの監視、インシデント対応 (CIP-008-5) が含まれます。次の基本的な Microsoft 365 機能は、これらの記事に含まれるリスクと要件に対処するのに役立ちます。

ユーザー ID をセキュリティで保護し、アクセスを制御する

ドキュメントとアプリケーションへのアクセスの保護は、ユーザー ID を強固に保護することから始まります。このアクションの基礎として、企業が ID を格納および管理するためのセキュリティで保護されたプラットフォームを提供し、信頼できる認証手段を提供する必要があります。これらのアプリケーションへのアクセスを動的に制御することも必要です。従業員が作業するにつれて、アプリケーションからアプリケーションに、または複数の場所とデバイス間で移動する可能性があります。その結果、データへのアクセスはそれぞれのステップで認証する必要があります。さらに、認証プロセスでは、ID が侵害されていないことを確認するために、強力なプロトコルと認証の複数の要素 (1 回限りの SMS パスコード、認証アプリ、証明書など) をサポートする必要があります。最後に、リスクベースのアクセスポリシーを実施することは、データとアプリケーションをインサイダーの脅威、不注意なデータ漏えい、データ流出から保護するうえで重要な推奨事項です。

Microsoft 365 は、ID が一元的に格納され、安全に管理されるMicrosoft Entra IDを備えたセキュリティで保護された識別プラットフォームを提供します。 Microsoft Entra ID、関連する Microsoft 365 セキュリティサービスのホストと共に、従業員に安全に作業するために必要なアクセス権を提供し、脅威からorganizationを保護するための基盤を形成します。

Microsoft Entra多要素認証 (MFA) はプラットフォームに組み込まれており、機密データやアプリケーションにアクセスするときにユーザーが誰であると言うユーザーであるかを確認するのに役立つ追加の保護レイヤーを提供します。多要素認証Microsoft Entraには、パスワードと既知のモバイルデバイスなど、少なくとも 2 つの形式の認証が必要です。 Microsoft Authenticator アプリ、SMS 経由で配信されるワンタイムパスコード、ユーザーが PIN を入力する必要がある電話の受信、スマートカード、証明書ベースの認証など、いくつかの第 2 要素認証オプションをサポートしています。パスワードが漏えいしてしまった場合でも、ハッカーはユーザーの電話がなければ組織のデータにアクセスすることはできません。さらに Microsoft 365 は重要なプロトコルとして先進認証を使用しており、Microsoft Outlook やその他の Microsoft Office アプリケーションなど、コラボレーションツールに Web ブラウザーからアクセスする場合でも、同様の強力な認証エクスペリエンスを提供できます。

Microsoft Entra条件付きアクセスは、アクセス制御の決定を自動化し、会社の資産を保護するためのポリシーを適用するための堅牢なソリューションを提供します。一般的な例は、従業員が機密顧客データを含むアプリケーションにアクセスしようとしたときに、多要素認証を実行するために自動的に必要になる場合です。 Azure 条件付きアクセスは、ユーザーのアクセス要求 (ユーザー、デバイス、場所、ネットワーク、アクセスしようとしているアプリまたはリポジトリに関するプロパティなど) からのシグナルをまとめます。アプリケーションへのすべてのアクセスの試行を、構成されたポリシーに対して動的に評価します。ユーザーまたはデバイスのリスクが昇格されている場合、または他の条件が満たされていない場合、Microsoft Entra IDは自動的にポリシーを適用します (MFA の動的な要求、アクセスの制限、ブロックなど)。この設計は、動的に変化する環境で機密性の高い資産を確実に保護するのに役立ちます。

