PSPF に対するオーストラリア政府のコンプライアンスに対する秘密度ラベルの暗号化
この記事では、秘密度ラベル暗号化の使用に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、オーストラリア政府の組織がデータセキュリティへのアプローチを強化するのを支援することです。 このガイドの推奨事項は、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件と密接に一致します。
Microsoft Purview には、Azure Rights Management を介して適用された秘密度ラベルを使用してアイテムを暗号化するオプションが用意されています。 Azure Rights Management は、認証と承認の両方を確認するために使用されます。 ユーザーが暗号化されたアイテムにアクセスするには、Microsoft 365 サービスに対する認証を行い、そのアイテムにアクセスするためのアクセス許可を付与する必要があります。 Azure Rights Management は、アイテムに使用制限を適用するために使用されます。 これらの制限により、ユーザーはコンテンツの編集、アイテムの保存、印刷、コンテンツのコピー、または他のユーザーへの転送などのアクションを実行できなくなります。
ラベル暗号化の要件
政府機関は、アクセスに沿ったラベル暗号化と、 暗号化要件に要約された転送要件を使用する必要があります。 これらの要件は、OFFICIAL の送信に暗号化が必要であることを示しています。パブリックネットワークまたは保護されていないネットワーク間での機密情報または保護された情報。
ヒント
OFFICIAL 以上の外部組織やエンティティと頻繁に通信する組織は、ビジネス要件に基づいてこの姿勢を評価するリスクが必要になる場合があります。 詳細については、「暗号化の 概要」を参照してください。
OFFICIAL へのラベルベースの暗号化の有効化: 機密性の高いアイテムと保護されたアイテムは、送信中の暗号化の要件を満たす政府機関のorganization機能を強化し、ラベル付きアイテムが次の場合に確実に暗号化されるようにします。
- USB ストレージにコピーされます。
- クラウド ストレージ サービスを含む Microsoft 以外のクラウド サービスにアップロードされます。
- 安全でない可能性のあるデバイス (BitLocker 暗号化のないデバイスなど) に保存されます。
- さらに情報を配布することで、知る必要に違反する可能性がある外部受信者に電子メールで送信されます。
オーストラリア政府機関は通常、これらのリスク ベクトルに対処するための追加の戦略とソリューションを実装します。 たとえば、暗号化された USB ドライブ、Cloud Access Security Broker (CASB) ソリューション、デバイス管理プラットフォームの使用などです。 ラベルベースの暗号化は、これらのソリューションを置き換えることを目的としたものではありません。 ただし、偶発的な誤用や悪意のある内部関係者からの余分な保護を提供することで、これらのソリューションを補完するために使用されます。
ラベル暗号化に関する考慮事項
秘密度ラベル暗号化を有効にした場合の標準的な考慮事項と潜在的な影響については、 暗号化されたコンテンツに関する考慮事項に関するページを参照してください。
オーストラリア政府機関に固有のその他の考慮事項があります。 これには、ドキュメント メタデータの変更や、情報共有に関連する要件が含まれます。
暗号化された共同編集の変更
Microsoft 365 では、 暗号化されたドキュメントの共同編集がサポートされています。
暗号化された共同編集を有効にすると、秘密度ラベルメタデータを Office ドキュメントに適用する方法と、ドキュメント プロパティの使用MSIP_labels変更が導入されます。 暗号化された共同編集を有効にした後、暗号化されたアイテムのメタデータは、従来のドキュメント プロパティの場所からドキュメントの内部 xml に移動されます。 詳細については、「 秘密度ラベルのメタデータの変更」を参照してください。
ドキュメント プロパティを使用して添付ファイルの分類にチェックする電子メール ゲートウェイにルールを適用するオーストラリア政府の組織は、構成が調整されるようにメタデータの変更を認識する必要があります。 Microsoft Exchange 管理者は、次の操作を行う必要があります。
- 2.6.3 LabelInfo とカスタム ドキュメント プロパティを読み、理解します。
