インサイダー リスク管理のための計画

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

organizationでインサイダー リスク管理を開始する前に、情報テクノロジとコンプライアンス管理チームがレビューする必要がある重要な計画活動と考慮事項があります。 次の領域でのデプロイの徹底的な理解と計画は、インサイダー リスク管理機能の実装と使用が円滑に進み、ベスト プラクティスと整合していることを確認するのに役立ちます。

organizationの危険なアクティビティに対処するための計画プロセスの詳細と概要については、「インサイダー リスク管理プログラムの開始」を参照してください。

以下のビデオを見て、インサイダー リスク管理ワークフローが、organization値、カルチャ、ユーザー エクスペリエンスを優先しながら、リスクを防止、検出、封じ込めるorganizationにどのように役立つかを説明します。

organizationのユーザーからのデータ リスクを最小限に抑えるために、インサイダー リスク管理とコミュニケーション コンプライアンスがどのように連携するかについては、Microsoft Mechanics のビデオをご覧ください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

organizationの関係者と連携する

organizationの適切な利害関係者を特定し、インサイダー リスク管理のアラートとケースに対してアクションを実行するために共同作業を行います。 最初の計画に含めることと、エンド ツー エンドのインサイダー リスク管理ワークフローに含めることを検討することをお勧めします。これは、organizationの次の領域のユーザーです。

• 情報技術
• コンプライアンス
• プライバシー
• セキュリティ
• 人事管理
• 法務

地域のコンプライアンス要件を決定する

地理的および組織の領域が異なると、organizationの他の領域とは異なるコンプライアンスとプライバシーの要件が設定される場合があります。 これらの分野の利害関係者と協力して、インサイダー リスク管理におけるコンプライアンスとプライバシーの制御と、organizationのさまざまな領域で使用する方法を確実に理解します。 一部のシナリオでは、コンプライアンスとプライバシーの要件では、ユーザーの場合や地域の規制やポリシーの要件に基づいて、調査やケースから一部の利害関係者を指定または制限するポリシーが必要になる場合があります。

特定の地域、ロール、または部門のユーザーを含むケース調査に関与する特定の利害関係者の要件がある場合は、異なるリージョンと母集団を対象とする個別の (同一の場合でも) インサイダー リスク管理ポリシー を実装することをお勧めします。 この構成により、適切な利害関係者は、ロールとリージョンに関連するケースをトリアージして管理しやすくなります。 調査担当者とレビュー担当者がユーザーと同じ言語を話すリージョンのプロセスとポリシーを作成することを検討することをお勧めします。これは、インサイダー リスク管理のアラートやケースのエスカレーション プロセスを合理化するのに役立ちます。

レビューと調査のワークフローをサポートするためのアクセス許可を計画する

インサイダー リスク管理ポリシーとアラートを管理する方法に応じて、特定の役割グループにユーザーを割り当てて、さまざまなインサイダー リスク管理機能のセットを管理する必要があります。 異なるコンプライアンス責任を持つユーザーを特定のロール グループに割り当てて、インサイダー リスク管理機能のさまざまな領域を管理することもできます。 または、指定された管理者、アナリスト、調査担当者、閲覧者のすべてのユーザー アカウントを Insider Risk Management ロール グループに割り当てることを決定できます。 詳細については、「 インサイダー リスク管理の概要」を参照してください。

要件と依存関係を理解する

インサイダー リスク管理ポリシーを実装する方法に応じて、適切な Microsoft 365 ライセンス サブスクリプションを用意し、いくつかのソリューションの前提条件を理解して計画する必要があります。

ライセンス： インサイダー リスク管理は、Microsoft 365 ライセンス サブスクリプションの幅広い選択の一環として利用できます。 詳細については、 インサイダー リスク管理の概要に関する記事を 参照してください。

重要

現在、インサイダー リスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 organizationに対してインサイダー リスク管理がサポートされていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。

既存のMicrosoft 365 Enterprise E5 プランを持っていなくても、インサイダー リスク管理を試したい場合は、既存のサブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップできます。

ポリシー テンプレートの要件:選択したポリシー テンプレートに応じて、organizationでインサイダー リスク管理を構成する前に、次の要件を理解し、それに応じて計画する必要があります。

• 出発ユーザーによるデータ盗難テンプレートを使用する場合は、Microsoft 365 HR コネクタを構成して、organization内のユーザーの辞任と終了日の情報を定期的にインポートする必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。
• データ リーク テンプレートを使用する場合は、少なくとも 1 つのMicrosoft Purview データ損失防止 (DLP) ポリシーを構成して、organizationの機密情報を定義し、重大度の高い DLP ポリシー アラートのインサイダー リスク アラートを受信する必要があります。 DLP ポリシーを構成するための詳細なガイダンスについては、 データ損失防止ポリシーの作成と展開 に関する記事を参照してください。
• セキュリティ ポリシー違反テンプレートを使用する場合、セキュリティ違反アラートをインポートするには、Defender Security Center でのインサイダー リスク管理統合のMicrosoft Defender for Endpointを有効にする必要があります。 Defender for Endpoint とインサイダー リスク管理の統合を有効にする詳細なガイダンスについては、「Microsoft Defender for Endpointで高度な機能を構成する」を参照してください。
• Risky ユーザー テンプレートを使用する場合は、Organization内のユーザーのパフォーマンスまたは降格状態情報を定期的にインポートするように Microsoft 365 HR コネクタを構成する必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。

運用環境の少数のユーザー グループでテストする

運用環境でこのソリューションを広く有効にする前に、organizationで必要なコンプライアンス、プライバシー、法的レビューを実施しながら、少数の運用ユーザーでポリシーをテストすることを検討する必要があります。 テスト環境でインサイダー リスク管理を評価するには、シミュレートされたユーザー アクションやその他のシグナルを生成して、トリアージと処理のためのケースのアラートを作成する必要があります。 このアプローチは多くの組織にとって実用的でない可能性があるため、運用環境の少数のユーザー グループでインサイダー リスク管理をテストすることをお勧めします。

ポリシー設定の匿名化機能を有効にして、このテスト中にインサイダー リスク 管理コンソールのユーザー表示名を匿名化し、ツール内でプライバシーを維持します。 この設定は、ポリシーが一致するユーザーのプライバシーを保護するのに役立ち、インサイダー リスク アラートのデータ調査と分析レビューの客観性を高めるのに役立ちます。

インサイダー リスク管理ポリシーを構成した直後にアラートが表示されない場合は、最小リスクしきい値がまだ満たされていない可能性があります。 [ ユーザー ] ページを確認して、ポリシーがトリガーされ、期待どおりに動作していることを確認し、ユーザーがポリシーのスコープ内にあるかどうかを確認します。

利害関係者向けのリソース

管理と修復のワークフローに含まれるorganizationの関係者とインサイダー リスク管理ドキュメントを共有します。

• インサイダー リスク ポリシーを作成して管理する
• インサイダー リスク アクティビティを調査する
• インサイダー リスクのケースに対処する
• インサイダー リスク コンテンツ エクスプローラーでケース データを確認する
• インサイダー リスク通知のテンプレートを作成する

始める準備はいいですか。

organizationのインサイダー リスク管理を構成する準備はできましたか? 次の記事を確認することをお勧めします。

• インサイダー リスク管理設定を使用して 、グローバル ポリシー設定を構成します。
• インサイダー リスク管理を開始 して、前提条件の構成、ポリシーの作成、アラートの受信を開始します。
• organizationでフォレンジック証拠キャプチャを構成するためのステップ バイ ステップ ガイダンスについては、インサイダー リスク管理のフォレンジック証拠の使用を開始します。