ゼロ トラストでデータを保護する

バックグラウンド

データの保護は、セキュリティおよびコンプライアンスチームの主用な役割の 1 つです。 データは、保管時にも、使用時にも、組織の管理下にあるエンドポイントアプリインフラストラクチャネットワークから外に出るときも、常に保護しておく必要があります。 保護を実行し、認可を受けたユーザーだけがデータにアクセスできるようにするためには、データを目録で管理し、分類し、ラベル付けし、必要に応じて暗号化する必要があります。

データ保護の 3 つの要点は次のとおりです。

  1. データについて理解する

    オンプレミスとクラウド サービスにある機密データを把握していなければ、それを十分に保護することはできません。 組織全体のデータをすべて見つけ出し、すべてのデータを機密性に基づいて分類する必要があります。

  2. データを保護し、データの喪失を防止する

    機密データは、データのラベル付けと暗号化を行い、過度の共有を阻止するデータ保護ポリシーによって保護する必要があります。 これにより、データが組織の環境の外を移動する場合も含めて、認可を受けたユーザーだけがデータにアクセスできるようになります。

  3. 監視、修復を行う

    ポリシー違反や、ユーザーによる危険な操作を検出できるよう、機密データは常に監視する必要があります。 これにより、アクセス権の取り消し、ユーザーのブロック、保護ポリシーの改善など、適切な措置を取ることができます。

Diagram of monitoring activiting and remediation.

データおよび機密コンテンツの把握、ラベル付け、分類により、組織は次のことができます。

  • 設定したポリシーを周知してこれを実行することで、メール、付属ファイル、ドキュメントを拒否または削除する。

  • ファイルを暗号化し、エンドポイント デバイスに秘密度ラベルを付ける。

  • ポリシーと機械学習により、秘密度ラベルに基づいてコンテンツを自動分類する

  • コンテンツがデジタル インフラの内外を移動する際に、ポリシーを使用して機密コンテンツを追跡、監視する

ゼロ トラストによるデータ管理の展開目標

情報保護戦略は、組織のデジタル コンテンツ全体をカバーしている必要があります。 一番の基本として、環境全体でラベルを設定し、機密データを把握し、ラベルの使用状況と活動とを監視する必要があります。 秘密度ラベルの使用方法は、このガイドの最後で説明します。

注意

ゼロ トラスト未導入の組織のほとんどは、次のようなデータ セキュリティ対策を行っています。

  • データの機密性ではなく、境界管理によってアクセス権を管理する。

  • 一貫性のないデータ分類を行って、手動で秘密度ラベルを付ける。

情報保護機能の最初の展開目標は次のとおりです。

  1. 組織のラベル分類を設定する。

  2. 展開対象となる情報保護機能を設定する。

  3. その機能をプロジェクトの予定に組み込む。

  4. Microsoft 製品のロードマップを確認し、今後リリースされる機能のうち、自分の組織の情報保護に適しているものを把握する。

上の作業は、ゼロ トラストの手法でデータを保護しようとしている組織だけでなく、情報保護の取り組みを計画しているすべての組織で有効です。 このガイドでは、これらの作業についてこれ以上説明しません。 詳細については次を参照してください:

データ管理のためにエンドツーエンドのゼロ トラスト フレームワークを導入するときは、はじめに、これらの最初の展開目標に取り組むことをお勧めします。

List icon with one checkmark.

I.Accessの決定は暗号化によって管理されます。

II。データは自動的に分類され、ラベル付けされます。

これらが完了したら、次の追加のデプロイの目的に焦点を合わせます。

List icon with two checkmarks.

III。分類は、スマート 機械学習モデルによって強化されます。

IV。アクセスの決定は、クラウド セキュリティ ポリシー エンジンによって管理されます。

V.秘密度ラベルとコンテンツ検査に基づく DLP ポリシーによるデータ漏洩を防止します。

Capabilities

Table of capabilities.

データ ゼロ トラスト展開ガイド

このガイドでは、ゼロ トラストによるデータ保護の仕組みを作り上げる方法を、順を追って説明します。 これらは、情報の機密性および組織の規模と複雑性により大きく異なることにご注意ください。




Checklist icon with one checkmark.

初期のデプロイの目的

I. アクセス決定の情報を暗号化する

機密性の高いデータを暗号化して、秘密度ラベルが付いたコンテンツへのアクセスを制限します。

ドキュメントまたはメールを暗号化するときは、コンテンツへのアクセスを次のとおり制限します。

  • 保管時、移動時を問わず暗号化する。

  • ファイル名を変更した場合も含めて、(組織の内外を問わず) どこにあるときも暗号化したままにする。

  • ラベルの暗号化設定により認可を受けたユーザーだけが復号できる。

次の手順を実行します。

II. データの分類、ラベル付けを自動で行う

データに手動でラベルを付ける必要がある、または誤ったラベルを付けてしまう問題を避けるため、データの分類を自動化します。

Microsoft 365 Apps for Enterprise または Unified Labeling クライアントのコンテンツに自動でラベルを付ける

適切な Windows 用のクラアントを選ぶことで、Microsoft Office の組み込み情報保護機能を利用できます。 それができない場合は、Azure Information Protection の Unified Labeling クライントを代わりに使用できます。

次の手順に従います。

  1. Office アプリで自動ラベル付けを構成する方法について知る。

  2. 秘密度ラベルをコンテンツに自動的に適用する

機密データを含むオンプレミスの業務上重要なコンテンツを自動的に分類、ラベル付け、保護する

Azure Information Protection (AIP) スキャナーを使用すれば、SharePoint 2013 および上記オンプレミス ファイル サーバーのファイルを、自動で分類および保護できます。

次の手順を実行します。




Checklist icon with two checkmarks.

