オーストラリア政府が PSPF に準拠するための Microsoft 365 暗号化機能
この記事では、オーストラリア政府機関に関連する Microsoft 365 暗号化機能の概要について説明します。 その目的は、政府機関が 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に従いながら、データ セキュリティの成熟度を高めるのに役立ちます。
暗号化は、ファイル保護と情報保護戦略の重要な部分であり、 保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 8 Annex A の要件です。
Microsoft 365 サービスでは、保存データと転送中のデータの暗号化が提供されます。 詳細については、「 暗号化と Microsoft 365 での動作」を参照してください。
BitLocker や TLS 暗号化など、Microsoft 365 プラットフォームに固有の暗号化機能は、オーストラリア政府の暗号化要件に関連していると見なす必要があります。 これらの生来の機能に加えて、承認されたユーザーのみがアクセスできるように、アイテムに適用できるその他のオプションの暗号化機能があります。 PSPF アラインメントに関連する内容は次のとおりです。
暗号化は、organization内で簡単に適用できます。 暗号化された外部組織との共有には、オーストラリア政府と PSPF の要件のコンテキスト内での整合性を確保するために、このガイドで説明する追加の考慮事項が必要です。
オーストラリア政府の暗号化要件
PSPF Policy 8 Annex A で詳しく説明されている暗号化、転送、およびアクセスの要件。
暗号化は一般的に転送要件に関連しますが、さまざまな種類の暗号化は、Azure Rights Management などのアクセスと知る必要にも関連します。 Azure Rights Management は、アクセス時にアイテムにアクセスするためのアクセス許可を確認します。 Azure Rights Management は、不適切に流出または配布された情報が、承認されていないユーザーによってアクセスされないようにします。 関連する PSPF 要件の抜粋を次に示します。
| 分類 | 要件 |
|---|---|
| 公式1 | パブリック ネットワーク インフラストラクチャ経由で通信される情報はすべて暗号化することをお勧めします。 公式情報には、知る必要がある原則をお勧めします。 OFFICIAL 情報にアクセスするためのセキュリティ クリアランス要件はありません。 |
| OFFICIAL: Sensitive | 公式を暗号化する: パブリック ネットワーク インフラストラクチャを介して、またはセキュリティで保護されていないスペース (ゾーン 1 のセキュリティ領域を含む) を介して転送された機密情報。ただし、そうしないという残りのセキュリティ リスクがエンティティによって認識され、受け入れられる場合を除きます。 知る必要がある原則は、すべての OFFICIAL: 機密情報に適用されます。 OFFICIAL: 機密情報にアクセスするためのセキュリティ クリアランス要件はありません。 |
| 保護 | PROTECTED ネットワーク (または上位分類のネットワーク) 経由ではない通信の PROTECTED 情報を暗号化します。 知る必要がある原則は、すべての PROTECTED 情報に適用されます。 PROTECTED 情報への継続的なアクセスには、ベースライン セキュリティ クリアランス以上が必要です。 |
ヒント
1オプションの Microsoft 365 暗号化機能 (Azure Rights Management など) は、organizationからアイテムを受け取る内部ユーザーと外部ユーザーの両方に影響します。 Azure Rights Management などの高度なツールの使用を計画する場合は、オプションの暗号化機能を最初に高い秘密度項目に適用して、段階的なアプローチをお勧めします。 組織は、公式情報を暗号化する PSPF 推奨アプローチに従う方法を決定する際に、内部ユーザーと外部ユーザーのユース ケースを考慮する必要があります。 この決定は慎重にリスク評価する必要があります。比較的機密性の低いアイテムのコンテンツ傍受のリスクと、受信者が送信されていないアイテムやアクセスできないアイテムの組織の影響とのバランスを取る。
次の表では、要件と要件を達成する方法について説明します。
| 要件カテゴリ | 達成方法 |
|---|---|
| 転送中の暗号化 |
-
TLS 暗号化 は、転送中にファイルと電子メールを暗号化し、クライアント デバイスと Microsoft 365 サービス間の対話を行うことで、転送要件を満たします。 - 秘密度ラベルの暗号化 は、ファイルと電子メールの両方に適用されます。 アイテムが暗号化されると、送信中に暗号化され、PSPF 暗号化要件を満たし続けます。 - Microsoft Purview Message Encryptionは、送信中に電子メールと添付ファイルに暗号化を適用する規則を作成します。 |
