インサイダー リスク管理のフォレンジック証拠の使用を開始する

重要

フォレンジック証拠は、Insider Risk Management のオプトイン アドオン機能であり、ユーザー のプライバシーが組み込まれた、潜在的なインサイダー データ セキュリティ インシデントに関する視覚的な分析情報をセキュリティ チームに提供します。 フォレンジック証拠には、カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護制御が含まれており、セキュリティ チームは機密データの不正なデータ流出などの潜在的なインサイダー データ リスクの調査、理解、対応を強化できます。

組織は、フォレンジック証拠をキャプチャするための最も優先度の高いイベントや、最も機密性の高いデータなど、適切なポリシーを設定します。 フォレンジック証拠は既定ではオフになっています。ポリシーの作成にはデュアル承認が必要であり、ユーザー名は仮名化でマスクできます (Insider Risk Management では既定でオンになっています)。 Insider Risk Management 内でポリシーを設定し、セキュリティ アラートを確認すると、強力なロールベースのアクセス制御 (RBAC) が利用され、organizationの指定された個人が追加の監査機能を使用して適切なアクションを実行できるようになります。

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

フォレンジック証拠を構成する

organizationでのフォレンジック証拠の構成は、インサイダー リスク管理ポリシー テンプレートから他のポリシーを構成するのと似ています。 一般に、同じ基本的な構成手順に従ってフォレンジック証拠を設定しますが、基本的な構成手順を開始する前に、機能固有の構成アクションが必要な領域がいくつかあります。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

手順 1: サブスクリプションを確認し、データ ストレージ アクセスを構成する

フォレンジック証拠の使用を開始する前に、 インサイダー リスク管理サブスクリプション とアドオンを確認する必要があります。

さらに、次のドメインをファイアウォール許可リストに追加して、organizationのフォレンジック証拠キャプチャ ストレージをサポートする必要があります。

  • compliancedrive.microsoft.com

キャプチャとキャプチャ データはこのドメインに格納され、organizationにのみ割り当てられます。 organizationのフォレンジック証拠キャプチャにアクセスできる Microsoft 365 organizationは他にありません。

注:

フォレンジック証拠データは、Exchange Online Protection (EOP) または交換リージョンが設定されている 1 つのリージョンに格納されます。

手順 2: サポートされているデバイスを構成する

フォレンジック証拠キャプチャの対象となるユーザー デバイスは、Microsoft Purview コンプライアンス ポータルにオンボードされ、Microsoft Purview クライアントがインストールされている必要があります。

重要

Microsoft Purview クライアントは、デバイス構成とパフォーマンス メトリックに関連する一般的な診断データを自動的に収集します。 これには、重大なエラー、RAM 消費、プロセス エラー、およびその他のデータに関するデータが含まれます。 このデータは、クライアントの正常性を評価し、問題を特定するのに役立ちます。 診断データの使用方法の詳細については、 Microsoft 製品条項の「オンライン サービスでのソフトウェアの使用」を参照してください。

デバイスと構成の要件の一覧については、「 フォレンジック証拠について学習する」を参照してください。 サポートされているデバイスをオンボードするには、Microsoft 365 の概要に関する記事「Windows 10とデバイスのWindows 11のオンボード」で説明されている手順を完了します。

Microsoft Purview クライアントをインストールするには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>フォレンジック 証拠>クライアントのインストールに移動します。

  2. [ インストーラー パッケージのダウンロード (x64 バージョン)] を選択して、Windows 用のインストール パッケージをダウンロードします。

  3. インストール パッケージをダウンロードした後、任意の方法を使用して、ユーザーのデバイスにクライアントをインストールします。 これらのオプションには、クライアントのインストールを自動化するために、デバイスまたはツールにクライアントを手動でインストールすることが含まれる場合があります。

    • Microsoft Intune: Microsoft Intuneは、すべてのデバイスを管理するための統合ソリューションです。 Microsoft では、複雑な移行を行わずに、シンプルなライセンスを使用して、Configuration ManagerとIntuneを組み合わせています。
    • サード パーティ製デバイス管理ソリューション: organizationがサード パーティ製デバイス管理ソリューションを使用している場合は、これらのツールのドキュメントを参照してクライアントをインストールします。