Microsoft Defender for Office 365 は、メールで配信される悪意のあるリンクやマルウェアから組織を保護する、統合されたサービスを提供します。現在ユーザーに影響を与える最も一般的な攻撃ベクトルの 1 つは、電子メールフィッシング攻撃です。これらの攻撃は、特定の注目度の高い従業員を対象として慎重に絞り、説得力のあるものにすることができます。通常、ユーザーが悪意のあるリンクを選択するか、マルウェアを含む添付ファイルを開く必要がある、いくつかの行動喚起が含まれています。感染すると、攻撃者はユーザーの資格情報を盗み、組織全体を横方向に移動できます。また、機密情報を検索するためにメールやデータを盗み出すこともできます。 Microsoft Defender for Office 365は、悪意のある可能性のあるサイトのリンクをクリック時に評価し、リンクをブロックします。メールの添付ファイルは、ユーザーのメールボックスに配信される前に保護されたサンドボックス内で開かれます。

Microsoft Defender for Cloud Apps は、組織にきめ細やかなレベルでポリシーを適用する機能を提供します。この設計には、Machine Learning を使用して自動的に定義される個々のユーザープロファイルに基づいて、動作の異常を検出することが含まれます。 Defender for Cloud Apps は、アクセスするドキュメントのユーザーの動作とプロパティに関連する追加のシグナルを評価することで、Azure 条件付きアクセスポリシーを基に構築します。 Defender for Cloud Apps は、従業員ごとの特徴的な振る舞い (アクセスするデータと使用するアプリケーション) を学習します。ポリシーは、学習済みの挙動パターンに基づいて、従業員がその挙動プロファイルから外れた際にセキュリティコントロールを自動的に適用できるようになります。たとえば、従業員が通常、月曜日から金曜日の午前 9 時から午後 5 時まで会計アプリにアクセスするが、日曜日の夕方に同じユーザーがそのアプリケーションへのアクセスを頻繁に開始する場合、Defender for Cloud Apps はポリシーを動的に適用して、ユーザーに再認証を要求できます。この要件は、資格情報が侵害されていないことを確認するのに役立ちます。さらに、Defender for Cloud Apps は、組織内のシャドウ IT の検出と特定にも役立ちます。この機能は、InfoSec チームが機密データを操作するときに、従業員が承認されたツールを使用することを保証するのに役立ちます。最後に、Defender for Cloud Apps は、Microsoft 365 プラットフォームの外側も含めて、クラウド上の任意の機密データを保護できます。これにより、組織は特定の外部クラウドアプリを承認 (または承認解除) し、アクセスを制御し、それらのアプリケーションでユーザーが作業するタイミングを監視できます。

Microsoft Entra IDと関連する Microsoft 365 セキュリティサービスは、最新のクラウドコラボレーションプラットフォームをエネルギー業界の組織に展開するための基盤を提供します。 Microsoft Entra IDには、データとアプリケーションへのアクセスを保護するための制御が含まれています。これらの制御機能は、強力なセキュリティが提供されるだけでなく、組織が規制上の法令遵守義務を果たすのにも役立ちます。

Microsoft Entra IDと Microsoft 365 サービスは、深く統合されており、次の重要な機能を提供します。

ユーザー ID を一元的に保存し、セキュリティで保護された方法で管理する
多要素認証を含む強力な認証プロトコルを使用して、アクセス要求でユーザーを認証する
あらゆるアプリケーションで一貫性のある堅牢な認証エクスペリエンスを提供する
複数のシグナルをポリシーの意思決定プロセス (ID、ユーザー/グループメンバーシップ、アプリケーション、デバイス、ネットワーク、位置情報、リアルタイムのリスクスコアなど) に組み込みつつ、すべてのアクセス要求に対して動的にポリシーを検証する。
ユーザーの挙動とファイルプロパティに基づいて詳細なポリシーを検証して、必要な場合には追加のセキュリティ手段を動的に適用する
組織内のシャドウ ITを特定し、情報セキュリティチームがクラウドアプリケーションを認可またはブロックできるようにする
Microsoft および Microsoft 以外のクラウドアプリケーションへのアクセスを監視し、制御する
メールのフィッシング詐欺とランサムウェア攻撃からプロアクティブに保護する