| 知る必要があることを確認する |
-
秘密度ラベルの暗号化 は、アイテムに対するアクセス許可が付与された認証済みユーザーのみが開くことができることを許可することで、知る必要があることを保証します。 - Microsoft Purview Message Encryptionでは、指定した受信者のみが暗号化された電子メールとその添付ファイルを開くことができます。 |
| セキュリティクリアランスを確保する | - 秘密度ラベルの暗号化 は、暗号化された項目を開くアクセス許可を持つユーザーのみを許可することで、ユーザーが適切なクリアランスを確保できるようにします。 |
オーストラリア政府の暗号化に関する考慮事項
オーストラリア政府内では、コラボレーションと情報配布の要件は、organizationの種類によって異なります。 組織によっては、主に分離して作業し、暗号化の構成を簡単にします。 機密情報を他の組織と継続的に共有するための要件があり、それに応じて計画する必要があります。
暗号化された転送要件は、PROTECTED ネットワーク経由で満たされます。 電子メールの場合は、「 機密性の高い電子メール転送に TLS 暗号化を要求する」 で説明されているように、ラベルベースの TLS 構成を使用すると便利です。 または、セキュリティで保護されたパートナー コネクタを構成することもできます。「Exchange Onlineのパートナー organizationを使用して、セキュリティで保護されたメール フロー用のコネクタを設定する」で説明します。
転送中に適用される暗号化コントロールは、USB の使用など、個々の項目を保護しません。 政府機関は、このようなリスクを軽減するための他の制御を実装します。これは、デバイスによって異なる場合があります。 たとえば、UEFI で USB ポートを無効にすることは、 Microsoft Surfaceノート PC を使用すると簡単です。 使用される Microsoft 以外のデバイスの他のオプションは、USB ポートの接着と、暗号化された USB ドライブの使用を強制するデバイス管理ソフトウェアです。 ラベルベースの暗号化は、これらのコントロールの一部に代わる手段を提供し、さらに、アイテムが流出した場合に未承認のアクセスからアイテムを保護します。
オプションの移動に役立つこのガイドでは、次のorganizationカテゴリに沿った暗号化オプションについて説明します。
単純な情報コラボレーションと配布の要件を持つ組織
機密情報の共有に関する簡単な要件を持つ組織は、ラベルベースの暗号化と、最も基本的な転送とアクセスの要件を満たす必要がある組織から大きく恩恵を受けます。 これらの組織:
- 暗号化された情報を使用または送信するゲストまたは組織に対して暗号化アクセス許可が提供されていることを確認する必要があります。
- 暗号化アクセス許可に追加されたものだけが暗号化されたアイテムにアクセスできることを保証し、知る必要がある原則が確実に遵守されていることを保証します。
ヒント
州政府機関は、情報共有シナリオが連邦政府のシナリオよりも単純な場合、このカテゴリに分類される可能性が高くなります。
複雑な情報コラボレーションと配布の要件を持つ組織
複雑な要件を持つ組織には、通常、大量の情報を他の組織と共有する大規模な部門が含まれます。 これらの種類の組織には、部門間通信用の保護されたネットワークへのアクセスなど、暗号化要件を満たすプロセスが既に確立されている可能性があります。 これらの組織:
- クラウドベースの Microsoft 365 ラベル暗号化を利用できます。特に、アイテムが暗号化として流出する状況では、承認されたユーザーのみが、場所に関係なくアイテムにアクセスできるようになります。
- 他の部門のユーザーが送信されたアイテムに確実にアクセスできるように、暗号化アクセス許可で政府ドメインのリストを使用するなど、よりオープンな暗号化構成を検討する必要があります。
- Microsoft 365 暗号化が既存の制御に干渉しないことをテストする必要があります。これには、コネクタを現在使用して、生成された電子メールExchange Onlineオンプレミス サービスにルーティングし、保護されたネットワーク経由で送信できるようにする必要があります。
注:
Azure Rights Management の暗号化は、Microsoft Purview のデプロイや Microsoft 365 サービスでの情報の保護に対するハード要件ではありません。 ただし、ラベルベースの暗号化は、Microsoft 365 環境からまたは Microsoft 365 環境に存在するデータが、特に組織を離れた後に、不正なアクセスから保護されるようにするための最も効果的な方法の 1 つと見なされます。