インサイダー リスク管理の詳細

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 インサイダー リスク管理を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシーを設計して構築されたユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するためにロールベースのアクセス制御と監査ログが用意されています。

Microsoft Purview インサイダー リスク管理は、組織内の悪意のあるアクティビティや不注意によるアクティビティを検出、調査、および操作できるようにすることで、内部リスクを最小限に抑えるのに役立つコンプライアンス ソリューションです。 インサイダー リスク ポリシーを使用すると、ケースに対応したり、必要に応じて Microsoft 電子情報開示 (Premium) にケースをエスカレートしたりするなど、組織内で識別および検出するリスクの種類を定義できます。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。

セキュリティ インシデントにつながる可能性のある組織内のリスクの高いアクティビティに対処するための計画プロセスの詳細と概要については、「 インサイダー リスク管理プログラムの開始」を参照してください。

組織の価値、文化、ユーザー エクスペリエンスを優先しながら、組織がリスクを防止、検出、封じ込めるのにインサイダー リスク管理がどのように役立つかについては、以下のビデオをご覧ください。

インサイダー リスク管理ソリューション & の開発:


インサイダー リスク管理ワークフロー:

組織内のユーザーからのデータ リスクを最小限に抑えるために、インサイダー リスク管理とコミュニケーション コンプライアンスがどのように連携するかについては、 Microsoft Mechanics のビデオ をご覧ください。

重要

現在、インサイダー リスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 組織でインサイダー リスク管理がサポートされていることを確認するには、 国/リージョン別の Azure 依存関係の可用性に関するページを参照してください。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

最新のリスクの問題点

組織内のリスクを管理して最小化するには、まずモダンワークプレースで見つかったリスクの種類を理解します。 一部のリスクは、外部のイベントと、直接制御外の要因によって駆動されます。 その他のリスクは、最小限に抑え、回避できる内部イベントとユーザー アクションによって駆動されます。 たとえば、組織内のユーザーによる違法、不適切、未承認、または非倫理的な行動や行動によるリスクがあります。 これらの動作には、ユーザーからの広範な内部リスクが含まれます。

  • 機密データとデータ流出のリーク
  • 機密保持違反
  • 知的財産権 (IP) 侵害
  • 詐欺
  • インサイダー取引
  • 規制遵守違反

最新の職場のユーザーは、さまざまなプラットフォームやサービスにわたってデータを作成、管理、共有できます。 ほとんどの場合、組織には、組織全体のリスクを特定して軽減し、ユーザーのプライバシー基準を満たすリソースとツールが限られています。

インサイダー リスク管理では、幅広いサービスとサード パーティのインジケーターを使用して、リスク アクティビティをすばやく特定、トリアージ、および行動するのに役立ちます。 Microsoft 365 と Microsoft Graph のログを使用すると、インサイダー リスク管理を使用して、リスク インジケーターを識別するための特定のポリシーを定義できます。 これらのポリシーを使用すると、危険なアクティビティを特定し、これらのリスクを軽減するために行動できます。

インサイダー リスク管理は、次の原則を中心にしています。

  • 透明性: プライバシー バイ デザイン アーキテクチャを使用して、ユーザーのプライバシーと組織のリスクのバランスを取ります。
  • 構成可能: 業界、地理的、ビジネス グループに基づいて構成可能なポリシー。
  • 統合: Microsoft Purview ソリューション全体の統合ワークフロー。
  • アクション可能: レビュー担当者の通知、データ調査、ユーザー調査を有効にする分析情報を提供します。

分析を使用して潜在的なリスクを特定する

Insider リスク分析では、インサイダー リスク ポリシーを構成することなく、組織内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、組織が高いユーザー リスクの潜在的領域を特定し、構成することを考えるべきインサイダー リスク マネジメント ポリシーの種類と範囲を特定するのに役立ちます。 この評価は、既存のインサイダー リスク ポリシーの追加ライセンスまたは将来の最適化のニーズを判断するのにも役立ちます。

インサイダー リスク分析の詳細については、「 Insider リスク管理の設定: 分析」を参照してください。

インサイダー リスク管理を初めて設定する場合も、新しいポリシーの作成を開始する場合でも、新しい 推奨アクション エクスペリエンスは、インサイダー リスク管理機能を最大限に活用するのに役立ちます。 推奨されるアクションには、アクセス許可の設定、ポリシー インジケーターの選択、ポリシーの作成などがあります。