機密データを特定し、データ損失を防止する

FedRAMP Moderate コントロールセットおよび NERC CIP 基準には、主要なコントロール要件として情報保護も含まれています (CIP-011-2)。これらの要件は特に、BES (Bulk Electric System: 基幹系統) サイバーシステム情報、その情報の保護と安全で保護された取り扱い (保管、送信、使用など) に関連する情報を特定する必要性に対処します。 BES サイバーシステム情報の具体的な例としては、一般公開されていない一括電気システム (BES サイバーシステム、物理Access Control システム、電子Access Controlまたは監視システム) を運用するための基本的なシステムに関するセキュリティ手順やセキュリティ情報が含まれます。これは、未承認のアクセスや未承認の配布を許可するために使用できます。ただし、エネルギー組織の日常業務に不可欠な顧客情報を特定して保護するために同じニーズが存在します。

Microsoft 365 では、組み合わされた強力な機能により、組織内の機密データを特定および保護できるようになります。機能には次が含まれます。

Microsoft Purview Information Protection は、機密データをユーザーベースで分類、および自動的に分類します
機密データ型 (つまり、正規表現) とキーワードを使用して機密データを自動識別するためのMicrosoft Purview データ損失防止 (DLP) とポリシーの適用

Microsoft Purview Information Protection を使用すると、従業員は秘密度ラベルを使用してドキュメントやメールを分類できます。秘密度ラベルは、ユーザーが Microsoft Office アプリケーションのドキュメントや Microsoft Outlook 内のメールに手動で適用できます。秘密度ラベルは、ドキュメントのマーク付け、暗号化による保護を自動的に適用し、権利管理を実施できます。秘密度ラベルは、キーワードと機密データ型 (クレジットカード番号、社会保障番号、ID 番号など) を使用するポリシーを構成することで自動的に適用することもできます。

Microsoft は、トレーニング可能な分類子も提供しています。これらの機能では、単純なパターンマッチングやコンテンツ内の要素ではなく、コンテンツに基づいて機密データを特定するために機械学習モデルを使用します。分類するコンテンツの多くの例を分類子に教えることにより、コンテンツの種類を特定する方法を学習させます。分類子をトレーニングするには、まず特定のカテゴリ内のコンテンツの例を分類子に提供することから始まります。この例が処理されると、一致する例と一致しない例を混ぜたものをモデルに提供し、モデルをテストします。次に、分類子は、与えられた例がそのカテゴリに該当するかどうかを予測します。その後、人が結果を確認し、陽性、陰性、偽陽性、偽陰性に仕分けし、分類子の予測の正確性を高めます。トレーニング済みの分類子が発行されると、SharePoint Online、Exchange Online、OneDrive のコンテンツが処理され、自動的に分類されます。

ドキュメントと電子メールに秘密度ラベルを適用すると、選択した秘密度を識別するメタデータがオブジェクト内に埋め込まれるため、秘密度をデータと共に移動できます。その結果、ラベル付きドキュメントがユーザーのデスクトップまたはオンプレミスシステム内に格納されている場合でも、保護されます。この設計により、Microsoft Defender for Cloud Appsやネットワークエッジデバイスなどの他の Microsoft 365 ソリューションは、機密データを識別し、セキュリティ制御を自動的に適用できます。秘密度データには他の利点もあり、組織内でどのデータが機密データとみなされるか、そのデータをどのように扱うかに関して、従業員を教育することができます。

Microsoft Purview データ損失防止 (DLP) は、機密データを含むドキュメント、電子メール、会話を自動的に識別します。これらのアイテムで機密データの種類をスキャンし、それらのオブジェクトにポリシーを適用します。ポリシーは、SharePoint と OneDrive for Business 内のドキュメントに対して適用されます。ポリシーは、ユーザーが送信するメールや、チャットやチャネルの会話内の Microsoft Teams にも適用されます。ポリシーは、キーワード、機密データの種類、保持ラベル、データの共有先が組織内か外部かを判断するように構成することができます。 DLP ポリシーを微調整して偽陽性をより良く回避できるように、コントロールが提供されています。機密データが見つかった場合、Microsoft 365 アプリケーション内でカスタマイズ可能なポリシーヒントをユーザーに表示できます。ポリシーヒントは、ユーザーのコンテンツに機密データが含まれていることを通知し、是正措置を提案することができます。ポリシーにより、ユーザーによるドキュメントへのアクセス、ドキュメントの共有、特定の種類の機密データを含むメールの送信を防止することもできます。 Microsoft 365 には、100 を超える機密データの種類が組み込まれています。組織は、自分たちのポリシーに合致するように機密データの種類をカスタマイズできます。

