チュートリアル: 組織の機密情報を検出して保護する
Note
Microsoft Defender for Cloud Apps は Microsoft 365 Defender の一部になりました。これにより、Microsoft Defender スイート全体からのシグナルが関連付けられ、インシデント レベルでの検出、調査、強力な対応機能が提供されます。 詳細については、「Microsoft 365 Defender の Microsoft Defender for Cloud Apps」を参照してください。
理想の世界では、社員が全員、情報保護の重要性を理解し、会社の方針から外れることなく仕事をします。 実際には、会計情報を頻繁に使用している多忙なパートナーが、機密情報を誤ったアクセス許可でうっかり Box リポジトリにアップロードしてしまう可能性があります。 1 週間後に、会社の機密情報が競合他社にリークしたことに気付くのです。
このような事態を回避するために、Microsoft Defender for Cloud Apps には、組織内に存在するさまざまなデータ リーク ポイントをカバーする広範な DLP のスイートが用意されています。
このチュートリアルでは、Defender for Cloud Apps を使用して、公開されている可能性がある機密データを検出し、コントロールを適用して、公開されないようにする方法について説明します。
組織の機密情報を検出して保護する方法
情報保護に対するマイクロソフトのアプローチは、次のフェーズに分けることができます。これらのフェーズにより、複数の場所やデバイスにわたって、完全なライフサイクルを通じてデータを保護できるようになります。
フェーズ 1: データの検出
アプリを接続する: 組織で使用されているデータを検出するための最初の手順は、組織で使用されているクラウド アプリを Defender for Cloud Apps に接続することです。 接続すると、Defender for Cloud Apps によってデータのスキャン、分類の追加、ポリシーと制御の適用を行うことができます。 スキャンと制御が適用される方法とタイミングは、アプリがどのように接続されているかによって異なります。 アプリは、次のいずれかの方法で接続できます。
- アプリ コネクタを使用する: マイクロソフトのアプリ コネクタでは、アプリ プロバイダーから提供される API が使用されます。 これにより、組織で使用されるアプリを詳細に把握し、制御することができます。 スキャンは定期的 (12 時間ごと) に、およびリアルタイムで (変更が検出されるたびにトリガー) 実行されます。 アプリの追加方法の詳細と手順については、「アプリの接続」を参照してください。
- アプリの条件付きアクセス制御を使用する: アプリの条件付きアクセス制御ソリューションでは、Azure Active Directory (AD) 条件付きアクセスと一意に統合された、リバース プロキシ アーキテクチャが使用されます。 Azure AD で構成が完了すると、ユーザーが Defender for Cloud Apps にルーティングされ、アプリで使用しようとしていたデータを保護するためにアクセスとセッションのポリシーが適用されます。 この接続方法を使用すると、すべてのアプリに対して制御を適用できます。 詳細については、Defender for Cloud Apps のアプリの条件付きアクセス制御を使用したアプリの保護に関する記事をご覧ください。
調査する: API コネクタを使用してアプリを Defender for Cloud Apps に接続したら、使用されるすべてのファイルが Defender for Cloud Apps によってスキャンされます。 Microsoft 365 Defender ポータルの [クラウド アプリ] で、[ファイル] に移動して、クラウド アプリで共有されているファイルの概要、アクセシビリティ、および状態を確認します。 詳細については、ファイルの調査に関する記事をご覧ください。
フェーズ 2: 機密情報を分類する
機密性の高い情報を定義する: ファイル内の機密情報を検索する前に、まず、組織にとっての機密性の高い情報を定義する必要があります。 マイクロソフトでは、データ分類サービスの一環として、100 を超える機密情報の種類を提供しています。また、会社のポリシーに合わせて独自の機密情報を作成することもできます。 Defender for Cloud Apps は Microsoft Purview Information Protection とネイティブに統合されているため、両方のサービスで同じ機密情報の種類とラベルを利用できます。 このため、機密情報を定義する場合は、Microsoft Purview Information Protection ポータルに移動してそれらを作成し、定義すると、Defender for Cloud Apps でそれらを使用できるようになります。 フィンガープリントや完全一致 (EDM) などの高度な分類の種類を使用することもできます。
機密情報を特定し、適切な秘密度ラベルを適用する作業をすでに行っているユーザーは、コンテンツを再度スキャンすることなく、ポリシーでそれらのラベルを使用できます。
Microsoft Information Protection 統合を有効にする
- Microsoft 365 Defender ポータルで、[設定] を選択します。 次に、[クラウド アプリ] を選択します。
- [情報保護] の [Microsoft Information Protection] に移動します。 [Microsoft Information Protection の機密度ラベルとコンテンツ検査の警告について、新しいファイルを自動的にスキャンする] を選択します。
詳細については、「Microsoft Purview Information Protection の統合」を参照してください。
ファイル内の機密情報を識別するポリシーを作成する: 保護する情報の種類がわかったら、それらを検出するポリシーを作成します。 まず次のポリシーを作成します。
[ファイル ポリシー]
API に接続されたクラウド アプリに格納されているファイルの内容をほぼリアルタイムでスキャンし、保存データをスキャンするには、このポリシーの種類を使用します。 サポートされている検査方法の 1 つを使用して、ファイルがスキャンされます。たとえば、Microsoft Purview Information Protection の暗号化されたコンテンツが、Defender for Cloud Apps とのネイティブ統合を利用して使用されます。Microsoft 365 Defender ポータルの [クラウド アプリ] で [ポリシー] ->[ポリシー管理]] を選択します。
