チュートリアル: Microsoft Purview Information Protection の秘密度ラベルを自動的に適用する
理想の世界では、社員が全員、情報保護の重要性を理解し、会社の方針から外れることなく仕事をします。 しかし、現実では、会計に携わるパートナーが不適切なアクセス許可でドキュメントを OneDrive for Business リポジトリにアップロードする可能性があります。 1 週間後に、会社の機密情報が競合他社にリークしたことに気付くのです。 Microsoft Defender for Cloud Apps は、この種の災難を未然に防ぐのに役立ちます。 この機能は、Box、SharePoint、OneDrive for Business で使用できます。 秘密度ラベルの適用は、使用可能な多くのガバナンス アクションの 1 つです。
このチュートリアルでは、違反の発生時に警告されるよう、クラウド ストレージに保存されているドキュメントに設定されているパブリック アクセス許可を特定する方法について説明します。 また、Microsoft Purview Information Protection の機密秘密度ラベルを自動適用し、ファイルを暗号化できます。
強化されたデータ レベルの暗号化による保護
Defender for Cloud Apps と Microsoft Purview Information Protection を統合することで、ファイルが自動的に暗号化され、保護レベルが上がります。 Microsoft Purview Information Protection がファイルを暗号化すると、Microsoft 365 などの Microsoft Purview Information Protection をサポートするアプリケーションはファイルを開く方法を認識し、機密ラベルに設定されたアクセス許可を尊重します。 特定の保護ルールを適用するには、ラベルを使用します。 たとえば、開くことはできても、共有、印刷、転送、編集はできないファイルを設定します。
このような強い保護レベルは、ファイルと共に伝達されます。 ファイルを送信したり、コピーしたり、オンライン ストレージ アプリに格納したりしても、ファイルは保護されています。 ファイルが収められている USB ドライブを従業員がなくした場合は、ファイルがロックされます。 誰かがファイルを開こうとすると、ファイルの所有者はアラートを受け取ります。 Defender for Cloud Apps では、保護を自動的に適用できます。 たとえば、クレジット カード番号が含まれるファイルや財務部がアップロードし、外部で共有されるファイルをすべて秘密度ラベルで自動的に保護するように設定します。
脅威
組織内のユーザーは、機密の顧客情報ファイルを OneDrive for Business に保存し、組織内のすべてのユーザーと共有できるように設定します。 ユーザーは、直属チームだけでなく、サポート スタッフ全体がその OneDrive for Business アカウントにアクセスできることに気づいていません。 このアクセスには、ベンダー、パートナー、ときどきオフィスを訪れるビジターも含まれます。 組織の OneDrive for Business アカウントにアクセスできるユーザーならだれでも、その情報にアクセスできることになります。 そのアクセスは組織にとって危険であるだけでなく、多くの国/地域の個人情報規制に違反し、潜在的な法的問題を引き起こす可能性があります。
解決策
Defender for Cloud Apps と Microsoft Purview Information Protection を使用して分類と保護の情報を組み込み、永続的な保護がデータについて回るようにします。それにより、保管場所や共有相手に関係なく、データは常に保護されます。 この保護により、同僚、顧客、パートナーとデータを安全に共有できるようになります。 データにアクセスできる人と、その人がデータに対してできることを定義します。 たとえば、ユーザーにファイルの表示と編集は許可しますが、印刷や転送は禁止します。 また、共同作成者や共有機能を削除するなど、Defender for Cloud Apps でサポートされているその他のガバナンス アクションをファイルに追加できます。
前提条件
データ保護の設定
OneDrive for Business アカウントに保存されているファイルでクレジット カード番号を見つけるポリシーをセットアップしてみましょう。 ファイルが見つかったとき、秘密度ラベルを自動的に適用し、あらゆるファイルで発生することをそのラベルで制御します。
特定の OneDrive for Business フォルダーに保存されている機密データを暗号化するポリシーを設定して、OneDrive for Business に保存しているデータの保護を開始します。
Microsoft Defender ポータルの [クラウド アプリ] で [ポリシー] ->[ポリシー管理]] を選択します。
[ポリシーの作成]>[ファイル ポリシー] を選択します。
[ファイル ポリシーの作成] ページで、[ポリシー名] ボックスに「OneDrive データ保護」 と入力します。
次のすべてに一致するファイル領域で、独自の機密データを対象とするフィルターを作成します。 次に例を示します。
- [フィルターの追加] を選択し、[フィルターの選択] オプション > [親フォルダー] > [等しい] > [フォルダーの選択] を選択します。
- [フォルダーの選択] ダイアログで、監視するフォルダー (Sales West など) を選択し、[完了] を選択します。
- もう一度 [フィルターの追加] を選択し、[コラボレーター]>[グループ]>[含む]>[財務] を選択します。
クレジットカード情報を含むファイルを検索する検査方法を定義します。
- [検査方法] ドロップダウンから、[データ分類サービス] を選択します。
- [検査の種類の選択]> [機密情報の種類]>[クレジット カード番号]>[完了] を選択します。 機密情報の種類を選択する場合は、[検索] ボックスに「credit」を入力し、Enter キーを押して一覧表示されている種類をフィルター処理します。
[ガバナンス アクション] 領域で、[Microsoft OneDrive for Business] ドロップダウンを展開し、[秘密度ラベルの適用] を選択します。 適用するラベル (社外秘 - 財務など) を選択します。
Defender for Cloud Apps と Microsoft Purview Information Protection が統合されているため、データ保護に使用する秘密度ラベルを既存の一覧から選択できます。
[作成] を選択します
一致を調査する
選択したフォルダー内のクレジットカード情報を監視するようにポリシーを設定した後、次の操作を行って、見つかった一致を調査します。
- Microsoft Defender XDR クラウド アプリのナビゲーション メニューで、[ポリシー] > [ポリシー管理] を選択します。
- 前に作成したポリシーを選択し、[ポリシーの一致の表示] を選択します。
- そのポリシーに対してトリガーされた一致を確認します。 展開する特定のファイルを選択して、選択したファイルと一致する他のポリシーなど、詳細を確認します。
ポリシーの検証
- アラートをシミュレートするには、ポリシーで定義した OneDrive for Business フォルダーに、シミュレートされたクレジット カード番号を含むファイルを作成します。
- 新しい一致がすぐに表示されるポリシー レポートに移動します。
- 一致を選択すると、保護されたファイルを表示できます。 一致自体は、機密データを保護するようにマスクされます。
Note
- Defender for Cloud Apps では、現時点で Box、GSuite、SharePoint、OneDrive for Business での秘密度ラベルの自動適用をサポートしています。
- Defender for Cloud Apps でドキュメントのラベルが付いている場合、ヘッダー、フッター、透かしなどの視覚的なマーキングは適用されません。 詳細については、「秘密度ラベルの詳細」を参照してください。
次のステップ
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。