Microsoft Purview で既定でセキュリティで保護され、オーバーシェアリングから保護する - フェーズ 3
このガイドは、次の 4 つのフェーズに分かれています。
- はじめに
- フェーズ 1: 基本 – 既定のラベル付けから始める
- フェーズ 2: 管理 – 最も機密性の高いファイルにアドレスを指定する
- フェーズ 3: 最適化 – Microsoft 365 データ資産全体に展開する (このページ)
- フェーズ 4: 戦略的 – 操作、拡張、遡及的なアクション
前のフェーズでは、セキュリティ基盤をレイアウトし、優先度の高いサイトについて説明しました。 クライアント側とサービス側の両方の自動ラベル付け機能について説明しました。 比較表については、「 Microsoft 365 で秘密度ラベルを自動的に適用する」を参照してください。
フェーズ 3: 最適化 - Microsoft 365 データ資産全体に拡張する
このフェーズでは、Microsoft 365 のすべてのデータ資産に反復的に対処するためのオプションについて説明します。
以前は、ユーザーを理解するための初期ポリシーを推奨しました。 このフェーズでは、シナリオで段階的に使用する準備ができました。 自動ラベル付けは、既定のラベルよりも高い感度が必要なシナリオに最適です。
また、既存のサイトにさかのぼってラベルを付け、既定のライブラリ ラベルを設定する方法についても説明します。
クライアント上の機密ファイルの自動ラベル付け (しきい値が低い)
クライアント側の自動ラベル付けは、ユーザーが推奨ラベルの適用を決定したり、誤検知を報告したりする機会を提供します。 これは、 使用可能な 300 以上の機密情報の種類 (SID) と トレーニング可能な分類子を使用して行うことができます。
大まかに言うと、次の方法をお勧めします。 しきい値は、例としてのみ提供されます。
- 業界に関連する SIT を特定します。
- SIT しきい値が低いラベルを推奨します (1 から 9)。
- より高いしきい値 (10 以上) またはトレーニング可能な分類子を持つラベルを自動的に適用します。
クライアントの既定のラベルは、自動ラベル付け戦略に影響します。 このガイドでは、この設定を Confidential\All employees に設定することをお勧めしますが、Office クライアントが既定で [全般] に、SharePoint に保存されている場合は [Confidential]\[すべての従業員 ] にも代替手段を提供します。
ヒント
既定値が Confidential\All 従業員に設定されている場合、自動ラベル付け戦略は複雑でなく、 機密性の高い ラベルに重点を置いています。
より多くのビジネス シナリオを特定すると、時間の経過と共に、より多くの SID/トレーニング可能な分類子を使用してこれを段階的にデプロイできます。 既定値とクライアント側の自動ラベル付けを使用すると、新しいコンテンツと更新されたすべてのコンテンツに対処できるようになりました。
保存時の機密ファイルの自動ラベル付けをシミュレートする
サービス側の自動ラベル付けでは、SharePoint と OneDrive で保存されているファイルにラベルが付けられます。さらに多くの条件が提供されます。 現在、organizationでは、1 日あたり最大 100,000 個のファイルの自動ラベル付けがサポートされています。
ヒント
プレイブックでの自動ラベル付けの詳細 - サービス側の自動ラベル付け
クライアント側の自動ラベル付けは機密性の高いコンテンツに限定されますが、サービス側の自動ラベル付けでは、次のようなコンテキスト条件のサポートが追加されます。
- コンテンツが共有されている
- ファイル拡張子は
- ドキュメント名に単語または語句が含まれている
- 文書のプロパティが
- ドキュメント サイズが等しいか、またはより大きい
- によって作成されたドキュメント
これらの条件を特定のサイトやユーザーの OneDrive の選択と組み合わせることで、組織は最初にラベル付けするコンテンツに優先順位を付けることができます。
たとえば、organizationでドキュメント プロパティまたはドキュメント名プレフィックスを持つテンプレートを使用している場合は、すべての SharePoint サイトと OneDrive でポリシーを実行できます。 また、リーダーシップ チームによって作成されたファイル サイズやドキュメントに基づいて優先順位を付けることもできます。
SharePoint サイトのバッチで Office/PDF ファイル拡張子 を使用して、すべてのドキュメントのラベル付けを完了し、それぞれのサイトのラベルに一致するように設定できます。感度の高いサイトから始まり、 一般的な サイトを徐々にキャッチします。
最後に、 機密性の高い コンテンツに対してサービス側の自動ラベル付けを実装できます。多くの場合、クライアント側の自動ラベル付けで使用されるよりも高いしきい値を使用して、潜在的な誤検知を減らすことができます。
高度な分類子を使用して誤検知を減らす
このセクションでは、高度な分類子の基礎と、それらを使用するタイミングについて説明します。
このセキュリティで保護された既定のブループリントのコンテキストでは、高度な分類子がトレーニング可能な分類子に限定されている、機密性の高いコンテンツの自動ラベル付けによる分類子の使用に焦点を当てています。 ほとんどの場合、機密情報の種類 (SID) はパターンとキーワードが混在しています。 保護された正常性情報 (PHI) や個人を特定できる情報 (PII) などのテンプレートは、コンテキストを判断できないか、organizationの誤検知になる可能性があるため、多くの誤検知を返すことができます。