ワークフロー

インサイダー リスク管理ワークフローは、組織内の内部リスクを特定、調査、対処するのに役立ちます。 焦点を絞ったポリシー テンプレート、Microsoft 365 サービス全体の包括的なアクティビティ シグナリング、アラートとケース管理ツールを使用すると、実用的な分析情報を使用して、リスクの高い動作をすばやく特定して対処できます。

インサイダー リスク管理に関する内部リスク アクティビティとコンプライアンスの問題を特定して解決するには、次のワークフローを使用します。

インサイダー リスク管理ワークフロー。

ポリシー

インサイダー リスク管理ポリシー は、事前に定義されたテンプレートとポリシー条件を使用して作成され、組織で調べられているトリガー イベントとリスク インジケーターを定義します。 これらの条件には、アラートにリスク インジケーターを使用する方法、ポリシーに含まれるユーザー、優先されるサービス、検出期間が含まれます。

インサイダー リスク管理をすぐに開始するには、次のポリシー テンプレートから選択できます。

インサイダー リスク管理ポリシー ダッシュボード。

アラート

アラートは、ポリシー条件に一致するリスク インジケーターによって自動的に生成され、[ アラート] ダッシュボードに表示されます。 このダッシュボードを使用すると、レビューが必要なすべてのアラートのクイック ビュー、時間の経過に伴うアラートのオープン、および組織のアラートの統計情報が表示されます。 すべてのポリシー アラートが次の情報と共に表示され、アクションが必要な既存のアラートと新しいアラートの状態をすばやく特定するのに役立ちます。

  • 状態
  • 重要度
  • 検出された時間
  • ケース
  • ケースの状態

インサイダー リスク管理アラート ダッシュボード。

トリアージ

調査が必要な新しいユーザー アクティビティによって、 確認が必要 な状態が割り当てられたアラートが自動的に生成されます。 レビュー担当者は、これらのアラートをすばやく特定し、確認、評価、トリアージできます。

新しいケースを開いて、既存のケースに警告を割り当てるか、警告を無視すれば警告を解決できます。 アラート フィルターを使用すると、検出された状態、重大度、または時間によってアラートをすばやく識別できます。 トリアージ プロセスの一環として、レビュー担当者は、ポリシーによって識別されたアクティビティのアラートの詳細を表示したり、ポリシーの一致に関連付けられているユーザー アクティビティを表示したり、アラートの重大度を確認したり、ユーザー プロファイル情報を確認したりできます。

インサイダー リスク管理トリアージ。

調査

ユーザー アクティビティ レポート (プレビュー) を使用して、選択したユーザーのすべてのリスク アクティビティをすばやく調査します。 これらのレポートを使用すると、組織内の調査担当者は、内部リスク管理ポリシーに一時的または明示的に割り当てることなく、定義された期間の特定のユーザーのアクティビティを調べることができます。 ユーザーのアクティビティを調査した後、調査担当者は個々のアクティビティを問題のないものとして無視したり、レポートへのリンクを他の調査員と共有または電子メールで送信したり、ユーザーを一時的または明示的にインサイダー リスク管理ポリシーに割り当てることを選択したりできます。

ポリシー の一致に関するアクティビティの詳細と状況の詳細なレビューと調査を必要とするアラートに対してケースが作成されます。 ケース ダッシュボードには、組織のすべてのアクティブなケース、時間の経過に伴うオープン ケース、およびケースの統計情報がすべて表示されます。 レビュー担当者は、状態、ケースが開かれた日付、ケースが最後に更新された日付でケースをすばやくフィルター処理できます。

ケース ダッシュボードでケースを選択すると、ケースが開き、調査とレビューが行えます。 この手順は、インサイダー リスク管理ワークフローの中心です。 この領域では、リスク アクティビティ、ポリシー条件、アラートの詳細、およびユーザーの詳細が、レビュー担当者の統合ビューに合成されます。 この領域の主な調査ツールは次のとおりです。

  • ユーザー アクティビティ: ユーザー リスク アクティビティは、現在または過去のリスク アクティビティの時間とリスク レベルに応じてアクティビティをプロットする対話型グラフに自動的に表示されます。 レビュー担当者は、ユーザーのリスク履歴全体をすばやくフィルター処理して表示し、特定のアクティビティにドリルダウンして詳細を確認できます。
  • コンテンツ エクスプローラー: アラート アクティビティに関連付けられているすべてのデータ ファイルと電子メール メッセージが自動的にキャプチャされ、コンテンツ エクスプローラーに表示されます。 校閲者は、データ ソース、ファイルの種類、タグ、会話、その他の多くの属性でファイルとメッセージをフィルター処理して表示できます。
  • ケース ノート: レビュー担当者は、[ケース ノート] セクションでケースのメモを提供できます。 この一覧には、すべてのノートが中央ビューに統合され、レビュー担当者と送信日の情報が含まれます。