[クラウド ポリシー] を選択し、次に [ファイル ポリシー] を選択します。
[検査方法] で、次のいずれかの分類サービスを選択して構成します。
- データ分類サービス: Microsoft 365、Microsoft Purview Information Protection、および Defender for Cloud Apps 全体で、決定した分類を使用することで、統合されたラベル付けエクスペリエンスを実現します。 これは、Microsoft 製品全体で一貫し統一されたエクスペリエンスをもたらすため、推奨されるコンテンツの検査方法です。
- 組み込みの DLP: 組み込みの DLP コンテンツ検査エンジンを使用して、機密情報のファイルを検査します。
- [外部 DLP 統合]: 独自のサード パーティ製 DLP ソリューションを使用したい企業の場合、Defender for Cloud Apps ファイル ポリシーを使用すれば、検査するファイルを ICAP サーバー経由で外部 DLP ソリューションに安全に転送できます。
機密性の高いファイルの場合は、[一致するファイルごとにアラートを作成する] を選択し、必要なアラートを選択します。これにより、組織に保護されていない機密情報を含むファイルがある場合に通知を受けることができます。
[作成] を選択します。
セッション ポリシー
アクセス時にリアルタイムでファイルをスキャンおよび保護するには、このポリシーの種類を使用します。- データ流出を防ぐ: たとえばアンマネージド デバイスなどに対して、機密性の高いドキュメントのダウンロード、切り取り、コピー、印刷をブロックします。
- ダウンロード時にファイルを保護する: ドキュメントにラベルを付け、Microsoft Purview Information Protection で保護する必要があります。 このアクションにより、危険を及ぼす可能性のあるセッションにおいて確実にドキュメントが保護され、ユーザー アクセスが制限されます。
- ラベルのないファイルのアップロードを禁止する: 機密性の高いファイルがアップロード、配布、および他のユーザーに使用される前に、ファイルへの適切なラベルと保護の設定を要求します。 このアクションを使用すると、機密性の高い内容が含まれるラベルのないファイルが、その内容をユーザーが分類するまでアップロードされないように、ブロックすることができます。
Microsoft 365 Defender ポータルの [クラウド アプリ] で [ポリシー] ->[ポリシー管理]] を選択します。
[ポリシーの作成] を選択し、次に [セッション ポリシー] を選択します。
[セッション制御の種類] で、DLP を使用するオプションのいずれかを選択します。
[検査方法] で、次のいずれかの分類サービスを選択して構成します。
機密性の高いファイルの場合は、[アラートを作成する] を選択し、必要なアラートを選択します。これにより、組織に保護されていない機密情報を含むファイルがある場合に通知を受けることができます。
[作成] を選択します。
会社のポリシーに準拠して機密データを検出するのに必要な数のポリシーを作成する必要があります。
フェーズ 3: データを保護する
機密情報を含むファイルを検出できるようになりましたが、本当に行いたいことは、その情報を潜在的な脅威から保護することです。 インシデントに気付いたら、状況を手動で修復するか、Defender for Cloud Apps によって提供される自動ガバナンス アクションのいずれかを使用してファイルをセキュリティで保護できます。 アクションには、Microsoft Purview Information Protection ネイティブ コントロール、API 提供のアクション、リアルタイムの監視が含まれますが、これらだけではありません。 適用できるガバナンスの種類は、次のように構成しているポリシーの種類によって異なります。
ファイル ポリシー ガバナンス アクション: クラウド アプリ プロバイダーの API とマイクロソフトのネイティブ統合を使用して、次のようにファイルをセキュリティで保護します。
- アラートをトリガーし、インシデントに関する電子メール通知を送信する
- ファイルに適用されるラベルを管理し、Microsoft Purview Information Protection のネイティブ制御を適用する
- ファイルへの共有アクセスを変更する
- ファイルを検疫する
- Microsoft 365 で特定のファイルまたはフォルダーのアクセス許可を削除する
- ファイルをごみ箱フォルダーに移動する
セッション ポリシー制御: リバース プロキシ機能を使用して、次のようにファイルを保護します。
- アラートをトリガーし、インシデントに関する電子メール通知を送信する
- すべてのアクティビティを監視する: ファイルのダウンロードまたはアップロードを明示的に許可し、関連するすべてのアクティビティを監視します。
- ブロック: ファイルのダウンロードまたはアップロードを明示的にブロックします。 組織の機密ファイルを、アンマネージド デバイスを含む任意のデバイスからの流出や侵入から保護するには、このオプションを使用します。
- [保護]:ポリシーのファイル フィルターと一致するファイルに、秘密度ラベルを自動的に適用します。 機密性の高いファイルのダウンロードを保護するには、このオプションを使用します。
フェーズ 4: データに関する監視とレポート
データを検査して保護するために、すべてのポリシーが揃いました。 次は、毎日ダッシュボードをチェックして、トリガーされた新しいアラートを確認します。 これは、クラウド環境の正常性を監視するのに適した場所です。 ダッシュボードを使用すると、何が起こっているかを把握し、必要に応じて調査を開始できます。
機密性の高いファイルに関するインシデントを監視する最も効果的な方法の 1 つは、[ポリシー] ページに移動して、構成済みのポリシーの一致を確認することです。 また、アラートを構成した場合は、ファイルのアラートを定期的に監視することも検討する必要があります。それには、 [アラート] ページに移動し、カテゴリを DLP として指定して、どのファイル関連ポリシーがトリガーされているかを確認します。 これらのインシデントを確認することで、ポリシーを微調整し、組織にとって重要な脅威に焦点を当てることができます。
結論として、このように機密情報を管理することで、クラウドに保存されたデータを悪意のある流出および侵入から最大限に保護することができます。 また、ファイルが共有されたか紛失した場合、そのファイルにアクセスできるのは承認されたユーザーのみです。
関連項目
問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。