Microsoft Purview Information Protection ポリシーと DLP ポリシーを組織に展開するには、慎重な計画が必要です。また、従業員が組織のデータ分類スキーマと機密性の高いデータの種類を理解するためのユーザー教育も必要です。従業員に対して、機密データを特定し、それをどのように扱うべきかを理解するのに役立つツールや教育プログラムを提供するならば、従業員を情報セキュリティリスクを低減するためのソリューションの一部として組み込むことができます。

記録を効果的に管理してデータを管理する

多くの組織では、規制により、管理された企業保持スケジュールに従って主要な組織ドキュメントの保持を管理する必要があります。組織は、データの保持が不足している (削除が早すぎる) 場合は法令遵守のリスクに直面し、データが保持されすぎる (長すぎる) 場合は法的リスクに直面します。効果的な記録管理戦略により、組織へのリスクを最小限に抑えるように設計された、事前に定められた保持期間に従って、組織のドキュメントを確実に保持できるようします。保持期間は、一元管理された組織の記録保持スケジュールで規定されます。また、各種ドキュメントの性質、特定の種類のデータを保持するための規制遵守要件、組織の定義されたポリシーに基づいています。

組織のドキュメント間でレコード保持期間を正確に割り当てるには、個々のドキュメントに一意に保持期間を割り当てる細かいプロセスが必要になる場合があります。記録保持ポリシーを大規模に適用することは、多くの理由から困難な場合があります。その理由として、エネルギー業界の組織内には膨大な数のドキュメントがあり、また多くの場合、保持期間は組織のイベント (契約の期限切れや組織を退職する従業員など) によってトリガーされる可能性があるという事実があります。

Microsoft 365 では、保持ラベルやポリシーを定義して記録管理要件を簡単に実施するための機能が提供されます。記録管理者は、従来の保持スケジュールでの "記録の種類" にあたる、保持ラベルを定義します。保持ラベルには、以下を定義する設定が含まれます。

どのくらいの期間記録を保持するか
同時実行性の要件、または保持期間が終了したらどうするか (ドキュメントを削除する、処理レビューを開始する、何もしない)
保持期間の開始をトリガー情報 (作成日、最終変更日、ラベル付き日付、またはイベント)、および
ドキュメントまたは電子メールがレコードの場合 (つまり、編集または削除できません)

その後、保持ラベルは SharePoint または OneDrive のサイト、Exchange メールボックス、Office 365 グループに公開されます。その後、ユーザーはドキュメントやメールに保持ラベルを手動で適用できます。あるいは、記録管理者は、ルールを使用して保持ラベルを自動的に適用できます。自動適用ルールは、クレジットカード番号、社会保障番号、その他の個人識別情報 (PII) などドキュメントやメールに含まれるキーワードや機密データに基づくことができます。また、SharePoint のメタデータに基づくこともできます。

FedRAMP Moderate コントロールセットおよび NERC CIP 基準には、主要なコントロール要件として資産の再利用と廃棄も含まれています (CIP-011-2)。これらの要件は、BES (基幹系統) サイバーシステム情報に明確に対応します。ただし、その他の管轄区域の規制では、エネルギー業界の組織は、多くの種類の情報のレコードを効果的に管理および破棄する必要があります。この情報には、財務諸表、資本プロジェクト情報、予算、顧客データなどが含まれます。いずれの場合も、エネルギー組織は、強固な記録管理プログラムと企業記録の弁護可能な処分に関連する証拠を維持する必要があります。

