はじめに
マイクロソフト認定資格のSC-900に合格しましたので、出題範囲や勉強方法など共有したいと思うます。
出題範囲
(セキュリティ、コンプライアンス、ID の概念)
共同責任モデル
クラウドプロバイダーとユーザーの責任の範囲を明確にしたもの
- オンプレミス
- ユーザーが物理的なセキュリティから機密データの暗号化までのすべての責任をもつ
- IaaS
- クラウドプロバイダーの責任
- 物理的なコンポーネント、ネットワーク、またはデータセンターの物理的なセキュリティ
- ユーザーの責任
- オペレーティング システム、ネットワーク制御、アプリケーション、データの保護など、コンピューティング インフラストラクチャ上で実行されているソフトウェア コンポーネント
- クラウドプロバイダーの責任
- Paas
- クラウドプロバイダーの責任
- ハードウェアとオペレーティング システム
- ユーザーの責任
- アプリケーションとデータ
- クラウドプロバイダーの責任
- Saas
- クラウドプロバイダーの責任
- データ、デバイス、アカウント、ID を除くすべて
- ユーザーの責任
- データ、デバイス、アカウント、ID
- クラウドプロバイダーの責任
多層防御
単一の境界に依存するのではなく、複数層アプローチが使用された防御戦略
- 複数層
- 物理的層
- データ センターへのアクセスなど物理的な制御
- ID とアクセス層
- インフラストラクチャと変更制御へのアクセスを制御するための、多要素認証や条件ベースのアクセス制御
- 境界層
- 企業ネットワークにおける制御(大規模な攻撃をフィルター処理する分散型サービス拒否 (DDoS) 保護など)
- ネットワーク層
- リソース間の通信を制限するためのネットワーク セグメント化とネットワーク アクセス制御
- コンピューティング層
- 特定のポートを閉じることで、オンプレミスまたはクラウド内の仮想マシンへのアクセスをセキュリティで保護するなど
- アプリケーション層
- アプリケーションをセキュリティで保護し、セキュリティの脆弱性がないようにする
- データ層
- ビジネス データと顧客データへのアクセスと、データを保護するための暗号化を管理する制御
- 物理的層
- 機密性、整合性、可用性 (CIA)について
- 機密性
- 客情報、パスワード、財務データなどの機密データを保持する必要があること
- データを暗号化して機密性を保つことができますが、暗号化キーの機密性を保つ必要もある
- 整合性
- データやメッセージが正しいこと
- データが改ざんまたは改変されていない確信があること
- 電子メール メッセージを送信するときに、受信したメッセージが送信されたメッセージと同じであることを確認する必要がある
- 可用性
- 必要とするユーザーが必要とするときにデータを使用できるようにすること
- 機密性
ゼロ トラスト モデル
"だれも信頼するな、すべて検証しろ" という原則に基づいて動作
- 原則
- 明示的に検証する
- 常に、使用可能なデータ ポイント (ユーザー ID、場所、デバイス、サービスまたはワークロード、データ分類、異常など) に基づいて認証と許可を行う
- 最小限の特権アクセス
- データと生産性の両方を保護するために、JIT/JEA (Just-in-Time and Just-Enough-Access)、リスクベースのアダプティブ ポリシー、データ保護を使用してユーザー アクセスを制限
- 侵害を想定する
- ネットワーク、ユーザー、デバイス、およびアプリケーション別にアクセスをセグメント化
- 暗号化を使用してデータを保護し、分析を使用して可視性を取得し、脅威を検出し、セキュリティを強化
- 明示的に検証する
- 6 つの基本的な柱
- ID
- リソースへのアクセスが試みられたら、強力な認証を使用して ID を検証する必要があり、最小限の特権アクセスの原則に従う必要がある
- デバイス
- デバイスの正常性とコンプライアンスを監視することは、セキュリティの重要な側面
- アプリケーション
- 使用されているすべてのアプリケーションが検出し、アクセス制御を行う
- データ
- その属性に基づいて分類、ラベル付け、および暗号化が行われる必要がある
- インフラストラクチャ
