次の方法で共有

Power BI の実装計画: Power BI の情報保護とデータ損失防止の監査

  • [アーティクル]

手記

この記事は、Power BI 実装計画 一連の記事の一部です。 このシリーズでは、主に、Microsoft Fabric内の Power BI エクスペリエンスに焦点を当てます。 シリーズの概要については、Power BI 実装計画参照してください。

この記事では、情報保護とデータ損失防止 (DLP) を実装した後に実行できる監査の種類について説明します。 対象は次のとおりです。

  • Power BI 管理者: 組織内の Power BI の監視を担当する管理者。 Power BI 管理者は、情報セキュリティやその他の関連チームと共同作業する必要があります。
  • センター オブ エクセレンス、IT チーム、および BI チーム: 組織内の Power BI の監督を担当する他のユーザー。 Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同作業が必要になる場合があります。

情報保護とデータ損失防止 が組織でどのように使用されているかを理解することが重要です。 これを実現するには、監査を実行します。次のことができます。

  • 使用パターン、アクティビティ、導入を追跡する
  • ガバナンスとセキュリティの要件をサポートする
  • 特定の要件に関するコンプライアンス違反の問題を見つける
  • 現在のセットアップを文書化する
  • ユーザーの教育とトレーニングの機会を特定する

チェックリスト - 情報保護と DLP の監査を検討する場合、主な決定事項とアクションは次のとおりです。

  • 監査にとって最も重要なものを決定する: 監査の観点から最も重要なものを検討します。 リスク、主要な非効率性、または規制要件に準拠していない領域に優先順位を付けます。 改善できる状況が発生した場合は、適切な方法でユーザーを教育します。
  • 関連する監査プロセスを実装: 監査を実行できるように、レポートを抽出、統合、モデル化、および作成するためのプロセスを配置します。
  • 適切なアクションを実行: 監査プロセスから取得した情報を使用して、誰かが適切なアクションを実行する権限と時間を持っていることを確認します。 状況によっては、コンテンツに割り当てられる秘密度ラベルを調整する必要があります。 その他の状況には、ユーザーの教育やトレーニングが含まれる場合があります。

この記事の残りの部分では、便利な監査プロセスと提案について説明します。

Power BI アクティビティ ログ

情報保護に役立つには、Power BI アクティビティ ログを使用して、秘密度ラベルに関連する アクティビティを追跡できます。

Power BI用の DLP 実装すると、DLP ルールが一致したときにアクティビティ ログが追跡されます。

  • の検索対象: 次のような特定のアクティビティがいつ発生するかを判断できます。
    • どのユーザーによって秘密度ラベルが適用、変更、削除されたか
    • ラベルが手動で適用されたかどうか
    • ラベルが自動的に適用されたかどうか (継承やデプロイ パイプラインなど)
    • 変更されたラベルが (より機密性の高いラベルに) アップグレードされたか、ダウングレードされたか (機密性の低いラベルに)
    • DLP イベントがトリガーされる頻度、どこで、どのユーザーがトリガーされるか
  • アクションを取る: テナントレベルのメタデータを抽出する権限がある管理者によって、アクティビティ ログ データが定期的に抽出されるようにします。 監査ニーズをサポートするためにアクティビティを分類する方法を決定します。 一部のアクティビティは、管理者またはコンテンツ所有者によるレビューを正当化する場合があります (ラベルが削除された場合など)。 他のアクティビティは、定期的な監査レビューに含まれることを正当化する場合があります (たとえば、ラベルがダウングレードされたときや、DLP ルールの一致が発生した場合など)。
  • このデータを検索する場所: Power BI 管理者は、power BI アクティビティ ログ を使用して、Power BI コンテンツに関連するアクティビティを表示できます。 また、Defender for Cloud Apps では、Power BI 管理者に 制限付きビュー を付与して、アクティビティ ログ イベント、サインイン イベント、Power BI サービスに関連するその他のイベントを表示することもできます。

Power BI 保護メトリック

データ保護メトリック レポート は、Power BI 管理ポータルの専用レポートです。 Power BI テナントのコンテンツに秘密度ラベルを割り当てる方法をまとめたものです。

  • の検索対象: Power BI サービスの各種類のアイテム (セマンティック モデルやレポートなど) に秘密度ラベルが適用される頻度を簡単に把握できます。
  • を実行するアクション: ラベルが適用されていないコンテンツの量を理解するには、このレポートを確認します。
  • このデータを見つける場所: Power BI 管理者は、Power BI 管理ポータルでデータ保護メトリック レポートを見つけることができます。