インサイダー リスク管理の調査。

さらに、新しい 監査ログ (プレビュー) を使用すると、インサイダー リスク管理機能で実行されたアクションを常に把握できます。 このリソースを使用すると、1 つ以上のインサイダー リスク管理ロール グループに割り当てられたユーザーが実行したアクションを個別に確認できます。

アクション

ケースが調査されると、レビュー担当者はケースを解決したり、組織内の他のリスク関係者と共同作業したりするために迅速に行動できます。 ユーザーが誤ってまたは誤ってポリシー条件に違反した場合は、組織用にカスタマイズできる通知テンプレートから簡単なリマインダー通知をユーザーに送信できます。 これらの通知は、単純なリマインダーとして機能する場合や、将来の危険な動作を防ぐために、ユーザーにトレーニングやガイダンスの更新を指示する場合があります。 詳細については、「インサイダー リスク管理通知テンプレート」をご覧ください。

より深刻な状況では、組織内の他のレビュー担当者やサービスとインサイダー リスク管理ケース情報を共有する必要がある場合があります。 インサイダー リスク管理は、エンド ツー エンドのリスク解決に役立つ他の Microsoft Purview ソリューションと緊密に統合されています。

  • 電子情報開示 (Premium): 調査のためにケースをエスカレートすると、ケースのデータと管理をMicrosoft Purview eDiscovery (Premium) に転送できます。 電子情報開示 (プレミアム) は、組織の内部および外部の調査と関連性のあるコンテンツを保管、収集、確認、分析、エクスポートするための、エンドツーエンドのワークフローを提供します。 これにより、法務チームは訴訟ホールド通知ワークフロー全体を管理できます。 電子情報開示 (Premium) ケースの詳細については、「Microsoft Purview eDiscoveryの概要 (Premium)」を参照してください。
  • Office 365管理 API の統合 (プレビュー): Insider リスク管理では、Office 365 Management API を介してセキュリティ情報とイベント管理 (SIEM) サービスへのアラート情報のエクスポートがサポートされます。 プラットフォーム内のアラート情報にアクセスして、組織のリスク プロセスに最適な情報にアクセスすると、リスク アクティビティに対処する方法の柔軟性が高まります。 Office 365管理 API を使用したアラート情報のエクスポートの詳細については、「アラートのエクスポート」を参照してください。

注:

ServiceNow コネクタのプレビュー中にフィードバックとサポートをいただき、ありがとうございます。 ServiceNow コネクタのプレビューを終了し、2020 年 11 月 30 日にインサイダー リスク管理のサポートを中止することにしました。 私たちは、インサイダーリスク管理における ServiceNow 統合を顧客に提供するための代替方法を積極的に評価しています。

シナリオ

インサイダー リスク管理は、いくつかの一般的なシナリオで、組織内の内部リスクを軽減するための検出、調査、およびアクションの実行に役立ちます。

離職するユーザーによるデータ盗難

ユーザーが自発的に、または終了の結果として組織を離れると、会社、顧客、およびユーザーのデータが危険にさらされるという正当な懸念が生じることが多くなります。 ユーザーは、プロジェクト データが独自のデータではないことを無邪気に想定したり、個人の利益のために会社のデータを取得したり、会社のポリシーや法的基準に違反したりする可能性があります。 ユーザーの出発によるデータの盗難を使用するインサイダー リスク管理ポリシー ポリシー テンプレートは、通常、この種類の盗難に関連するアクティビティを自動的に検出します。 このポリシーを使用すると、ユーザーを離れてデータの盗難に関連する疑わしいアクティビティに関するアラートを自動的に受け取り、適切な調査アクションを実行できます。 このポリシー テンプレートでは、組織の Microsoft 365 HR コネクタ を構成する必要があります。

機密情報または機密情報の意図的または意図しない漏洩

ほとんどの場合、ユーザーは機密情報または機密情報を適切に処理するように最善を尽くします。 ただし、ユーザーが間違いを犯したり、情報が誤って組織外で共有されたり、情報保護ポリシーに違反したりする場合があります。 その他の状況では、ユーザーは意図的に機密情報や機密情報を悪意を持って漏洩または共有し、個人的な利益を得る可能性があります。 次のデータ リーク ポリシー テンプレートを使用して作成されたインサイダー リスク管理ポリシーは、機密情報または機密情報の共有に通常関連するアクティビティを自動的に検出します。