- 潜在的な問題について、組織のデータ損失防止 (DLP)、メール フロー ルール、またはトランスポート ルール構文を Microsoft 以外の電子メール ゲートウェイで評価します。
これが重要な理由の一例は、ドキュメント プロパティ内のラベル GUID を使用して PROTECTED 添付ファイルをチェックするメール フローまたはトランスポート ルールです。ドキュメント メタデータがドキュメント プロパティから LabelInfo の場所に移動すると正しく機能しません。
ドキュメント プロパティ ベースのアプローチの代替手段として、次の手順を実行します。
-
ClassificationContentMarkingHeaderTextおよびClassificationContentMarkingFooterTextドキュメント プロパティが使用されます。 これらのプロパティは、暗号化された共同編集の有効化後に表示され、Office ドキュメントに適用される視覚的なマーキング テキストが設定されます。 - メール フロー メソッドは、DLP ポリシーの一部として秘密度ラベルをネイティブに照会できる、新しい DLP ベースのアプローチに移行されます。
暗号化されたアイテムへの外部ユーザー アクセス
ラベルベースの暗号化を使用するオーストラリア政府機関は、保護セキュリティ ポリシー フレームワーク (PSPF) に沿って行っています。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 9 要件 1 - 情報とリソースを共有するための正式な契約 | セキュリティの機密情報またはリソースを政府の外部の人またはorganizationに開示する場合、エンティティは契約や行為などの契約または取り決めを行い、情報の使用方法と保護方法を管理する必要があります。 |
承認された外部組織のユーザーのみが暗号化されたアイテムにアクセスできるようにするには、次の方法を使用できます。
- 承認された外部ドメインのListsは、承認されていない組織への機密情報の電子メール配布の防止に関する記事で説明されている DLP アプローチと同様に、Azure Rights Management のアクセス許可に追加されます。
- ゲスト アカウントを含むグループは、承認された外部ドメインから承認されたユーザーのセットにのみアクセス許可を付与するために使用されます。 この方法は、承認されたゲストに機密情報の電子メール配布を許可することに似ています。
ヒント
DLP に対するorganizationのアプローチと、機密情報のラベル暗号化のアプローチを合わせることにより、管理が簡略化されます。 その結果、承認されたユーザーのみが機密情報を送信し、それにアクセスできる機密情報の処理に対する堅牢で一貫したアプローチが得られます。
ラベル暗号化の有効化
秘密度ラベルの暗号化を有効にするために必要な前提条件と手順については、「秘密度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。
次のラベル暗号化構成は、オーストラリア政府の要件と特別な関連性を持ち、詳細に説明されています。
アクセス許可を今すぐ割り当てる
[アクセス許可の割り当て] では 、環境全体でラベル付けされた項目へのアクセスを一貫して制御できます。 この構成を使用して、暗号化設定のラベルがアイテムに適用されると、コンテンツの暗号化が直ちにトリガーされます。
[アクセス許可の割り当て] オプションが選択されている場合、管理者はラベル付きアイテムに適用するアクセス許可を構成する必要があります。 利用可能なオプションは以下のとおりです。
organization内のすべてのユーザーとグループ: このオプションは、ゲスト アカウントを除く環境内のすべてのユーザーに対するアクセス許可を追加します。 これは、ラベル付けされたアイテムへのアクセスを内部ユーザーのみに制限する組織にとって良い入門ポイントです。
これは、"OFFICIAL: Sensitive" 情報を暗号化し、organization全体で開くことができるようにしたい組織に適したオプションです。
認証されたユーザー: このオプションでは、Microsoft 365 アカウント、フェデレーション ソーシャル プロバイダー、または Microsoft アカウント (MSA) として登録されている外部電子メール アドレスなどのアカウントを使用して、Microsoft 365 に対して認証されたユーザーにアクセスできます。 このオプションを使用すると、アイテムは暗号化された形式で送信および保存されますが、アイテムへのアクセスの観点では最もオープンです。 このオプションは、オーストラリア政府での知る必要と PSPF の整合を確保するという点では適していません。