- バージョン、構成、および JIT アクセスを評価し、テレメトリを使用して攻撃や異常を検出
- ネットワーク
- セグメント化する必要がある
- ID
暗号化とハッシュ
- 保存データの暗号化
- 承認されていない閲覧者がデータの読み取りと使用を実行できなくするプロセス
- 暗号化されたデータを使用または読み取るには、暗号化を解除する必要がある
- 対称と非対称という最上位レベルの 2 つの種類ある
- 対称暗号化
- 暗号化と復号化で同じキーが使用される
- 非対称暗号化
- 公開鍵と秘密鍵のペアが使用され、どちらのキーでもデータを暗号化できるが、暗号化に使用したキーを使用してデータの暗号化を解除することはできない。
- HTTPS プロトコルと電子データ署名ソリューションを使ったインターネット上のサイトへのアクセスで使用されている
- 対称暗号化
- 転送中のデータの暗号化
- インターネット上やプライベート ネットワーク経由などで、ある場所から別の場所に移動されているデータ
- ネットワーク上に送信する前に、データをアプリケーション層で暗号化することで実現
- 使用中のデータの暗号化
- RAM や CPU キャッシュなどの非永続的ストレージ内のデータのセキュリティ保護
- ハッシュ
- テキストをハッシュと呼ばれる "一意の" 固定長の値に変換するアルゴリズム
- 関連付けられたデータの一意の識別子として使用
- キーが使用されないため、後でハッシュ値は元の値に戻らない
- パスワードを格納するためによく使われ、ユーザーがパスワードを入力すると、格納されたハッシュを作成したときと同じアルゴリズムで、入力されたパスワードのハッシュが作成され、格納されているパスワードのハッシュ化バージョンが比較される。
ガバナンス、リスク、コンプライアンス(GRC)
- ガバナンス
- 組織でアクティビティの指示と制御に使用されるルール、プラクティス、およびプロセスのシステム
- リスク管理
- 会社や顧客の目標に影響を与える可能性がある脅威やイベントを特定し、評価し、対応するプロセス
- 外部のリスクは、政治的および経済的な影響、気象関連のイベント、パンデミック、セキュリティ違反などが原因で生じる可能性があり
- 内部のリスクは、組織自体から発生する機密データの漏洩、知的財産の盗難、詐欺、インサイダー取引など
- コンプライアンス
- 組織が従う必要がある国/地域、州、連邦の法令や複数の国の規制
- コンプライアンスの概念
- データ所在地
- データを格納できる物理的な場所と、データの転送、処理、またはアクセスを国際的に行うことができる方法とタイミングを管理
- データ主権
- データ (特に個人データ) はそれが物理的に収集、保持、または処理される国や地域の法律や規制の対象となるという概念
- 同じデータを収集する場所、格納する場所、処理する場所がすべて異なる場合があり、異なる国や地域の法律の対象となる
- データプライバシー
- 個人データの収集、処理、使用、共有に関して通知を提供し、透明性を確保すること
- データ所在地
ID
- 認証
- ある人物が本人であることを証明するプロセス
- 認可
- ユーザーがどこにアクセスできるか、また何を閲覧したりタッチしたりできるかを決定するプロセス
- ID インフラストラクチャの 4 つの柱
- 管理
- ユーザー、デバイス、およびサービスの ID を作成し、保守および運用すること
- 認証
- IT システムが、身元の証明に十分な証拠があるとみなすために、ID について、どれほど知っている必要があるか
- 承認
- 受信 ID データを処理して、認証されたユーザーまたはサービスが、アクセス先のアプリケーションまたはサービス内で持つアクセスのレベルを決定する
- 監査
- だれが、何を、いつ、どこで、どのように行うかを追跡すること
- 管理
ID プロバイダーの役割
"先進認証" は、クライアント (ラップトップや電話など) とサーバー (Web サイトやアプリケーションなど) の間の認証および承認方法を表す包括的な用語。先進認証の中心は、"ID プロバイダー" の役割で ID プロバイダーは、ID 情報の作成、保守、管理を行う同時に、認証、承認、監査の各サービスを提供する。
