インサイダー リスクの管理の詳細
重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
インサイダー リスク管理ポリシーを開始する前に、organizationのコンプライアンス ニーズに最適なインサイダー リスク管理設定を理解して選択することが重要です。 インサイダー リスク管理設定は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。
注:
インサイダー リスク管理ページの上部にある [設定] ボタンを使用して、設定を変更します。
次の表では、各インサイダー リスク管理設定について説明し、設定の詳細を確認するためのリンクを示します。
| 設定 | 説明 |
|---|---|
| プライバシー | アラートとケースのすべての現在および過去のポリシーの一致に対して、ユーザー名または匿名化されたバージョンのユーザー名を表示するかどうかを選択します。 |
| ポリシー インジケーター | 各インサイダー リスク管理ポリシー テンプレートは、特定のトリガーとリスク アクティビティに対応する特定のインジケーターに基づいています。 既定では、すべてのグローバル インジケーターが無効になっています。 インサイダー リスク管理ポリシーを構成するには、1 つ以上のインジケーターを選択する必要があります。 インジケーター レベルの設定は、organizationのリスク イベントの発生回数がリスク スコアにどのように影響するかを制御するのに役立ちます。 |
| 検出グループ | さまざまなユーザー セットの検出を調整する場合は、[ 検出グループ ] 設定を使用して、組み込みのインジケーターのバリエーションを作成します。 検出グループを作成すると、誤検知を減らすことができます。 |
| ポリシー期間 | [ポリシー期間] 設定を使用すると、インサイダー リスク管理ポリシー テンプレートのイベントとアクティビティに基づいて、ポリシーの一致後にトリガーされる過去と将来のレビュー期間を定義できます。 |
| インテリジェントな検出 | [インテリジェント検出] 設定を使用すると、特定のファイルの種類、ドメイン、ファイル パス、機密情報の種類、トレーニング可能な分類子、サイト、キーワードがリスクのスコア付けからグローバルに除外されます。 また、[インテリジェント検出] 設定を使用して、アラートの量を制御したり、Microsoft Defender for Endpointアラートをインポートしたりフィルター処理したりすることもできます。 |
| データの共有 | [データ共有] 設定を使用して、1) Office 365 Management Activity API スキーマを使用して内部リスク管理アラート情報を SIEM ソリューションにエクスポートします。2) Microsoft Defenderおよび DLP アラートを使用してインサイダー リスク管理のインサイダー リスク レベルを共有します。 |
| 優先度の高いユーザー グループ | organizationのユーザーの位置、機密情報へのアクセスのレベル、またはリスク履歴に応じて、異なるレベルのリスクが発生する可能性があります。 これらのユーザーのアクティビティの調査とスコア付けを優先すると、organizationにより高い結果をもたらす可能性がある潜在的なリスクに対するアラートを生成するのに役立ちます。 [優先度ユーザー グループ] 設定を使用して、詳細な検査とより機密性の高いリスク スコアリングを必要とするユーザーをorganizationで定義します。 |
| 物理資産の優先順位 (プレビュー) | 優先度の高い物理資産へのアクセスを識別し、アクセス アクティビティをユーザー イベントに関連付けるのは、コンプライアンス インフラストラクチャの重要なコンポーネントです。 これらの物理資産は、会社の建物、データ センター、サーバー ルームなど、organization内の優先順位の場所を表します。 インサイダー リスク アクティビティは、通常とは異なる時間に作業するユーザー、これらの未承認の機密領域またはセキュリティで保護された領域へのアクセス、正当なニーズのない高レベルエリアへのアクセス要求に関連付けられている可能性があります。 |
| Power Automate フロー (プレビュー) | Microsoft Power Automate は、アプリケーションとサービス間でアクションを自動化するワークフロー サービスです。 テンプレートからのフローを使用するか、手動で作成することで、これらのアプリケーションとサービスに関連付けられている一般的なタスクを自動化できます。 インサイダー リスク管理の Power Automate フローを有効にすると、ケースとユーザーの重要なタスクを自動化できます。 Power Automate フローを構成して、ユーザー、アラート、ケースの情報を取得し、この情報を利害関係者や他のアプリケーションと共有したり、ケース ノートへの投稿などのインサイダー リスク管理でのアクションを自動化したりできます。 Power Automate フローは、ポリシーのスコープ内のケースと任意のユーザーに適用されます。 |
| Microsoft Teams (プレビュー) | コンプライアンス アナリストと調査担当者が Teams を使用してインサイダー リスク管理ケースで共同作業できるように、Microsoft Teams のサポートを有効にすることができます。 Teams を使用して次の手順を実行します。 - プライベート Teams チャネルのケースの対応アクティビティを調整および確認する - 個々のケースに関連するファイルと証拠を安全に共有して保存する - アナリストや調査担当者による対応アクティビティを検出して確認する |
| 分析 | Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、組織が高いユーザー リスクの潜在的領域を特定し、構成することを考えるべきインサイダー リスク マネジメント ポリシーの種類と範囲を特定するのに役立ちます。 |
| 管理通知 | 管理通知設定を使用して、選択可能なインサイダー リスク管理役割グループに電子メール通知を自動的に送信します。 次の操作を行うことができます: - 新しいポリシーに対して最初のアラートが生成されたときに通知メールを送信する - 新しい重大度の高いアラートが生成されたときに、毎日の電子メールを送信する - 警告が未解決のポリシーをまとめた週単位のメールを送信する |
| インライン アラートのカスタマイズ | インライン アラートのカスタマイズを使用すると、アラートを確認しながら 、アラート ダッシュボード から直接インサイダー リスク管理ポリシーをすばやく調整できます。 リスク管理アクティビティが関連ポリシーで構成されたしきい値を満たしている場合、アラートが生成されます。 この種類のアクティビティから取得するアラートの数を減らすには、しきい値を変更するか、ポリシーからリスク管理アクティビティを完全に削除します。 |
ヒント
E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示