重要
認証されたユーザー は、適用されたアクセス許可のオープンな性質のために、セキュリティで分類されたアイテムにアプリケーションを適用するためのオーストラリア政府機関にとって良い選択肢ではありません。
[ユーザーまたはグループの追加]: このオプションを使用すると、個々のユーザー (個々の組織のユーザーやゲストなど) を指定できます。 これにより、アクセス許可をグループに割り当てることができます。
政府機関には、このオプションのいくつかの用途があります。 以下に例を示します。
- このオプションは、ラベル付きコンテンツへのアクセスを要件を満たす内部ユーザーのサブセットに制限することで、知る必要があることを保証するために使用されます。 たとえば、ベースライン クリアランスを持つ承認されたユーザーは 、保護されたユーザー グループにグループ化され、PROTECTED コンテンツへのアクセス許可が付与されます。 グループ外のユーザーは、保護された項目にアクセスできなくなります。
- 高い外部コラボレーション制御 ( 高い外部コラボレーション制御で説明されているように) を持つ組織の場合は、すべてのゲスト アカウントを含む動的グループが作成されます。 このグループには、暗号化されたアイテムに対するアクセス許可を付与できます。これにより、アイテムを外部に配布することができ、グループ外のエンティティによるアクセスのリスクが軽減されます。 このような構成は、 承認されたゲストへの機密情報の電子メール配布を許可する方法で説明されている DLP コントロールと一致する必要もあります。
- 比較的低い外部コラボレーション制御 ( 低外部コラボレーション制御で説明されているように) を持つ組織の場合、暗号化されたコンテンツへのアクセスが承認されたゲストを含むセキュリティ グループが維持されます。
- ラベルのコンテンツをドメイン全体にアクセスできないようにコンテンツへのゲスト アクセスを提供する組織では、"部署ゲスト" などのorganizationからゲストへのアクセスを許可する動的グループが作成されます。 この方法については、承認されたゲストに機密情報の電子メール配布を許可する方法について説明します。
特定のメール アドレスまたはドメインを追加する このオプションを使用すると、ゲストである場合とそうでない外部ユーザーの個々のメール アドレスにアクセス許可を付与できます。 また、ドメイン全体にアクセス許可を付与するためにも使用できます。 たとえば、Contoso.com に移動します。 複雑な情報のコラボレーションと配布の要件がある組織、または OFFICIAL を配布する必要がある組織: 機密情報または保護された情報を他の政府機関に配布する必要がある組織は、そのような情報を配布するすべての組織のドメインの一覧を追加することを検討できます。 このような一覧は、PSPF Policy 9 要件 1 で定義されているように、organizationが情報とリソースを共有するための正式な契約を結んだドメインと一致する必要があります。
目的の結果を得るために、ラベルの構成に複数のアクセス許可セットが追加されます。 たとえば、すべてのユーザーとグループは、他の組織からのゲストを含む一連の動的グループと、organizationが定期的に共同作業を行う承認された部門ドメインの一覧と組み合わせて使用できます。
ユーザー、グループ、またはドメインにアクセス許可を割り当てる
アクセス権が付与されているユーザー、ユーザーまたはドメインのグループごとに、特定のアクセス許可も選択する必要があります。 これらのアクセス許可は、 共同所有者、 共同作成者 、 校閲者などの一般的なセットにグループ化されます。 カスタム のアクセス許可セットを定義することもできます。
暗号化のアクセス許可はきめ細かいため、組織は、最も有効なアプローチを決定するために、独自のビジネス分析とリスク評価を完了する必要があります。 アプローチの例を次に示します。
| ユーザー カテゴリ | Contains | アクセス許可 |
|---|---|---|
| すべてのユーザーとグループ | すべての内部ユーザー | Co-Owner (すべてのアクセス許可を付与) |
| コラボレーション要件を持つ他の部門からのゲスト | 動的Microsoft 365 グループ: - 部署 1 のゲスト - 部署 2 のゲスト - 第 3 学科のゲスト |
Co-Author (編集、コンテンツのエクスポート、アクセス許可の変更を制限します) |
| パートナー組織からのゲストのクリア | セキュリティ グループ: - パートナー 1 からのゲスト - パートナー 2 からのゲスト - パートナー 3 からのゲスト |
