ポリシーを実装する前に時間をかけて設計すると、迅速に望ましい結果が得られ、意図しない問題の発生を減らすことができます。これは、最適でないポリシーを作成してからチューニングのために試行錯誤するよりも良い方法です。 また、ポリシー設計を文書化しておくと、連絡、ポリシーのレビュー、トラブルシューティング、さらなるチューニングにも役立ちます。
Microsoft Purview DLP を初めて使用する場合は、最初に以下の記事を確認してから、ポリシーの設計を開始することをおすすめします:
ヒント
Microsoft Security Copilot の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を発見しましょう。 Microsoft Purview の Microsoft Security Copilot に関する詳細情報をご覧ください。
開始する前に
Microsoft Purview DLP を初めて使用する方のために、DLP を実装するために必要な主要記事の一覧を以下にまとめました:
- 管理単位
- Microsoft Purview データ損失防止の概要 - この記事では、データ損失防止の規範と Microsoft による DLP の実装について解説しています
- データ損失防止 (DLP) の計画 - この記事を読み進めながら、次のことが行えます:
- データ損失防止ポリシー リファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作に与える影響を紹介しています
- DLP ポリシーの設計 - この記事 (現在読んでいる記事) では、ポリシー インテント ステートメントを作成し、それを特定のポリシー構成にマッピングする手順について説明します。
- データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー インテント シナリオについて説明します。その後、これらのオプションの構成について説明します。
- データ損失防止アラートの調査に関する詳細情報 - この記事では、アラートのライフサイクルについて、作成から最終的な修復とポリシーの調整までが解説されています。 また、アラートの調査に使用するツールも紹介されています。
ポリシーの設計の概要
ポリシーの設計作業における主なポイントは、ビジネス ニーズを明確に定義し、ポリシー インテント ステートメントで明文化することと、それらのニーズをポリシー構成にマッピングすることです。 ポリシー設計に関する一部の意思決定は、計画フェーズで下した判断を元に行います。
ポリシーの意図を定義する
ポリシーには必ず何らかのビジネス上の意図があります。それが何なのかを、1 つのステートメントに要約して端的に言い表せることが必要です。 ステートメント策定は組織内の話し合いを喚起する作業です。ステートメントがしっかりと完成したとき、そこに書かれた言葉は、策定するポリシーとビジネス上の 1 つの目的を直結させ、ポリシーの設計の進め方をロードマップとして示すものとなります。 ポリシー インテント ステートメントの検討を始める際は、データ損失防止 (DLP) の計画 の記事に示した手順が参考になります。
DLP ポリシーの構成の概要で説明したとおり、すべての DLP ポリシーにおいては以下のことが必要です:
- 監視する対象を選択する
- ポリシーのスコーピングを選択します。
- 監視をどこで行うかを選択します。
- ポリシーを項目に適用するために一致させなければならない条件を選択します。
- ポリシー条件が満たされたときに実行するアクションを選択します。
たとえば、以下は、5 つの質問すべてに対する答えを含んだ仮のインテント ステートメントの初稿の例です:
"Microsoft は米国に拠点を置く組織であり、OneDrive/SharePoint に保存されている HIPAA の対象となる機密性の高い医療情報を含む Office ドキュメントを検出し、これらの情報が Teams のチャットやチャネル メッセージで共有されないように保護し、認可されていない第三者との共有をすべてのユーザーに対して制限する必要があります"。
ポリシー設計を開発する際には、ステートメントを変更して拡張する可能性があります。
ビジネス ニーズをポリシー構成にマッピングする
下書きステートメントの例を分解し、DLP ポリシー構成ポイントにマッピングしてみましょう。 この例では、無制限の DLP 管理者アカウントを使用しており、管理単位が構成されていないことを前提としています。
重要
開始する前に、無制限の管理者 と 管理単位の制限付き管理者 の違いを理解していることを確認するために、管理単位 をお読みください。
| Statement | 構成に関する質問への回答と、構成マッピング |
|---|---|
| "私たちは米国を拠点とする組織です。HIPPA の対象となる機密性の高い医療情報が含まれる Office ドキュメントを、... |
-
監視の対象: Office ドキュメント。米国医療保険法 (HIPAA) テンプレートを使用する - 一致条件: (事前構成するが編集可能) - 米国 SSN および薬物執行機関 (DEA) 番号、国際疾病分類 (ICD-9-CM)、国際疾病分類 (ICD-10-CM) が含まれる項目、この組織外の人々と共有されるコンテンツ - 検出のトリガーしきい値を明確にするために、信頼度レベル、インスタンス数など (リーク許容度と呼ばれる) についての話し合いが必要。 |
