インサイダー リスクの管理の詳細
重要
Microsoft Purview Insider Risk Management は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまなシグナルを関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理ポリシーを開始する前に、組織のコンプライアンス ニーズに最適なインサイダー リスク管理設定を理解して選択することが重要です。 インサイダー リスク管理設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。
注:
インサイダー リスク管理ページの上部にある [設定] ボタンを使用して、設定を変更します。
次の表では、各インサイダー リスク管理設定について説明し、設定の詳細を確認するためのリンクを示します。
| 設定 | 説明 |
|---|---|
| プライバシー | アラートとケースのすべての現在および過去のポリシーの一致に対して、ユーザー名または匿名化されたバージョンのユーザー名を表示するかどうかを選択します。 |
| ポリシー インジケーター | 各インサイダー リスク管理ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 既定では、すべてのグローバル インジケーターが無効になっています。 インサイダー リスク管理ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。 インジケーター レベルの設定は、組織内のリスク イベントの発生回数がリスク スコアにどのように影響するかを制御するのに役立ちます。 |
| 検出グループ | さまざまなユーザー セットの検出を調整する場合は、[ 検出グループ ] 設定を使用して、組み込みのインジケーターのバリエーションを作成します。 検出グループを作成すると、誤検知を減らすことができます。 |
| [グローバル除外] | [グローバル除外] 設定を使用して、インサイダー リスク管理ポリシーによってスコア付けされないグローバル除外を指定します。 |
| ポリシー期間 | [ポリシー期間] 設定を使用すると、インサイダー リスク管理ポリシー テンプレートのイベントとアクティビティに基づいて、ポリシーの一致後にトリガーされる過去と将来のレビュー期間を定義できます。 |
| インテリジェントな検出 | [インテリジェント検出] 設定を使用して、異常なダウンロード アクティビティのスコアを向上させ、アラートの量を制御し、Microsoft Defender for Endpoint アラートをインポートしてフィルター処理し、リスク スコアリング用に許可されていないドメインとサードパーティのドメインを指定します。 |
| アラートをエクスポートする | インサイダー リスク管理アラート情報は、Office 365 Management Activity API スキーマを使用して、セキュリティ情報とイベント管理 (SIEM) ソリューションとセキュリティ オーケストレーション自動応答 (SOAR) ソリューションにエクスポートできます。 Office 365 管理アクティビティ API を使用して、組織がインサイダー リスク情報の管理または集計に使用する可能性がある他のアプリケーションにアラート情報をエクスポートできます。 |
| データ共有 | データ共有設定を使用して、1) Office 365 Management Activity API スキーマを使用してインサイダー リスク管理アラート情報を SIEM ソリューションにエクスポートします。2) Microsoft Defender および DLP アラートを使用して、インサイダー リスク管理ユーザーのリスク レベルを共有します。 |
| 優先度の高いユーザー グループ | 組織内のユーザーは、自分の位置、機密情報へのアクセスレベル、またはリスク履歴に応じて、異なるレベルのリスクを持つ場合があります。 これらのユーザーのアクティビティの調査とスコア付けを優先すると、組織にとってより高い結果をもたらす可能性がある潜在的なリスクに対するアラートを生成するのに役立ちます。 [ 優先度ユーザー グループ ] 設定を使用して、詳細な検査とより機密性の高いリスク スコアリングを必要とする組織内のユーザーを定義します。 |
| 物理資産の優先順位 (プレビュー) | 優先度の高い物理資産へのアクセスを識別し、アクセス アクティビティをユーザー イベントに関連付けるのは、コンプライアンス インフラストラクチャの重要なコンポーネントです。 これらの物理資産は、会社の建物、データ センター、サーバー ルームなど、組織内の優先順位の高い場所を表します。 インサイダー リスク アクティビティは、通常とは異なる時間に作業するユーザー、これらの未承認の機密領域またはセキュリティで保護された領域へのアクセス、正当なニーズのない高レベルエリアへのアクセス要求に関連付けられている可能性があります。 |
| Power Automate フロー (プレビュー) | Microsoft Power Automate は、アプリケーションとサービス間でアクションを自動化するワークフロー サービスです。 テンプレートからのフローを使用するか、手動で作成することで、これらのアプリケーションとサービスに関連付けられている一般的なタスクを自動化できます。 インサイダー リスク管理の Power Automate フローを有効にすると、ケースとユーザーの重要なタスクを自動化できます。 Power Automate フローを構成して、ユーザー、アラート、ケースの情報を取得し、この情報を利害関係者や他のアプリケーションと共有したり、ケース ノートへの投稿などのインサイダー リスク管理でのアクションを自動化したりできます。 Power Automate フローは、ポリシーのスコープ内のケースと任意のユーザーに適用されます。 |
| Microsoft Teams (プレビュー) | コンプライアンス アナリストと調査担当者が Teams を使用してインサイダー リスク管理ケースで共同作業できるように、Microsoft Teams のサポートを有効にすることができます。 Teams を使用して次の手順を実行します。 - プライベート Teams チャネルのケースの対応アクティビティを調整および確認する - 個々のケースに関連するファイルと証拠を安全に共有して保存する - アナリストや調査担当者による対応アクティビティを検出して確認する |
| 分析 | Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、組織が高いユーザー リスクの潜在的領域を特定し、構成することを考えるべきインサイダー リスク マネジメント ポリシーの種類と範囲を特定するのに役立ちます。 |
| 管理者通知 | [管理者通知] 設定を使用して、選択可能なインサイダー リスク管理役割グループに電子メール通知を自動的に送信します。 次の操作を行うことができます: - 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信する - 新しい重大度の高いアラートが生成されたときに、毎日の電子メールを送信する - 警告が未解決のポリシーをまとめた週単位のメールを送信する |
| インライン アラートのカスタマイズ | インライン アラートのカスタマイズを使用すると、アラートを確認しながら 、アラート ダッシュボード から直接インサイダー リスク管理ポリシーをすばやく調整できます。 リスク管理アクティビティが関連ポリシーで構成されたしきい値を満たしている場合、アラートが生成されます。 この種類のアクティビティから取得するアラートの数を減らすには、しきい値を変更するか、ポリシーからリスク管理アクティビティを完全に削除します。 |
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示