英語で読む

次の方法で共有


チュートリアル: organizationで機密情報を検出して保護する

完璧な世界では、すべての従業員が情報保護の重要性を理解し、ポリシー内で作業します。 実際には、会計情報を頻繁に処理する忙しいパートナーが、不適切なアクセス許可を持つ機密性の高いドキュメントを誤って Box リポジトリにアップロードする可能性があります。 1 週間後に、企業の機密情報が競合企業に漏洩したことを認識します。

これを防ぐために、Microsoft Defender for Cloud Appsは、組織に存在するさまざまなデータ リーク ポイントをカバーする広範な DLP 機能を提供します。

このチュートリアルでは、Defender for Cloud Appsを使用して、公開される可能性のある機密データを検出し、その漏洩を防ぐためにコントロールを適用する方法について説明します。

organizationで機密情報を検出して保護する方法

情報保護に対するアプローチは、複数の場所とデバイスにわたって、完全なライフサイクルを通じてデータを保護できるようにする次のフェーズに分割できます。

シャドウ IT ライフサイクル。

フェーズ 1: データを検出する

  1. アプリの接続: organizationで使用されているデータを検出する最初の手順は、organizationで使用されているクラウド アプリをDefender for Cloud Appsに接続することです。 接続後、Defender for Cloud Appsはデータのスキャン、分類の追加、ポリシーと制御の適用を行うことができます。 アプリの接続方法に応じて、スキャンとコントロールの適用方法とタイミングに影響します。 次のいずれかの方法でアプリを接続できます。

    • アプリ コネクタを使用する: アプリ コネクタでは、アプリ プロバイダーによって提供される API が使用されます。 これらは、organizationで使用されるアプリをより詳しい可視性と制御を提供します。 スキャンは定期的 (12 時間ごと) に実行され、リアルタイムで実行されます (変更が検出されるたびにトリガーされます)。 アプリを追加する方法の詳細と手順については、「アプリの 接続」を参照してください。

    • 条件付きアクセス アプリ制御を使用する: 条件付きアクセス アプリ制御ソリューションでは、Microsoft Entra条件付きアクセスと一意に統合されたリバース プロキシ アーキテクチャを使用し、任意のアプリに制御を適用できます。

      Microsoft Edge ユーザーは、ブラウザー内の直接的な保護の恩恵を受けることができます。 条件付きアクセス アプリ制御は、リバース プロキシ アーキテクチャを使用して他のブラウザーで適用されます。 詳細については、「Microsoft Defender for Cloud Apps条件付きアクセス アプリ制御を使用してアプリを保護する」および「Microsoft Edge for Businessによるブラウザー内保護 (プレビュー)」を参照してください。

  2. 調査: API コネクタを使用してアプリをDefender for Cloud Appsに接続した後、Defender for Cloud Appsは使用するすべてのファイルをスキャンします。 Microsoft Defender ポータルの [Cloud Apps] で、[ファイル] に移動して、クラウド アプリで共有されているファイルの概要、アクセシビリティ、および状態を確認します。 詳細については、「ファイルの 調査」を参照してください。

フェーズ 2: 機密情報の分類

  1. 機密性の高い情報を定義する: ファイル内の機密情報を探す前に、まず、organizationの機密性としてカウントされる内容を定義する必要があります。 Microsoft のデータ分類サービスの一環として、100 種類を超える機密情報を提供しています。または、会社のポリシーに合わせて独自の機密情報を作成することもできます。 Defender for Cloud AppsはMicrosoft Purview Information Protectionとネイティブに統合されており、両方のサービスで同じ機密性の高い種類とラベルを使用できます。 そのため、機密情報を定義する場合は、Microsoft Purview Information Protection ポータルにアクセスして作成し、定義すると、Defender for Cloud Appsで使用できるようになります。 指紋や正確なデータ一致 (EDM) などの高度な分類の種類を使用することもできます。

    機密情報を特定し、適切な秘密度ラベルを適用するというハードワークを既に行っているユーザーは、コンテンツを再度スキャンすることなく、ポリシーでこれらのラベルを使用できます。

  2. Microsoft Information Protection 統合を有効にする

    1. Microsoft Defender ポータルで、[設定] を選択します。 次に、[ Cloud Apps] を選択します。
    2. [Information Protection] の [Microsoft Information Protection] に移動します。 [Microsoft Information Protection秘密度ラベルとコンテンツ検査警告の新しいファイルを自動的にスキャンする] を選択します。

    詳細については、「Microsoft Purview Information Protection統合」を参照してください。

  3. ファイル内の機密情報を識別するためのポリシーを作成する: 保護する情報の種類がわかったら、それらを検出するポリシーを作成します。 まず、次のポリシーを作成します。

    ファイル ポリシー
    この種類のポリシーを使用して、API に接続されたクラウド アプリに格納されているファイルのコンテンツをほぼリアルタイムでスキャンし、保存データをスキャンします。 ファイルは、Defender for Cloud Appsとのネイティブな統合により、Microsoft Purview Information Protection暗号化されたコンテンツを含む、サポートされている検査方法のいずれかを使用してスキャンされます。

    1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] を選択します。

    2. [ ポリシーの作成] を選択し、[ ファイル ポリシー] を選択します。

    3. [ 検査方法] で、次のいずれかの分類サービスを選択して構成します。

      • データ分類サービス: Microsoft 365、Microsoft Purview Information Protection、Defender for Cloud Apps全体で行った分類の決定を使用して、統一されたラベル付けエクスペリエンスを提供します。 これは、Microsoft 製品全体で一貫した統一されたエクスペリエンスを提供する、推奨されるコンテンツ検査方法です。
    4. 機密性の高いファイルの場合は、[一致するファイルごとにアラートを作成する] を選択し、必要なアラートを選択して、保護されていない機密情報を含むファイルがorganizationに表示されるようにします。

