PSPF に対するオーストラリア政府のコンプライアンスに対する不適切な分類の受信によるデータ流出の防止
この記事では、不適切な分類を持つアイテムが Microsoft 365 サービスによって受け取られるのを監視および防止することで、データ流出のリスクを軽減するための構成に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、組織が情報セキュリティ体制を改善するのを支援することです。 この記事のアドバイスは、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件と一致します。
政府機関は、機密性の高い情報が機密性の低い環境に渡されないように保護する必要があります。 これには、organizationで許可されているより大きい分類が適用された情報と、Microsoft 365 クラウド環境内での使用に不適切な情報 (SECRET や TOP SECRET の情報など) が含まれます。
不適切なラベル付けされたメールの送信をブロックする
ISM-0565 では、電子メールによるデータ流出から保護するための対策が義務付けられています。
| 要件 | 詳細 |
|---|---|
| ISM-0565 (2024 年 6 月) | Emailサーバーは、不適切な保護マーキングを使用して電子メールをブロック、ログ、およびレポートするように構成されています。 |
ISM-0565 に加えて、このガイドのコントロールは 保護セキュリティ ポリシー フレームワーク (PSPF) と一致します。 Microsoft 365 内では、セキュリティ分類は、秘密度ラベルを使用して ISM (情報セキュリティ マニュアル) と PSPF のセキュリティ制御に合わせて調整されます。 指定されたセキュリティ制御と管理がアイテムに関連付けられているため、Government の項目には秘密度ラベルが必要です。
オーストラリア政府機関向けの Microsoft Purview 展開は、通常、 すべての項目へのラベル アプリケーションを必要とするペア構成です。 この必須のラベル付け構成により、組織はアイテムの作成時と同様に PSPF Policy 8 要件 1 を満たすことができます。ラベルが適用されます。 すべての項目にラベルを適用すると、適切な保護を受け、侵害のリスクが軽減されます。
データ損失防止 (DLP) ポリシーは、次の両方に構成されます。
- 環境内で許可されているよりも高い分類の項目の送信、受信、およびそれ以上の配布を防ぐことで、データの流出を防止します (この記事では非送信分類と呼ばれます)。そして
- 機密性が評価されていない、またはセキュリティ制御をバイパスしようとする可能性があるラベル付けされていないメールの送信を防ぎます。
非送信分類の送信をブロックする
分類されたアイテムおよびプラットフォームに存在してはならないアイテムの受領および/またはそれ以上の送信をブロックするには、まずそのような情報を識別する方法を確立する必要があります。 このようなメソッドには、次のものが含まれます。
- 受信項目に適用される分類を決定するための件名マーキングと電子メール x-protection-marking x-headers の評価。
- 機密情報の種類 (SID) ( 機密情報の識別に関するページで説明) を使用して、プラットフォーム上に存在してはならない情報を特定します。 これらの SID には、'SEC=SECRET' や 'SEC=TOP-SECRET' などのキーワード (keyword)識別子や、機密性の高い項目に存在するその他の Government キーワードが含まれます。
- プラットフォーム上に存在してはならない項目を識別するためのメソッドとして自動ラベル付けと組み合わせた 未発行 の秘密度ラベルの使用。 詳細については、 PROTECTED レベルを超える情報については、ラベルに関するページを参照してください。
送信されていない分類のスピルをブロックするために、一連の DLP ポリシーが使用されます。 使用可能なポリシー条件はorganizationによって使用されるサービスによって異なるため、使用可能なすべての通信チャネルをカバーするには、いくつかのポリシーが必要です。 Exchange サービスに対処するポリシーは、ほとんどの組織にとって推奨される出発点です。
DLP ポリシーには、次のような条件を利用する 1 つ以上のルールが含まれています。
- コンテンツに含まれる 、機密情報の種類、 シークレット キーワード SIT、OR
- コンテンツに含まれる 、秘密度ラベル、 SECRET、OR
-
ヘッダーがパターン、
X-Protective-Marking : SEC=SECRET、OR と一致する -
サブジェクトがパターンと一致する
\[SEC=SECRET
ルールには、 すべてのユーザーをブロックするアクションが必要です。このアクションは、[ アクセスの制限] または [Microsoft 365 の場所のコンテンツの暗号化 ] オプションで使用できます。
ISM-0133 は、レポート アクションに関連する DLP です。
| 要件 | 詳細 |
|---|---|
| ISM-0133 (2024 年 6 月) | データスピルが発生すると、データ所有者に通知され、データへのアクセスが制限されます。 |
アラート アクションは、それ以上のデータ流出を防ぎ、クリーンアップ アクティビティを迅速化するために重要です。 1 つの DLP ルールで複数のアクションを構成できます。 適切なアラートアクションを決定するための組織のセキュリティ チーム。 DLP インターフェイスを介して使用できるオプションは、Sentinelなどの Power Automate およびセキュリティ情報およびイベント管理 (SIEM) ソリューションを介して拡張されます。
