PSPF に対するオーストラリア政府のコンプライアンスに関するクライアント ベースの自動ラベル付けの推奨事項
この記事では、クライアント ベースの秘密度自動ラベル付け機能に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、自動ラベル付けが、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に準拠しながら、データセキュリティ態勢を改善するのにどのように役立つかを示することです。
自動ラベル付けの概要 では、最新の政府機関の作業環境で自動ラベル付けが適しており、セキュリティ リスクが軽減されます。
オーストラリア政府のコンテキストでは、クライアント ベースの自動ラベル付けは、次に基づいてラベルを推奨する場合に役立ちます。
- 機密性の高いコンテンツ検出
- 外部組織によって適用されるマーキング
- Microsoft 以外のツールによって適用されるマーキング
- 履歴マーキング
- 段落のマーキング
クライアント ベースの自動ラベル付けは、秘密度ラベルの構成内で直接構成されます。 この自動ラベル付け方法は、Office またはオンライン クライアントに適用され、機密性の高いコンテンツを対話形式で識別し、ユーザーに通知してから、次のいずれかを行います。
- アイテムで検出された最も機密性の高いコンテンツに関連する秘密度ラベルを自動的に適用します。又は
- ラベルを適用することをユーザーに推奨します。
PSPF Policy 8 要件 2 と ISM 0271 では、自動化されたサービスではなく、アイテムに分類を適用する責任をユーザーが負う必要があることを明確にします。 このため、クライアント ベースの自動ラベル付けは、ユーザーの推奨事項のみを提供するように構成する必要があります。
| 要件 | 詳細 |
|---|---|
| 保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 8 要件 2 a.i. – 機密情報とセキュリティの機密情報の評価 (v2018.6) | 適用するセキュリティ分類を決定するには、発信者は、情報の機密性が侵害された場合に発生する政府、国益、組織、または個人に対する潜在的な損害を考慮して、公式情報の価値、重要性、または機密性を評価する必要があります。 |
| ISM セキュリティ制御: 0271 (2024 年 6 月) | 保護マーキング ツールは、電子メールに保護マーキングを自動的に挿入しません。 |
次の例では、ユーザーは Project Budgerigar に関する記述を開始しました。 クライアント ベースの自動ラベル付けアクションによって、機密情報の種類 (SIT) の検出がトリガーされました。 その結果、電子メールの上部に表示されるクライアントベースの自動ラベル付けの推奨事項が表示されました。
クライアント ベースの自動ラベル付けアクションは、SID (Exact Data Match SID を含む) とトレーニング可能な分類子の検出に基づいてトリガーできます。 SID と分類子の組み合わせも使用できます。
オーストラリア政府のクライアントベースの自動ラベル付けシナリオ
クライアント ベースの自動ラベル付けは、機密性の高い情報を保護するために役立ちます。これは、分類が不足している項目を識別します。 分類不足情報は、オーストラリア政府にとって重大なリスクを表します。 クライアント ベースの自動ラベル付けは、適切なラベル アプリケーションと、項目が適切にマークおよび保護されていることを確認するのに役立ちます。 正しいラベルを使用すると、情報の適切な配布のみが許可されます。
正確な分類は、知識が必要な原則が維持され、情報へのアクセスが制限されることを保証するのに役立ちます。 これらの概念は、保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 9 要件 2 に関連しています。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 9 要件 2 – 機密情報と機密情報とリソースへのアクセスを制限する | 不正な開示のリスクを軽減するには、機密性の高いセキュリティの機密情報やリソースへのアクセスが、知る必要があるユーザーにのみ提供されるようにする必要があります。 |
機密性の高いコンテンツ検出に基づくラベルの推奨
機密性の高いコンテンツを動的に検出し、ユーザーが適切なラベルとマーキングを適用することを推奨すると、知る必要があることを確認するのに役立ちます。 また、項目の機密性に関連する適切な保護が確実に行われます。 ラベルに関する推奨事項により、決定を下すために機関がユーザーに保持されます。
必要に応じて、クライアント ベースの自動ラベル付けを使用して項目の機密性を高めます。 オーストラリア政府の場合、特に感度分類のハイエンドでメリットが見られます。 OFFICIAL Sensitive ラベルと PROTECTED ラベル (サブラベルを含む) の場合、組織は SID のリストをコンパイルし、適切なラベルに合わせる必要があります。 以下に例を示します。
| Label | SIT | 使用 |
|---|---|---|
| 公式の機密性の高い個人のプライバシー | オーストラリアの健康記録法の強化。 この事前構築済みの SIT は、次の出現箇所を特定します。 - オーストラリア税務ファイル番号 (TFN) - マイ ヘルス レコード - すべてのフル ネーム - すべての医療契約条件 - オーストラリアの物理アドレス |
