次の方法で共有


Power BI の実装計画: 情報保護とデータ損失防止

注意

この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。

この記事では、Power BI の情報保護とデータ損失防止 (DLP) に関する記事について説明します。 これらの記事はさまざまなユーザーを対象としています。

  • Power BI 管理者: 組織の Power BI を監視する管理者。 Power BI 管理者は、情報セキュリティ チームやその他の関連チームと共同で作業する必要があります。
  • センター オブ エクセレンス、IT、BI チーム: 組織内の Power BI の監視を担当するチーム。 これらのチームは、Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同で作業することが必要な場合があります。

重要

情報保護と DLP は、組織規模で行う重要な作業です。 その範囲と影響は、Power BI だけに留まりません。 このような種類のイニシアティブには、資金、優先順位付け、計画が必要です。 計画、使用、監視の作業には、部門を超えた複数のチームが関与する必要があります。

通常、組織の Power BI を管理するユーザーが、情報保護と DLP のほとんどの側面に対して直接的な責任を担うことはありません。 これらの責任は、情報セキュリティ チームや他のシステム管理者が担っている可能性があります。

この一連の記事の焦点は次のとおりです。

  • 理由: これらの機能がコンプライアンスと監査にとって重要である理由。
  • 内容: エンド ツー エンド プロセスの内容の概要。
  • 関係者: エンド ツー エンド プロセスに参加するチーム。
  • 前提条件: Power BI に対して情報保護と DLP の機能を有効にする前に準備しておく必要があるもの。

重要

Power BI 管理者ロールの名前が変更されました。 ロールの新しい名前は Fabric 管理者です。

組織のデータを保護する

データは、数多くのアプリケーションやサービスに存在し、 ソース データベースとファイルに格納され、 Power BI サービスに公開されます。 また、元のファイル、ダウンロードしたファイル、エクスポートされたデータとして、Power BI サービスの外部にも存在します。 データがよりアクセスしやすくなり、データにアクセスするリソースが増えると、データを保護する方法がますます重要になります。

簡単に言うと、データを保護するということは次のような作業になります。

  • 組織のデータの安全性を確保する。
  • 機密情報の無許可または意図しない共有のリスクを軽減する。
  • 規制要件に対する準拠状態を強化する。

データの保護は、複雑な問題です。 大まかに言うと、Power BI に関連するトピックは次のとおりです。

  • ユーザーの責任ある行動: 指導とトレーニングを受け、期待されていることを明確に理解しているユーザーは倫理的に行動できます。 このようなユーザーは、通常の作業の過程で、セキュリティ、プライバシー、コンプライアンスを重視する文化を実行に移すことができます。
  • 適切な規模のユーザー セキュリティ権限: Power BI では、データとレポートのセキュリティ保護は、これらの記事で説明されている情報保護および DLP のアクティビティとは別個のものです。 Power BI のセキュリティ方法には、ワークスペース ロール、共有、アプリのアクセス許可、行レベルのセキュリティ (RLS) などの手法が含まれます。 ワークスペース ロール、アプリのアクセス許可、項目ごとの共有、RLS などのセキュリティ手法については、セキュリティ計画に関する記事を参照してください。
  • データのライフサイクル管理: データを保護するには、バックアップやバージョン管理などのプロセスが重要です。 データ ストレージ暗号化キーと地理的な場所のセットアップも考慮事項になります。
  • 情報保護: 秘密度ラベルを使用したコンテンツのラベル付けと分類は、コンテンツを保護するための最初のステップです。 情報保護については、このシリーズの記事で説明します。
  • データ損失防止ポリシー: DLP とは、データ漏えいのリスクを軽減する制御とポリシーを指します。 データ損失防止については、このシリーズの記事で説明します。

情報保護と DLP に関するシリーズの記事では、最後の 2 つの箇条項目 (情報保護と DLP、具体的には Power BI との関係) を重点的に取り上げています。

完全な Microsoft Purview 情報保護フレームワーク (データの把握、データの保護、データ損失の防止、データの管理) についても理解することをお勧めします。

ヒント

組織の IT 部門には、情報保護と見なされる既存のプロセスが存在しますが、それらはこのシリーズの記事の範囲外です。 プロセスには、ソース データベース システムに関連する高可用性とディザスター リカバリーの取り組みが含まれる場合があります。 また、モバイル デバイスの保護が含まれる場合もあります。 必ずすべての計画作業で関連する技術チームとガバナンス チームを特定し、関与させるようにしてください。