レビュー担当者 (印刷、コピー、抽出、コンテンツのエクスポート、アクセス許可の変更を制限します) |
ユーザーが決定できるようにする
暗号化のアプローチは、ユーザーがラベルを選択するときに適用するアクセス許可を選択できるようにすることです。
このメソッドを使用してラベル付けされた項目の動作は、アプリケーションによって異なります。 Outlook の場合、使用可能なオプションは次のとおりです。
転送しない: このオプションを選択すると、電子メールが暗号化されます。 暗号化では、受信者がメールに返信できるようにアクセス制限が適用されますが、情報の転送、印刷、またはコピーのオプションは使用できません。 Azure Rights Management のアクセス許可は、メールに添付されている保護されていない Office ドキュメントに適用されます。 このオプションは、メール受信者が元のメールで指定されていないユーザーにアイテムを転送できないようにすることで、知る必要があることを保証します。
暗号化のみ: このオプションは、アイテムを暗号化し、 名前を付けて保存、 エクスポート 、 フル コントロールを除くすべての使用権限を受信者に付与します。 これは、暗号化された転送要件を満たす場合に便利ですが、アクセス制限は適用されません (結果として、知る必要がある制御は適用されません)。
これらのオプションは、細分性を大幅に高くします。 ただし、アイテム レベルでアクセス許可が適用されるため、ユーザーによって選択されるオプションが異なるため、これらのオプションの構成に一貫性がない可能性があります。
サブラベルとしてユーザーにのみオプションを転送または暗号化しないを指定することで、organizationは、必要と判断された場合に通信を保護する方法をユーザーに提供できます。 以下に例を示します。
- 非公式の
- 公式
- OFFICIAL Sensitive (カテゴリ)
- OFFICIAL Sensitive
- OFFICIAL 機密受信者のみ
これらの構成が適用されたラベルは、そのような機能を必要とするユーザーにのみ発行する必要があります。
Microsoft Purview は、特定の組織の要件を満たすために、情報管理マーカー (IMM) と警告とサブラベルの追加を含める必要がある PSPF と連携できます。 たとえば、"OFFICIAL: Sensitive Personal Privacy" の情報を外部ユーザーと通信する必要があるユーザーのグループは、"OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" ラベルを発行できます。
コンテンツ アクセスの有効期限
コンテンツの有効期限オプションを使用すると、ラベルが適用された暗号化されたアイテムにアクセスするためのアクセス許可が、日付または一定期間後に拒否されます。 この機能は、アイテムが存在する場所や、それらに適用されているアクセス許可に関係なく、アイテムが一度にアクセスできないようにするために使用されます。
このオプションは、政府機関が情報またはリソースへの一時的なアクセスを提供する必要がある情報への期限付きアクセスの要件を達成するために役立ちます。 これらの状況については、PSPF ポリシー 9 で説明します。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 9 要件 4: 機密情報とリソースへの一時的なアクセス | エンティティは、各ケースのリスク評価に基づいて、セキュリティの機密情報またはリソースに一時的にアクセスできるユーザーを提供できます。 このような場合、エンティティは次の処理を行う必要があります。 a. セキュリティの機密情報またはリソースへのアクセス期間を制限する: i. 特定の人に対してセキュリティクリアランスの申請が処理されている期間、または ii. 12 か月間の最大 3 か月間 b. 推奨される採用審査の実施 (PSPF ポリシー「人材の適格性と適合性」を参照) c. すべての一時的なアクセスを監視する d. TOP SECRET 情報にアクセスするには、そのユーザーが既存の Negative Vetting 1 セキュリティ クリアランスを持っていることを確認し、 e. 分類された警告された情報への一時的なアクセスを拒否します (例外的な状況を除き、警告所有者の承認を得た場合のみ)。 |
この方法により、 一時的なアクセスを監督 する必要が確保され、一時ユーザーが許可された内容にのみアクセスでき、必要な時間だけアクセスできます。
ラベルを介して適用され、アクセスの有効期限が切れた構成で適用される Azure Rights Management 暗号化を使用すると、機密性の高いアイテムを完全なアカウントを作成する必要なく、個人または組織と共有できます。