個人に関する健康情報は、プライバシーに関する法律の下で保護されており、「公式の機密性の高い個人のプライバシー」というラベル付けに適している場合があります。 |
| OFFICIAL Sensitive Legislative Secrecy | 次のようなキーワードを含む '立法秘密キーワード' カスタム SIT。 - '立法の秘密の警告:' |
PSPF Policy 8 で推奨されているように、立法情報に関連する項目の上部と下部にテキストベースの警告通知を配置する必要があります。 組織は、これらの通知をドキュメント テンプレートまたは同様の方法で適用する可能性があります。 これらの警告通知は、アイテムを識別するために使用できます。項目は、"OFFICIAL Sensitive Legislative Secrecy" ラベルでマークする必要があります。 |
| 保護 | 情報を PROTECTED として分類する必要があるイニシアチブに関連付けられているコードワードまたはコードワードの一覧。 以下に例を示します。 - 'Project Budgerigar' 非常に機密性が高いと見なされ、情報の損失によって政府に対する信頼が損なわれる可能性がある対象に関連するキーワードの一覧。 以下に例を示します。 - 'データ侵害' - "機密性の高い" - '法律に反する' - 'コード オブ プラクティス' - '信頼の侵害' |
キーワードの一覧を使用して、分類されたプロジェクト、イニシアチブ、システム、またはアプリケーションに関連する情報を含むアイテムを検出できます。 organizationに機密性が高いと見なされるトピックの一覧を SIT に追加すると、Microsoft 365 は、キーワードが検出されたときに、アイテムに適用される秘密度ラベルを増やすようユーザーに求めることができます。 これにより、ユーザーは知る必要があると考え、不適切な情報の配布 (DLP、暗号化、その他のコントロールなど) を防ぐために、アイテムに保護を適用できます。 |
前の表で説明した戦略は、次のような他の Microsoft 365 機能を使用して機密情報を見つけて対処するためにも使用できます。
外部機関のマーキングに基づく推奨事項
このドキュメントで説明するコントロールの多くは、項目に適用されるラベルに基づいて適用されます。 外部で生成された情報には、テキストベースの保護マーキングが設定されている場合がありますが、organizationに関連する秘密度ラベルが適用されていない可能性があります。 この影響は、DLP ポリシーを使用してアイテムがデータ損失から保護されていないこと、およびアイテムが機密性の低い場所に保存されたときにアラートが生成されないことがあります。
これが発生する可能性がある状況は次のとおりです。
- PSPF に準拠する他の政府機関によって項目が生成された場合。 このような場合、エンティティのマーキングやラベルは、構成なしでは独自のマークやラベルと一致しません。
- PSPF フレームワーク (NSW Government など) と一致しない、または部分的にしか一致しない別の政府機関organizationによって項目が生成された場合。
- オーストラリアの分類の等価性を持つ場合とそうでない外国政府によって品目が生成および分類される場合。
他の場所で生成される情報が失われるのを防ぐために、organizationがカストディアンである場合は、クライアント ベースの自動ラベル付けを使用して、同等のラベルをアイテムに適用することをお勧めします。
このような構成では、SID を使用して、外部に適用されるマーキングまたは分類を識別します。 これらの SID は、関連する秘密度ラベルの自動ラベル付け構成に追加する必要があります。
外部で適用されるマーキングに基づいてラベルを推奨するために、SID を使用する場合の例を次に示します。
| Label | SIT | 使用 |
|---|---|---|
| OFFICIAL Sensitive | OFFICIAL Sensitive Regex SIT | OFFICIAL としてマークされたアイテムを識別するには : 機密 ですが、 OFFICIAL 機密ラベルが適用されていないアイテム (他の組織によって生成されたアイテムを含む)。 |
| 保護 | PROTECTED Regex SIT | PROTECTED としてマークされているが、PROTECTED ラベルが適用されていない項目を識別する。 |
| OFFICIAL Sensitive | OFFICIAL Sensitive – NSW Government | OFFICIAL Sensitive – NSW Government でマークされ、連邦政府のorganizationによって受け取られた情報は、既定ではラベル付けされていないため、OFFICIAL 機密セキュリティ分類に合わせて構成された保護はありません。 ユーザーによって変更された場合に、これらの項目を OFFICIAL Sensitive としてマークすると、含まれる情報を保護するのに役立ちます。 NSW 政府機関によって適用された視覚的なマーキングは、アイテムに引き続き存在し、項目が他の場所1 で生成されたことが明らかになります。 |