ヒント

データ保護メトリック レポートは概要レポートです。 次のセクションで説明するスキャナー API を使用して、より詳細な分析を実行することもできます。

Power BI スキャナー API

Power BI スキャナー API を使用すると、Power BI テナント内のメタデータをスキャンできます。 セマンティック モデルやレポートなどの Power BI 項目のメタデータは、セルフサービス ユーザー アクティビティの監視と確認に役立ちます。

たとえば、財務ワークスペース内のコンテンツが 3 つの異なる秘密度ラベルに割り当てられていることが分かることがあります。 これらのラベルのいずれかが財務データに適さない場合は、より適切なラベルを適用できます。

  • 注目する点: あなたのテナント内で、各アイテムの秘密度ラベルを含む Power BI アイテムのインベントリを作成できます。
  • を実行するアクション: 週単位または月単位でテナントをスキャンするプロセスを作成します。 スキャナー API によって取得されたメタデータを使用して、Power BI コンテンツのラベル付け方法を理解します。 一部のラベルがワークスペースの期待を満たしていない場合は、さらに調査します。 スキャナー API のメタデータを Power BI アクティビティ ログのイベントと関連付けて、秘密度ラベルがいつ適用、変更、削除されたか、およびどのユーザーによって適用されたかを判断します。
  • このデータを検索する場所: Power BI 管理者は、Power BI スキャナー API を使用して、すべての Power BI コンテンツに適用される秘密度ラベルのスナップショットを取得できます。 独自のインベントリ レポートを作成する場合は、スクリプトを記述して API を直接使用できます。 または、Microsoft Purview Data Map に Power BI を登録 することで、API を間接的に使用することもできます (Power BI スキャナー API を使用して Power BI テナントをスキャンします)。

Microsoft Purview アクティビティ エクスプローラー

Microsoft Purview コンプライアンス ポータル アクティビティ エクスプローラーの は、有用な監査データを集計します。 このデータは、アプリケーションとサービス全体のアクティビティを理解するのに役立ちます。

ヒント

アクティビティ エクスプローラーでは、特定の種類の Power BI イベントのみが公開されます。 Power BI アクティビティ ログとアクティビティ エクスプローラーの両方を使用して、イベントの表示を計画します。

  • の検索方法: アクティビティ エクスプローラーを使用して、Teams、SharePoint Online、OneDrive、Exchange Online、Power BI など、さまざまなアプリケーションの秘密度ラベル アクティビティを表示できます。 また、ファイルがいつ、どこで、どのユーザーによって読み取られたかを確認することもできます。 アクティビティ エクスプローラーには、特定の種類の DLP ポリシー イベントも表示されます。 秘密度ラベルの変更を説明する理由が提供されている場合は、アクティビティ エクスプローラーで理由を表示できます。
  • 実行するアクション: アクティビティ エクスプローラーのイベントを定期的に確認して、懸念事項があるか、さらに調査が必要なイベントがあるかどうかを識別します。 一部のイベントは、管理者またはコンテンツ所有者によるレビューを正当化する場合があります (たとえば、ラベルが削除されたとき)。 その他のイベントは、定期的な監査レビューに含まれることを正当化する場合があります (ラベルがダウングレードされた場合など)。
  • このデータを検索する場所: Microsoft 365 管理者は、Microsoft Purview コンプライアンス ポータルで アクティビティ エクスプローラー を使用して、すべての秘密度ラベル アクティビティを表示できます。

Microsoft Purview コンテンツ エクスプローラー

Microsoft Purview コンプライアンス ポータル コンテンツ エクスプローラーでは、さまざまなアプリケーションとサービスに機密情報が配置されている場所のスナップショットが提供されます。

ヒント

コンテンツ エクスプローラーで Power BI Desktop (.pbix) ファイルを表示することはできません。 ただし、コンテンツ エクスプローラーを使用すると、Power BI サービスからエクスポートされたサポートされている特定の種類のファイル (Excel ファイルなど) を確認できます。

  • の検索対象: コンテンツ エクスプローラーを使用して、Teams、SharePoint Online、OneDrive、Exchange Online などのさまざまな場所にある機密データを特定できます。
  • 実行すべきアクション: 存在しているコンテンツとその場所を理解するために、コンテンツ エクスプローラーを確認してください。 この情報を使用して、行った決定と、他のアクションを実行する必要があるかどうかを評価します。
  • このデータを検索する場所: Microsoft 365 管理者は、Microsoft Purview コンプライアンス ポータルでコンテンツ エクスプローラー 使用して、機密データが現在存在する場所を特定できます。

関連コンテンツ

Power BI 実装の決定に役立つその他の考慮事項、アクション、意思決定基準、および推奨事項については、対象領域 Power BI 実装計画を参照してください。