その他のデプロイの目的

III. 効果的な機械学習モデルによって分類を強化する

企業は膨大な量のデータを扱うため、きちんとラベルを付けたり分類したりすることが難しい場合があります。 最初の 2 ステップを完了したら、次のステップでは、機械学習による効果的な分類を実装します。

Microsoft 365 では、手動分類自動パターン マッチングを含む 3 種類のコンテンツ分類方法があります。

3 つ目の方法、トーレニング可能な分類子 (プレビュー) は、手動分類とパターン マッチングでは判別が難しいコンテンツに向いています。 分類子は、分類しようとしているコンテンツの数百個の例を見て、コンテンツの種類を判別する方法を学習します。 最初は、確実にそのカテゴリーに属している例を与えます。 それらを処理したら、一致する例としない例を混ぜて与えてテストします。 その後、分類子は、特定の項目が作成中のカテゴリに分類されるかどうかを予測します。 結果を確認し、肯定、否定、誤検知、見逃しを静止して、推定の精度を高めます。 トレーニングした分類子を公開すると、SharePoint Online、Exchange、OneDrive などの場所にあるものを種類ごとに分け、コンテンツを分類することができます。

次の手順に従います。

  1. トレーニング可能な分類子を使用できる場所を知る。

  2. トレーニング可能な分類子を作成する (プレビュー)。

IV. クラウド セキュリティ ポリシー エンジンでアクセス決定を行う

Exchange、SharePoint、OneDrive に保存しているデータについては、ポリシーを使用することで、秘密度ラベルによる自動分類を目的の場所で実装できます。 Microsoft Defender for Cloud Apps には、次のような機密ファイルを管理するための追加機能が用意されています。

  • コラボレーターを削除し、過剰な特権とデータ漏洩を防止する。

  • 追加レビューにより、受け入れ前のファイルを検査する。

  • 機密ファイルに対して、または危険なユーザーが関与する特定の条件において、予防的なラベル付けを行うポリシーを作成する。

次の手順に従います。

  1. SharePoint、OneDrive、Exchange の自動ラベル付けポリシーを構成する

  2. Microsoft Defender for Cloud Apps と Microsoft Information Protection を統合し、それを使用して Box や G-Suite などのサードパーティ環境のデータも保護します。

V. 秘密度ラベルとコンテンツ検査に基づく DLP ポリシーでデータ漏洩を防止する

ビジネスの標準や業界の規制に準拠するために、組織は機密情報を保護し、不注意による情報漏洩を防ぐ必要があります。 機密情報には、財務データや、クレジット カード番号、社会保障番号、健康記録などの個人を特定できる情報 (PII) を含むものもあります。 Office 365 セキュリティ & コンプライアンス センターのデータ損失防止 (DLP) ポリシーを使用すると、Office 365 全体の機密情報を特定、監視、および自動的に保護できます。

次の手順に従います。

  1. DLP ポリシーでデータを保護する方法を知る。

  2. DLP ポリシーを作成、テスト、調整する

  3. コンテンツが条件に一致したときに、DLP によって措置を実行する (コンテンツの保護、アクセスの制限、メールの送信阻止など)。

従来のデータ セキュリティ目標

秘密度ラベルは、ゼロ トラストによるデータ管理の基礎です。 秘密度ラベルを設定する際は、最初に利害関係者を特定し、それらの関係者間で業務上重要な、または行政による規制の対象となるデータの種類を話し合って決定します。 次に、機密性が高いまたは機密性を有するデータの分類を設定し、そうしたデータを含むドキュメントにラベルを付けます。 同様に、それ以外の機密性水準のデータおよびドキュメントのラベルに関するセキュのリティ ポリシーも定めます。たとえば “一般向け” や “業務外” などのラベルが考えられます。 ポリシーの設定を終えたら、すべての場所に存在するファイルを把握し、それらのファイルのコンテンツを確認し、決定したポリシーに合致するかどうかを調べ、それらのドキュメントに適切なラベルを付けます。

これらの作業では、機密情報を把握してそれに印を付けることで、未認可の人物または組織と誤って情報を共有することを防止するため、リスクを低減できます。 また、スムーズなデータ共有ができるため、生産性への影響は最低限で済みます。

次に秘密度ラベルについて説明します。

Diagram of the steps within phase 5 of the additional deployment objectives.