| OFFICIAL Sensitive - 法的特権 | OFFICIAL Sensitive – Legal (NSW Gov) OFFICIAL Sensitive – 法執行機関 (NSW Gov) |
この構成により、NSW 州政府の法的関連のマーキングのいずれかでマークされた情報が、連邦政府環境内に存在する間、 OFFICIAL: Sensitive Legal Privilege と一緒に処理されます。 |
| 秘密 | CONFIDENTIEL UE |
CONFIDENTIEL UE は、欧州連合のメンバーによって使用される分類です。
PSPF Policy 7 – 国際共有のセキュリティ ガバナンスで提供されるマッピングの例は、この情報を SECRET と一緒に扱う必要があることを意味します。 CONFIDENTIAL UE のマーキングを検出し、SECRET ラベルを適用すると、Microsoft 365 に配置すべきではない情報のラベルに沿って、そのような情報を特定し、削除する可能性があることを確認するのに役立ちます |
注:
1 別の方法として、組織のラベル分類に OFFICIAL Sensitive – NSW Government ラベルを含めることができます。 このラベルは、管理アカウントにのみ発行できます。これにより、サービス ベースの自動ラベル付けポリシーのスコープ内に保持されますが、ユーザーがアイテムに直接適用することはできません。 このアイデアは、ラベル分類が 異なる組織のラベルでさらに説明されています。
Microsoft 以外のツールによって適用されるマーキングに基づく推奨事項
現在、または以前に多くの政府機関は、Microsoft 以外のツールを使用して、ファイルやメールにマーキングを適用しています。 これらのツールは、次の 1 つ以上を適用するように構成されています。
- X-Protective-Marking x-headers to email,
- 電子メールとドキュメントへのテキスト ベースのヘッダーとフッター、
- 件名ベースのメール マーキング。や
- ドキュメント プロパティを使用したファイル メタデータ。
Microsoft 以外のツールからネイティブの Microsoft Purview 機能に移行している組織では、これらの既存のプロパティまたはマーキングを使用して、項目に適用する秘密度ラベルを決定できます。
重要
クライアント ベースの自動ラベル付けは、サービス ベースの自動ラベル付けを補完し、両方を一緒に使用する必要があります。
サービス ベースの自動ラベル付けでは、ユーザー メールボックス内に存在するコンテンツやラベル付けメールは検出されません。 クライアント ベースの自動ラベル付けは、既存の項目に適用されたマーキングが転送または返信されたときに維持されるようにするために使用されます。 たとえば、テキストベースの PROTECTED マーキングが適用されているが秘密度ラベルが適用されていない、既存の PROTECTED メールを考えてみましょう。 ユーザーが転送または返信しようとすると、クライアント ベースの自動ラベル付けによって、既存のマーキングに基づいて PROTECTED 項目が識別され、ユーザーが PROTECTED ラベルを項目に適用することをお勧めします。
次のクライアント ベースの自動ラベル付けの構成例では、既存のマーキングを含む項目に適切な秘密度ラベルが適用されていることを確認します。 これらの構成では、以前に Microsoft 以外の従来の分類ツールによって適用されたマーキングと、外部の PSPF 準拠組織によって生成された項目に対するマーキングも識別されます。
| Label | SIT 要件 | 正規表現 |
|---|---|---|
| OFFICIAL Sensitive | 次のマーキング構文を検出する SIT: - OFFICIAL Sensitive - OFFICIAL: Sensitive - OFFICIAL: Sensitive - [SEC=OFFICIAL:Sensitive] |
OFFICIAL[:\- ]\s?Sensitive(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET) |
| 保護 | 次のマーキング構文を検出する SIT: - 保護 - [SEC=PROTECTED] |
PROTECTED(?!,\sACCESS=)(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\|\/\/\|\s\/\/\s)CABINET) |
注:
オーストラリア政府の SIT 構文の詳細な例については、オーストラリア政府 の保護マーキングを検出するための SIT 構文の包括的な一覧を参照してください。
履歴マーキングに基づく推奨事項
2018 年 10 月にマーキング (CONFIDENTIAL や For Official Use Only (FOUO) など) が廃止された場合に発生したように、政府のマーキング要件は定期的に変更されます。 政府機関は、これらの履歴マーキングを適用して、システムに存在する大量の情報を持つ可能性があります。
これらの履歴マーキングの処理は、通常、新しい Microsoft Purview デプロイの範囲外です。 ただし、organizationが履歴マーキングをスコープに取り込みたい場合は、履歴マーキングを 2 つのカテゴリに分割できます。最新の同等物を持つものとそうでないものに分割できます。 PSPF ポリシー 8 Annex E は、履歴分類とマーキングの完全な一覧と、現在の処理要件を提供します。