手順 3: 設定を構成する

フォレンジック証拠には、キャプチャされたセキュリティ関連のユーザー アクティビティの種類、パラメーターのキャプチャ、帯域幅の制限、オフライン キャプチャ オプションの柔軟性を提供するいくつかの構成設定があります。 フォレンジック証拠キャプチャを使用すると、要件に基づいていくつかの手順でポリシーを作成し、ポリシーにユーザーを追加するには二重承認が必要です。

フォレンジック証拠の設定を構成するには、次の手順を実行します。

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>のフォレンジック証拠>の設定に移動します。

  2. フォレンジック証拠のキャプチャを選択して、フォレンジック証拠ポリシーでのサポートのキャプチャを有効にします。 これを後でオフにすると、フォレンジック証拠ポリシーのために以前に追加されたすべてのユーザーが削除されます。

    重要

    ユーザーのデバイスでのアクティビティをキャプチャするために使用される Microsoft Purview クライアントは、 Microsoft 製品条項のオンライン サービスでのソフトウェアの使用に基づいてライセンスされます。 お客様は、適用されるすべての法律に準拠して、Microsoft Purview クライアントを含むインサイダー リスク管理ソリューションの使用に対して単独で責任を負います。

  3. [ キャプチャ] ウィンドウ セクションで、アクティビティキャプチャを開始および停止するタイミングを定義します。 使用可能な値は 、10 秒30 秒1 分3 分、または 5 分です

  4. [ アップロード帯域幅の制限 ] セクションで、ユーザーごとに 1 日あたりのデータ ストレージ アカウントにアップロードするキャプチャ データの量を定義します。 使用可能な値は 、100 MB250 MB500 MB1 GB、または 2 GB です

  5. [ オフライン キャプチャ キャッシュの制限 ] セクションで、オフライン キャプチャが有効になっているときにユーザーのデバイスに格納する最大キャッシュ サイズを定義します。 使用可能な値は 、100 MB250 MB500 MB1 GB、または 2 GB です

  6. [保存] を選択します。

手順 4: ポリシーを作成する

フォレンジック証拠ポリシーは、構成されたデバイスに対してキャプチャするセキュリティ関連のユーザー アクティビティのスコープを定義します。 フォレンジック証拠をキャプチャするには、次の 2 つのオプションがあります。

  • 特定のアクティビティ (ファイルの印刷や流出など) のみをキャプチャします。 このオプションを使用すると、キャプチャするデバイス アクティビティを選択でき、選択したアクティビティのみがポリシーによってキャプチャされます。 また、特定のデスクトップ アプリや Web サイトのアクティビティをキャプチャすることもできます。 これにより、リスクを提示するアクティビティ、アプリ、Web サイトのみに集中できます。
  • 承認されたユーザーがデバイスで実行するすべてのアクティビティをキャプチャします。 このオプションは、通常、特定のユーザーがセキュリティ インシデントにつながる危険なアクティビティに関与する可能性がある場合など、特定の期間に使用されます。 デバイス インジケーターや 拡張フィッシング保護インジケーターなど、このオプションを選択すると、すべてのフォレンジック証拠インジケーターが自動的に含まれます。 容量とユーザーのプライバシーを維持するために、以下で説明するように、特定のデスクトップ アプリや Web サイトをキャプチャから除外することを選択できます。

ポリシーを作成したら、それをフォレンジック証拠要求に含めて、要求が承認されたユーザーに対してキャプチャするアクティビティを制御します。

注:

継続的なフォレンジック ポリシー (すべてのアクティビティのキャプチャ) は、選択的なフォレンジック証拠ポリシー (特定のアクティビティのみをキャプチャする) よりも優先されます。

特定のアクティビティのみをキャプチャする

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>フォレンジック証拠>フォレンジック証拠ポリシーに移動します。

  2. [ フォレンジック証拠ポリシーの作成] を選択します。

  3. [スコープ] ページ 、[ 特定のアクティビティ] を選択します。 このオプションは、ユーザーが含まれているポリシーによって検出されたアクティビティのみをキャプチャします。 これらのアクティビティは、フォレンジック証拠ポリシーで選択されたインジケーターによって定義されます。 このオプションのキャプチャは、[アラート] または [ケース] ダッシュボードの [フォレンジック証拠 (プレビュー)] タブで確認できます。