    5. [作成] を選択します。

    セッション ポリシー
    次の種類のポリシーを使用して、アクセス時にファイルをリアルタイムでスキャンおよび保護します。

    • データ流出防止: 管理されていないデバイスなどでの機密文書のダウンロード、切り取り、コピー、印刷などをブロックします。
    • ダウンロード時にファイルを保護する: ドキュメントにラベルを付け、Microsoft Purview Information Protectionで保護する必要があります。 このアクションにより、ドキュメントが保護され、危険な可能性のあるセッションでユーザーのアクセスが制限されます。
    • ラベル付けされていないファイルのアップロードを禁止する: 機密ファイルがアップロード、配布、および他のユーザーによって使用される前に、ファイルに適切なラベルと保護が必要です。 このアクションを使用すると、機密性の高いコンテンツを含むラベル付けされていないファイルが、ユーザーがコンテンツを分類するまでアップロードされないようにすることができます。
    1. Microsoft Defender ポータルの [Cloud Apps] で、[ポリシー] ->[ポリシー管理] を選択します。

    2. [ ポリシーの作成] を選択し、[ セッション ポリシー] を選択します。

    3. [ セッション制御の種類] で、DLP を使用していずれかのオプションを選択します。

    4. [ 検査方法] で、次のいずれかの分類サービスを選択して構成します。

      • データ分類サービス: Microsoft 365、Microsoft Purview Information Protection、Defender for Cloud Apps全体で行った分類の決定を使用して、統一されたラベル付けエクスペリエンスを提供します。 これは、Microsoft 製品全体で一貫した統一されたエクスペリエンスを提供する、推奨されるコンテンツ検査方法です。
      • 組み込みの DLP: 組み込みの DLP コンテンツ検査エンジンを使用して、機密情報のファイルを検査します。
    5. 機密性の高いファイルの場合は、[アラートの作成] を選択し、必要なアラートを選択して、保護されていない機密情報を含むファイルがorganizationに表示されるようにします。

    6. [作成] を選択します。

会社のポリシーに準拠して機密データを検出するには、必要な数のポリシーを作成する必要があります。

フェーズ 3: データを保護する

これで、機密情報を含むファイルを検出できますが、実際に行いたいのは、その情報を潜在的な脅威から保護することです。 インシデントを認識したら、状況を手動で修復するか、Defender for Cloud Appsによって提供される自動ガバナンス アクションのいずれかを使用してファイルをセキュリティで保護できます。 アクションには、ネイティブ コントロール、API によって提供されるアクション、リアルタイム監視Microsoft Purview Information Protectionが含まれますが、これらに限定されません。 適用できるガバナンスの種類は、次のように構成するポリシーの種類によって異なります。

  1. ファイル ポリシー ガバナンス アクション: クラウド アプリ プロバイダーの API とネイティブ統合を使用して、次のようなファイルをセキュリティで保護します。

    • アラートをトリガーし、インシデントに関する電子メール通知を送信する
    • ネイティブ Microsoft Purview Information Protection コントロールを適用するためにファイルに適用されるラベルを管理する
    • ファイルへの共有アクセス権を変更する
    • ファイルの検疫
    • Microsoft 365 で特定のファイルまたはフォルダーのアクセス許可を削除する
    • ファイルをごみ箱フォルダーに移動する
  2. セッション ポリシー制御: リバース プロキシ機能を使用して、次のようなファイルを保護します。

    • アラートをトリガーし、インシデントに関する電子メール通知を送信する
    • ファイルのダウンロードまたはアップロードを明示的に許可し、関連するすべてのアクティビティを監視します。
    • ファイルのダウンロードまたはアップロードを明示的にブロックします。 このオプションを使用して、アンマネージド デバイスを含む任意のデバイスからの流出または侵入からorganizationの機密ファイルを保護します。
    • ポリシーのファイル フィルターに一致するファイルに秘密度ラベルを自動的に適用します。 機密ファイルのダウンロードを保護するには、このオプションを使用します。

    詳細については、「Microsoft Defender for Cloud Apps セッション ポリシーの作成」を参照してください。

フェーズ 4: データの監視とレポート

ポリシーはすべて、データを検査して保護するために用意されています。 次に、ダッシュボードを毎日チェックして、トリガーされた新しいアラートを確認します。 クラウド環境の正常性を監視するのに適した場所です。 ダッシュボードは、何が起こっているかを把握し、必要に応じて 調査を開始するのに役立ちます。

機密性の高いファイル インシデントを監視する最も効果的な方法の 1 つは、[ ポリシー] ページに移動し、構成したポリシーの一致を確認することです。 さらに、アラートを構成した場合は、[アラート ] ページに 移動し、カテゴリを DLP として指定し、トリガーされるファイル関連のポリシーを確認して、ファイル アラートを定期的に監視することも検討する必要があります。 これらのインシデントを確認すると、ポリシーを微調整して、organizationに関心のある脅威に焦点を当てることができます。

結論として、このように機密情報を管理することで、クラウドに保存されたデータは、悪意のある流出や侵入から最大限に保護されます。 また、ファイルが共有または失われた場合は、承認されたユーザーのみがアクセスできます。

関連項目

問題が発生した場合は、ここにお問い合わせください。 製品の問題に関するサポートまたはサポートを受けるためには、 サポート チケットを開いてください。