Exchange 上の SECRET アイテムの配布を識別して停止する、完了した DLP ルールの例を次に示します。
ポリシー名: EXO - 許可されていない分類をブロックする
| ルール名 | 条件 | アクション |
|---|---|---|
| シークレットアイテムをブロックする | コンテンツに含まれる機密情報の種類: SECRET 分類 と一致する可能性が高い用語を含むシークレット キーワード カスタム SIT。 または ヘッダーはパターンと一致します。 X-Protective-Marking : SEC=SECRET または サブジェクトはパターンと一致します。 \[SEC=SECRET または コンテンツには秘密度ラベルが含まれています。 秘密 |
アクセスを制限するか、Microsoft 365 の場所のコンテンツを暗号化します。 - ユーザーがメールを受信できないようにブロックする - すべてのユーザーをブロックする 適切なインシデントの重大度とアラートを構成します。 |
前のルールで適用されたロジックを使用して、次のような他のサービス間での非許可分類の分散をブロックするために、さらに DLP ポリシーを作成できます。
- SharePoint
- OneDrive
- Teams チャットとチャネル メッセージ (秘密度ラベルの条件を除く)
- EndPoint DLP 経由のデバイス (非送信ネットワーク、USB、場所など)
- Defender for Cloud Appsを使用してクラウド サービスにアップロードする
- オンプレミスのファイル リポジトリ
ラベル付けされていないメールの送信をブロックする
ラベルなしメールの送信をブロックするには、カスタム ポリシー テンプレートに基づいて DLP ポリシーを構成し、Exchange サービスに適用します。
ラベル付けされていないメール ポリシーの送信をブロックするには、次の 2 つの規則が必要です。
- Microsoft 365 から共有されるコンテンツを介して送信アイテムを送信するための最初のルールで、organization条件外のユーザーと共有されます。
- Microsoft 365 から共有されているコンテンツに適用する 2 つ目のルール。organization内のユーザーのみ。
ルールには例外が必要です。これは、 NOT オペランドが有効になっている条件グループを介して適用されます。 条件グループには 、コンテンツに含まれる条件、 秘密度ラベル が含まれており、環境内で使用可能なすべてのラベルが選択されています。
電子メールを生成するサービスは、Microsoft 365 Apps クライアントに適用される必須のラベル付け構成の外部にあります。 そのため、この DLP ポリシーは、ユーザーが生成していない電子メールが送信されるたびにトリガーされます。 Microsoft サービスによって生成されたセキュリティ アラート、スキャナーや多機能デバイス (MFD) からのメール、人事や給与システムなどのアプリケーションからの電子メールに対してトリガーされます。 ポリシーが重要なビジネス プロセスをブロックしないようにするには、 例外を NOT グループに含める必要があります。 以下に例を示します。
- OR送信者ドメインは、セキュリティと SharePoint アラートをキャプチャする microsoft.com です。
- または送信者は、この要件をバイパスする権限を持つアカウントを含むグループを持つグループのメンバーです。
- または送信者の IP アドレスは、Office MFD のアドレスと共にです。
この規則は、送信者が構成された例外の 1 つを介して除外されない限り、一覧表示されている秘密度ラベルの 1 つを含まない電子メールが送信されるたびにトリガーされます。
これらの DLP ルールには、すべてのユーザーを ブロック するアクションと、適切な重大度とレポートアクションが必要です。
次のアラート要件は、送信アイテムに適用される DLP ルールに関連します。
| 要件 | 詳細 |
|---|---|
| ISM-1023 (2024 年 6 月) | ブロックされた受信メールの目的の受信者と、ブロックされた送信メールの送信者が通知されます。 |
この要件を満たすために、送信アイテムに適用される DLP ルールは、アイテムの送信を試みたユーザーに通知するように構成されます。
ヒント
秘密度ラベル付けに移行する政府機関は、ブロックアクションやアラート アクションではなくポリシー ヒントを構成できます。 このようなポリシーは、ハード要件として構成せずにラベルの選択を提案するために使用できます。 これは ISM の要件を厳密に満たしていませんが、ユーザー向けの Microsoft Purview 機能をより適切に展開できます。
ラベル付けされていないメールをブロックする DLP ポリシーの例
次の DLP ポリシーは Exchange サービスに適用され、ラベル付けされていない電子メールによる情報の損失を防ぎます。
ポリシー名: EXO - ラベル付けされていないメールをブロックする
| Rule | 条件 | アクション |
|---|---|---|
| ラベル付けされていない送信メールをブロックする | コンテンツは Microsoft 365 から共有され、organization外のユーザーと共有されます AND 条件 グループ NOT コンテンツには秘密度ラベルが含まれています。 - すべてのラベルを選択する または 送信者ドメインは次のとおりです。 - microsoft.com - その他の例外を含める |
アクセスを制限するか、Microsoft 365 の場所のコンテンツを暗号化します。 - ユーザーがメールを受信できないようにブロックする - すべてのユーザーをブロックする |