各保持ラベルを使用すると、Microsoft 365 では、記録管理者が廃棄レビューが必要かどうかを判断できます。その後、これらの記録の種類が廃棄されると、保持期間が終了した後、コンテンツを削除する前に、指定された廃棄レビュー担当者がレビューを行う必要があります。廃棄レビューが承認されると、コンテンツの削除が続行されます。ただし、削除の証拠 (削除を実行したユーザーとその発生日時) は、破棄証明書として数年間保持されます。組織が破棄証明書の長期または永続的な保持を必要とする場合は、ログと監査データの長期的なクラウドベースのストレージに Microsoft Sentinel を使用できます。 Microsoft Sentinel を使用すると、組織はアクティビティデータ、ログデータ、保持/廃棄データの長期保存と保持を完全に制御できます。

エネルギー市場の FERC および FTC 規制に準拠する

米国連邦エネルギー規制委員会 (U.S. Federal Energy Regulatory Commission: FERC) は、エネルギー市場と、電気エネルギーおよび天然ガス市場の取引に関連する規制を監督しています。米国連邦貿易委員会 (U.S. Federal Trade Commission: FTC) は、同様の石油市場での規制を監督しています。どちらの場合も、これらの規制機関は、エネルギー市場の操作を禁止するためのルールとガイダンスを定めています。たとえば、FERCは、エネルギー組織が、取引、貿易業者の通信、社内統制の遵守を監視するために、技術リソースに投資することを推奨しています。また、規制機関は、エネルギー組織が法令遵守プログラムの継続的な有効性を定期的に評価することを推奨しています。

従来、通信監視ソリューションは高価であり、構成と管理が複雑になる可能性があります。また、組織は、従業員が利用できる多数のさまざまな通信チャネルを監視することで、問題が発生する可能性があります。 Microsoft 365は、従業員の通信を監視し、従業員の活動を監督し、エネルギー市場の FERC 規制への準拠を支援するための、いくつかの組み込みの強固な機能を提供します。

監督管理を実施する

Microsoft 365 により、組織は、(構成された条件に基づいて) 従業員の通信を捕捉する監督ポリシーを構成し、指定された監督者がこれらを確認できるようにすることができます。監督ポリシーでは、内部/外部のメールと添付ファイル、Microsoft Teams のチャットとチャネル通信、Skype for Business Online のチャット通信と添付ファイル、サードパーティのサービス (Facebook、Dropbox など) を介した通信を捕捉できます。

organization内でキャプチャおよびレビューされる可能性のある包括的な通信の性質と、ポリシーを構成できる広範な条件により、組織が FERC エネルギー市場規制に準拠するのに役立つ Microsoft 365 監督ポリシーが可能になります。監督ポリシーは、個人またはグループの通信をレビューするように構成することができます。さらに、スーパーバイザーは個人またはグループに構成できます。受信または送信メッセージ、ドメイン、保持ラベル、キーワードまたはフレーズ、キーワードの辞書、機密データの種類、添付ファイル、メッセージサイズ、添付ファイルサイズに基づいて、通信を捕捉するための包括的な情報を構成することができます。レビュー担当者にはダッシュボードが提供され、フラグ付けされた通信のレビュー、ポリシー違反の可能性がある通信への対応、フラグ付けされた項目に解決とマークすることが可能です。また、以前のレビューの結果と、解決された項目も確認できます。

Microsoft 365 では、ポリシーとレビュー担当者に基づいて、監督ポリシーのレビュー活動を監査できるレポートが提供されます。利用可能なレポートでは、組織の監督ポリシー書類で定義されたとおりに監督ポリシーが機能しているかを検証するために使用できます。レポートを使用して、会社のポリシーに準拠していない通信など、レビューを必要とする通信を特定することもできます。最後に、監督ポリシーの構成と通信のレビューに関連するすべての活動は、Office 365 の統合監査ログで監査されます。

Microsoft 365 監督ポリシーを使用すると、組織は、人事嫌がらせの違反や会社のコミュニケーションにおける攻撃的な言葉などの企業ポリシーの遵守について通信を監視できます。また、組織が合併や買収、経営陣の交代などの機密性の高い組織変更を経験する際に、組織は通信を監視することによってリスクを抑えることができるようになります。