Microsoft Entra ID は、クラウドベースの ID プロバイダー
シングル サインオン
シングル サインオン (SSO) では、ユーザーが 1 度ログインすると、その資格情報が複数のアプリケーションやリソースへのアクセスに使用される。
複数の ID プロバイダー間で SSO をセットアップすることは、フェデレーションと呼ばれる。
フェデレーションの概念
各ドメインの ID プロバイダー間で信頼関係を確立すること。
組織またはドメイン境界を越えてサービスにアクセスすることが出来る。
出題範囲
(Microsoft Entraの機能について)
Microsoft Entra ID
組織は Microsoft Entra ID を使用して、従業員やゲストなどのユーザーが、要なリソースにサインインしてアクセスできるようにする。
クラウドとオンプレミスのアプリケーションに単一の ID システムを提供できる。
ID セキュリティ スコア
キュリティに関する Microsoft のベスト プラクティスの推奨事項にどれだけ適合しているかを示す指標(パーセンテージ)
ID の種類
- ユーザー ID
- 従業員や外部ユーザー (顧客、コンサルタント、ベンダー、パートナー) などの人に割り当てる ID
- ワークロード ID
- ソフトウェア ワークロードに割り当てる ID
- デバイス ID
- モバイル デバイス、ノート PC、サーバー、プリンターなど、ハードウェアの一部に割り当てる ID
- 外部 ID
- 組織外のユーザーに割り当てる ID
- ハイブリッド ID
- オンプレミスおよびクラウドベース、場所に関係なく、すべてのリソースに対する認証と承認のための共通の ID
パスワード
パスワードは最も一般的な認証形式だが、 覚えやすいと、ハッカーから侵害されやすくなる。
パスワードの使用は、Microsoft Entra ID で利用可能なより安全な認証方法で補完するか、置き換える必要がある。
- 電話番号
- SMS ベースの認証
- ユーザーはアプリケーションやサービスにアクセスするためのユーザー名とパスワードを知る必要がない
- 登録済みの携帯電話番号を入力し、確認コードを含むテキスト メッセージを受信して、サインイン インターフェイスに入力する
- 音声通話の検証
- ユーザーが登録した電話番号に自動音声通話がかけられ、サインイン プロセスを完了するには、ユーザーはテンキーで # を入力するように求められる。
- SMS ベースの認証
- OATH (Open Authentication)
- 時間ベースのワンタイム パスワード (TOTP) コードが生成される方法を指定するオープン標準
- パスワードレス認証
- Windows Hello for Business による生体認証や FIDO2 セキュリティ キーなどの方法を使用して認証される。
- Microsoft Authenticator アプリ
- Microsoft Authenticator アプリを使用した認証方式
- 証明書ベースの認証
- アプリケーションやブラウザーのサインイン時に、ユーザーに Microsoft Entra ID に対して X.509 証明書による認証を直接、許可または要求することができる
多要素認証
サインイン プロセスでユーザーに別の形式の ID (携帯電話に示されるコードや指紋スキャンなど) を求めるプロセス
- 認証に必要なもの
- ユーザーが知っているもの –通常はパスワードまたは PIN
- ユーザーが持っているもの –携帯電話やハードウェア キーのように 簡単に複製されない信頼されたデバイス
- ユーザー自身 – 指紋スキャンや顔面認識などの生体認証
セルフサービス パスワード リセット
ユーザーが管理者またはヘルプ デスクの関与なしで、自分のパスワードを変更またはリセットできるようにする Microsoft Entra ID の機能。
ユーザーのアカウントがロックされている場合やパスワードを忘れた、または変更したい場合に、プロンプトに従ってリセット出来る。
グローバル禁止パスワード リスト
- 既知の脆弱なパスワードリスト
- セキュリティ テレメトリ データを分析して、脆弱なパスワードや侵害されたパスワードを見つける Microsoft Entra ID Protection チームによって管理