一般的なユース ケース

Power BI コンプライアンスの課題と規制レポートの要件は、多くの場合、情報保護と DLP の使用を開始するための推進要因になります。

ヒント

データ漏えいとは、承認されていないユーザーがデータを閲覧するリスクのことです。 この用語は、多くの場合、外部ユーザーを参照するときに使用されます。 ただし、内部ユーザーに適用される場合もあります。 通常、データ漏えいのリスクを軽減することは、情報保護と DLP の取り組みの最優先事項です。 このセクションに列挙されるユース ケースはすべて、データ漏えいを削減するのに役立ちます。

このセクションには、組織が情報保護と DLP を実装せざるを得ない一般的なユース ケースが含まれています。 これらのユース ケースは主に Power BI に焦点を当てていますが、組織にとっての利点は、はるかに広範です。

データの分類とラベル付け

組織には、通常、コンテンツを分類およびラベル付けするための外部または内部の要件があります。 Power BI で (および組織のその他のアプリケーションやサービスでも) 秘密度ラベルを使用することは、コンプライアンス要件を満たす上で重要な要素です。

Power BI のコンテンツに秘密度ラベルを割り当てると、次に関する知識と分析情報を得ることができます。

  • 機密データが Power BI ワークスペースに含まれているかどうか。
  • セマンティック モデルなどの特定の Power BI 項目が機密と見なされるかどうか。
  • 機密であると見なされる Power BI 項目にアクセスできるユーザー。
  • Power BI サービス内の機密データにアクセスしたユーザー。

エンドツーエンドの保護を使用すると、秘密度ラベルを (必要に応じて) データ ソースから自動的に継承できます。 ラベルの継承により、ラベルが付けられなかったためにユーザーが機密データにアクセスして、承認されていないユーザーと共有するリスクが軽減されます。

Power BI サービスからエクスポートする場合、サポートされているファイルの種類にコンテンツをエクスポートすると秘密度ラベルが保持されます。 コンテンツをエクスポートする際のラベルの保持は、データ漏えいを減らすもう 1 つの重要な要因です。

Power BI コンテンツのラベル付けと分類の詳細については、「Power BI の情報保護」を参照してください。

ユーザーを教育する

前述のとおり、データ保護の 1 つの側面は、ユーザーの責任ある行動を必要とします。

秘密度ラベルはプレーン テキストで明確に表示されるため、ユーザーに役立つリマインダーとしての役目を果たします。 通常の作業の過程で、ラベルは、ユーザーが組織のガイドラインとポリシーに従ってデータをどのように操作する必要があるかについて認識を高めます。

たとえば、"機密性の高い" ラベルが表示されたら、ユーザーは、コンテンツのダウンロード、保存、または他のユーザーとの共有に関する決定に特に注意を払う必要があります。 このように、秘密度ラベルは、ユーザーが責任を持って機密データを処理し、承認されていないユーザーと誤ってデータを共有するリスクを軽減するのに役立ちます。

詳細については、「Power BI のデータ保護」を参照してください。

機密データを検出する

機密データが格納されている場所を検出する機能は、データ漏えいのもう 1 つの重要な側面です。

データセットが Power BI サービスに発行され、Premium ワークスペース内にある場合、Power BI 用 DLP を使用して、その中に特定の種類の機密情報が存在することを検出できます。 この機能は、Power BI セマンティック モデルに格納されている機密データ (財務データや個人データなど) を見つけるのに役立ちます。

重要

この記事では、Power BI Premium またはその容量サブスクリプション (P SKU) に言及することがあります。 現在、Microsoft は購入オプションを統合し、容量あたりの Power BI Premium SKU を廃止していることに注意してください。 新規および既存のお客様は、代わりに Fabric 容量サブスクリプション (F SKU) の購入をご検討ください。

詳細については、「Power BI Premium ライセンスに関する重要な更新」と「Power BI Premium のよく寄せられる質問」を参照してください。

Power BI 用のこの種類の DLP ポリシーを使用すると、セキュリティ管理者は、承認されていない機密データが Power BI サービスにアップロードされる場合を監視し、検出できます。 その場合、迅速に対処するために、アラートを利用できます。 また、ポリシー ヒントを使用して、機密データを適切に処理する方法についてコンテンツの作成者や所有者を指導することもできます。 Power BI の DLP の詳細については、「Power BI のデータ損失防止」を参照してください。

