Jaa


EU GDPR 順守において Microsoft EMS でできること – パート 5

このポストは「 How Microsoft EMS can support you in your journey to EU GDPR compliance – Part 5 」の翻訳です。

Microsoft Intune を使ってデバイスやアプリ レベルでデータを保護する

この 1 か月間、Enterprise Mobility + Security (EMS) チームは、マイクロソフトの製品とサービスを GDPR に準拠させるための活動や、GDPR への準拠に向けたお客様の取り組みに弊社のテクノロジがいかに役立つかをお客様に理解していただくための活動など、マイクロソフトの幅広い取り組み (英語) について本ブログ シリーズでご紹介し、弊社が推奨する次の 4 つの重要な基本ステップについて概要を示してきました。

  1. 検出 : お客様が保有されている個人データの内容とその保存場所を特定する。
  2. 管理 : 個人データの用途とアクセス方法を統制する。
  3. 保護 : 脆弱性とデータ侵害の防止、検出、対応を行うためのセキュリティ制御を確立する。
  4. レポート : データへの要請に対応し、データ侵害を通知し、必要なドキュメントを保存する。

Microsoft Enterprise Mobility + Security は、各ステップでお客様にきわめて重要な利点を提供するさまざまな機能を備えています。本稿はそれらの機能に関するブログ シリーズの第 5 弾です。今回は、データの用途とアクセス方法を管理する際に役立つ機能と、データを保護する際に役立つ機能を取り上げます。Microsoft Intune によって提供されるこれらの機能はどちらも、GDPR の要件を満たすうえで重要になります。

 

Intune によるデータの管理と保護

Intune (英語) を使用すると、高度なモバイル管理機能、モバイル アプリケーション管理機能、および PC 管理機能にクラウドからアクセスできるようになります。これらの機能によって、お客様は企業データ (個人情報や機密情報を含む可能性のあるデータなど) のセキュリティを確保しながら、ユーザーがほぼどこからでも、ほぼあらゆるデバイスで会社のアプリケーション、データ、およびリソースにアクセスできるようにすることが可能です。

 

ビジネスの遂行における標準の要素として個人データや機密データを処理する企業がどれだけあるかを考えれば、これらの機能が不可欠であることは明白です。

たとえば、ここ数年以内に自動車を購入した各顧客の記録を管理する自動車メーカーでは、顧客の名前、電子メール、識別番号、住所、信用度などを含むファイルで記録を管理するでしょう。そして、その自動車メーカーの従業員は、今後の売上予測を立てる際や、顧客のフィードバックに基づいて自動車を改良する方法を決定しようとする際に、このような個人データを互いに共有することが一般的であるほか、そのデータに各自のモバイル デバイスからアクセスすることも考えられます。そこで、Intune を利用すると、企業データをデバイス レベルやアプリ レベルで保護するためのポリシーを使用して、そのファイル用にセキュリティで保護されたコンテナーを作成できます。そのコンテナーは、必要に応じていつでもワイプできます。また、Intune には、使用条件に関する情報や、収集され、管理対象デバイスで表示されるデータに関する情報をエンド ユーザーに提供するための各種ツールが用意されています。

このような独自の機能によって、さまざまな状況やリスクを想定し、個人データが十分かつ適切に保護されることが求められる GDPR の要件を満たすことができます。また、個人データの制御能力は、Azure Information Protection を追加してデータを暗号化することや、Cloud App Security を追加してデータがクラウド アプリ内に適切に保存されるようにすることで拡張できます。このことから、EMS は、GDPR のデータ保護要件を達成するうえで非常に適しているといえます。

 

Devices and apps  (図)

 

エンド ユーザーへの透明性

お客様が企業データを保護するうえで Intune が役立つ理由について詳しく見ていく前に、エンド ユーザーへの権限付与に関する弊社の強い信念についてお伝えしておきたいと思います。その例として、エンド ユーザーに弊社が提供する生産性エクスペリエンスが挙げられますが、それには、IT チームがアクセスし、管理対象デバイスの各シナリオに影響を及ぼす可能性のあるデータを、エンド ユーザーが完全に把握できるようにすることも含まれます。

Intune を使用すると、貴社のプライバシーに関する声明にユーザーがアクセスできるようにするだけでなく、貴社独自の使用条件を示して、ユーザーに貴社のデータ処理に関する活動とデータ収集について知らせることができます。また、貴社の IT 処理に関するこれらの要素を定義したら、それらの通知を登録プロセスに組み込んで、登録の意味をエンド ユーザーに知らせることも可能です。

 

