◇情報保護ソリューション
Microsoft Information Protectionは、以下の4つのソリューションの総称です。それぞれが組み合わさって動作します。
- Azure Information Protection (AIP)
- Microsoft 365 Information Protection(MIP)
- Microsoft Cloud App Security (MCAS)
- Windows 情報保護
◇Microsoft 365の情報保護
Microsoftは、大きく分けて以下の4つに取り組んでいます。
- Identity and access management(IDとアクセス管理)
- Information protection(情報保護)
- Threat protection(脅威からの保護)
- Security management(セキュリティ管理)
情報保護のライフサイクルには以下の4つがあります。
- Discover(検出)
- Classify(分類)
- Protect(保護)
- Monitor(監視)
Discover (検出)
Exchange Online, OneDrive for Business, SharePoint, その他のクラウドアプリのホストやオンプレミスのファイルサービスなどから、財務関連や医療関連のデータ、従業員の個人情報など80以上の機密情報タイプを定義し、機密情報が含まれていないか自動的に検出できる機能を提供しています。ビジネスのニーズに合わせてカスタマイズすることも可能です。
Classify (分類)
検出された機密情報は、情報の内容をもとに、分類とラベル付けを行います。ラベルは、推奨さるものが自動的に適用されますが、エンドユーザーが手動で適用することも可能です。
Protection (保護)
特定のラベルがついたドキュメントに対して、任意の保護レベルを設定することも可能です。
保護レベルには、ドキュメントの暗号化やドキュメントへのアクセス権の制限のほか、視覚的なマーキングの適用、ユーザーへのポリシー通知などを設定できます。
Monitor (監視)
保護された機密情報を監視できるようにする必要があります。従業員のポリシー違反などが監視対象に含まれます。
従業員が機密情報をどのように使用・共有しているかを可視化し、ファイルが不適切に共有されたときはアクセス権を取り消すなど、どんな緊急の問題にも対処して修復できるような機能を提供することを目指しています。
Microsoft 365 Information Protection (MIP)
MIPを実装すれば、機密情報がどこに保存されていても、どこに移動しても、それらの情報の検出、分類、保護が可能になります。
MIP 機能は Microsoft 365 コンプライアンスに含まれており、データを把握し、データを保護し、データの損失を防止するためのツールを提供しています。
データ損失防止(DLP)ポリシーでは、次のことが可能になります。
- Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams などの複数の保管場所での機密情報を含む文書を特定し、監視できます。
- 機密情報を含む文書が誤ってメールで送信されたり、共有されるのブロックします。
- デスクトップ バージョンの Excel、PowerPoint、Wordで作成された文書の情報も、DLPポリシーを適用できます。
- DLPポリシーに違反したユーザーにはメールで説明を送信することで、ユーザーを教育し、作業を妨げることなく準拠を維持できるようにします。
- DLP警告管理ダッシュボードを使用して、ポリシー一致レポートを表示し、DLPポリシーの準拠を評価することができます。
重要なメールを保護するには、Microsoft 365 Message Encryptionが有効です。組織内外に送信するメールを簡単に保護できます。送信前に"Protect"を選択すれば、メールは暗号化され、受信者の操作が制限されます。相手がGmailを使用している場合でも、転送や宛先の追加ができなくなります。
エンドポイントデータ損失防止(エンドポイントDLP)では、以下のアクティビティの監視と保護機能を拡張します。
- クラウドサービスへのアップロード、または許可されていないブラウザベースによるアクセス
- 他のアプリへのコピー
- USBリムーバブルメディアへのコピー
- ネットワーク共有へのコピー
- ドキュメントの印刷
- アイテムの作成
- アイテムの名前の変更
監視対象は、以下のファイル形式です。
- Wordファイル
- PowerPointファイル
- Excelファイル
- PDFファイル
- CSV, TSVファイル
- リッチテキストファイル
- C, C++, javaのソースファイル
Azure Information Protection (AIP)
AIPを使えば、SharePointやCIFS(Windowsのファイル共有プロトコル)ベースのファイルサーバーなど、オンプレミスのファイルサーバー上のデータを検出、分類、保護できます。また、Microsoft Cloud App Securityと連携して、GSuiteやSalesforce, Box, WorkdayなどのSaaSアプリケーション内の機密ファイルも検出、分類、保護、監視できます。
プロファイルでスケジュールされたタイミングでAzure Information Protectionスキャナー(AIPスキャナー)が実行され、検出が行われます。文書の種類は、Microsoft製品だけでなく、PDF、Adobe Photoshop、Autodesk Design、Digital egative IMGSなどをネイティブにサポートしています。詳しい結果をレポート形式で表示させたり、Excel形式のファイルで確認することもできます。検出されたファイルは、強制的にラベル付が行われるか、使用者に警告を表示するか選択できます。
Microsoft Cloud App Security (MCAP)
Microsoft Cloud App Securityは、Microsoft 365 E5や、Enterprise Mobility + Security E5に含まれています。
Azure Information ProtectionをCloud App Securityに統合することによって、両方のサービスのすべての機能を使用できます。
Microsoft Cloud App Security は、ログの収集、API コネクタ、リバース プロキシなど、さまざまな展開モードをサポートするクラウド アクセス セキュリティ ブローカー (CASB) です。 CASB の対象範囲は、SaaS、PaaS、および IaaS 全体まで広く及びます。
組織のネットワーク上のクラウドアプリを許可・不許可にかかわらず識別してレポートを作成することで、シャドウITを発見します。
- Cloud Discovery:マイクロソフトの行動分析機能と異常検出機能を利用して、クラウド環境内の疑わしいデータポイントやアクティビティを検出・抑止します。
- クラウド全体での情報の保護:Microsoft製アプリだけでなく、Box、Dropboxなどのサードパーティ製アプリにも適用でき、検疫や共有制限といった強力な改善アクションを実行できます。
- サイバー攻撃の脅威の検出と保護:潜在的なランサムウエアの識別や、疑わしいユーザーによるアクセスを停止します。また、ユーザーファイルが勝手に暗号化されることを防ぐことができます。
- クラウドアプリのコンプライアンスを評価:クラウドアプリがコンプライアンス要件を満たしているか評価し、データ漏洩を防ぎ、アクセス制限を行います。
- アプリの承認及び却下:16,000以上のクラウドアプリを識別できる大規模なカタログのスコアリングに基づき、組織内のアプリを承認または却下することができます。
- アプリコネクタ:クラウドアプリプロバイダーが提供するAPIを使用して、クラウドアプリの情報を統合することができます。
-
Conditional Access App Control保護:リバース・プロキシ・アーキテクチャを使用して、以下の制御を行います。
- データのダウンロードをブロック
- 暗号化による保護
- 保護されていないエンドポイントの把握
- 外部のネットワークや危険なIPアドレスからのアクセス制御
Power BI で Microsoft Cloud App Security を使用する
Power BIのレポート、データおよびサービスを意図しない漏洩や侵害から保護するために、Cloud App SecurityのAzure ADリアルタイムセッション制御を使用することができます。使用するには、Cloud App SecurityにPower BIと連携するように構成する必要があります。
Power BIに機密度ラベルを有効にすると、コンテンツを分類し、機密データを保護することができます。更に、機密度ラベルを.pbixファイルに適用することもできます。