インサイダー リスク管理フォレンジック証拠の概要 (プレビュー)

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシーを設計して構築されたユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するためにロールベースのアクセス制御と監査ログが用意されています。

フォレンジック証拠を構成する

組織でのフォレンジック証拠の構成は、インサイダー リスク管理ポリシー テンプレートから他のポリシーを構成するのと似ています。 一般に、フォレンジック証拠を設定するには、同じ基本的な構成手順に従いますが、基本的な構成手順を開始する前に、機能固有の構成アクションが必要な領域がいくつかあります。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

手順 1: サブスクリプションを確認し、データ ストレージ アクセスを構成する

フォレンジック証拠の使用を開始する前に、 インサイダー リスク管理サブスクリプション とアドオンを確認する必要があります。

さらに、組織のフォレンジック証拠キャプチャ ストレージをサポートするには、次のドメインをファイアウォール許可リストに追加する必要があります。

  • compliancedrive.microsoft.com

キャプチャとキャプチャ データは、このドメインに格納され、組織にのみ割り当てられます。 組織のフォレンジック証拠キャプチャにアクセスできる Microsoft 365 組織は他にありません。

手順 2: サポートされているデバイスを構成する

フォレンジック証拠キャプチャの対象となるユーザー デバイスは、Microsoft Purview コンプライアンス ポータルにオンボードされ、Microsoft Purview クライアントがインストールされている必要があります。

重要

Microsoft Purview クライアントは、デバイス構成とパフォーマンス メトリックに関連する一般的な診断データを自動的に収集します。 これには、重大なエラー、RAM 消費、プロセス エラー、およびその他のデータに関するデータが含まれます。 このデータは、クライアントの正常性を評価し、問題を特定するのに役立ちます。 診断データの使用方法の詳細については、 Microsoft 製品条項の「オンライン サービスでのソフトウェアの使用」を参照してください。

デバイスと構成の要件の一覧については、「 フォレンジック証拠 (プレビュー)について学習する」を参照してください。 サポートされているデバイスをオンボードするには、Microsoft 365 の概要に関する記事「Windows 10とデバイスのWindows 11のオンボード」で説明されている手順を完了します。

Microsoft Purview クライアントをインストールするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>フォレンジック証拠 (プレビュー)>クライアントのインストールに移動します。

  2. [ インストーラー パッケージのダウンロード (x64 バージョン)] を選択して、Windows 用のインストール パッケージをダウンロードします。

  3. インストール パッケージをダウンロードした後、任意の方法を使用して、ユーザーのデバイスにクライアントをインストールします。 これらのオプションには、クライアントのインストールを自動化するために、デバイスまたはツールにクライアントを手動でインストールすることが含まれる場合があります。

    • Microsoft Endpoint Manager: Microsoft Endpoint Manager は、すべてのデバイスを管理するための統合ソリューションです。 Microsoft では、複雑な移行を行わずに、シンプルなライセンスを使用して、Configuration ManagerとIntuneを組み合わせています。
    • サード パーティ製デバイス管理ソリューション: 組織でサード パーティ製のデバイス管理ソリューションを使用している場合は、これらのツールのドキュメントを参照してクライアントをインストールします。

手順 3: 設定を構成する

フォレンジック証拠には、キャプチャされたセキュリティ関連のユーザー アクティビティの種類、パラメーターのキャプチャ、帯域幅の制限、オフライン キャプチャ オプションの柔軟性を提供するいくつかの構成設定があります。 フォレンジック証拠キャプチャを使用すると、要件に基づいていくつかの手順でポリシーを作成し、ポリシーにユーザーを追加するには二重承認が必要です。

フォレンジック証拠の設定を構成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>のフォレンジック証拠 (プレビュー)>フォレンジック証拠の設定に移動します。

  2. フォレンジック証拠のキャプチャを選択して、フォレンジック証拠ポリシーでのサポートのキャプチャを有効にします。 これを後でオフにすると、フォレンジック証拠ポリシーのために以前に追加されたすべてのユーザーが削除されます。

    重要

    ユーザーのデバイスでのアクティビティをキャプチャするために使用される Microsoft Purview クライアントは、 Microsoft 製品条項のオンライン サービスでのソフトウェアの使用に基づいてライセンスされます。 お客様は、適用されるすべての法律に準拠して、Microsoft Purview クライアントを含むインサイダー リスク管理ソリューションの使用に対して単独で責任を負います。

  3. [ キャプチャ] ウィンドウ セクションで、アクティビティキャプチャを開始および停止するタイミングを定義します。 使用可能な値は 、10 秒30 秒1 分3 分、または 5 分です

  4. [ アップロード帯域幅の制限 ] セクションで、ユーザーごとに 1 日あたりのデータ ストレージ アカウントにアップロードするキャプチャ データの量を定義します。 使用可能な値は 、100 MB250 MB500 MB1 GB、または 2 GB です