コミュニケーションコンプライアンス

従業員が利用できる多くの通信チャネルがあるため、組織はエネルギー取引市場などの規制対象の業界の通信を検出または調査するための効果的なソリューションを必要としています。これらの課題には、通信チャネル数やメッセージ量の増加、ポリシー違反に対する罰金のリスクなどが含まれる場合があります。

Microsoft Purview コミュニケーションコンプライアンスは、組織内の不適切なメッセージの検出、調査、および対処を支援することで、コミュニケーションリスクを最小限に抑えるコンプライアンスソリューションです。事前に定義されたカスタムポリシーを使用すると、指定されたレビュー担当者が調査できるように、ポリシーの一致の確認のために内部および外部の通信をスキャンできます。レビュー担当者は、スキャンされたメール、Microsoft Teams、Viva Engage、またはサードパーティのコミュニケーションをorganizationで調査し、organizationのメッセージ標準に準拠していることを確認するための適切なアクションを実行できます。

通信コンプライアンスは、コンプライアンスチームが次の違反の可能性がないかメッセージを効果的かつ効率的に確認するのに役立ちます。

許容される使用法、倫理基準、企業固有のポリシーなどの企業ポリシー
秘密度情報または機密事業情報の開示 (今後の買収、合併、収益の開示、再編、経営陣の変更などの機密プロジェクトに関する承認されていない通信)
法令遵守要件 (組織がエネルギー市場の FERC 規制の遵守に関連する企業や取引の種類に関する従業員の通信)

コミュニケーションコンプライアンスには脅威、ハラスメント、冒涜的表現の分類子が組み込まれており、通信をレビューする際の偽陽性を減らすことがでます。この分類により、調査および修復プロセス中のレビュー担当者の時間が節約されます。レビュー担当者は、ポリシー通知によって強調表示されている長いスレッド内の特定のメッセージに集中できます。この結果は、コンプライアンスチームがリスクをより迅速に特定して修復するのに役立ちます。コンプライアンスチームは、ポリシーを簡単に構成および微調整し、組織の特定のニーズにソリューションを調整して、誤検知を減らすことができます。コミュニケーションコンプライアンスは、潜在的に危険なユーザーの行動を時間の経過とともに特定するのにも役立ち、危険な行動やポリシー違反の潜在的なパターンを浮き彫りにします。最後に、柔軟な組み込みの修復ワークフローが提供されます。これらのワークフローは、定義された企業プロセスに従って、レビュー担当者が法務チームや人事チームにエスカレーションするためのアクションを迅速に行うのに役立ちます。

データ流出とインサイダーリスクから保護する

企業にとっての共通の脅威は、データ流出や、組織からデータを抽出する行為です。このアクションは、従業員またはフィールドサービススタッフが日常的にアクセスする可能性がある情報の機密性のために、エネルギー組織にとって大きな懸念事項となる可能性があります。このデータには、BES (Bulk Electric System: 基幹系統) サイバーシステム情報、ビジネス関連情報、顧客データの両方が含まれます。利用できる通信チャネルが増大し、データを移動するための多数のツールが普及しているため、データ漏えい、ポリシー違反、インサイダーリスクなどの脅威を軽減するための高度なツールが求められるようになっています。

インサイダーリスクの管理

どこからでもアクセスできる可能性のあるオンラインコラボレーションツールを使用して従業員を有効にすると、本質的にorganizationにリスクが発生します。従業員は、攻撃者や競合他社にデータを誤ってまたは悪意を持って漏洩する可能性があります。または、個人使用のためにデータを流出させたり、将来の雇用主にデータを取り込んだりすることもできます。これらのシナリオは、セキュリティとコンプライアンスの観点から組織に深刻なリスクをもたらします。こうしたことが発生したときにこれらのリスクを特定し、すぐに緩和するには、データ収集のため、そして法務、人事、情報セキュリティの部門をまたぐ共同作業のためのインテリジェントなツールが必要になります。

