次の方法で共有

チュートリアル: Microsoft Purview Information Protectionから秘密度ラベルを自動的に適用する

  • [アーティクル]

完璧な世界では、すべての従業員が情報保護の重要性を理解し、ポリシー内で作業します。 しかし、実際には、会計に取り組むパートナーが、間違ったアクセス許可を持つドキュメントをOneDrive for Businessリポジトリにアップロードする可能性があります。 1 週間後に、企業の機密情報が競合企業に漏洩したことを認識します。 Microsoft Defender for Cloud Appsは、この種の災害が発生する前に防止するのに役立ちます。 この機能は、Box、SharePoint、OneDrive for Businessで使用できます。 秘密度ラベルの適用は、使用可能な ガバナンス アクションの長い一覧の 1 つです。

このチュートリアルでは、クラウド ストレージに保存されているドキュメントに設定されているパブリック アクセス許可を特定する方法について説明します。これにより、侵害が発生したときにアラートが表示されます。 さらに、Microsoft Purview Information Protection機密機密ラベルを自動的に適用して、ファイルに追加の暗号化を提供できます。

強化されたデータ レベルの暗号化保護

Microsoft Purview Information Protectionとの統合Defender for Cloud Apps、ファイルを自動的に暗号化することで、追加レベルの保護が可能になります。 Microsoft Purview Information Protectionがファイルを暗号化すると、Microsoft 365 などのMicrosoft Purview Information Protectionをサポートするアプリケーションは、ファイルを開く方法を知り、秘密度ラベルに設定されているアクセス許可を受け入れられます。 ラベルを使用して、特定の保護規則を適用します。 たとえば、開くことができるが、共有、印刷、転送、または編集できないファイルを設定します。

この強力なレベルの保護は、ファイルと共に移動します。 ファイルを送信、コピー、またはオンライン ストレージ アプリに保存した場合、ファイルは引き続き保護されます。 従業員の 1 人が、そのファイルを含むサム ドライブを失った場合、ファイルはロックされます。 誰かがファイルを開こうとすると、ファイル所有者はアラートを受け取ります。 Defender for Cloud Appsを使用すると、保護を自動的に適用できます。 たとえば、クレジットカード番号を持つファイル、または財務部門によってアップロードされ、外部で共有されているすべてのファイルを、秘密度ラベルで自動的に保護するように設定します。

脅威

organizationのユーザーは、顧客の機密情報ファイルをOneDrive for Businessに保存し、organizationのすべてのユーザーと共有するように設定します。 ユーザーは、直属のチームだけでなく、サポート スタッフ全体がそのOneDrive for Business アカウントにアクセスできる点に気付いていません。 このアクセスには、時折オフィスに立ち寄るベンダー、パートナー、訪問者が含まれます。 organizationのOneDrive for Business アカウントにアクセスできるユーザーは、その情報にアクセスできるようになりました。 アクセスがorganizationにとって危険であるだけでなく、多くの国/地域の個人情報規制に反して法的な問題が発生する可能性があります。

解決策

Defender for Cloud AppsとMicrosoft Purview Information Protectionを使用して、データに続く永続的な保護の分類と保護情報を埋め込むため、保存場所や共有相手に関係なく保護された状態を維持します。 この保護により、同僚、顧客、パートナーとデータを安全に共有できます。 データにアクセスできるユーザーと、データに対して何ができるかを定義します。 たとえば、ユーザーはファイルの表示と編集を許可しますが、印刷や転送はできません。 また、コラボレーターの削除や共有機能の削除など、Defender for Cloud Appsでサポートされている他のガバナンス アクションをファイルに追加することもできます。

前提条件

データ保護を設定する

OneDrive for Business アカウントに保存されているファイルでクレジット カード番号を検索するポリシーを設定しましょう。 ファイルが見つかったら、秘密度ラベルを自動的に適用し、そのラベルを持つすべてのファイルに対する動作を制御します。

  1. 特定のOneDrive for Business フォルダーに格納されている機密データを暗号化するポリシーを設定して、OneDrive for Businessに格納するデータの保護を開始します。

    1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] を選択します。

    2. [ ポリシーの作成>ファイル ポリシー] を選択します

    3. [ファイル ポリシーの作成] ページで、[ポリシー名] ボックスに「OneDrive データ保護」と入力します。

    4. 次のすべての領域に一致するファイルで、独自の機密データを対象とするフィルターを作成します。 以下に例を示します。

      1. [フィルターの追加] を選択し、[フィルターの選択] オプション>[親フォルダー>equals>フォルダーを選択します
      2. [フォルダーの選択] ダイアログで、Sales West などのwatchするフォルダーを選択し、[完了] を選択します
      3. [フィルターの追加] をもう一度選択し、[コラボレーター>グループ>contains>Finance] を選択します。

    5. 信用カード情報を含むファイルを検索する検査方法を定義します。

      1. [ 検査方法 ] ドロップダウンから、[ データ分類サービス] を選択します。
      2. [ 検査の種類の選択>Sensitive information type>Credit Card Number>Done を選択します。 機密情報の種類を選択するときは、[検索] ボックスに「クレジット」と入力し、Enter キーを押して一覧表示されている種類をフィルター処理します。

    6. [ガバナンス アクション] 領域で、[Microsoft OneDrive for Business] ドロップダウンを展開し、[秘密度ラベルの適用] を選択します。 適用するラベル ( Confidential - Finance など) を選択します。

      Defender for Cloud AppsはMicrosoft Purview Information Protectionと統合されているため、データの保護に使用する秘密度ラベルの既存の一覧から選択できます。

    7. [作成] を選択します。

一致を調査する

選択したフォルダー内のクレジットカード情報をwatchするようにポリシーを設定した後、次の手順を実行して、一致が見つかった場合は調査します。

  1. [クラウド アプリのMicrosoft Defender XDR] ナビゲーション メニューで、[ポリシー] > [ポリシー管理] を選択します。
  2. に作成したポリシーを選択し、[ポリシーの一致の表示] を選択します。
  3. ポリシーに対してトリガーされた一致を確認します。 展開する特定のファイルを選択して、選択したファイルと一致するその他のポリシーなど、詳細を確認します。

ポリシーを検証する

  1. アラートをシミュレートするには、ポリシーで定義したOneDrive for Business フォルダーにシミュレートされたクレジット カード番号を含むファイルを作成します。
  2. 新しい一致がすぐに表示されるポリシー レポートに移動します。
  3. 一致するものを選択して、保護されたファイルを確認できます。 機密データを保護するために、一致自体がマスクされます。

注:

  • Defender for Cloud Appsでは、現在、Box、GSuite、SharePoint、OneDrive for business での秘密度ラベルの自動適用がサポートされています。
  • ドキュメントにDefender for Cloud Appsラベルが付いている場合、ヘッダー、フッター、透かしなどの視覚的なマーキングは適用されません。 詳細については、「秘密度レベルの詳細」を参照してください。

次の手順

organizationを保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。