- より安全なパスワードを選択するように通知する事などが出来る
カスタム禁止パスワード リスト
- 管理者が定義する禁止パスワードリスト
- Microsoft Entra ID P1 または P2 ライセンスの機能
パスワード スプレーに対する保護
- 企業の各アカウントに対して既知の最も脆弱性の低いパスワードが数回だけ送信する攻撃手法
- パスワード スプレー攻撃で使用される可能性が高いすべての既知の脆弱なパスワードを効率的にブロックする
ハイブリッド セキュリティ
- パスワード保護をオンプレミスの Active Directory 環境内に統合できる機能
- オンプレミス環境にインストールされているコンポーネントは、Microsoft Entra ID からグローバル禁止パスワード リストとカスタム パスワード保護ポリシーを受信する
条件付きアクセス
- 認証されたユーザーにデータやその他の資産へのアクセスを許可する前に、追加のセキュリティ レイヤーを提供する Microsoft Entra ID の機能
- ユーザー、場所、デバイス、アプリケーション、リスクなどのシグナルが分析される
ロールとロールベースのアクセス制御 (RBAC)
- 組み込みのロール
- アクセス許可セットが固定されたロール
- 一般的なロール
- グローバル管理者
- すべての管理機能に対するアクセス権限を持つ
- ユーザー管理者
- ユーザーとグループを作成でき、その全側面を管理できる
- 課金管理者
- サブスクリプションとサポート チケットを購入して管理し、サービスの正常性の監視できる
- グローバル管理者
- カスタム ロール
- 柔軟性高くアクセス制御を行えるロール
Microsoft Entra ID Governance
セキュリティや従業員の生産性に対する組織のニーズと、適切なプロセスや可視性とのバランスを取ることができる。
- 4 つの重要な質問に組織が対処できるようにすることを目的としている
- どのユーザーがどのリソースへのアクセス権を持つ必要があるか。
- それらのユーザーはそのアクセス権によって何を実行するか。
- アクセスを管理するための効果的な組織的管理は存在しているか。
- 監査者は管理が機能していることを確認できるか。
- 出来ること
- ID ライフサイクルの管理
- 従業員の"入社、異動、退社" などのライフサイクルに応じたIDの管理を行う際に、クラウドベースの HR システムと統合して管理が行える仕組み
- HR システムで従業員のプロパティ (部署、雇用状態など) が変更されると、この更新を Microsoft Entra ID と同期することで一貫性が確保することなどが出来る
- Microsoft Entra P1 または P2で使用できる
- アクセスのライフサイクルの管理
- ユーザーが組織に属する期間全体を通じてアクセスを管理するプロセス
- 動的グループなどのテクノロジを使用して、アクセスのライフサイクル プロセスを自動化することができる
- 特権アクセスのライフサイクル
- 特権アクセスの監視
- Microsoft Entra Privileged Identity Management (PIM) により、アクセス権のセキュリティ保護に合わせた管理を追加できる。
- PIM には、会社のリソースの保護に役立つ包括的なガバナンス コントロール一式が用意されている
- ID ライフサイクルの管理
Privileged Identity Management
- 組織内の重要なリソースへのアクセスの管理、制御、監視を可能とする Microsoft Entra ID のサービス
- 特徴
- 正確なタイミング。必要な時期になるまでは特権アクセスが提供されません。
- 期限付き。ユーザーがリソースにアクセスできる日時を示す、開始日と終了日が割り当てられます。
- 承認ベース。権限のアクティブ化に特定の承認が必要です。
- 可視化。特権ロールがアクティブ化されると、通知が送信されます。
- 監査可能。完全なアクセス履歴がダウンロード可能です
Microsoft Entra ID Protection
- 出来ること
- ID ベースのリスクの検出と修復を自動化します。
- ポータルのデータを使用してリスクを調査します。
- 詳細な分析のために、サードパーティ製ユーティリティにリスク検出データをエクスポートします。
Microsoft Entra Permissions Management
Microsoft Azure、アマゾン ウェブ サービス (AWS)、Google Cloud Platform (GCP) 内のすべての ID およびリソースのアクセス許可を包括的に可視化および制御できるクラウド インフラストラクチャ エンタイトルメント管理 (CIEM) 製品
Microsoft Entra Verified ID
オープン標準に基づく検証可能な資格情報のマネージド サービス。
ID 資格情報の検証が自動化され、組織とユーザーとの間でプライバシー保護された対話が可能になる。
出題範囲
(セキュリティソリューションの機能について)
Azure DDoS Protection
- 分散型サービス拒否 (DDoS) 攻撃
アプリケーションやサーバー上のリソースを過剰に使用して、正規のユーザーに対して無応答にしたり低速にしたりする攻撃手法- 一般的な攻撃種類
- 帯域幅消費型攻撃
- ネットワーク層を一見正当なトラフィックであふれさせ、使用可能な帯域幅を過剰に消費するボリューム ベースの攻撃
- プロトコル攻撃
- レイヤー 3 (ネットワーク) およびレイヤー 4 (トランスポート) プロトコルの弱点を悪用する偽のプロトコル要求でサーバーのリソースを消耗させる攻撃
- リソース (アプリケーション) レイヤー攻撃
- ホスト間のデータ転送を妨害するために Web アプリケーション パケットをターゲットにする。
- 帯域幅消費型攻撃
- 一般的な攻撃種類
- Azure DDoS Protection サービスは、レイヤー 3 (ネットワーク層) とレイヤー 4 (トランスポート層) で保護する
- 常時接続のトラフィック監視
- DDoS 攻撃の兆候を検出するために、アプリケーションのトラフィック パターンが 24 時間 365 日監視する
- アダプティブ リアルタイム チューニング
- 一定期間にわたってアプリケーションのトラフィックを学習し、そのサービスに最も適したプロファイルを選択して更新する
- DDoS Protection テレメトリ、監視、アラート
- Azure Monitor を介して豊富なテレメトリを公開されており、任意の Azure Monitor メトリックについて、アラートを構成することができる。
- 常時接続のトラフィック監視
- DDoS IP 保護と DDoS ネットワーク保護の 2 種類のサービス レベルがサポート
- DDoS ネットワーク保護
- アプリケーションの設計に関するベスト プラクティスと組み合わせることにより、DDoS 攻撃を防御するための強化された DDoS 軽減機能が提供される。
- DDoS IP 保護
- 保護される IP 単位の課金モデル
- DDoS ネットワーク保護
Azure Firewall
Azure で実行されているクラウド ワークロードとリソースに脅威に対する保護を提供する、クラウドベースのマネージド ネットワーク セキュリティ サービス
- 主要機能
- 組み込みの高可用性および可用性ゾーン
- ネットワークおよびアプリケーション レベルのフィルター処理
- インターネット リソースと通信するための送信 SNAT および受信 DNAT
- 複数のパブリック IP アドレス
- 脅威インテリジェンス
- Azure Monitor との統合
Web Application Firewall
一般的な悪用や脆弱性から Web アプリケーションを一元的に保護する。
WAF を使用すると、セキュリティ管理が簡単になり、セキュリティ上の脅威に対する応答時間が短縮され、個々の Web アプリケーションをセキュリティで保護する代わりに、1 か所で既知の脆弱性を修正できる。
HTTP フラッドなどのアプリケーション層の DDoS 攻撃から Web アプリケーションを保護します機能も存在する。(Azure DDoS Protection サービスは、ネットワーク層とトランスポート層で発生する DDoS 攻撃を保護する)
ネットワークのセグメント化
ネットワークを組織は通常、人事、営業、顧客サービスなどの小規模なビジネス グループで分割すること。
これにより、同じビジネス グループのメンバーは共同作業を行い、他のグループとの分離を維持して、各ビジネスの機密性の要件に対処できる。
- セグメント化の主な理由
- ワークロード操作の一部である (またはサポートする) 関連資産をグループ化する機能。
- リソースの分離。
- 組織によって設定されているガバナンス ポリシー。
ネットワーク セキュリティ グループ
仮想マシンなど、Azure 仮想ネットワーク内に存在する Azure リソースとの間のネットワーク トラフィックをフィルタ処理できる。
- Azure Firewall の違い
- Azure Firewall サービスは、ネットワーク セキュリティ グループの機能を補完する
- ネットワーク セキュリティ グループは、分散ネットワーク層トラフィック フィルターを提供して、各サブスクリプションの仮想ネットワーク内にあるリソースへのトラフィックを制限
- Azure Firewall は、完全にステートフルな一元管理のサービスとしてのネットワーク ファイアウォールであり、異なるサブスクリプションと仮想ネットワークに対してネットワーク レベルとアプリケーション レベルの保護を提供
Azure Bastion
ブラウザーと Azure portal を使用して仮想マシンに接続できるようにするサービス
Azure Key Vault
シークレットを安全に保管し、それにアクセスするためのクラウド サービス
- 機能
- シークレットの管理
- トークン、パスワード、証明書、アプリケーション プログラミング インターフェイス (API) キー、その他のシークレットを安全に格納し、それらへのアクセスを厳密に制御できる
- キー管理
- データの暗号化に使用される暗号化キーの作成と制御が簡単になる
- 証明書管理
- Azure および内部の接続されているリソースでの使用でパブリックおよびプライベートの Secure Sockets Layer/Transport Layer Security (SSL/TLS) 証明書をプロビジョニング、管理、デプロイすることができる
- シークレットの管理
Microsoft Defender for Cloud
クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP) であり、さまざまなサイバー脅威や脆弱性からクラウドベースのアプリケーションを保護するように設計された一連のセキュリティ対策とプラクティスを備えている。
- DevSecOps
- マルチパイプライン環境全体で DevOps のセキュリティを管理できる
- CSPM
- システムを評価し、脆弱性が見つかった場合、自動的に IT 部門のセキュリティ スタッフに警告できる
- CWPP
- ワークロードを保護するための適切なセキュリティ制御につながる、ワークロード固有の推奨事項が提示される
セキュリティ ポリシーとイニシアティブ
- Azure Policy で作成される Azure ポリシー定義は、制御する特定のセキュリティ条件に関するルール
- イニシアチブは、特定の目標や目的を実現するためにグループ化された Azure Policy の定義またはルールのコレクション
出題範囲
(コンプライアンスソリューション機能について)
Microsoft のプライバシー原則
- コントロール
- 高いユーザビリティ
- 同意なしの顧客データの使用はしない
- 広範囲に適用されるプライバシー法とMicrosoftのコンプライアンスによって強化される
- 透明性
- データの収集と使用に関して透明性がある(お客様のデータは、同意に基づき、契約上合意した厳格なポリシーと手順に従ってのみ処理)
- セキュリティ
- 強力なセキュリティと暗号化を使用して、Microsoft に委託されたデータを保護する
- 厳格な法的保護
- 地域のプライバシー法を尊重し、基本的人権としてのプライバシーの法的保護のために力を尽くす
- コンテンツベースのターゲット設定を行わない
- 広告、チャット、ファイル、またはその他の個人的コンテンツを広告のターゲット設定に使用しない
- お客様にとってのメリット
- Microsoft がデータを収集するとき、その用途は、お客様のエクスペリエンス向上であること
Service Trust Portal (STP)
- Microsoft のクラウド サービスに関連する監査レポートやその他のコンプライアンス関連情報を公開するための Microsoft の公開サイト
- Microsoft クラウド サービスでデータを保護する方法、および組織のクラウド データのセキュリティとコンプライアンスを管理する方法に関するさまざまなコンテンツ、ツール、およびその他のリソースが用意されている
Microsoft Priva
-
Priva プライバシー リスク管理
- 個人データ資産の検出を自動化し、重要な情報の視覚化を提供する
- 視覚化は Microsoft Purview コンプライアンス ポータルからアクセス
- プライバシー管理者は、傾向とアクティビティを監視し、個人データに関連する潜在的なリスクを特定して調査し、ポリシー管理や主体権利要求アクションなどの主要なアクティビティを開始できる
- 次の Microsoft 365 サービスに格納されている組織のデータを評価
- Exchange Online
- SharePoint Online
- OneDrive for Business
- Microsoft Teams
-
Priva 主体の権利要求
- 世界中の特定のプライバシー規制に従って、個人 (またはデータ主体) は、企業によって収集された自分に関する個人データの確認または管理サポートする
Microsoft Purview コンプライアンス ポータル
- 組織のコンプライアンス ニーズの理解と管理の支援に必要なすべてのツールとデータがまとめられている
- 次のいずれかの役割を持つ Microsoft 365 SKU の顧客が利用できる
- 全体管理者
- コンプライアンス管理者
- コンプライアンス データ管理者
-
コンプライアンス マネージャー
- コンプライアンス管理の簡略化に役立ち
- データ保護および規制基準に関連するリスクを軽減するための推奨アクションが完了するまでの進行状況を測定するリスクベースのコンプライアンス スコアが算出
- Microsoft マネージド コントロール、共有コントロール、カスタマーマネージド コントロールが利用できる。
-
アクティブなアラート
- 最もアクティブなアラートの概要と、アラートの重要度、状態、カテゴリなどの詳細情報を管理者が表示できる
-
エンド ツー エンド コンプライアンスのシナリオを管理に役立つ統合ソリューション
- 情報保護とガバナンス
- データ ライフサイクル管理、データ損失防止、情報保護、レコード管理
- Microsoft Purview Information Protection
- 組織全体のライフサイクルを通じて、機密情報やビジネス クリティカルなコンテンツを検出、分類、保護
- Microsoft Purview データ ライフサイクル管理
- イフサイクルが管理におうじて、必要なものを保持し、不要なものを削除することができる
- コンテンツ エクスプローラー
- コンプライアンス ポータルのデータ分類ウィンドウのタブ
- 管理者は、組織全体で分類された個々の項目の現在のスナップショットを取得できる
- アクティビティ エクスプローラー
- 検出されてラベル付けされたコンテンツ、およびコンテンツの場所を確認できる
- 組織全体でラベル付けされたコンテンツで何が行われているかを監視できるようになる
- 秘密度ラベル
- メールのみ、またはメールとドキュメントの両方を、暗号化
- コンテンツのマーキング
- ラベルを自動的に適用
- サイトやグループなどのコンテナー内のコンテンツを保護
- 秘密度ラベルをサードパーティのアプリやサービスに拡張
- どのような保護設定も使用しないでコンテンツを分類
- ラベル ポリシー
- ラベルを表示できるユーザーとグループを制御
- 指定したユーザーやグループによって作成されたすべての新しいメールとドキュメントに、既定のラベルを適用
- ラベルの変更に正当な理由を要求
- ユーザーにラベルの適用を要求します (必須のラベル付け)
- ユーザーをカスタム ヘルプ ページにリンク
- DLP ポリシー
- ユーザーが保存中の機密アイテム、転送中の機密アイテム、または使用中の機密アイテムに対して行うアクティビティをどのように監視し、保護アクションを実行するかを制御
- ユーザーが機密アイテムを不適切に共有しようとしている可能性があることを警告するポップアップ ポリシー ヒントをユーザーに表示
- ユーザーがブロックをオーバーライドすることを許可し、ユーザーの言い分をキャプチャ
- 保持ラベルと保持ポリシー
- コンテンツを必要な期間だけ保持した後、完全に削除することにより、情報の管理とガバナンスを行うことができる
- 保持設定
- 保持のみ: コンテンツを永続的に、または指定した期間だけ保持
- 削除のみ: 指定した期間が経過した後、コンテンツを完全に削除
- 保持してから削除: 指定した期間だけコンテンツを保持した後、完全に削除
- 保持ポリシーは、サイト レベルまたはメールボックス レベルで同じ保持設定をコンテンツに割り当てるために使用
- 保持ラベルは、フォルダー、ドキュメント、メールなどの項目レベルで保持設定を割り当てるために使用
- Data Map
- 登録されたデータ ソースをスキャンすると、Data Map は、エンタープライズ データに関するメタデータをキャプチャし、機密データを識別および分類できる
- Data Catalog
- 用語集の用語、分類、秘密度ラベルなど、さまざまな観点に基づくフィルターを備えた検索エクスペリエンスを利用して、関連するデータをすばやく簡単に見つけることができる
- プライバシー
- 組織の個人データに関する実用的な分析情報が提供され、問題を特定し、リスクを軽減する
- インサイダー リスク管理
- 内部リスクによって損害が生じる前に、その特定、分析、修復を行う
- コミュニケーション コンプライアンス、情報バリア、インサイダー リスク管理
- 原則
- 透明: プライバシーバイデザイン アーキテクチャによる、ユーザーのプライバシーと組織のリスクとのバランス。
- 構成可能: 業界、地域、およびビジネスのグループに基づく構成可能なポリシー。
- 統合: Microsoft Purview ソリューション全体にわたる統合ワークフロー。
- 実用的: ユーザーへの通知、データの調査、およびユーザーの調査を可能にするための分析情報を提供。
- 検出と対応
- 組織が関連するデータをすばやく見つけ出し、調査して対応する
- 監査、データ主体の要求、電子情報開示
- 電子情報開示 (eDiscovery)
- 訴訟事件で証拠として使用できる電子情報を特定して提供するプロセス
- 電子情報開示ツールを使用して、Exchange Online、OneDrive for Business、SharePoint Online、Microsoft Teams、Microsoft 365 グループ、Yammer のチームでコンテンツを検索できる
- 情報保護とガバナンス
勉強方法
- MS公式模擬試験実施
- 学習前に今の実力を計測。必須ではないが、学習前に「こういう感じに問題が出題されるのか」がイメージできていれば、知識の定着が早くなるため
- 筆者は50%ぐらいの正答率でした。。
- MSのLearnで学習(5時間程度)
https://learn.microsoft.com/ja-jp/training/paths/describe-concepts-of-security-compliance-identity/ - MS公式模擬→不正解の再学習の繰り返し
- 模擬試験で90%の正答率を超えるまで繰り返し
- 一度勉強しただけでは知識は提供しないので、この工程が非常に重要です
- 筆者はトータルで7~8回繰り返しました
- Udemy模擬→不正解の再学習の繰り返し
- 模擬試験で90%の正答率を超えるまで繰り返し
- 筆者は3種類の模擬テストをそれぞれ3回繰り返しました
とにかく模擬試験は実施しまくり、間違った箇所を覚えるを繰り返すのが良いです。
その他補足
- MS公式模擬試験の利用手順は以下の記事を参考にしてください
- 受験は試験センターで受けるパターンと、自宅でオンライン試験を行うパターンの2つ存在します。
筆者はオンライン試験をおすすめしますが、何かと注意事項がありますので、以下の記事に纏めています。