最新の同等物と一致する履歴マーキングの簡単なオプションは、これらの項目が変更されたときに同等のラベルの適用を推奨するように自動ラベル付けを構成することです。 この構成では、ユーザー エクスペリエンスは次のようになります。
- ユーザーが 開 き、従来のメールの 返信 または 転送 を試みると、履歴マーキングが検出されます。 ラベルの推奨事項は、新しい電子メールのユーザーに提供されます。
- レガシ ファイルがユーザーによって 開き、変更され、 保存 されると、Office クライアントは以前のマーキングを検出し、保存する前に最新の同等のアイテムを適用するようにユーザーに求めます。
前のアクションは、履歴アイテムに適切なコントロールが確実に適用されるようにするのに役立ちます。
ヒント
オーストラリア政府レコード管理要件は、履歴マーキングを扱うときに関連する可能性があります。 アイテムがレコードとして宣言されている場合はロックされ、編集できなくなります。 つまり、アイテムに変更が加わるため、新しいマーキングは適用されません。これは、アイテムの保持期間に影響します。 ただし、履歴マーキングを含む項目が新しい項目として保存されている場合 (テンプレートとして使用される場合など)、履歴マーキングに基づいてラベルを推奨すると便利です。
履歴マーキングに基づく SID を構成し、クライアント ベースの自動ラベル付けで使用して、履歴マーキングに基づいてラベルを提案する方法の例を次に示します。
| Label | SIT | 使用 |
|---|---|---|
| OFFICIAL Sensitive | 公式使用の場合は、次のキーワードを含む SIT のみを使用します。 - 公式使用のみ - For-Official-Use-Only - FOUO 次のキーワードを含む X-IN-CONFIDENCE SIT: - X-IN-CONFIDENCE |
クライアント ベースの自動ラベル付けを使用して、これらの履歴マーキングが適用されたレガシ コンテンツを識別し、レガシ 項目に基づいて新しい項目または編集済みアイテムに最新の代替手段を提案できます。 |
SID と DLP ポリシーは、履歴マーキングをチェックし、関連するコントロールがこれらの項目に確実に適用されるように構成する必要があります。 これにより、履歴マークがメールに添付され、外部から送信されたアイテムに最新のラベルと関連するコントロールが適用されるようになります。
段落のマーキングに基づくラベルの推奨
一部の政府機関では、ドキュメントで段落のマーキングを使用しています。 段落の推奨事項は、含まれている段落のマーキングに基づいて項目に適用できる秘密度を識別するのに役立つ一連の SID を使用して作成されます。 ただし、ドキュメント ラベルは最も高いマーキングに集約されます。
これを実現するには、次を使用できます。
-
OFFICIAL キーワード (keyword) SIT は、
(O)段落のマーキングを検出し、OFFICIAL ラベルが検出されたときに適用されることを推奨します。 -
OFFICIAL Sensitive キーワード (keyword) SIT は、
(O:S)段落のマーキングを検出し、OFFICIAL ラベルが検出されたときに適用されることを推奨します。 -
PROTECTED キーワード (keyword) SIT は、
(P)段落のマーキングを検出し、検出されたときに PROTECTED ラベルを適用することを推奨します。 -
SECRET キーワード (keyword) SIT は、
(S)段落のマーキングを検出し、検出されたときに SECRET ラベルを適用することを推奨します。
SECRET マーキング SIT は、プラットフォーム内に格納すべきではない情報を識別するための便利な例です。 このようなマーキングを含む項目を確認すると、データ侵害を特定または防止できる場合があります。 この概念の詳細については、「 Microsoft 365 に配置すべきではない情報」のラベルを参照してください。
注:
このような単純なキーワード (keyword) SID は、たとえば(P)が段落マーキングとして意図されずにドキュメントや電子メールに表示された場合のように、誤検知を生成する可能性があります。このサービスでは、ユーザーがアイテムを PROTECTED としてマークすることをお勧めします。 このため、段落のマーキングを識別する SID は、実装の前に慎重に検討して、誤検知が生成される可能性があるかどうかを判断する必要があります。
クライアント ベースの自動ラベル付け構成の例
これらの例は、保護マーキングや機密情報を識別するための SID と分類子の使用に基づいています。 識別されると、適切なラベルがユーザーに推奨されます。 これらの例は定型的なオーストラリア政府の例であり、組織は固有の情報を特定するために独自の SID の開発organization取り組む必要があります。
| Label | 推奨される SID | 正規表現の例 |
|---|---|---|
| 非公式の | UNOFFICIAL Regex SIT は、非公式のマーキングを検出することを目的としています。 | UNOFFICIAL |
