Power BI の実装計画: Power BI での情報保護とデータ損失防止の監査
注意
この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。
この記事では、情報保護とデータ損失防止 (DLP) を実装した後に実行できる監査の種類について説明します。 対象ユーザーは次のとおりです。
- Power BI 管理者: 組織の Power BI 監視を担当する管理者。 Power BI 管理者は、情報セキュリティやその他の関連チームと共同で作業する必要があります。
- センター オブ エクセレンス、IT、BI チーム: 組織内の Power BI の監視を担当するその他のチーム。 これらのチームは、Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同で作業することが必要な場合があります。
組織内で情報保護とデータ損失防止がどのように使用されているかを理解することが重要です。 これを実現するには、次のような監査を実行します。
- 使用パターン、アクティビティ、導入を追跡する
- ガバナンスとセキュリティの要件をサポートする
- 特定の要件に対するコンプライアンス違反の問題を見つける
- 現在のセットアップを文書化する
- ユーザーの教育とトレーニングの機会を特定する
チェックリスト - 情報保護と DLP の監査を検討する際の主な決定事項とアクションは次のとおりです。
- 監査で最も重要なことを決定する: 監査の観点から最も重要なことを検討します。 リスク、主な非効率性、または規制要件への非準拠の各領域を優先順位付けします。 改善できる状況が発生した場合は、適切な実行方法をユーザーに教育します。
- 関連する監査プロセスを実装する: 監査を実行できるように、抽出、統合、モデル化、レポート作成を行うためのプロセスを配置します。
- 適切なアクションを実行する: 監査プロセスから取得した情報を使用して、適切なアクションを実行する権限と時間を持っているユーザーがいることを確認します。 状況によっては、コンテンツに割り当てられる秘密度ラベルの調整が必要になる場合があります。 その他の状況では、ユーザーの教育やトレーニングが含まれる場合があります。
この記事の残りの部分では、役に立つ監査プロセスと提案について説明します。
Power BI アクティビティ ログ
情報保護を支援するために、Power BI アクティビティ ログを使用して、秘密度ラベルに関連するアクティビティを追跡できます。
Power BI 用の DLP を実装すると、アクティビティ ログによって、DLP ルールにいつ一致したかが追跡されます。
- 探す内容: 次のような特定のアクティビティがいつ発生したかを判別できます。
- 秘密度ラベルの適用、変更、削除、およびそれを実行したユーザー
- ラベルが手動で適用されたかどうか
- ラベルが自動的に適用されたかどうか (継承やデプロイ パイプラインなど)
- 変更されたラベルが (より機密性の高いラベルに) アップグレードされたか、(より機密性の低いラベルに) ダウングレードされたか
- DLP イベントがトリガーされる頻度、場所、およびそれを実行したユーザー
- 実行するアクション: アクティビティ ログ データのデータが、テナント レベルのメタデータを抽出するアクセス許可を持つ管理者によって、定期的に抽出されていることを確認します。 監査ニーズをサポートするために、アクティビティを分類する方法を決定します。 一部のアクティビティでは、管理者またはコンテンツ所有者によるレビューが正当化される場合があります (ラベルが削除されたときなど)。 その他のアクティビティでは、定期的な監査レビューに含めることが正当化される場合があります (ラベルがダウングレードされたとき、DLP ルールの一致が発生したときなど)。
- このデータを探す場所: Power BI 管理者は、Power BI アクティビティ ログ を使用して、Power BI コンテンツに関連するアクティビティを表示できます。 または、Defender for Cloud Apps で、Power BI 管理者に制限付きビューを付与すると、アクティビティ ログ イベント、サインイン イベント、および Power BI サービスに関連するその他のイベントを表示できます。
Power BI 保護メトリック
データ保護メトリック レポートは、Power BI 管理ポータルの専用レポートです。 Power BI テナント内のコンテンツに秘密度ラベルがどのように割り当てられているかを要約したものです。
- 探す内容: Power BI サービス内の各種のアイテム (セマンティック モデルやレポートなど) に秘密度ラベルが適用される頻度を簡単に把握できます。
- 実行するアクション: ラベルが適用されていないコンテンツの量を把握するには、このレポートを確認します。
- このデータを探す場所: Power BI 管理者は、Power BI 管理ポータルでデータ保護メトリック レポートを見つけることができます。
ヒント
データ保護メトリック レポートは概要レポートです。 次のセクションで説明するスキャナー API を使用して、より詳細な分析を実行することもできます。
Power BI スキャナー API
