Microsoft Purview ガバナンス ポータルを使用して機密情報のデータ分類を実装する

完了

Microsoft Azure Purview でデータ ソースを管理する

1. 登録
2. スキャンして取り込む
3. 分類

Microsoft Purview データ マップのラベル付けは、現在、プレビュー段階にあります。

Microsoft Azure プレビューの使用条件に関する補足

Azure には、省略可能な評価用に Microsoft が提供するプレビュー、ベータ、またはその他のプレリリースの機能、サービス、ソフトウェア、またはリージョンが含まれる場合があります ("プレビュー")。 プレビューは、Azure の使用を規定する契約の一環としてライセンス供与され、"プレビュー" に適用される条件下に置かれます。

特定の指定されたプレビューには、該当する場合に、以下に規定する追加の条件が適用されます。 お客様は、Azure の使用に適用される契約を補完する、これらの追加の条件に従い、これらのプレビューを使用することができます。 ここに定義されていない大文字の用語の意味は契約に記載されています。 これらの条件に同意しない場合は、プレビューを使用しないでください。

新しいソースを登録する

Note

Microsoft Purview ガバナンス ポータルにソースを登録して管理するには、データ ソース管理者と、他の Purview ロール (データ閲覧者やデータ共有共同作成者など) のいずれかである必要があります。

Microsoft Purview で、データ ソースを登録した後、ソースをスキャンして技術的なメタデータのキャプチャ、スキーマの抽出、データへの分類の適用を行うことができます。

前提条件

現在 Microsoft Purview で登録およびスキャンできるすべてのソースの一覧を次に示します。

データ ソースをスキャンする前に、以下の手順を実行する必要があります。

1. データ ソースの登録 - これにより、基本的に Microsoft Purview にデータ ソースのアドレスが与えられ、それが Microsoft Purview データ マップ内のコレクションにマップされます。
2. ネットワークを検討して、シナリオに適した統合ランタイム構成を選びます。
3. ソースへの接続に使う資格情報を検討します。 すべてのソース ページには、使用できる認証の種類に関する詳細を含むスキャンのセクションがあります。

Microsoft Purview でのスキャンとインジェスト

Microsoft Purview のスキャンとインジェスト機能は、Microsoft Purview を使用してデータの探索と管理を開始できるように、Microsoft Purview アカウントをソースに接続してデータ マップとデータ カタログを設定します。

• スキャンは、データ ソースからメタデータをキャプチャし、Microsoft Purview に取り込みます。
  
• インジェストは、次の両方からのメタデータを処理し、データ カタログに格納します。
  • データ ソース スキャン - スキャンされたメタデータが Microsoft Purview データ マップに追加されます。
  • 系列接続 - 変換リソースが、ソース、出力、およびアクティビティに関するメタデータを Microsoft Purview データ マップに追加します。

スキャン

Microsoft Purview アカウントでデータ ソースを登録したら、次のステップではデータ ソースをスキャンします。 スキャン プロセスでは、データ ソースへの接続を確立して、名前、ファイル サイズ、列など、技術的なメタデータをキャプチャします。 また、構造化データ ソースのスキーマを抽出して、スキーマの分類を適用します。Microsoft Purview Data Map が Microsoft Purview コンプライアンス ポータルに接続されている場合は、秘密度ラベルを適用します。 スキャン プロセスをトリガーしてすぐに実行したり、定期的にスケジュール実行したりして、Microsoft Purview アカウントを最新の状態に保つことができます。

スキャンごとに、ソース全体ではなく、必要な情報のみをスキャンするように適用できるカスタマイズ機能があります。

スキャン ルール セットを作成する

Microsoft Azure Purview カタログで、スキャン ルール セットを作成すると、組織内のデータ ソースをすばやくスキャンできます。

スキャン ルール セットとは、一連のスキャン ルールをスキャンと簡単に関連付けられるようにグループ化するためのコンテナーです。 たとえば、データ ソースの種類ごとに既定のスキャン ルール セットを作成した後、社内のすべてのスキャンに対して既定でこれらのスキャン ルール セットを使用する場合があります。 また、適切なアクセス許可を持つユーザーが、ビジネス ニーズに基づいてさまざまな構成で他のスキャン ルール セットを作成できるようにしたい場合もあります。