その例として、Government organization には、Contoso という名前の架空の Government 契約organizationで使用できるようにする必要がある一連の設計ドキュメントがあります。 "OFFICIAL Sensitive – Contoso Temp Access" という名前のラベルが作成され、Contoso の電子メール アドレスの承認済みリストへのアクセスを許可するアクセス許可が付与されます。 その後、デザイン ドキュメントのコピーにこのラベルが適用され、30 日間のアクセス タイマーが開始されます。 その後、タイマーの有効期限が切れ、アイテムの場所に関係なくアクセスが取り消されるまで、独自のシステム上のアイテムにアクセスできる Contoso とドキュメントが共有されます。
コンテンツの有効期限がアクセス許可ではなくラベルに適用されるため、これを実現するには専用のラベルが必要です。 これは、その他のアクセス期限切れのシナリオではニッチであり、ほとんどの政府機関では適用されません。 この例では、このガイドで説明されているように、適用される基本的な PSPF Microsoft Purview Information Protection構成を基にして拡張します。
オフライン アクセス
オフライン アクセス オプションを使用すると、Azure Rights Management のアクセス許可を再認証または再認証することなく、ユーザーがアイテムにアクセスできる一定期間の構成が可能になります。 オフライン アクセスは、たとえば、ネットワークやサービスが停止した場合にオフライン ファイルにアクセスできるようにするために役立ちます。 このオプションを構成しても、アイテムは暗号化され、そのアクセス許可はクライアント デバイスにキャッシュされます。
暗号化を展開する政府機関は、一般に、ユーザーがオフラインで作業できるように、またディザスター 軽減策として、3 日から 7 日間のオフライン アクセス期間を選択します。
このアプローチを検討する際に、ユーザーが Government organization によるネットワーク アクセスなしで作業している場合の、アクセス権のないユーザービリティへの影響に対する、アイテムへのキャッシュされたアクセスのリスク評価を完了する必要があります。
ラベル暗号化構成の例
注:
これらの例は、PSPF Policy 8 要件 1 と一致する情報の値に比例した操作制御を使用したラベル暗号化の構成を示すことを目的としています。 政府機関は、そのような構成を有効にする前に、独自のビジネス分析、リスク評価、テストを完了する必要があります。
| 機密ラベル | 暗号化 | アクセス許可 |
|---|---|---|
| 非公式の | - | - |
| 公式 | - | - |
| OFFICIAL Sensitive (カテゴリ) | - | - |
| OFFICIAL Sensitive | 今すぐアクセス許可を割り当てる |
organization内のすべてのユーザーとグループ: Co-Owner 特定のメール アドレスまたはドメインを追加します。 アクセスが承認された外部ドメインの一覧 - 共同作成者 |
| PROTECTED (カテゴリ) | - | - |
| 保護 | 今すぐアクセス許可を割り当てる |
ユーザーまたはグループを追加する: 保護されたユーザー グループ - 共同所有者 保護されたゲスト グループ - 共同作成者 |
Microsoft Purview のメッセージの暗号化
Microsoft Purview Message Encryptionは、Azure Rights Management 上に構築された Microsoft 365 暗号化機能です。 ラベルベースの Azure Rights Management 暗号化と同様に、Microsoft Purview Message Encryptionは認証を通じて ID を確認し、アイテムへのアクセス許可を適用して承認します。
Microsoft Purview Message Encryptionの詳細については、「メッセージ暗号化のしくみ」を参照してください。
