PSPF に対するオーストラリア政府のコンプライアンスに対する感度ラベルの自動適用
この記事では、秘密度自動ラベル付けに関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、政府機関が 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に従いながら、セキュリティとコンプライアンスの成熟度を高めるのに役立ちます。
自動ラベル付けでは、機密情報の種類 (SID) やトレーニング可能な分類子などの機能を使用して、項目内のマーキングや機密情報を識別します。 識別後、サービスは、情報が検出されたアイテムにラベルを推奨または自動的に適用します。 ラベルは、含まれる情報が適切に保護されていることを確認するのに役立ちます。 Microsoft Purview には、2 種類の秘密度自動ラベル付けがあります。 クライアント ベースの自動ラベル付け と サービス ベースの自動ラベル付け。 自動ラベル付けの概念は、Microsoft Purview Information Protection スキャナーを使用してオンプレミスの場所に拡張できます。 また、 Azure Data Map を使用してデータベースやストレージ サービスに適用することもできます。
自動ラベル付けに関連するオーストラリア政府の要件は次のとおりです。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8 要件 2 a.i. – 機密情報とセキュリティの機密情報の評価 (v2018.6) | 適用するセキュリティ分類を決定するには、発信者は、情報の機密性が侵害された場合に発生する政府、国益、組織、または個人に対する潜在的な損害を考慮して、公式情報の価値、重要性、または機密性を評価する必要があります。 |
| ISM セキュリティ制御: 0271 (2024 年 6 月) | 保護マーキング ツールは、電子メールに保護マーキングを自動的に挿入しません。 |
PSPF と ISM の両方で、自動化されたサービスではなく、アイテムにラベルを適用する決定に対して人が責任を負う必要があると述べられています。 ただし、最新の作業環境では、サービスとクライアントベースの自動ラベル付けの両方が政府機関に利益をもたらし、次の状況でリスクを軽減します。
- ユーザー アシスタンス: クライアント ベースの自動ラベル付けでは、機密情報またはセキュリティ マーキングが検出され、決定を下す機関を持つユーザーに最も適切なラベルが推奨されます。 ユーザー アシスタンスの実装の詳細については、「 クライアント ベースの自動ラベル付け」を参照してください。
- 外部マーキングの適用: サービス ベースの自動ラベル付けでは、外部組織によってアイテムに適用されるセキュリティ分類を適用できます。 外部マーキングを適用すると、受信したドキュメントと電子メールがorganizationのデータ セキュリティ制御の範囲内に表示されます。 また、元のorganizationによって適用された分類をorganizationに適用することもできます。 詳細については、「外部organizationマーキングに基づく推奨事項」を参照してください。
- システム ベースのラベル: サービス ベースの自動ラベル付けでは、システムによって生成されたラベル (たとえば、人事システムからの給与明細の詳細を記載したスタッフへの給与支払いメールなど) が適用されます。 実装の詳細については、 システム マーキングに基づく推奨事項 と 、SharePoint ドキュメント ライブラリの既定の秘密度ラベルを構成する方法に関するページを参照してください。
- 従来の項目の配置: サービス ベースの自動ラベル付けでは、従来の項目に適用されたマーキングまたはドキュメント プロパティを使用してセキュリティ分類が検出され、現在のセキュリティ コントロールのスコープ内にアイテムが表示されます。 この方法で使用する場合、自動ラベル付けでは、従来の項目が最新のコントロールによって保護されるようにすることで、データ損失防止 (DLP) やその他のセキュリティ構成が強化されます。 Government organizationでの実装方法の詳細については、「履歴分類に基づく推奨事項」を参照してください。
注:
自動ラベル付けによって複数の一致が検出されると、最も機密性の高いコンテンツと一致する一致は、アイテムに適用または推奨される一致であり、アイテムが過少分類されていないことを確認します。 詳細については、「ラベルの優先順位」を参照してください。
秘密度自動ラベル付けを実施している組織では、ラベルの精度が向上しました。 ラベルの精度は、情報が関連するコントロールの範囲内にあることを確認するのに役立ち、PSPF Policy 8 Core Requirement C を満たす組織の能力を強化します。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8 コア要件 C | これらの情報保持の価値、重要性、および機密性に比例した運用制御を実装する |
このような機能は、 保護セキュリティ要件をビジネス プラクティスに積極的に統合していると見なされます。これは、PSPF 成熟度モデルの 埋め込み レベルに沿っています ( 保護セキュリティ ポリシー フレームワーク (PSPF) 評価レポートで説明されています)。