ヒント

データを適切に分類することで、データの関連付けや分析を行い、レポートを作成することができます。 ほとんどの場合、完全な理解を形成するために、複数のソースからのデータを関連付ける必要があります。 データは、Power BI スキャナー APIPower BI アクティビティ ログなどのツールを使用してキャプチャできます。 これらのトピックの詳細と、Microsoft Purview コンプライアンス ポータルの監査ログについては、「Power BI の情報保護とデータ損失防止の監査」を参照してください。

データ暗号化を使用する

秘密度ラベルで分類されたファイルには、(必要に応じて) 保護を含めることができます。 ファイルが暗号化で保護されると、データ漏えいや過剰共有のリスクが軽減されます。 暗号化設定は、デバイスやユーザーに関係なく、ファイルに従います。 (組織の内部および外部の) 承認されていないユーザー は、ファイルの内容を開いたり、暗号化解除したり、表示したりすることはできません。

重要

暗号化を実装する際に理解しておく必要があるトレードオフがあります。 暗号化に関する考慮事項など、詳細については、「Power BI の情報保護」を参照してください。

データ漏えいを減らすために実装できるコントロールの種類の詳細については、「Defender for Cloud Apps for Power BI」を参照してください。

リアルタイムでアクティビティを制御する

既存の Power BI のセキュリティ設定を強化するために、リアルタイム制御を実装してデータ漏えいのリスクを軽減できます。

たとえば、ユーザーが機密性の高いデータやレポートを Power BI サービスからダウンロードすることを制限できます。 この種のリアルタイム制御は、ユーザーに対して、コンテンツを自分で表示することを許可しても、ダウンロードして他のユーザーに配布できないようにする必要がある場合に役立ちます。

実装できるコントロールの種類の詳細については、「Defender for Cloud Apps for Power BI」を参照してください。

ヒント

Power BI コンプライアンスの強化に関連するその他の考慮事項については、セキュリティ計画に関する記事を参照してください。

情報保護と DLP サービス

情報保護と DLP に関連する機能とサービスの多くがブランド変更され、Microsoft Purview の一部になりました。 Microsoft 365 のセキュリティとコンプライアンス機能も Microsoft Purview の一部になっています。

このシリーズの記事に最も関連する機能とサービスは次のとおりです。

  • Microsoft Purview Information Protection (旧称 Microsoft Information Protection): Microsoft Purview Information Protection には、データを検出、分類、保護するための機能が含まれています。 重要な原則は、データを分類するとその保護を強化できることです。 データを分類するための重要な構成要素は秘密度ラベルであり、これについては、記事「Power BI の情報保護」で説明されています。
  • Microsoft Purview コンプライアンス ポータル (旧称 Microsoft 365 コンプライアンス センター): この ポータルでは、秘密度ラベルを設定します。 また、Power BI for DLP を設定する場所でもあります。これについては、記事「Power BI のデータ損失防止」で説明されています。
  • Microsoft Purview Data Loss Prevention (旧称 Office 365 Data Loss Prevention): DLP アクティビティは、主にデータ漏えいの削減に重点を置いています。 秘密度ラベルまたは機密情報の種類を使用することで、Microsoft Purview Data Loss Prevention ポリシーは、組織が機密データを見つけて保護するのに役立ちます。 Power BI に関連する機能については、記事「Power BI のデータ損失防止」を参照してください。
  • Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security): Microsoft Defender for Cloud Apps 内のポリシー (別のアプリケーションで定義) は、リアルタイム制御など、データの保護にも役立ちます。 Power BI に関連する機能については、記事「Defender for Cloud Apps for Power BI」を参照してください。

上記の一覧はすべてを網羅したものではありません。 Microsoft Purview には、このシリーズの記事の範囲をはるかに超える広範な機能セットが含まれています。 たとえば、Microsoft Purview のデータ カタログとガバナンス機能は重要ですが、このシリーズの記事の直接的な対象ではありません。

ヒント

サービス、機能、またはライセンスについて質問がある場合は、Microsoft アカウント チームにお問い合わせください。 このチームは、お客様の組織で利用できるものを明確にできる最適な立場にあります。

情報保護と DLP コンテンツに関する残りの情報は、次の記事に掲載されています。

このシリーズの次の記事では、Power BI の組織レベルの計画アクティビティによる情報保護の概要について説明します。