意図的または意図しないセキュリティ ポリシー違反 (プレビュー)

ユーザーは通常、最新の職場でデバイスを管理する際に大きな制御を行います。 この制御には、職務の遂行に必要なアプリケーションをインストールまたはアンインストールするためのアクセス許可や、デバイスのセキュリティ機能を一時的に無効にする機能が含まれる場合があります。 このリスク アクティビティが不注意、偶発的、悪意のいずれであっても、この行為は組織にリスクをもたらす可能性があり、最小限に抑えるために識別して行動することが重要です。 これらの危険なセキュリティ アクティビティを特定するために、次のインサイダー リスク管理セキュリティ ポリシー違反テンプレートは、セキュリティ リスク インジケーターをスコア付けし、Microsoft Defender for Endpoint アラートを使用してセキュリティ関連のアクティビティに関する分析情報を提供します。

位置、アクセス レベル、またはリスク履歴に基づくユーザーのポリシー (プレビュー)

組織内のユーザーは、自分の位置、機密情報へのアクセスレベル、またはリスク履歴に応じて、異なるレベルのリスクを持つ場合があります。 この構造には、組織のエグゼクティブ リーダーシップ チームのメンバー、広範なデータとネットワーク アクセス特権を持つ IT 管理者、または危険なアクティビティの過去の履歴を持つユーザーが含まれる場合があります。 このような状況では、調査と迅速なアクションのためのアラートを表示するために、より詳細な検査とより積極的なリスク スコアリングが重要です。 これらの種類のユーザーの危険なアクティビティを特定するために、優先度の高いユーザー グループを作成し、次のポリシー テンプレートからポリシーを作成できます。

医療 (プレビュー)

医療業界の組織にとって、最近の調査ではインサイダー関連のデータ侵害の割合が非常に高くなっています。 患者データと健康記録情報の誤用の検出は、患者のプライバシーを保護し、医療保険の移植性と説明責任に関する法律 (HIPAA) や医療情報技術 (HITECH) 法などのコンプライアンス規制に準拠するうえで重要な要素です。患者データの誤用は、特権患者レコードへのアクセスから、悪意のある家族や隣人からの患者の記録へのアクセスまで多岐に及びます。 これらの種類の危険なアクティビティを識別するために、次のインサイダー リスク管理ポリシー テンプレートでは、Microsoft 365 HR コネクタと医療固有のデータ コネクタを使用して、電子ヒース レコード (EHR) システム内で発生する可能性のある動作に関連するリスク インジケーターのスコア付けを開始します。

危険なユーザーによるアクションと動作 (プレビュー)

雇用ストレッサー イベントは、インサイダー リスクに関連するいくつかの方法でユーザーの行動に影響を与える可能性があります。 これらのストレッサーは、パフォーマンス レビューの低下、位置の降格、またはユーザーがパフォーマンス レビュー 計画に配置されている可能性があります。 また、スレッサーは、ユーザーが電子メールやその他のメッセージで脅迫、嫌がらせ、差別的な言葉を送信するなど、不適切な可能性のある行動を引き起こす可能性があります。 ほとんどのユーザーはこれらのイベントに悪意を持って応答しませんが、これらのアクションのストレスにより、通常の状況では通常考慮されない方法で動作するユーザーが発生する可能性があります。 このようなリスクの可能性のあるアクティビティを特定するために、次のインサイダー リスク管理ポリシー テンプレートでは、人事コネクタや 専用のコミュニケーション コンプライアンス ポリシー との統合を使用して、ユーザーをインサイダー リスク管理ポリシーの対象にし、発生する可能性のある動作に関連するリスク インジケーターのスコア付けを開始できます。

フォレンジック証拠を使用したリスクの高いユーザー アクティビティの視覚的コンテキスト (プレビュー)

セキュリティ インシデントにつながる可能性のある危険なユーザー アクティビティに関するより良い分析情報を得るには、フォレンジック調査中にセキュリティ チームが視覚的なコンテキストを持つことが重要です。 これには、これらのアクティビティが実際に危険であるか、コンテキストから取り除かれ、潜在的に危険ではないかどうかを評価するのに役立つ、これらのアクティビティの視覚的なキャプチャが含まれる場合があります。 危険であると判断されたアクティビティの場合、フォレンジック証拠キャプチャを使用すると、調査担当者と組織がこれらのアクティビティの軽減、理解、対応を改善するのに役立ちます。 このシナリオを支援するには、組織内のオンラインデバイスとオフラインデバイスの フォレンジック証拠キャプチャを有効にします

始める準備はいいですか。