システム スキャン ルール セット

システム スキャン ルール セットとは、Microsoft Azure Purview カタログごとに自動的に作成される Microsoft 定義のスキャン ルール セットです。 各システム スキャン ルール セットは、特定のデータ ソースの種類に関連付けられています。 スキャンを作成するときに、それをシステム スキャン ルール セットに関連付けることができます。 Microsoft によってこれらのシステム ルール セットが更新されるたびに、お使いのカタログでそれらを更新し、関連するすべてのスキャンに更新プログラムを適用できます。

分類 - Microsoft Purview ガバナンス ポータルでのデータ分類

Microsoft Purview ガバナンス ポータルでのデータ分類とは、データ資産に一意の論理タグやクラスを割り当てることでデータ資産を分類する手段のことです。 分類はデータのビジネス コンテキストによって決まります。 たとえば、"パスポート番号"、"運転免許証番号"、"クレジット カード番号"、"SWIFT コード"、"人物名" などで資産を分類することが考えられます。

データ資産を分類すると、簡単に理解、検索、制御できるようになります。 また、データ資産の分類は、それらに関連するリスクを理解するのにも役立ちます。 これにより、データ資産全体での無秩序な急増や未承認のアクセスから機密データや重要なデータを保護する手段を実装することができます。

Microsoft Purview Data Map には、データ ソースのスキャン中に自動分類機能が用意されています。 200 を超えるシステム組み込みの分類と、特定のデータ用にカスタム分類を作成する機能があります。 構成されているスキャンの一部として取り込まれるときに資産を自動的に分類することも、スキャンと取り込みの後に Microsoft Purview ガバナンス ポータルで手動で編集することもできます。

分類の用途

分類とは、データを "論理的なカテゴリ" に整理して、将来使用するためにデータを簡単に取得、並べ替え、特定できるようにするプロセスです。 これは、データ ガバナンスにとって重要です。 他の理由として、データ資産の分類は次のことに役立つために重要です。

• 関心のあるデータ資産の検索を絞り込みます。
• 組織にとって重要なさまざまなデータ クラスとその格納場所を整理し、理解します。
• 最も重要なデータ資産に関連するリスクを理解し、適切な対策を講じてそれらを軽減します。

分類の種類

Microsoft Purview ガバナンス ポータルでは、システムとカスタムの両方の分類がサポートされています。

• システム分類:200 以上のシステム分類が、そのままでサポートされます。
  

  上の画像の例では、"人物名" がシステム分類です。 システム分類には、分類名とともに雷アイコンがあります。 分類自体にカーソルを合わせると、分類の種類の詳細と、それがどのように適用されたかの詳細が表示されます
  

• カスタム分類: システム分類では使用できないパターンまたは特定の列名に基づいて資産を分類したいときは、カスタム分類を作成できます。 カスタム分類規則は、"正規表現" パターンまたは "辞書" に基づいて作成できます。
  

  たとえば、Employee ID 列が EMPLOYEE{GUID} のパターンになっているとします (例: EMPLOYEE9c55c474-9996-420c-a285-0d0fc23f1f55)。 正規表現 (\^Employee\[A-Za-z0-9\]{8}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{4}-\[A-Za-z0-9\]{12}\$ など) を使用して独自のカスタム分類を作成できます。

Note

秘密度ラベルは分類とは異なります。 秘密度ラベルは、"極秘"、"制限"、"パブリック" など、データのセキュリティとプライバシーのコンテキストで資産を分類します。 Microsoft Purview データ マップで秘密度ラベルを使うには、Microsoft Purview データ マップと同じ Microsoft Entra テナント内に少なくとも 1 つの Microsoft 365 ライセンスまたはアカウントが必要です。

Microsoft Purview Data Map でのラベル付け

重要

Microsoft Purview Data Map でのラベル付けは現在プレビュー段階です。 ベータ版、プレビュー版、または一般提供としてまだリリースされていない Azure の機能に適用されるその他の法律条項については、「Microsoft Azure プレビューの追加使用条件」に記載されています。

組織内のユーザーは、業務を完了するために組織の内外で他のユーザーと共同作業を行います。 データは常にクラウドにとどまっているわけではなく、多くの場合、デバイス、アプリ、サービスなどにどこでもローミングされます。 データがローミングされる場合でも、組織のビジネス ポリシーとコンプライアンス ポリシーを満たす方法で保護する必要があります。

コンテンツに秘密度ラベルを適用すると、組織内で特定のデータがどのくらい機密であるかを指定して、データのセキュリティを確保できます。 また、データ自体が抽象化されるので、別のプラットフォームで機密データを公開することなく、ラベルを使用してデータの種類を追跡することもできます。

