Microsoft Purview によるデータのラベル付けとセキュリティ
目次
1.はじめに
はじめまして、今回記事を書かせていただくMKです。
組織におけるデータの管理・保護には、皆さんどのようなソリューションを使用していますか?
Microsoft 365には、データ管理・保護に関するソリューション「Microsoft Purview」があります。
今回はMicrosoft Purviewの秘密度ラベルという機能を使用して、データ保護の検証を行ったため、検証内容を元にデータ保護の観点でご紹介します。
Microsoft Purviewは、組織がデータを管理及びセキュリティ保護するための包括的なソリューションです。データガバナンス・データセキュリティ・リスクとコンプライアンスの3つの観点からなる様々なサービスが利用できます。
- データガバナンス
オンプレミス、マルチクラウド、SaaS等の資産全体でデータを管理・検索・分類ができます。
また、メールメッセージ・ドキュメント・サイト等にラベルを付けることで、ラベル毎にデータの
可視化・保護ができます。
- データセキュリティ
データの損失防止や機密性の高いコンテンツの検出・分類ができます。
ラベル付けと連携し、特定ラベルが適用されたコンテンツに対して持ち出しさせない等の
設定が可能です。
- リスクとコンプライアンス
データの履歴の監査や、クラウド環境全体のコンプライアンス管理ができます。
今回は、主にデータセキュリティの機能に焦点を当て、データ損失防止を目的とした機密度ラベルの利用方法についてご紹介します。
- Microsoft Information Protection
Microsoft Purviewで利用できるソリューションの1つ。データ資産全体で機密情報やビジネスクリティカルな情報の検出やラベル付け、保護ができる。
- 秘密度ラベル
メールメッセージ、ドキュメント、サイト等の分類に使用される。
ラベルが適用されることで、ラベルの設定に基づいてコンテンツやサイトが保護される。
- データ損失防止(DLP)ポリシー
ポリシーを設定することで、組織の機密情報の識別と保護ができる。
Microsoft Information Protectionの秘密度ラベル機能により、ドキュメントに対し秘密度ラベルを適用できます。ラベルを割り当てる条件や、ラベルに特定のユーザ・グループへのアクセス制御機能を設定することにより、データの種類や内容に応じて自動的にアクセス制御を割り当てることができます。
4.検証
今回は、ファイルに秘密度ラベルを適用し、外部ユーザから参照できなくすることを目的とした検証を実施します。まず、ユーザAのOneDriveに保管されたデータに秘密度ラベルを適用し、ユーザBに対し共有します。その後、ユーザBからそのファイルにアクセスし、Microsoft Purviewの機能によってアクセス制限され閲覧できないことを確認します。
4.1.前提条件
本検証では、検証用ユーザMを管理単位で指定します。管理単位を指定するには、Microsoft 365 E5以上のライセンスが必要です。なお、管理単位ではなくテナント全体を指定する場合は、E5ライセンスは不要です。データの参照はSharePoint(OneDrive)を使用します。Exchange、SharePointのDLPを使用する場合はE3以上、その他のTeams、Endpoint、オンプレミス、MS Defender for Cloud Apps等のDLPを使用する場合はE5以上のライセンスが必要です。秘密度ラベルを利用する場合、機能によって異なるライセンスが必要です。今回は手動で秘密度ラベルを適用するため、Azure Information Protection Premium P1が必要です。以上のことから、検証ユーザにはMicrosoft 365 E5 ライセンスを付与します。
4.2.検証手順
本検証は、下記の手順で進めます。
① 秘密度ラベルの作成
ドキュメントへ適用するラベルの設定を行います。
ラベルのフォントや適用範囲、保護設定等が設定できます。
② 秘密度ラベルの発行
ラベルを発行し、ユーザが各ドキュメントで使用できるようにします。
発行するユーザ・グループ範囲を指定できます。
③ ポリシーの設定
データ損失防止ポリシーを設定し、ユーザ・グループ範囲に割り当てを行います。
割り当て範囲やデータの場所、詳細なDLPルールが設定できます。
④ 検証ユーザAのファイル共有
外部ユーザからファイルを開き、アクセス制限が適用されているか確認します。
