オーストラリア政府が PSPF に準拠するための Power BI とデータ資産の秘密度ラベル付け
この記事では、データ ソースへの Microsoft Purview 秘密度ラベル付け機能の拡張に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、ソース システムの情報にラベルを付けることで、これらの機能がデータ セキュリティに対する組織のアプローチを強化する方法を示することです。 この記事のアドバイスは、 保護セキュリティ ポリシー フレームワーク (PSPF) に記載されている情報の分類と保護に対するアプローチを強化することを目的としています。
機密ラベル付けと関連する保護をデータと分析領域に拡張する 2 つの Microsoft Purview 機能があります。
スキーマ化されたデータ資産またはデータ マップ機能を使用すると、データベース システムに存在する機密情報を特定し、所定の場所にあるデータにラベルを適用できます。
Power BI 統合を使用すると、ダッシュボード、レポート、データセット、データフロー、ページ分割されたレポート、Power BI (.pbix) ファイルなど、Power BI 資産のラベル付けを行うことができます。 エクスポートされたすべての Excel または PDF ファイルでラベルを保持でき、ラベルベースの Azure Rights Management 暗号化をエクスポートされたアイテムに適用できます。
これらの機能の目的は、ライフサイクル全体を通じて情報の保護をより適切にサポートすることです。 以下に例を示します。
注:
これらの機能は現在プレビュー段階であり、Information Protection >ラベル メニューから使用できるプロンプトからプレビューをオプトインして有効にする必要があります。
スキーマ化されたデータ アセット
スキーマ化されたデータ資産のラベル付けでは、データベース列に存在するなど、データにラベルを自動的に適用できます。 このサービスの目的は、ソース システム内の機密情報の識別を有効にし、この識別を使用して、ライフサイクル全体を通じて情報を保護し、接続されたシステム内で使用できるようにすることです。 ソースでの情報のラベル付けは、エクスポート後にコンテンツを識別するために Exact Data Match などのツールを利用する必要性を緩和することで、ダウンストリーム システムでの情報管理を簡素化するのにも役立ちます。
スキーマ化されたデータ資産オプションは、ラベルの構成内のスコープ オプションを使用してラベルに対して有効にすることができます。
スキーマ化されたデータ資産スコープ オプションを有効にした後、構成されているラベルに合わせて機密情報の種類 ( 機密情報の識別で説明されているように) が選択されます。 このプロセスは、 機密性の高いコンテンツ検出に基づいてラベルを推奨することに似ています。
ラベル構成の後、データ資産を登録する必要があります。 秘密度ラベルは、次のデータ ソースでサポートされています。
- SQL Server
- Azure SQL データベース
- Azure SQL Managed Instance
- Azure Synapse Analytics ワークスペース
- Azure Cosmos DB for NoSQL
- Azure Database for MySQL
- Azure Database for PostgreSQL
- Azure Data Explorer
サービスでは、定義された機密情報のデータ ソースをスキャンする時間が必要です。 Microsoft Purview カタログは、Azure portal内から入手でき、ラベル付けされた機密情報を表示するために使用できます。
スキーマ化されたデータ資産とMicrosoft Purview データ マップによるラベル付けの詳細については、Microsoft Purview データ マップでのラベル付けを参照してください。
Power BI 統合
Power BI コンテンツへのアプリケーションで使用できる秘密度ラベルの機能は、ラベル 'file' スコープに関連付けられています。
Power BI ラベル統合を利用するには、organizationの設定で Power BI 管理ポータルからInformation Protectionオプションを有効にする必要があります。
Power BI Information Protection管理者設定では、次のオプションを使用できます。
| 設定 | 用途 |
|---|---|
| ユーザーがコンテンツに秘密度ラベルを適用できるようにする | MPIP Power BI 統合を有効にし、Power BI 項目のラベル付けを許可するために有効にする必要があります。 |
| データ ソースから Power BI のデータに秘密度ラベルを適用する | このオプションを使用すると、Azure Synapse Analytics や Azure SQL データベースなど、ソース情報に適用されたラベルからラベルを継承できます。 この機能は、前のセクションで説明したスキーマ化されたデータ資産機能に依存しています。 |
| ダウンストリーム コンテンツに秘密度ラベルを自動的に適用する | このオプションを使用すると、Power BI データ資産から生成された項目にラベルを継承できます。 たとえば、データセットに適用されたラベルは、コンテンツを利用してレポートやダッシュボードに流れます。 継承されたラベルは手動で適用されたラベルを上書きせず、ISM-0271 に対して無料と見なされるため、ダウンストリーム項目の最低限の保護レベルが確保されます。 |
| ワークスペース管理者が自動的に適用される秘密度ラベルをオーバーライドできるようにする | このオプションを使用すると、ワークスペース管理者は、前の設定で自動的にラベル付けされたラベルをオーバーライドできます。 このオプションは、管理者またはユーザーをアイテムからロックする可能性がある Azure Rights Management ベースのコントロールをオーバーライドするために、管理者がラベルを変更する機能に加えて使用できます。 |
| 保護されたラベルを含むコンテンツが、organization内のすべてのユーザーとのリンクを介して共有されないように制限します | このオプションでは、共有設定をカスタマイズして、organization共有リンク内の作成ユーザーを制限し、潜在的なデータ公開を減らします。 |
Power BI Information Protection オプションを構成し、ラベルをPower BI サービスにレプリケートする時間が得られれば、Power BI リソースへのアプリケーションでラベルを使用できるようになります。 以下に例を示します。
秘密度ラベル ポリシーで説明したように、ラベル ポリシーは、すべての Power BI コンテンツに対して必須のラベル付けを適用するように構成できます。
Power BI ダウンストリーム コンテンツ設定に加えてこのオプションを有効にすると、Power BI を介して生成または表示される機密情報が、組織の DLP ポリシーに沿って保護されます。これには、 セキュリティに関する機密情報の不適切な配布の防止に関する推奨も含まれます。
これらの設定により、PSPF Policy 8 Core 要件 1 を満たすorganizationの機能が拡張されます。 これは、分類、マーキング、および関連するコントロールを Power BI の場所に拡張できるためです。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8、要件 1 (コア要件) - 保有情報の特定 (v2018.6) | 発信元は、生成される情報が公式の情報 (公式レコードとして使用することを目的とする) かどうか、およびその情報が機密性の高い情報かセキュリティが分類されているかを判断する必要があります。 |
Power BI ダウンストリーム コンテンツ設定では、ソース情報の機密性に基づいてラベルが自動的に適用されます。 これは通常、PSPF Policy 8 Core 要件 2 に従っていないため、Government 設定では使用されません。 その理由は、ユーザーが情報の機密性を評価する必要なく、ラベルがコンテンツに適用されるためです。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8 要件 2 (コア要件) - 情報保有の機密性とセキュリティ分類を評価する (v2018.6) | 適用するセキュリティ分類を決定するには、発信者は次の操作を行う必要があります。 i. 情報の機密性が侵害された場合に発生する政府、国益、組織、または個人に対する潜在的な損害を考慮して、公式情報の価値、重要性、または機密性を評価します (次の表を参照)。 ii. セキュリティ分類を最も適切なレベルに設定します。 |
この機能を必要とする例外的な状況 (たとえば、一括データがタスクフォースから部署に移動される政府機関 (MoG) など) が必要な場合があるため、この目的のためにここに含まれています。
Power BI 統合の有効化の詳細、前提条件については、「 Power BI で秘密度ラベルを有効にする」を参照してください。