Purview 管理者は、次の方法で誤検知を減らすことができます。
- 必要な信頼度やしきい値の数を増やします。
- OR 演算子ではなく AND を持つ複数の SID を探しています。
- SIT をカスタム SIT に複製し、要件を微調整します。
- 1 つの正規表現ではなく、複数の Regex 式を使用します。
- 単語の一致を強制します。
- トレーニング可能な分類子、正確なデータ一致 (EDM)、ドキュメントフィンガープリントを使用します。
ヒント
これらのオプションの詳細については、MIP と DLP で精度を最大化し、誤検知検出を減らすためのヒントとコツをご覧ください。
トレーニング可能な分類子は、機械学習を使用してドキュメント パターンを識別します。 Microsoft Purview には、法的ドキュメント、戦略的ビジネス ドキュメント、財務情報など、事前にトレーニングされた分類子がいくつか用意されています。 カスタム分類子は、SharePoint ドキュメント ライブラリから作成およびトレーニングすることもできます。
SID とトレーニング可能な分類子の両方を使用すると、スコープを絞り込むことができます。たとえば、クレジット カードの SID と財務情報トレーニング可能な分類子が 含まれます 。
正確なデータ一致とドキュメントフィンガープリントは現在、自動ラベル付けでは使用できませんが、全体的なMicrosoft Purview データ損失防止 (DLP) 戦略で考慮する必要があります。 トレーニング可能な分類子と同様に、どちらも誤検知を減らすのに役立ちます。 たとえば、EDM を使用すると、すぐに使用できる SSN が含まれている SIT を検索し、EDM SIT に対して検証して、顧客または従業員のいずれかからの SSN であるかどうかを確認できます。 EDM を使用すると、検索する情報のハッシュを安全に格納できます。
ドキュメント フィンガープリントは、ドキュメント テンプレートを識別し、DLP ポリシーで使用することで、トレーニング可能な分類子とは異なる動作をします。 これは、organizationに標準化されたテンプレートがある場合に最も便利です。 これらのテンプレートを使用して、正確なフィンガープリントを作成できます。
履歴データと使用中データに対する Microsoft 365 保護を自動化および改善する
このフェーズの最後の手順では、既存の SharePoint サイトにラベルをさかのぼって適用し、それに応じて既定のライブラリ ラベルを適用するオプションを確認します。
この時点で、環境全体で既定値を構成し、ラベルのないサイトとドキュメントの急増を停止しました。 優先順位の高いサイトでラベル付けサイトとライブラリに手動で対処し始め、Microsoft 365 の完全なコンテンツ資産全体でこれをスケーリングすることを検討しています。
考慮すべきいくつかの戦略があります。
- サイト所有者を使用する – サイト所有者に対して、サイトと既定のライブラリでラベルを構成する必要があることを伝える。 #2 を使用する場合は、ターゲット日に自動的に新しい既定値を受け取るというメンションを含めます。
- ラベル付けされていない残りのサイトで自動化スクリプトを実行する – Graph APIを使用してラベル付けされていないサイトを識別し、コンテナー ラベルと既定のライブラリ ラベルを "Confidential\All employees" に構成します
- 必要に応じて、ラベル付けされていないファイルの共有のみを禁止する – ラベル付けされていないコンテンツの DLP やファイルの自動ラベル付けなどの以前の対策では、すべてのサイトに対する遡及アクションのスクリプトを使用して、サイトの有効期限を自然に切らすことができます。
- ラベル付けされていないサイトのタイムラインをキャプチャする – コンテナー ラベルに基づくすべての履歴データに対してサービス側の自動ラベル付けを使用する予定の場合は、コンテナー ラベルが追加されたときにキャプチャし、自動ラベル付けポリシーで新しいラベル付けされたサイトを段階的に追加します。
リスク態勢は、すべての戦略間で最適なアプローチを行う方法、または段階的に使用する方法を定義します。 すべてのデータ資産をセキュリティで保護することをお勧めしますが、サイズによっては複雑なタスクになる可能性があります。 小さく開始し、頻繁に反復します。
SharePoint サイトへの秘密度ラベルのスクリプト作成は、'Set-PnPTenantSite' と 'SensitivityLabel' パラメーターを使用して行うことができます。
既定のライブラリ ラベルの場合、ライブラリの REST API を使用して 'DefaultSensitivityLabelForLibrary' パラメーターを設定する必要があります。 サンプルについては、この記事を参照してください。
フェーズ 3 - 概要
- 秘密度ラベルを Microsoft 365 に自動的に適用する
- Microsoft 365 Appsの秘密度ラベルの最小バージョン
- Office アプリの秘密度ラベルを管理する
- 秘密度ラベルを Microsoft 365 に自動的に適用する
- MIP と DLP で精度を最大化し、誤検知検出を減らすためのヒントとコツ