| ... OneDrive/SharePoint に保存されたものの中から検出する必要があります。また、該当する情報について、Teams チャットやチャネル メッセージでの共有を防止することと、... | - 監視の場所: 場所のスコーピングにより、OneDrive サイト、SharePoint サイト、Teams チャット/チャネル アカウント、配布グループを包含または除外する。 ポリシーのスコープ (プレビュー): ディレクトリ全体 |
| ...未承認の第三者への共有を行わせない制限をすべての人に適用することが必要です。" |
-
実行するアクション: Microsoft 365 の場所内のコンテンツに対し、アクセス制限や暗号化を追加する - ポリシーがトリガーされる場合の実行アクションについて話し合いが必要。これには、保護アクション (共有制限など)、注意喚起アクション (通知、アラートなど)、ユーザー エンパワーメント アクション (ブロックが発生するアクションに対してユーザーによるオーバーライドを許可するなど) が含まれる |
この例は DLP ポリシーのすべての設定ポイントを網羅していないため、拡張していく必要があると考えられます。 それでも、実際の DLP ポリシー インテント ステートメントを作成する際に必要な考え方を身につけるための方向づけには十分役立つでしょう。
重要
注意: 監視対象とする場所の選択は、機密情報の種類の使用、秘密度ラベルの使用、保持ラベルの使用が可能かどうかに影響します。 選択した場所は、使用可能なアクションにも影響します。 詳細については、データ損失防止ポリシー リファレンスを参照してください。
複雑なルール設計
上で説明した SharePoint および OneDrive 内の HIPPA コンテンツの DLP ポリシーは単純な例です。 DLP ルール ビルダーでは、ブール論理 (AND、OR、NOT) と入れ子グループがサポートされています。
重要
- 既存のすべての例外は、条件に含まれる入れ子グループ内の NOT 条件で置き換えられます。
- 複数の演算子を使用するには、グループを作成する必要があります。
重要
Office デスクトップ クライアント アプリ (Word、Outlook、Excel、PowerPoint) 上のアクションが、複雑な条件を使用するポリシーに一致する場合、ユーザーに対しては、"機密情報を含むコンテンツ" 条件を使用するルールのポリシー ヒントのみが表示されます。
例 1: すべての受信者宛てについて、クレジット カード番号を含んでいるか "極秘" 秘密度ラベルが適用されているメールはブロックする必要があります。ただし、財務チームのメンバーから adele.vance@contoso.com 宛てに送信されたメールはブロックしません。
例 2: Contoso は、パスワードで保護されているファイルまたは zip 拡張子 ('zip' または '7z') 付きドキュメント ファイルを含んでいるすべてのメールはブロックする必要があります。ただし、受信者が contoso.com ドメインまたは fabrikam.com ドメインに属しているか、送信者が Contoso HR グループのメンバーである場合はブロックしません。
重要
- NOT 条件を付けた入れ子グループは、例外機能の代替として機能します。
- 複数の演算子を使用するには、グループを作成する必要があります。
重要
Office デスクトップ クライアント アプリ (Word、Outlook、Excel、PowerPoint) 上のアクションが、複雑な条件を使用するポリシーに一致する場合、ユーザーに対しては、"機密情報を含むコンテンツ" 条件を使用するルールのポリシー ヒントのみが表示されます。
ポリシー設計プロセス
データ損失防止 (DLP) の計画に関する記事に示した手順を実行すると、以下の作業を完了できます。
データ損失防止ポリシー リファレンス に慣れ親しむことにより、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作に与える影響を理解しましょう。
DLP ポリシー テンプレートに含まれる内容を理解しましょう。
主要なステークホルダーと共にポリシー インテント ステートメントを作成します。 この記事内で既に挙げた例を参照してください。
組織の全体的な DLP ポリシー戦略の中で、このポリシーをどのように位置づけるかを決定します。
重要
一度作成したポリシーの名前を変更することはできません。 ポリシーの名前を変更する場合は、目的に合った名前のポリシーを新しく作成し、古いポリシーを廃止する必要があります。 最初の段階で、すべてのポリシーの命名体系を決定しておくことをおすすめします。
ポリシー インテント ステートメント内の項目を構成オプションにマッピングします。
開始時に使用するポリシー テンプレート (事前定義済みか、カスタムか) を決定します。
テンプレートを確認し、必要なすべての情報をまとめてから、ポリシーを作成します。 作業を進めてみると、いくつかの構成ポイントに関する記述がポリシー インテント ステートメントに含まれていなかったことに気づく場合があります。 それは珍しくありません。 改めてステークホルダーと相談し、不足している構成ポイントの要件を確定しましょう。
すべてのポリシー設定に関する構成を文書化し、ステークホルダーと協力してレビューを行います。 この段階では、ポリシー インテント ステートメントから構成ポイントへのマッピングがしっかりと完成されており、再利用できます。
ポリシーの草案を作成し、定義しておいたポリシー展開プランを参照します。