たとえば、社会保障番号とクレジット カード番号を含むドキュメントに "極秘" 秘密度ラベルを適用すると、ドキュメント内の実際のデータを知ることなく、ドキュメントの秘密度を識別するために役立ちます。

Microsoft Purview でのラベル付けのメリット

Microsoft Purview を使用すると、資産に秘密度ラベルを適用し、データを分類して保護することができます。

• ラベルはデータと共に移動する: Microsoft Purview Information Protection で作成した秘密度ラベルは、Microsoft Purview Data Map、SharePoint、Teams、Power BI、SQL にも拡張できます。 Office ドキュメントにラベルを適用してから、それをスキャンして Microsoft Purview Data Map に取り込むと、ラベルはデータ資産に適用されます。 ラベルは Microsoft Purview Information Protection の実際のファイルに適用されますが、Microsoft Purview のマップにはメタデータとしてのみ追加されます。 さまざまなサービスやアプリケーションで資産にラベルを適用する方法に違いがあっても、ラベルはデータと共に移動し、拡張するすべてのサービスで認識されます。
  
• データ資産の概要: Microsoft Purview では、事前に用意されたレポートを通じてデータに関する分析情報が提供されます。 データを Microsoft Purview Data Map にスキャンすると、所有している資産についての情報、スキャン履歴、データで検出された分類、適用されたラベル、用語集の用語などがレポートにハイドレートされます。
• 自動ラベル付け: データの秘密度に基づいて、ラベルが自動的に適用されます。 資産に対して機密データをスキャンすると、どの秘密度ラベルを適用するかを決定するために、自動ラベル付け規則が使用されます。 各秘密度ラベルに対して自動ラベル付け規則を作成し、どの分類および機密情報の種類でラベルが構成されるかを定義できます。
• ファイルとデータベース列にラベルを適用する:ラベルは、Azure Data Lake や Azure Files などのストレージ内のファイルや、Azure SQL Database の列などのスキーマ化されたデータに適用できます。

秘密度ラベルは、データを分類して保護するために資産に適用できるタグです。

Microsoft Purview Data Map で資産にラベルを適用する方法

データ マップの資産にラベルを適用するには、以下の手順を実行する必要があります。

1. Microsoft Purview コンプライアンス ポータルで、新しい秘密度ラベルを作成するか、既存の秘密度ラベルを適用します。 秘密度ラベルの作成には、データ内で検出された分類に基づいてどのラベルを適用するかを指定する、自動ラベル付け規則も含まれます。
   
2. Microsoft Purview Data Map で、資産を登録してスキャンします。
3. Microsoft Purview によって分類が適用されます。資産のスキャンをスケジュールすると、Microsoft Purview によって資産内のデータの種類がスキャンされ、データ マップ内で分類が適用されます。 分類の適用は、Microsoft Purview によって自動的に行われます。ユーザーのアクションは必要ありません。
4. Microsoft Purview によってラベルが適用されます。資産に対する分類が検出されると、Microsoft Purview によって、自動ラベル付け規則に応じて資産にラベルが適用されます。 ラベルの適用は、Microsoft Purview によって自動的に行われます。ステップ 1 で自動ラベル付け規則を使用してラベルを作成している限り、ユーザーのアクションは必要ありません。

Note

自動ラベル付け規則は、特定のラベルをいつ適用するかを示すために指定する条件です。 これらの条件が満たされると、ラベルがデータに自動的に割り当てられます。 ラベルを作成するときは、ファイルとデータベースの列の両方に対して自動ラベル付け規則を定義し、各スキャンでラベルが自動的に適用されるようにしてください。

SQL データベースのラベル付け

Microsoft Purview データ マップのスキーマ化されたデータ資産のラベル付けに加えて、Microsoft は SQL Server Management Studio (SSMS) の SQL データ分類を使った SQL データベース列のラベル付けもサポートしています。 Microsoft Purview ではグローバルの秘密度ラベルが使用されますが、SSMS ではローカルに定義されているラベルのみが使用されます。

Microsoft Purview でのラベル付けと SSMS でのラベル付けは、現在相互に連携していない別々のプロセスです。 そのため、SSMS で適用されるラベルは Microsoft Purview には表示されず、その逆も同様です。 SQL データベースのラベル付けには、Microsoft Purview をお勧めします。そうすれば、複数のプラットフォームを対象としてグローバルにラベルを適用できます。