適切に設計されたデータ分類フレームワークを作成する

  • [アーティクル]

データ分類フレームワークの開発、改良、または改良を行う際には、次の主要なプラクティスを検討してください。

  • 1 日目の 0 から 100 まで進まない: Microsoft では、クロールウォーク実行アプローチを推奨し、組織にとって重要な機能に優先順位を付け、タイムラインにマッピングすることをお勧めします。 最初の手順を完了し、成功したことを確認してから、学習した教訓を適用する次のフェーズに進みます。 データ分類フレームワークの設計中に組織がリスクにさらされる可能性があることに注意してください。そのため、少数の分類レベルで小規模から始めて、必要に応じて後で拡張してもかまいません。

  • サイバーセキュリティの専門家向けに記述しているだけではありません。データ分類フレームワークは、平均的なスタッフ メンバー、法務およびコンプライアンス チーム、IT チームなど、幅広い対象ユーザー向けに作成されています。 データ分類レベルの明確でわかりやすい定義を記述し、可能な限り実際の例を提供することが重要です。 専門用語を避け、頭字語と高度に技術的な用語の用語集を検討してみてください。 たとえば、"個人を特定できる情報" を使用し、単に "PII" と言うのではなく、定義を指定します。

  • データ分類フレームワークは実装することを目的としています。データ分類フレームワークを成功させるには、実装する必要があります。 これは、データ分類レベルごとに制御要件を作成する場合に特に重要です。 要件が明確に定義されていること、および実装中に発生する可能性のあるあいまいさに対処していることを確認します。 たとえば、個人を特定できる情報に関するコントロールがある場合は、社会保障やパスポート番号など、そのコントロールの意味を正確に説明してください。

  • 必要な場合にのみ詳細に移動します。データ分類フレームワークには、通常、3 ~ 5 個のデータ分類レベルの任意の場所が含まれます。 ただし、5 つのレベル を含めることができる からといって、 必要なわけではありません。 必要な分類レベルの数を決定する場合は、次の条件を考慮してください。

    • 業界と関連する規制上の義務 (規制の厳しい業界では、より多くの分類レベルが必要になる傾向があります)
    • より複雑なフレームワークを維持するために必要な運用上のオーバーヘッド
    • ユーザーと、より多くの分類レベルに関連する複雑さと微妙な違いに準拠する能力
    • 複数の種類のデバイスに手動分類を適用する場合のユーザー エクスペリエンスとアクセシビリティ

  • 適切な関係者を得る:多くのプロジェクトが、上級管理の支援なしに開始または実行時間を長くするために苦労するため、シニア利害関係者を持つことは成功に不可欠です。 データ分類フレームワークは通常、情報技術チームによって所有されますが、法的、コンプライアンス、プライバシー、変更管理に影響を与える可能性があります。 ビジネスを保護するのに役立つフレームワークを確実に作成するには、ポリシーの開発に、最高プライバシー責任者や一般弁護士事務所などのプライバシーと法的利害関係者を必ず含めるようにしてください。 組織にコンプライアンス部門、情報ガバナンスの専門家、またはレコード管理チームがある場合は、貴重な入力が得られます。 フレームワークがビジネスにロールアウトされると、コミュニケーション部門は内部メッセージングと導入のために重要な役割も果たします。

  • セキュリティと利便性のバランスを取る: 一般的な間違いは、セキュリティで保護された過度に制限されたデータ分類フレームワークを作成することです。 このフレームワークはセキュリティを念頭に置いて設計されている可能性がありますが、多くの場合、実際には実装するのが困難です。 ユーザーが複雑で厳格で時間のかかる手順に従ってフレームワークを日常に適用する必要がある場合、常にその価値を信じなくなり、最終的には手順に従わなくなるリスクがあります。 このリスクは、組織内のエグゼクティブ レベル (C スイート) マネージャーを含め、組織内のすべてのレベルに存在します。 使いやすいツールと共に、利便性に対するセキュリティのバランスを取ることが、通常、ユーザーの導入と使用の拡大につながります。 フレームワークにギャップがある場合は、すべてが完全に実装を開始するまで待たないでください。 代わりに、リスクまたはギャップを評価し、軽減する計画を作成し、今後も進んでください。 情報保護は体験であり、夜間にアクティブ化された後に行われるものではありません。 ツールが進化し、ユーザーが成熟度と経験を得るにつれて、一部の機能を計画し、実装し、成功を確認し、次のマイルストーンに繰り返します。