| 公式 | OFFICIAL Regex SIT は、公式マーキングを検出することを目的としています 公式段落のマーキング 大文字と小文字を区別するキーワードを含む SIT。 |
(?<!UN)OFFICIAL (O) |
| OFFICIAL Sensitive (カテゴリ) | 該当なし | - |
| OFFICIAL Sensitive |
OFFICIAL: 機密性の高い正規表現 SIT は、Information Management マーカー (IM) や警告を含めずに、OFFICIAL の機密マーキングのバリエーションを検出することを目的としています。 情報の開示に関するプロセスまたはシステムに関連する SID は、個人、organization、または政府に中程度のビジネスへの影響と限定的な損害をもたらす可能性があります。 事前構築済みの SID: - すべての資格情報の種類 - クレジット カード番号 'OFFICIAL: Sensitive Paragraph Marking' SIT と大文字と小文字を区別するキーワード |
OFFICIAL[:\- ]\s?Sensitive(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET) (O:S) |
| 公式の機密性の高い個人のプライバシー |
公式:マーキング を検出することを意図した機密性の高い個人プライバシー正規表現。 事前構築済みの SID: - オーストラリアの銀行口座番号 - オーストラリア運転免許証 - オーストラリアの医療アカウント番号 - オーストラリアパスポート番号 - オーストラリアの税務ファイル番号 |
OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy |
| OFFICIAL 機密の法的特権 |
OFFICIAL: 機密性の高い法的特権正規表現 SIT は、マーキングをデテキストすることを目的としています。 事前構築済みのトレーニング可能な分類子: -法務 |
OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege |
| OFFICIAL Sensitive Legislative Secrecy | OFFICIAL: 機密の立法秘密正規表現 SIT は、マーキングを検出することを目的としています。 | OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy |
| 機密性の高い国家キャビネット | 公式: 機密性の高いナショナルキャビネット正規表現 SIT は、マーキングを検出することを目的としています。 | OFFICIAL[:\- ]\s?Sensitive(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
| PROTECTED (カテゴリ) | 該当なし | - |
| 保護 |
保護された正規表現 SIT は、マーキングを検出することを目的としています。 保護された段落のマーキング 大文字と小文字を区別する次のキーワードを含む SIT: その他のキーワード (keyword)に関する情報の開示が国益や個人に大きな影響を与え、損害を与える可能性があるプロセスまたはシステムに関連する SID。 |
PROTECTED(?!,\sACCESS=)(?!(?:\s\|\/\/\|\s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\|\/\/\|\s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\|\/\/\|\s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\|\/\/\|\s\/\/\s)CABINET) (P) |
| 保護された個人のプライバシー | PROTECTED Personal Privacy Regex SIT は、マーキングを検出することを目的としています。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy |
| PROTECTED 法的特権 | PROTECTED Legal Privilege Regex SIT は、マーキングを検出することを目的としています。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legal[ -]Privilege |
| PROTECTED 立法の秘密 | PROTECTED 立法の秘密正規表現 SIT は、マーキングを検出することを目的としています。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Legislative[ -]Secrecy |
| 保護された国家キャビネット | 保護された国民キャビネットの正規表現 SIT は、マーキングを検出することを目的としています。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
| 保護キャビネット | PROTECTED CABINET Regex SIT は、マーキングを検出することを目的としています。 | PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sCAVEAT=SH:)CABINET |