  5. [ オフライン キャプチャ ] セクションで、必要に応じてオフライン キャプチャを有効にします。 有効にすると、ユーザーのオフライン アクティビティがキャプチャされ、次回オンラインになったときにデータ ストレージ アカウントにアップロードされます。

  6. [ オフライン キャプチャ キャッシュの制限 ] セクションで、オフライン キャプチャが有効になっているときにユーザーのデバイスに格納する最大キャッシュ サイズを定義します。 使用可能な値は 、100 MB250 MB500 MB1 GB、または 2 GB です

  7. [保存] を選択します。

手順 4: ポリシーを作成する

フォレンジック証拠ポリシーは、構成されたデバイスでキャプチャするセキュリティ関連のユーザー アクティビティのスコープを定義します。 承認されたユーザーがデバイスで実行するすべてのアクティビティをキャプチャする 1 つのポリシーと、特定のアクティビティ (ファイルの印刷や流出など) のみをキャプチャする追加のポリシーを設定できます。 作成後、これらのポリシーをフォレンジック証拠要求に含めて、要求が承認されたユーザーに対してキャプチャするアクティビティを制御します。

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>のフォレンジック証拠 (プレビュー)>フォレンジック証拠ポリシーに移動します。

  2. [ フォレンジック証拠ポリシーの作成] を選択します。

  3. [ スコープ ] ページで、キャプチャするセキュリティ関連のユーザー アクティビティのスコープを選択します。 以下のいずれかのオプションを選択します。

    • 特定のアクティビティ: このオプションは、ユーザーが含まれているポリシーによって検出されたアクティビティのみをキャプチャします。 これらのアクティビティは、フォレンジック証拠ポリシーで選択されたインジケーターによって定義されます。 このオプションのキャプチャは、[アラート] または [ケース] ダッシュボードの [フォレンジック証拠 (プレビュー)] タブで確認できます。
    • すべてのアクティビティ: このオプションは、ユーザーによって実行されたすべてのアクティビティをキャプチャします。 このオプションのキャプチャは、[ユーザー アクティビティ レポート(プレビュー)] ダッシュボードの [フォレンジック証拠 (プレビュー)] タブで確認できます。
  4. [次へ] を選択します。

  5. [名前と説明] ページで、次のフィールドを入力します。

    • 名前 (必須): フォレンジック証拠ポリシーのフレンドリ名を入力します。 この名前は、ポリシーの作成後は変更できません。
    • 説明 (省略可能): フォレンジック証拠ポリシーの説明を入力します。
  6. [次へ] を選択します。

  7. 手順 3 で [すべてのアクティビティ ] オプションを選択した場合、ポリシー ウィザードの最後の手順が [ デバイス アクティビティ ] ページに表示されます。 [すべてのアクティビティ] オプションが選択されている場合に構成するデバイス アクティビティはありません。

    手順 3 で [特定の アクティビティ ] オプションを選択した場合は、[デバイス アクティビティ] ページでキャプチャする デバイス アクティビティ を選択します。 選択したアクティビティのみがポリシーによってキャプチャされます。 インジケーターが選択できない場合は、フォレンジック証拠ポリシーでこれらのインジケーターを選択する前に、組織のこれらのインジケーターを有効にする必要があります。

    インジケーターを選択したら、[ 次へ] を選択します。

  8. [ 完了 ] ページで、ポリシーに対して選択した設定と、選択した候補または警告を確認します。 [編集] を選んで、ポリシー値を変更するか、ポリシーを作成してアクティブ化するには [送信] を選択します。

ポリシー構成手順が完了したら、手順 5 に進みます。

手順 5: キャプチャするユーザーを定義して承認する

セキュリティ関連のユーザー アクティビティをキャプチャする前に、管理者はフォレンジック証拠の二重承認プロセスに従う必要があります。 このプロセスでは、特定のユーザーに対して視覚的なキャプチャを有効にすることが、組織内の該当するユーザーによって定義および承認されることを義務付けています。

重要

プレビュー リリースでは、最大 5 人の同時ユーザーがフォレンジック証拠のキャプチャの対象となります。 グループのキャプチャは、プレビュー リリースではサポートされていません。

特定のユーザーに対してフォレンジック証拠のキャプチャが有効になっていることを要求する必要があります。 要求が送信されると、組織内の承認者に電子メールで通知され、要求を承認または拒否できます。 承認された場合、ユーザーは [ 承認済みユーザー ] タブに表示され、キャプチャの対象となります。

次の手順

フォレンジック証拠ポリシーを構成した後、最初の適格なクリップ キャプチャが他のポリシーのアラートまたは ユーザー アクティビティ レポートのアクティビティとして確認できるようになるまで、最大で 48 時間かかることがあります。 フォレンジック証拠の管理とクリップ キャプチャの確認の詳細については、 情報リスク管理フォレンジック証拠の管理 に関する記事を参照してください。