  4. [次へ] を選択します。

  5. [名前と説明] ページで、次のフィールドを入力します。

    • 名前 (必須): フォレンジック証拠ポリシーのフレンドリ名を入力します。 この名前は、ポリシーの作成後は変更できません。
    • 説明 (省略可能):フォレンジック証拠ポリシーの説明を入力します。
  6. [次へ] を選択します。

  7. [ キャプチャするデバイス アクティビティの選択] ページで、次の操作を行 います。

    1. キャプチャするデバイス アクティビティを選択します。 選択したアクティビティのみがポリシーによってキャプチャされます。

      注:

      インジケーターが選択できない場合は、オンにするように求められます。

    2. [拡張フィッシング保護アクティビティ] で、キャプチャするアクティビティ (プレビュー) を選択します。 たとえば、フィッシング サイトまたはフィッシング サイトに接続しているアプリケーションで、ユーザーがWindows 11 デバイスにサインインするために使用した Microsoft パスワードを入力したときにキャプチャできます。 詳細については、「Microsoft Defender SmartScreen の拡張フィッシング保護」を参照してください
    3. [アプリと Web 閲覧アクティビティをキャプチャする] の下にある [特定のアプリまたは Web サイトのチェックを開く] ボックスを選択して、ポリシー内の特定のデスクトップ アプリや Web サイトのアクティビティをキャプチャすることもできます。

    重要

    閲覧アクティビティをキャプチャする場合 (フォレンジック証拠ポリシーに特定の URL を含めるか除外する場合)、 必要なブラウザー拡張機能をインストールしてください。 また、少なくとも 1 つの閲覧インジケーターをオンにする必要があります。 1 つ以上の閲覧インジケーターをまだオンにしていない場合は、デスクトップ アプリまたは Web サイトを含めるか除外するかを選択した場合は、その操作を求めるメッセージが表示されます。 閲覧アクティビティをキャプチャするためのトリガー イベントは、指定した URL を含む URL バーの URL 更新です。

    1. [次へ] を選択します。
  8. (省略可能)特定のデスクトップ アプリと Web サイトのアクティビティをキャプチャすることを選択した場合は、[ アプリと Web サイトの追加] ページでアクティビティをキャプチャします

    1. デスクトップ アプリを追加するには、[ デスクトップ アプリの追加] を選択し、実行可能ファイルの名前 (teams.exe など) を入力し、[ 追加] を選択します。 追加するデスクトップ アプリごとにこのプロセスを繰り返します (最大 25 アプリ)。 アプリの実行可能ファイルの名前を見つけるには、タスク マネージャーを開き、アプリのプロパティを表示します。 一部の一般的なアプリケーションの exe 名の一覧は、Microsoft Edge (msedge.exe)、Microsoft Excel (Excel.exe)、切り取りツール (SnippingTool.exe)、Microsoft Teams (Teams.exe)、Microsoft Word (WinWord.exe)、Microsoft リモート デスクトップ接続 (mstsc.exe) です。

    注:

    場合によっては、アプリの exe 名が、デバイスとアプリを開いたアクセス許可によって異なる場合があります。 たとえば、Windows 11エンタープライズ デバイスでは、管理者のアクセス許可なしでWindows PowerShellを開くと、exe 名は WindowsTerminal.exe されますが、管理者権限で開くと、exe 名は powershell.exe に変わります。 このようなシナリオでは、両方の exe 名を含める/除外してください。

    1. Web アプリまたは Web サイトを追加するには、[ Web アプリと Web サイトの追加] を選択し、URL (例: https://teams.microsoft.com) を入力して、[ 追加] を選択します。 追加する Web アプリまたは Web サイトごとに、このプロセスを繰り返します。 URL ごとに最大 25 個の URL を追加できます。文字数は 100 です。

    ヒント

    アプリにデスクトップと Web のバージョンがある場合は、デスクトップ実行可能ファイルと Web URL の両方を必ず追加して、両方のアクティビティをキャプチャしてください。

    1. [次へ] を選択します。
  9. [ 設定と完了の確認 ] ページで、ポリシーに対して選択した設定と、選択した候補または警告を確認します。 いずれかのポリシー値を編集するか、[ 送信] を選択してポリシーを作成してアクティブ化します。