デバイス レベルでのデータへのアクセスと保護の制御

Intune のモバイル デバイス管理機能とデバイス コンプライアンス ポリシーを使用すると、まず貴社の (個人情報や機密情報が含まれる可能性のある) データやアプリへのアクセスを試みるデバイスが IT チームのセキュリティに関する要件と標準を満たすようにすることができます。管理者は、デバイスの登録、ドメイン参加、強力なパスワード、自動暗号化などを要求する多数のデバイス コンプライアンス ポリシーを設定できます。これらのポリシーは、アクセス権が付与される前にデバイスのオペレーティング システム (および主要アプリ) に最新の更新プログラムがインストールされ、最新の状態になるようにするために設定することも可能です。

また、Microsoft Intune のコンプライアンス ポリシー設定を使用して、IT チームが作成したルール セットに従業員のデバイスが準拠しているかどうかを評価できます。デバイスがポリシーに設定されている条件を満たしていない場合、Intune は、エンド ユーザーがデバイスを登録して (未登録の場合)、コンプライアンスの問題を解決できるようガイドします。

これらのコンプライアンス ポリシーの堅牢性を理解するために、Intune がモバイル デバイス、アプリ、および PC に対して高度なセキュリティ ポリシーを適用する 4 つの方法を確認してみましょう。

  1. iOS、Android、Windows、MacOS などのモバイル デバイスと PC に対する包括的な設定管理を実現できます。
  2. モバイル デバイスと PC から特定のアプリケーションまたは URL アドレスへのアクセスを拒否できます。
  3. パスコードのリセット、デバイスのロック、リモート ワイプなどのリモート アクションを実行できます。
  4. キオスク モードを使用した監視対象の iOS デバイスや Android デバイス、および割り当てられたアクセス機能を使用した Windows 10 デバイスに対する、厳格な "ロックダウン" ポリシーの強制が可能です。

 

アプリ保護ポリシーを使ってデータへのアクセス後に実行できる操作をきめ細かく制御

モバイル アプリに企業データへのアクセス権を付与したら、データへのアクセス後に実行できる操作を制御することが重要になります。そこで、Intune のモバイル アプリケーション管理機能とアプリ保護ポリシーが役立ちます。これらのポリシーによって、アプリ レベルの認証のほか、コピー/貼り付けの制御、名前を付けて保存の制御などにより、アプリ レベルでデータを保護できます。Intune のアプリケーション ポリシーを使用すると、アプリでアクセスするデータに対してユーザーが実行できる操作をきめ細かく制御できるため、貴社のデータをセキュリティで保護するための驚異的な能力が得られます。

また、Intune のアプローチではユーザー ID を利用するため、アプリの複数 ID の使用が可能になります。たとえば、アプリのポリシーは十分にインテリジェントなため、会社のアカウントに適用されるデータにのみ適用できます。

さらに、Intune のアプリケーション管理機能によって、iOS デバイスと Android デバイスで Microsoft Office モバイル アプリのデータをきめ細かく制御することが可能になり、Exchange Online、Exchange On-Premises、SharePoint Online、および Skype for Business に条件付きアクセス ポリシーを適用できるようになることも重要なポイントです。

 

まとめ

Intune では、以下の 6 つの方法で GDPR への準拠を支援します。

  1. 従業員がモバイル アプリを使用して企業データへ安全にアクセスできるようにすると共に、コピー、切り取り、貼り付け、名前を付けて保存などの操作に対する制限によって、データへのアクセスが行われるようになってからも企業データが引き続き保護されるようにすることができます。
  2. デバイスの登録の有無にかかわらずデータを保護するために、アプリ保護ポリシーを適用できます。これにより、管理されていないデバイスでも企業データを保護できるようになります。
  3. Intune では、Intune アプリ ラッピング ツールを使用して、コードを変更せずに、既存の基幹業務 (LOB) アプリケーションにモバイル アプリケーション管理ポリシーを適用できます。
  4. Managed Browser と Azure Information Protection ビューアーを使用して、管理されたアプリ エコシステム内のデバイスでユーザーが安全にコンテンツを表示できるようにします。
  5. iOS および Android が提供する最高レベルのデバイス暗号化を使用して、アプリ内の企業データを暗号化できます。
  6. PIN または資格情報ポリシーを適用して、企業データを保護できます。

 

Intune を使用すると、個人のデータを残したまま、ユーザーのデバイスやアプリから企業データ (アプリ、電子メール、データ、管理ポリシー、ネットワーク プロファイルなど) を選択して削除することもできます。

Intune のモバイル デバイス管理機能とモバイル アプリ管理機能を使用すると、GDPR で定義されている個人データや機密データであると見なされる可能性のあるデータへのアクセスを保護できるようになり、ユーザーがデータにアクセスするようになってからも引き続きデータが保護されるようになります。

GDPR は、より高いデジタル プライバシーを求める人々にとって朗報であり、EMS に含まれる Intune は、企業がデータの収集、利用、保護を行う方法を調整する際に役立つ優れたツールです。