コンプライアンス マネージャーのスコアリング
重要
コンプライアンス マネージャーの推奨事項は、コンプライアンスの保証と捉えることはできません。 お客様の規制環境ごとにお客様独自のコントロールの有効性を評価および検証するかどうかは、お客様の判断に委ねられています。 これらのサービスは、製品使用条件の使用条件に従 います。 「Microsoft 365 コンプライアンスに関するライセンスとガイダンス」も参照してください。
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。
コンプライアンス スコアを理解する
コンプライアンス マネージャー ダッシュボードには、全体的なコンプライアンス スコアが表示されます。 このスコアは、コントロール内の推奨改善アクションの完了状況を測定します。 このスコアは、現在のコンプライアンスに対する方針を理解するのに役立ちます。 リスクを軽減する可能性に基づいてアクションの優先度を設定することにも役立ちます。
スコア値は、次のレベルで割り当てられます。
改善アクション: 各アクションは、関連する潜在的なリスクに応じてスコアに異なる影響を与えます。 詳細については、以下 の「アクションの種類とスコアリング 」を参照してください。
評価: このスコアは、改善アクション スコアを使用して計算されます。 コントロールで参照される頻度に関係なく、organizationによって管理される各 Microsoft アクションと各改善アクションは 1 回カウントされます。
全体的なコンプライアンス スコアは、改善アクション スコアを使用して計算されます。各 Microsoft アクションは 1 回カウントされ、管理する技術的なアクションはそれぞれ 1 回カウントされ、管理する非技術的なアクションはグループごとに 1 回カウントされます。 このロジックは、組織内のアクションの実装方法およびテスト方法を最も正確に把握できるようにすることを目的としています。 そのため、全体的なコンプライアンス スコアが評価スコアの平均と異なる場合があります。 アクションのスコアリング方法については、以下をご覧ください。
Microsoft 365 データ保護ベースラインに基づく初期スコア
コンプライアンス マネージャーは、Microsoft 365 データ保護ベースラインに基づいて、初期スコアを提供します。 このベースラインは、データ保護と一般的なデータ ガバナンスに関する主要な規制と基準を含む一連のコントロールです。 このベースラインは、主に NIST CSF (国立標準技術研究所のサイバー セキュリティ フレームワーク) および ISO (国際標準化機構) や、FedRAMP (米国連邦リスクおよび承認管理プログラム) および GDPR (一般データ保護規則) の要素を取り入れています。
初期スコアは、すべての組織に提供されている既定のデータ保護のベースラインの評価に基づいて計算されます。 最初のアクセス時から、コンプライアンス マネージャーは既に Microsoft 365 ソリューションから信号を収集します。 主要なデータ保護基準と規制に対するorganizationのパフォーマンスがひとめでわかります。また、推奨される改善アクションを参照してください。
各組織には特定のニーズがあるため、コンプライアンス マネージャーは、リスクをできるだけ包括的に最小化して軽減するためにお客様による評価の設定および管理に依存しています。
アクションの種類とスコアリング
改善アクションには、実装の要件を完了したときに付与されるポイントがあります。 変更が加えられた 24 時間以内に、アクションの状態がダッシュボードで更新されます。 推奨事項に従ってコントロールを実装すると、通常、コントロールの状態は翌日更新されます。
ポイントは評価ごとにアクションごとに付与されます。 たとえば、アクションが 10 ポイントの価値があるが、2 つの評価に表示される場合、そのアクションはテナント全体で 20 ポイントの価値があります。 例外は、テナントにスコープが設定された 技術的なアクション の場合です。これらのアクションのポイントは、アクションが属するグループの数に関係なく、アクションごとに 1 回付与されます。
Microsoft Defender for Cloud でサポートされるサービスのアクション
改善アクションの全体的なスコアは、サブスクリプションが受け取ったスコアの平均に基づいています。 各サブスクリプションは、関連する仮想リソースの状態に基づいてスコア付けされます。
たとえば、A と B の 2 つのサブスクリプションを持つアクションを考えてみましょう。サブスクリプション A には 1 つのリソースのうち 0 が完了し、サブスクリプション B には 2 つのリソースのうち 1 つのリソースが完了しています。 サブスクリプション スコアは次のとおりです。A は 0%、B は 50% です。 2 つのサブスクリプション スコアが平均され、全体的なアクション スコアは 25% になります。
スコア値の決定方法
アクションのスコア値は、コントロールが必須か任意のどちらであるか、および予防、検出、または修正のいずれであるかに基づいて割り当てられます。
必須および任意のコントロール
必須アクションは、意図的にも偶発的にもバイパスできません。 必須アクションの例は、パスワードの長さ、複雑さ、および期限の要件を設定する一元管理されたパスワードです。 ユーザーがシステムにアクセスするには、次の要件を満たす必要があります。
任意アクションは、ユーザーがポリシーを理解し、従うことに依存しています。 たとえば、ユーザーが無人のときにコンピューターをロックすることをユーザーに要求するポリシーは、ユーザーに依存しているため、随意のアクションです。
予防アクション、検出アクション、修正アクション
予防アクションは、特定のリスクに対処します。 たとえば、暗号化を使用して保存されている情報を保護することは、攻撃、侵害などに対する予防アクションです。 職務の分離は、利害の対立を管理し、詐欺から保護するための予防アクションです。
検出アクションは、システムを積極的に監視し、リスクを表す不規則な状態や行動を特定したり、侵入や侵害を検出するために使用されたりする可能性があります。 たとえば、システム アクセス監査および特権管理アクションなどがあります。 規制コンプライアンス監査は、プロセスの問題点を検出するために使用される検出アクションの一種です。
修正アクションは、セキュリティ インシデントによる悪影響を最小限にとどめ、即時の影響を軽減するために修正アクションを実行し、可能であれば被害を修復するよう試みます。 プライバシー インシデントへの対応は、侵害を受けた後に被害を限定し、システムを稼働状態へと復元するための修正アクションです。
各アクションには、代表するリスクに基づいて、コンプライアンス マネージャーで値が割り当てられています。
種類 | 割り当てられたスコア |
---|---|
予防および必須 | 27 |
予防および任意 | 9 |
検出および必須 | 3 |
検出および任意 | 1 |
修正および必須 | 3 |
修正および任意 | 1 |