Microsoft Purview インサイダーリスク管理は、組織内の悪意のあるアクティビティや不注意によるアクティビティを検出、調査、および操作できるようにすることで、内部リスクを最小限に抑えるのに役立つコンプライアンスソリューションです。インサイダーリスクポリシーを使用すると、ケースに対応したり、必要に応じて Microsoft 電子情報開示 (Premium) にケースをエスカレートしたりするなど、組織内で識別および検出するリスクの種類を定義できます。組織内のリスクアナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。

たとえば、インサイダーリスク管理では、ユーザーの Windows 10 デスクトップからのシグナル (USB ドライブへのファイルのコピーや個人メールアカウントでのメールのやり取りなど) を、オンラインサービスでのアクティビティ (Office 365 メール、SharePoint Online、Microsoft Teams、OneDrive for Business など) と関連付け、データ流出のパターンを特定することができます。また、こうしたアクティビティを、組織を去る従業員と関連付けることもできます。これは、よくあるデータ流出に関連する一般的な挙動パターンです。時間の経過と共に、複数の潜在的に危険なアクティビティと動作を検出できます。共通するパターンが発見されると警告を発し、調査担当者が重要なアクティビティに注目して、ポリシー違反を確信をもって検証できるようにします。インサイダーリスク管理では、調査担当者からのデータを難読化することでデータのプライバシー規制を準拠しながらも、効率的に調査を行えるようにするために重要なアクティビティを浮かび上がらせます。準備が整ったら、修正のために事例を報告するための一般的なエスカレーションワークフローに続いて、調査担当者は重要なアクティビティのデータをパッケージ化し、人事部門および法務部門にセキュリティで保護された方法で送信できます。

インサイダーリスク管理は、インサイダーリスクを検出および調査する Microsoft 365 の能力を格段に高めつつ、より高いレベルでの事例への対応が必要になった場合に、組織がデータのプライバシー規制を準拠し、確立されたエスカレーションの方法を実行できるようにします。

まとめ

Microsoft 365 は統合された包括的なソリューションを提供します。これにより、Microsoft Teams を使用して企業全体で使いやすいクラウドベースのコラボレーション行うことができます。また、Microsoft Teams を使用すると、フィールドサービススタッフとのコミュニケーションやコラボレーションが可能になり、エネルギー組織はより効率的かつ効果的になることができます。企業全体およびフィールドスタッフとのより良いコラボレーションは、最終的にはエネルギー組織が顧客により良いサービスを提供するのに役立ちます。

エネルギー業界の組織は、運用および顧客に関連する情報の保存、保護、管理、および保持する方法に関連する厳しい規制に準拠する必要があります。また、エネルギー市場の操作を監視および防止する方法に関連する規制にも準拠する必要があります。 Microsoft 365 は、データ、ID、デバイス、およびアプリケーションをリスクから保護し、厳格なエネルギー業界の規制に準拠するための強固なセキュリティ制御を提供します。組み込みのツールは、エネルギー組織がコンプライアンスを評価するだけでなく、アクションを実行し、時間の経過とともに修復アクティビティを追跡するのに役立ちます。これらのツールでは、通信を監視および監督するための使いやすい方法も提供します。 Microsoft 365 プラットフォームは、Microsoft Azure や Microsoft Entra ID などの基本的なコンポーネントに基づいて構築されており、プラットフォーム全体をセキュリティで保護し、FedRAMP Moderate および High コントロールセットのコンプライアンス要件を満たすorganizationを支援します。この設計は、NERC CIP規格を満たすエネルギー organizationの能力に貢献します。

全体として、Microsoft 365 は、組織が保護を強化し、より強固なコンプライアンスプログラムを維持し、スタッフがより良い分析情報を取得して、よりリスクを軽減する戦略を実装できるようします。

エネルギー業界のための、コンプライアンスとセキュリティの重要な検討事項

はじめに

Microsoft Teams を使用して包括的なコラボレーション プラットフォームを実現する

Teams: コラボレーションを改善し、コンプライアンス リスクを軽減する