4.3. 検証実施
① 秘密度ラベルの作成
Microsoft Purviewのポータル画面左側メニューより、「ソリューション」⇒「Microsoft Information Protection」をクリックします。
Microsoft Information Protectionのメニューより、秘密度ラベルをクリックします。
秘密度ラベルの画面より、「+ラベルの作成」をクリックすると、新しい秘密度ラベルの作成画面に遷移します。名前、表示名、ユーザ向けの説明を入力します。ラベルは後々変更できますので、
「最高」のまま進めます。
ラベルの色を設定します。ユーザから見えるドキュメントのラベルの判別になりますため、
予め色分けルールを決めておくとよいです。
ラベルの範囲を設定します。
今回はファイルにラベルを設定するため、「ファイルと他のデータ資産」にチェックを入れます。
ラベルに適用する保護設定を入力します。
「アクセス制御」、「コンテンツマーキングを適用する」にチェックを入れます。
「アクセス制御設定の構成」を選択します。
割り当てるユーザを設定します。
本検証では、検証用ユーザのみアクセス許可を付与します。
コンテンツのマーキングを設定します。本検証では透かしのみ追加します。
グループとサイトの保護設定は使用しないため、すべて外します。
完了画面にて設定内容を確認した後、ラベルの作成を行います。
発行したラベルは秘密度ラベルの一覧に表示されます。
② 秘密度ラベルの発行
秘密度ラベルの一覧画面より、発行するラベルを選択して「ラベルを発行」をクリックします。
発行する秘密度ラベルを選択します。
管理単位の割り当てを行います。本検証では、検証用ユーザのみが追加されている
「Purviewテスト用管理単位」を選択します。
ラベルを使用できるユーザとグループを設定します。
適用範囲は管理単位で割り当てているため、ここではすべてのユーザとグループを選択します。
また、管理単位内の特定のユーザを絞って選択することもできます。
ポリシーの設定を行います。本検証では2項目を選択します。
規定のラベルを適用します。本検証ではドキュメントのラベルのみ設定します。
ポリシーの名前を設定します。
ポリシーの内容を確認した後、「送信」をクリックします。
③ ポリシーの設定
左側メニューより、「ソリューション」⇒「データ損失防止」をクリックします。
ポリシー画面から、「+ポリシーの作成」をクリックします。
ポリシーの作成画面が表示されます。国を選択するプルダウンから、「日本」を選択します。
「カテゴリ」から「拡張」、「規制」から「日本の個人情報保護拡張」を選択します。
DLPポリシーの名前を入力します。
管理単位を割り当てます。
ポリシーの適用先を選択します。
本検証では、 OneDriveを使用するため「OneDriveアカウント」を選択します。
ポリシーの設定の定義を選択します。本検証では、テンプレートの規定の設定を使用します。
保護対象の情報を確認し、組織外の連絡先を指定します。
保護処理を選択します。
アクセスと上書き設定のカスタマイズを設定します。
本検証ではユーザ保護は実施しないため設定せず進みます。
ポリシーモードを設定します。
本検証では「ポリシーをすぐに有効にする」を選択します。
設定内容を確認した後、「送信」をクリックします。
④検証ユーザAのファイル共有
今回使用するファイルには、①で作成したラベルが適用されています。
ファイルを開くと、左上に青いラベルのアイコンが表示されます。
クリックすると、秘密度ラベルの適用状況が確認できます。
今回は、本検証で作成したテスト用ラベル01が適用されています。
検証ユーザAのOneDriveに保管されているラベルが適用されたファイルを、検証ユーザBに共有します。
検証ユーザBから、共有されたファイルにアクセスします。
共有されたファイルを開くと、権限がありませんと表示されます。
Azure Information Protectionによって保護されていることが確認できます。
5.まとめ
ラベルの適用と、外部ユーザへのアクセス制限がされていることを確認できました。ユーザ・グループの適用範囲や、アクセス制限(編集可・閲覧のみ等)については、さらに細かい設定が可能です。また、今回はラベルを手動で発行しましたが、ファイル内に記載されている機密情報の種類等の特定の条件から自動で割り当てることも可能です。Microsoft Purviewには無料版がございますため、
組織内のデータ管理・セキュリティ制御についてご検討されている方は是非お試しください。