秘密度ラベルを手動で適用する

正しいラベル分類と保護ポリシーを設定することは、Information Protection の展開で最も重要な作業なので、最初に、組織の機密情報に関する要件を反映したラベル付け戦略を作成します。

ラベルは、コンテンツの機密性と、適用される会社のポリシーを示します。 ラベルはまた、保護が必要なコンテンツにユーザーが印を付ける第一の手段でもあります。

適切なラベル分類は、直感的で使いやすく、ビジネスのニーズに合致しています。 データの漏洩と乱用を防ぎ、コンプライアンスの要件を満たし、ユーザーの仕事の妨げにはなりません。

次の手順に従います。

機密情報を含むオンプレミスの業務上重要なコンテンツを自動的に検出する

Azure Information Protection (AIP) スキャナーは、オンプレミスのファイル リポジトリと 2013 以降の SharePoint のオンプレミス サイトで、機密情報を検出、分類、ラベル付け、保護するのに役立ちます。 AIP スキャナーを使えば、まだクラウドに以降していないデータのリスクの種類に関するインサイトが直ちに手に入ります。

次の手順に従います。

  1. AIP スキャナーをインストールするための前提条件を確認する

  2. Azure portal でスキャナーを構成する。

  3. スキャナーをインストールする。

  4. スキャナーの Azure AD トークンを取得する。

  5. 検出サイクルを実行し、スキャナーのレポートを確認する。

あらゆるデバイスの Office ユーザーが使用でき、手動でコンテンツに適用されるラベルと分類

Microsoft 365 コンプライアンス センターまたはそれに相当するラベリング センターから秘密度ラベルが発行されたら、Microsoft Office の組み込みラベリング クライアントや Azure Information Protection United Labeling クライアントなどのクライアント アプリを利用して、作成および編集するデータの分類と保護を実行できます。

次の手順に従います。

  1. Windows 用ラベリング クライアントの機能を比較し、Office アプリの秘密度ラベル機能のサポートを確認して、自分たちの環境にとって重要な機密性関連の機能およびプラットフォームの要件を判断する。

  2. Microsoft Teams サイト、Microsoft 365 グループ (旧称 Office 365 グループ)、SharePoint サイトなど、Office アプリで秘密度ラベルの使用を開始する。 秘密度ラベルは Power BI サービスの機密データの分類とラベル付けにも使用でき、また、データセット、レポート、ダッシュボード、データ フローにも使用できます。

ユーザーが新たに作成するコンテンツに既定のラベルを付ける

ラベル ポリシーを発行する際、そのポリシーに属するユーザーとグループが作成するすべてのコンテンツに既定で特定のラベルを付けるように指定できます。 このラベルで保護の最低水準を設定できます。ユーザーまたはシステム設定による措置が何も実行されない場合も、この水準に基づく保護が実行されます。

次の手順を実行します。

さまざまなアプリおよびサービス上で機能する、機密ドキュメントの視覚的標識

秘密度ラベルを作成してメールまたはドキュメントにそれを付けると、そのラベルに対するすべての構成済み保護設定が、そのコンテンツに適用されます。 Office アプリの使用時、ラベルの付いた電子メールまたはドキュメントのヘッダーまたはフッターにウォーターマークを表示することができます。

Screenshot of an Office document with a watermark and header about confidentiality.

次の手順を実行します。

ユーザーによるラベル付け、分類、保護の操作を把握するための監査データ

組織に秘密ラベルが発行されたら、データ分類を利用して機密コンテンツを特定し、それがどこにあって、ユーザーからどのような操作を受けているかを把握できます。

Microsoft 365 コンプライアンス センターの [コンテンツ エクスプローラー] タブでは、(ラベル、機密性の種類により絞り込める) ドキュメントの機密データの数量と種類を表示し、リスクのあるデータ、機密データの保存場所の詳細情報を確認できます。 [アクティビティ エクスプローラー] タブでは、機密データ、機密、保持ラベルに関連するアクティビティ (ラベルのダウングレードや変更による保護水準の低下など) が表示されます。 アクティビティ エクスプローラーは、データ漏洩を引き起こす可能性のある出来事 (ラベルの削除など) を調べるのにも役立ちます。 これらのアクティビティを把握することで、データの保護や喪失防止のための適切なポリシーを知り、機密性の高いデータの安全を保てます。

次の手順に従います。

  1. コンテンツ エクスプローラーの使用を開始し、データ分類の概要ページに表示される主要情報を確認する。

  2. コンテンツ エクスプローラーの使用を開始し、ラベルの付いたコンテンツに関連するアクティビティの履歴を監視する。

このガイドで説明する製品

Microsoft Azure

Azure Information Protection と付属の Unified Labeling クライアントおよびスキャナー

Microsoft 365

Microsoft Defender for Cloud Apps

まとめ

Microsoft Information Protection (MIP) は、機密データ保護のための、総合的、柔軟、統合的かつ広範なサービスです。

Diagram of Microsoft Information Protection for data with Corporate Egress highlighted.

詳しい情報や導入のサポートが必要な場合は、カスタマー サクセス チームにご連絡ください。



ゼロ トラスト展開ガイド シリーズ

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration