Microsoft Purview を用いたデータ損失防止(DLP)を本気で使いたい人がTipsとして活用できる情報をまとめました。
筆者について
新卒からセキュリティ業界で働いております。現在はセキュリティコンサルタントとして、ペネトレーションテストや、セキュリティ製品の導入支援、SOC/CSIRT立上げ支援等、脆弱性管理など、技術面を中心に幅広い支援を行っています。
DLPとは何か
データ損失防止(DLP)は、組織内の機密情報が意図せず外部に共有されたり、悪用されたりするリスクを軽減するための製品です。特にクラウド環境では、従来のオンプレミス中心のセキュリティ対策だけでは不十分であるため、DLPが必要とされています。
ゼロトラストの文脈でよく出てくる製品でもありながら、まともに運用できている会社が少ないのも事実です。
-
機密情報の保護
DLPは、財務データ、個人情報、知的財産などの重要な情報が漏洩するリスクを最小限に抑えるために設計されています。具体的には、情報の流出を防ぐだけでなく、組織内の適切な取り扱いを促進する役割も果たします。
MicrosoftのDLPの特徴
MicrosoftのDLPは、組織の情報セキュリティを強化するためにクラウドベースで提供されており、以下の特徴があります。
-
柔軟性
M365製品とシームレスに連携することができます。基本的にはGUIで設定ができ、サーバ等の用意が必要ありません。
-
スケーラビリティ
クラウドベースで提供されるため、基本的にはパフォーマンスを気にする必要がありません。E3やE5ライセンスに付帯しており、ルールやスキャン数の従量課金制でもない点も特徴です。
-
リアルタイム性
M365サービスであれば、リアルタイムでスキャンが行われます。従来のDLPのようにバッチ的に処理する仕組みではありません。
情報保護スキャナー(旧AIPスキャナー)というソリューションを使用する場合はサーバ構築が必要になります。情報保護スキャナーはもともとM365 SuiteではなくAzureの製品でしたが、いつの間にかM365側に合流したようです。詳しくはこちら
DLPの適用対象
Microsoft PurviewのDLPは、以下の対象に対応しています。
米()内は必要なライセンス。
- SharePoint(E3)
- OneDrive(E3)
- Exchange(E3)
- Teams(E5)
- エンドポイント(E5)
ここでいうTeamsはチャット/チームに投稿されたテキストのことです。TeamsにアップロードしたファイルはOneDrive or SharePointに格納されるため、OneDrive or SharePoint側で検知されます
E5の部分ライセンスである、E5 Information Protection & Governanceでも同様の機能が使えます。DLPを使うためにE5へのアップデートを検討している場合は、こちらのライセンスがおすすめです
導入時のポイント
前述のとおり、ゼロトラスト戦略においてDLPは重要なコンポーネントとして位置づけられているにも関わらず、本格的に運用できていない会社が多いのも事実です。
私の実体験をもとに、M365 DLPを導入するときのTipsを紹介します。
-
限定的な運用
すべてのユーザーやデータを対象にするのではなく、機密情報を扱う部門やユーザーに限定して運用を開始することをお勧めします。
全ユーザに一気に展開するのは(特に数千人を超えるような会社)はかなり無謀です。
-
データ形式の工夫
検知の精度を高めるため、特徴的なフォーマットのデータ、かつ汎用的に使われていないデータを検知対象として使用することを推奨します。
例えば、顧客の電話番号を検知しようと「電話番号の正規表現で検知」するのは無謀です。なぜならメールの署名や連絡先リストに電話番号は必ず登場します。
「先頭1文字がアルファベット、数字10桁、ハイフンあり」くらいの条件であれば現実的でしょう。
-
完璧な検知は困難であることを認識する(1番重要)
DLPはすべての機密情報を完全に検知することは難しいため、抑止力としての役割を重視し、ユーザーへの通知を通じて意識向上を図ることを目的としてください。
間違ってもDLPですべての情報を検知しようなどとは思わないようにしましょう。(地獄の始まりです)
-
チューニング
初期段階では通知モードを活用し、ポリシーの調整を行いましょう。これにより、誤検知や業務への影響を最小限に抑えられます。具体的には、思っている3倍くらいチューニングの期間をとりましょう。偶然同じ型のデータがあったり、よくわからない検知が多発するのは当たり前だと思ってください。
-
無理にブロックモードにしようとしない
ブロックモードにしたくなる気持ちはわかりますが、チューニングの結果、厳しそうであれば、素直に諦めましょう。検知して通知する or ブロックしたとしてもオーバーライドを許可するのが落としどころです。
E5ライセンスユーザー向けの活用法
E5ライセンスを有している場合、使用できる機能・対象を広げることができます。
EDM(Exact Data Match)機能
EDMは、特定の正確なデータ(例: 顧客IDや社員番号)を高精度で検出できる機能です。正規表現やワードの一致で検知するのではなく、実際のデータをハッシュ化したデータをDLPにアップロードし、実際のデータと突合を行うため、検知制度が格段に向上します。
- DLPにアップロードするデータはハッシュ化されていますが、ハッシュ化していたデータをクラウドにアップロードしてよいか、事前に関係者と調整することをお勧めします
- アップロードしたデータはポータル上では閲覧できず、かなり厳重に管理されています
- また、日本で契約している場合は日本にデータが保管されているようで、Microsoftとしてはかなり法令も意識しているようです
本格導入に向けて
DLPを本格導入する際には、技術面だけでなく、運用面や組織文化にも配慮しましょう。
-
ユーザーとの丁寧なコミュニケーション
DLPの運用を開始すると、意図せず不適切な情報を扱っているユーザーが必ず見つかります。その際、頭ごなしに注意するのではなく、状況を丁寧にヒアリングしましょう。例えば以下のようなケースが考えられます。- 適切なファイル共有ルールがない
- ポリシーを知らなかった
- 過去にセキュリティ部門の許可を得ていた
-
規定や通達の整備
DLPポリシーや情報の取り扱いルールを正式な規定に組み込み、社員に周知をしましょう。「DLP違反です」と言われたとしても、違反のよりどころとなるデータがないのは絶対NGです。
まとめ
DLPはまだまだ未成熟な技術です。今後生成AIが組み込まれたDLPなどが登場すれば、使い方も変わってくるかもしれませんが、現時点では限定的に使うのが現実的です。DLPに過度な期待はせず、抑止力としてDLPを動作させる程度の使い方を強く推奨します。
(このような使い方であれば非常に有効なソリューションです)