Microsoft Purview Message Encryptionの主な利点は、送信者と受信者の両方のメールボックスがExchange Onlineでホストされ、Microsoft Purview Message Encryptionをサポートするクライアント (を含む) ですMicrosoft 365 Apps、モバイルおよび Web ベースのクライアント)、受信した電子メールへの受信者アクセスを含む暗号化プロセスはシームレスです。 受信者は、暗号化されていないメールと同様にメッセージを受信して表示できます。 ただし、受信者が完全な電子メール メッセージを受信するのではなく、Exchange OnlineやMicrosoft Purview Message Encryption対応の電子メール クライアントを使用していない場合は、保護された電子メールの受信を通知する *ラッパーを受け取りますは、セキュリティで保護された方法で情報にアクセスするために認証できる Microsoft ポータルに誘導します。 これらのラッパー メッセージは完全にカスタマイズ可能であるため、organizationに合わせて変更できます。
Microsoft Purview Message Encryptionの認証は、ラベルベースの Azure Rights Management に対して異なる方法で処理されます。アクセス許可をラベルに定義する必要はありません。 これにより、暗号化された通信を受け取ることができるユーザーの観点から柔軟性が向上します。これは、一部のユース ケースで望ましい場合があります。
Microsoft Purview Message Encryptionメッセージ受信者に関連する認証には、次の 3 つのカテゴリがあります。
- 受信者がExchange Online経由で Microsoft 365 ID を使用している場合は、現在のセッションで使用されている既存の資格情報やトークンを認証と承認に使用できます。
- 受信者が Gmail や Yahoo によって提供される外部 ID など、サポートされている外部 ID を使用している場合は、ラッパー メールにアクセスし、Microsoft 365 提供のポータルに接続してメッセージにアクセスするには、これらの資格情報を使用して認証する必要があります。
- 受信者がサポートされていない ID を使用している場合は、ラッパーメールを受け取り、リンクを選択して Microsoft 365 で提供されるポータルにアクセスできます。この時点で、メール アドレスを Microsoft アカウント (MSA) として設定するように求められます。 この Microsoft アカウントは、パスワードやその他の情報をユーザーのメール アドレスに関連付けます。これは、今後の認証に使用されます。
Microsoft Purview Message Encryptionは、機密性を確保し、受信者に情報が安全に扱われていることを保証するためにも使用されます。 たとえば、人事チームは、潜在的な雇用を求職者と話し合うときにMicrosoft Purview Message Encryptionを使用できます。 Microsoft Purview Message Encryptionは、機密性の高い財務事項について一般のメンバーと話し合うときに役立ちます。 大学や他の教育提供者は、学術的事項に関する学生と対応する場合にMicrosoft Purview Message Encryptionを利用することができます。
オーストラリア政府機関に関連するMicrosoft Purview Message Encryptionのユース ケースを次に示します。
- 外部組織の一覧に送信されたラベル (OFFICIAL Sensitive など) を含むすべてのメールにMicrosoft Purview Message Encryptionを適用します。 このリストには、organizationが (PSPF ポリシー 9、要件 1 に従って) と契約を正式化した他の政府機関が含まれます。
- 関係がある他の政府機関以外の組織のリストに送信される機密情報を含む電子メール (SIT 経由で識別) へのMicrosoft Purview Message Encryptionの適用。 これらの組織は必ずしもオーストラリア政府のセキュリティ要件に準拠する必要がないため、これらの環境の状態は不明です。
Microsoft Purview Message Encryption機能と潜在的な用途の詳細については、「Microsoft Purview Message Encryptionの設定」を参照してください。
メールにMicrosoft Purview Message Encryptionを適用する構成は、Exchange メール フロー ルールを使用して適用できます。 秘密度ラベルに一致するメッセージは、電子メールにMicrosoft Purview Message Encryption テンプレートを適用するルールをトリガーします。 これらのルールには、 ラベル付けされたメールを識別する GUID ベースの方法が必要です。