インサイダー リスク管理で分析を有効にする

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

Microsoft Purview インサイダー リスク管理分析を有効にすると、2 つの重要な利点があります。 分析が有効になっている場合は、次のことができます。

• インサイダー リスク ポリシーを構成せずに、organization内の潜在的なインサイダー リスクの評価を実施します。
• インジケーターのしきい値設定の構成に関するリアルタイムガイダンスを受け取ります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。

organizationにおけるインサイダー リスクの評価を実施する

Microsoft Purview インサイダー リスク管理分析を使用すると、インサイダー リスク ポリシーを構成することなく、organization内の潜在的なインサイダー リスクの評価を実行できます。 この評価は、organizationユーザー リスクの高い潜在的な領域を特定し、構成する可能性があるインサイダー リスク管理ポリシーの種類と範囲を決定するのに役立ちます。 分析スキャンでは、organizationに次の利点があります。

• 構成が簡単: 分析スキャンを開始するには、分析に関する推奨事項のプロンプトが表示されたら [スキャンの実行 ] を選択するか、[ Insider risk settings>Analytics に移動し、分析を有効にします。
• 設計によるプライバシー: スキャンされた結果と分析情報は、集計および匿名化されたユーザー アクティビティとして返されます。 個々のユーザー名はレビュー担当者によって識別されません。 インサイダー リスク管理では分析のorganization内の ID は分類されないため、ソリューションは、organization境界を離れるデータに関与する可能性があるすべての UPN/ID を考慮します。 これには、ユーザー アカウント、システム アカウント、ゲスト アカウントなどが含まれる場合があります。
• 統合された分析情報を通じて潜在的なリスクを理解する: スキャン結果は、ユーザーの潜在的なリスク領域を迅速に特定し、これらのリスクを軽減するのに最適なポリシーを特定するのに役立ちます。

Insider Risk Management Analytics のビデオを参照して、分析が潜在的なインサイダー リスクの特定を促進する方法を理解するのに役立ちます。

スキャンされた領域

分析は、リスク管理アクティビティを複数のソースからスキャンして、潜在的なリスク領域に関する分析情報を特定するのに役立ちます。 現在の構成に応じて、分析では、次の領域で適格なリスク アクティビティが検索されます。

• Microsoft 365 監査ログ: すべてのスキャンに含まれています。これは、危険な可能性のあるアクティビティの大部分を特定するための主要なソースです。
• Exchange Online: すべてのスキャンに含まれるExchange Onlineアクティビティは、添付ファイル内のデータが外部の連絡先またはサービスに電子メールで送信されるアクティビティを特定するのに役立ちます。
• Microsoft Entra ID: すべてのスキャンに含まれるMicrosoft Entra履歴は、削除されたユーザー アカウントを持つユーザーに関連付けられている危険なアクティビティを特定するのに役立ちます。
• Microsoft 365 HR データ コネクタ: 構成されている場合、 HR コネクタ イベントは、辞任または今後の終了日を持つユーザーに関連付けられている危険なアクティビティを特定するのに役立ちます。

スキャンからの分析分析情報は、インサイダー リスク管理ポリシーで使用されるのと同じリスク管理アクティビティ シグナルに基づいており、単一ユーザー アクティビティとシーケンス ユーザー アクティビティの両方に基づいて結果を報告します。 ただし、分析のリスク スコアリングは最大 10 日間のアクティビティに基づいていますが、インサイダー リスク ポリシーでは分析情報に毎日のアクティビティが使用されます。 organizationで最初に分析を有効にして実行すると、1 日のスキャン結果が表示されます。 分析を有効のままにすると、過去 10 日間のアクティビティの最大範囲について、分析情報レポートに追加された毎日のスキャンの結果が表示されます。

インジケーターのしきい値設定の構成に関するリアルタイム ガイダンスを受け取る

"ノイズ" を減らすためにポリシーを手動で調整すると、非常に時間がかかる場合があります。これには、ポリシーの目的の構成を決定するために多くの試行錯誤を行う必要があります。 分析が有効になっている場合は、リアルタイムの分析情報を取得して、アクティビティ発生のインジケーターとしきい値の選択を効率的に調整して、ポリシー アラートを受け取りすぎないようにすることができます。 リアルタイム分析を使用してアラート ボリュームを管理する方法について詳しくは、こちらをご覧ください。

分析を有効にし、organizationの潜在的なインサイダー リスクのスキャンを開始する

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

インサイダー リスク分析を有効にするには、 Insider Risk Management、 Insider Risk Management Admins、または Microsoft 365 グローバル管理者 ロール グループのメンバーである必要があります。

現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。

Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [概要] タブで、[Insider risk analytics]\(インサイダー リスク分析\) カードまで下にスクロールし、[organizationでインサイダー リスクのスキャン] の下にある [スキャンの実行] を選択します。 これにより、organizationの分析スキャンが有効になります。 分析スキャンの結果は、分析情報がレビュー用のレポートとして使用できるようになるまで最大で 48 時間かかることがあります。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [概要] タブで、[Insider risk analytics]\(インサイダー リスク分析\) カードまで下にスクロールし、[organizationでインサイダー リスクのスキャン] の下にある [スキャンの実行] を選択します。 これにより、organizationの分析スキャンが有効になります。 分析スキャンの結果は、分析情報がレビュー用のレポートとして使用できるようになるまで最大で 48 時間かかることがあります。

ヒント

また、インサイダー リスク管理ページの上部にある [設定] を使用して、organizationでスキャンを有効にすることもできます。 [ 分析] を選択し、設定をオンにします。

最初の分析スキャン後に分析分析情報を表示する

organizationで分析スキャンの結果を表示するには、Insider Risk Management>Reports>Analytics に移動します。 レポートの詳細については、「 Insider Risk Management でレポートを使用する」を参照してください。

分析をオフにする

重要

Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 グローバル管理者ロールを持つユーザーの数を最小限に抑えることで、organizationのセキュリティを向上させることができます。 Microsoft Purview のロールとアクセス許可の詳細については、こちらをご覧ください。

インサイダー リスク分析を無効にするには、 Insider Risk Management、 Insider Risk Management Admins、または Microsoft 365 グローバル管理者 ロール グループのメンバーである必要があります。

現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。

Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して、Microsoft Purview ポータルにサインインします。
2. ページの右上隅にある [設定] を選択します。
3. [Insider Risk Management]\(インサイダー リスク管理\) を選択して、インサイダー リスク管理の設定に移動します。
4. [ Insider risk settings]\(インサイダー リスク設定\) で [ 分析] を選択し、設定をオフにします。

コンプライアンス ポータル

1. Microsoft 365 organizationの管理者アカウントの資格情報を使用してコンプライアンス ポータルにサインインします。
2. Insider Risk Management ソリューションに移動します。
3. [ 設定] を選択し、[ 分析] を選択します。
4. [分析] ページ で 、設定をオフにします。

分析を無効にした後:

• 分析分析情報レポートは静的なままであり、新しいリスクについては更新されません。
• ポリシーのインジケーターのしきい値設定をカスタマイズすると、リアルタイム分析を表示できません。