また、データ分類フレームワークは、機密データを保護するために組織 行う必要がある処理にのみ対処することに注意してください。 多くの場合、データ分類フレームワークには、技術的およびテクノロジの観点からこれらのポリシーを配置する 方法 を定義するデータ処理ルールまたはガイドラインが付属しています。 次のセクションでは、データ分類フレームワークをポリシー ドキュメントから完全に実装された実用的なイニシアチブに移行する方法に関する実用的なガイダンスを紹介します。

データ分類フレームワークの作成における問題点

データ分類の取り組みは本質的に広範囲に及び、企業内のほぼすべてのビジネス機能に触れ合っています。 この範囲が広く、最新のデジタル環境でコンテンツを管理する複雑さのため、企業は多くの場合、どこから始め、正常な実装を管理するか、その進捗状況を測定する方法を知る際に課題に直面します。 多くの場合、一般的な問題点は次のとおりです。

  • 分類レベルと関連するセキュリティ制御の決定など、堅牢でわかりやすいデータ分類フレームワークを設計します。
  • 適切なテクノロジ ソリューションの確認、既存のビジネス プロセスへの計画の調整、および従業員への影響の特定を含む実装計画を開発します。
  • 選択したテクノロジ ソリューション内にデータ分類フレームワークを設定し、ツールのテクノロジ機能とフレームワーク自体の間のギャップに対処します。
  • データ分類作業の継続的なメンテナンスと正常性を監視するガバナンス構造を確立する。
  • 進行状況を監視および測定するための特定の主要業績評価指標 (KPI) を特定する。
  • データ分類ポリシーに対する認識と理解の向上、それらが重要な理由、およびそれらに準拠する方法。
  • データ損失とサイバーセキュリティの制御を対象とする内部監査レビューに準拠する。
  • ユーザーが日常業務で正しい分類の必要性に気を付け、適切な分類メジャーを適用できるように、ユーザーをトレーニングし、関与させる。

変更管理とトレーニング

組織は現在、Microsoft 365 などのツールを使用して、データ分類フレームワークを実装しています。 目的は、データの分類を自動化し、従業員の負担を増やさない方法です。 この構造は、組織がコンテンツを管理し、このペーパーで説明するリスクから組織を保護する必要性に対する認識を高める責任がないことを意味しません。 主要なプラクティスは、年間トレーニング スケジュールの一環として組織全体で意識トレーニングを実施し続けます。 このエクスペリエンスでは、この作業を実行する主要な対象ユーザーであるユーザーのトレーニングに堅牢で包括的な努力を加えると、その作業に対する "バイイン" が増加し、導入と品質が向上することが示されています。 ラベルの推奨事項とアプリ内のヒントを追加すると、これらの作業が増幅される可能性があります。 このトレーニングは、広範なスタンドアロン コースである必要はありません。 組織は、情報セキュリティの年間トレーニングなどの他の定期的なトレーニングに組み込み、データ分類レベルと定義の概要を含めることができます。 主なポイントは、ツールがデータの分類を自動化しているにもかかわらず、会社のポリシーに従ってデータを保護する各ユーザーの全体的な責任を排除するわけではないことを従業員が理解していることです。

さらに、IT および情報セキュリティ チーム向けのより詳細なトレーニングを検討して、運用の準備を強化する必要があります。 ツールとデータ分類フレームワークを管理するチームは、同じページにある必要があります。 この調整では、毎年より頻繁に行われる可能性のある、より堅牢なトレーニング スケジュールに投資することが必要になる場合があります。 より頻繁なトレーニングへの投資は、組織のリスクを軽減するためのもう 1 つの手段です。 このチームは実装を担当するため、ツールとポリシーに関するトレーニングを受けなければ、障害点になる可能性があります。

ツール内のコンテンツに手動でタグを付ける必要がある場合は、より高度なトレーニングを受けたスーパー ユーザーのグループを開発するのが適切です。 これらのスーパー ユーザーは、ユーザーがデータ機密ラベルを持つドキュメントに手動でタグを付ける必要があり、組織のデータ分類フレームワークと規制要件について深く理解している状況に従事します。