  10. ポリシー構成手順が完了したら、手順 5 に進みます。

すべてのアクティビティをキャプチャする

  1. Microsoft Purview コンプライアンス ポータルで、Insider リスク管理>のフォレンジック証拠 (プレビュー)>フォレンジック証拠ポリシーに移動します。

  2. [ フォレンジック証拠ポリシーの作成] を選択します。

  3. [スコープ] ページ 、[ すべてのアクティビティ] を選択します。 このオプションは、ユーザーによって実行されたすべてのアクティビティをキャプチャします。 このオプションのキャプチャは、[ユーザー アクティビティ レポート(プレビュー)] ダッシュボードの [フォレンジック証拠 (プレビュー)] タブで確認できます。

  4. [次へ] を選択します。

  5. [名前と説明] ページで、次のフィールドを入力します。

    • 名前 (必須): フォレンジック証拠ポリシーのフレンドリ名を入力します。 この名前は、ポリシーの作成後は変更できません。
    • 説明 (省略可能):フォレンジック証拠ポリシーの説明を入力します。
  6. [次へ] を選択します。

  7. [キャプチャするデバイス アクティビティの選択] ページで、キャプチャから特定のデスクトップ アプリや Web アプリまたは Web アプリまたは Web サイトを除外する場合は、[アプリと Web 閲覧アクティビティをキャプチャする] で、[特定のアプリまたは Web サイトをチェック除外する] ボックスを選択します。

  8. [次へ] を選択します。

  9. キャプチャから特定のデスクトップ アプリと Web サイトを除外することを選択した場合は、[ アプリケーション/URL の除外] ページで次の操作を行います。

    • キャプチャからデスクトップ アプリを除外するには、[ デスクトップ アプリの除外] を選択し、実行可能ファイルの名前 (teams.exe など) を入力し、[ 追加] を選択します。 除外するデスクトップ アプリごとにこのプロセスを繰り返します (最大 25 アプリ)。 アプリの実行可能ファイルの名前を見つけるには、タスク マネージャーを開き、アプリのプロパティを表示します。
    • Web アプリまたは Web サイトを除外するには、[ Web アプリと Web サイトを除外する] を選択し、URL (例: https://teams.microsoft.com) を入力して、[ 追加] を選択します。 除外する Web アプリまたは Web サイトごとに、このプロセスを繰り返します。 URL ごとに 100 文字の長さの URL を最大 25 個除外できます。

    ヒント

    アプリにデスクトップと Web のバージョンがある場合は、デスクトップ実行可能ファイルと Web URL の両方を必ず追加して、両方を除外してください。

  10. [ 設定と完了の確認 ] ページで、ポリシーに対して選択した設定と、選択した候補または警告を確認します。 いずれかのポリシー値を編集するか、[ 送信] を選択してポリシーを作成してアクティブ化します。

  11. ポリシー構成手順が完了したら、手順 5 に進みます。

手順 5: キャプチャするユーザーを定義して承認する

セキュリティ関連のユーザー アクティビティをキャプチャする前に、管理者はフォレンジック証拠の二重承認プロセスに従う必要があります。 このプロセスでは、特定のユーザーに対して視覚的なキャプチャを有効にすることは、organization内の該当するユーザーによって定義および承認される必要があります。

特定のユーザーに対してフォレンジック証拠のキャプチャが有効になっていることを要求する必要があります。 要求が送信されると、organizationの承認者に電子メールで通知され、要求を承認または拒否できます。 承認された場合、ユーザーは [ 承認済みユーザー ] タブに表示され、キャプチャの対象となります。 詳細については、次のリンクを参照してください。

次の手順

フォレンジック証拠ポリシーを構成した後、(エンドポイント デバイスにインストールされている) フォレンジック証拠クライアントがオンラインになっている場合、ポリシーの適用には最大 2 時間かかることがあります。 クライアントによってクリップがキャプチャされると、クリップを確認できるようになるまで最大で 1 時間かかることがあります。 フォレンジック証拠の管理とクリップ キャプチャの確認の詳細については、 情報リスク管理フォレンジック証拠の管理 に関する記事を参照してください。