Power BI スキャナー API を使用すると、Power BI テナント内のメタデータをスキャンできます。 セマンティック モデルやレポートなどの Power BI アイテムのメタデータは、セルフサービス ユーザー アクティビティの監視とレビューに役立ちます。
たとえば、財務ワークスペース内のコンテンツが 3 つの異なる秘密度ラベルに割り当てられていることが判明する場合があります。 これらのラベルのいずれかが財務データに適していない場合は、より適切なラベルを適用できます。
- 探す内容: 各アイテムの秘密度ラベルを含む、テナント内の Power BI アイテムのインベントリを作成できます。
- 実行するアクション: 週単位または月単位でテナントをスキャンするプロセスを作成します。 スキャナー API によって取得されたメタデータを使用して、どのように Power BI コンテンツにラベルが付けられているかを理解します。 一部のラベルでワークスペースに対する期待が満たされていない場合は、さらに調査します。 スキャナー API のメタデータと Power BI アクティビティ ログのイベントを関連付けて、秘密度ラベルがいつ適用、変更、削除されたか、およびどのユーザーによって行われたかを判別します。
- このデータを探す場所: Power BI 管理者は、Power BI スキャナー API を使用して、すべての Power BI コンテンツに適用されている秘密度ラベルのスナップショットを取得できます。 独自のインベントリ レポートを作成する場合は、スクリプトを記述して API を直接使用できます。 または、Microsoft Purview データ マップに Power BI を登録することで、API を間接的に使用することもできます (Power BI スキャナー API を使用して Power BI テナントをスキャンします)。
Microsoft Purview アクティビティ エクスプローラー
Microsoft Purview コンプライアンス ポータルのアクティビティ エクスプローラーでは、役立つ監査データが集計されます。 このデータは、アプリケーションとサービス全体のアクティビティを理解するのに役立ちます。
ヒント
アクティビティ エクスプローラーでは、特定の種類の Power BI イベントのみが公開されます。 Power BI アクティビティ ログとアクティビティ エクスプローラーの両方を使用してイベントを表示することを計画してください。
- 探す内容: アクティビティ エクスプローラーを使用すると、Teams、SharePoint Online、OneDrive、Exchange Online、Power BI など、さまざまなアプリケーションの秘密度ラベル アクティビティを表示できます。 また、ファイルがいつ、どこで、どのユーザーによって読み取られたかを確認することもできます。 特定の種類の DLP ポリシー イベントも、アクティビティ エクスプローラーに表示されます。 秘密度ラベルの変更について説明する理由が提供されている場合は、アクティビティ エクスプローラーでその理由を表示できます。
- 実行するアクション:アクティビティ エクスプローラーのイベントを定期的に確認して、懸念事項があるか、さらに調査が必要なイベントがあるかどうかを識別します。 一部のイベントによって、管理者またはコンテンツ所有者によるレビューが正当化される場合があります (ラベルが削除されたときなど)。 その他のイベントでは、定期的な監査レビューに含めることが正当化される場合があります (ラベルがダウングレードされたときなど)。
- このデータを探す場所: Microsoft 365 管理者は、Microsoft Purview コンプライアンス ポータルのアクティビティ エクスプローラーを使用して、すべての秘密度ラベル アクティビティを表示できます。
Microsoft Purview コンテンツ エクスプローラー
Microsoft Purview コンプライアンス ポータルのコンテンツ エクスプローラーでは、さまざまなアプリケーションやサービスに渡って機密情報が配置されている場所のスナップショットが提供されます。
ヒント
コンテンツ エクスプローラーで Power BI Desktop (.pbix) ファイルを表示することはできません。 ただし、コンテンツ エクスプローラーを使用すると、Power BI サービスからエクスポートされた特定の種類のサポートされているファイル (Excel ファイルなど) を表示できます。
- 探す内容: コンテンツ エクスプローラーを使用すると、Teams、SharePoint Online、OneDrive、Exchange Online など、さまざまな場所にある機密データを判別できます。
- 実行するアクション: 存在するコンテンツとその場所を理解する必要がある場合は、コンテンツ エクスプローラーを確認します。 この情報を使用して、行った決定と、他のアクションを実行する必要があるかどうかを評価します。
- このデータを探す場所: Microsoft 365 管理者は、Microsoft Purview コンプライアンス ポータルのコンテンツ エクスプローラーを使用して、機密データが現在存在する場所を特定できます。
関連するコンテンツ
Power BI の実装の決定に役立つ考慮事項、アクション、意思決定基準、推奨事項の詳細については、「Power BI 実装計画」の「サブジェクト領域」を参照してください。