最後に、リーダーシップは、リスク管理イニシアチブの重要性を従業員に強化するために、情報セキュリティ行動のチャンピオンに優先順位を付ける必要があります。 これには、堅牢なデータ分類フレームワークの開発と実装、イニシアチブを推進するための主要なリーダーの割り当て (変更のアンバサダーまたはチャンピオンとも呼ばれることもあります) が含まれます。

ガバナンスとメンテナンス

データ分類フレームワークを開発して実装した後は、継続的なガバナンスとメンテナンスが成功に不可欠です。 秘密度ラベルの実際の使用方法を追跡するだけでなく、規制の変更、サイバーセキュリティの主要なプラクティス、管理するコンテンツの性質に基づいて、制御要件を更新する必要があります。 ガバナンスとメンテナンスの取り組みは次のとおりです。

  • データ分類専用のガバナンス機関を確立するか、既存の情報セキュリティ機関の憲章にデータ分類の責任を追加します。
  • データ分類を監督するユーザーのロールと責任を定義する。
  • 進行状況を監視および測定するための KPI を確立する。
  • サイバーセキュリティの主要なプラクティスと規制の変更を追跡する。
  • データ分類フレームワークをサポートおよび適用する標準的な操作手順を開発する。

業界に関する考慮事項

強力なデータ分類フレームワークを開発するための基本的な原則は汎用的ですが、フレームワークの詳細は、業界の性質と、データに必要な一意のコンプライアンスとセキュリティの要因によって異なります。

たとえば、金融サービス企業は、ビジネスの範囲と、それらが運用する地域に応じて、いくつかの規制フレームワークへの準拠を検討する必要がある場合があります。 米国の証券会社は、書籍やレコードのセキュリティと保持に関する要件に対処する SEC 規則 17a-4(f)FINRA 規則 4511 などのアカウント規制に準拠している必要があります。 同様に、英国で事業を行う企業は 、FCA コンプライアンスを検討する必要があります。

政府機関は、データを管理するさまざまな規制に直面しています。これは、地域とその作業の性質によって異なります。 たとえば、米国では、連邦税情報 (FTI) にアクセスする政府機関とその代理人は IRS 1075 の対象となります。これは、連邦税情報の損失、違反、誤用のリスクを最小限に抑えることが目的です。

金融サービス企業や政府機関は、世界で最も厳しく規制されている組織の 1 つですが、ほとんどの企業には、考慮する必要がある業界固有の考慮事項があります。 以下に例を挙げます。

Microsoft 365 でのデータ分類フレームワークの実装

データ分類フレームワークを開発したら、次の手順は実装です。 Microsoft Purview コンプライアンス ポータルを使用すると、管理者はデータ分類フレームワークに従ってデータを検出、分類、確認、監視できます。 秘密度ラベルは、暗号化やコンテンツ マーキングなどのさまざまな保護を適用することで、データを保護するために使用できます。 これらは手動でデータに適用できます。既定では、ポリシー設定に基づいています。または自動的に、識別された PII などの条件の結果として。

比較的合理化されたデータ分類フレームワークを持つ小規模な組織や組織の場合、データ分類レベルごとに 1 つの機密ラベルを作成すると十分な場合があります。 次の例は、機密ラベル マッピングに対する 1 対 1 のデータ分類レベルを示しています。

分類ラベル 秘密度ラベル ラベルの設定 公開対象
Unrestricted Unrestricted '制限なし' フッターを適用する すべてのユーザー
一般 一般 [全般] フッターを適用する すべてのユーザー

ヒント

Microsoft 内部情報保護パイロットの間、"Personal" ラベルの理解と使用に問題がありました。 ユーザーは、これが PII を意味するのか、それとも単に個人的な問題に関連するのかについて混乱していました。 ラベルは、明確にするために "非ビジネス" に変更されました。 この例は、分類が最初から完全である必要はないことを示しています。 適切と思われるものから始め、パイロットを作成し、必要に応じてフィードバックに基づいてラベルを調整します

グローバルな範囲またはより複雑な情報セキュリティ ニーズを持つ大規模な組織では、ポリシー内の分類レベルの数と、Microsoft 365 環境内の秘密度ラベルの数との間に、この 1 対 1 の関係が課題になる場合があります。 この課題は、特定のデータ分類レベル ("制限付き" など) がリージョンによって異なる定義または異なるコントロールセットを持つ可能性があるグローバル組織では特に当てはまります。

実装の詳細については、「 データ分類について理解 する」と「 機密ラベルの詳細」を参照してください。

関連情報