Microsoft Purview でのコンプライアンスの概要に関するクイック タスク

Microsoft Purview を初めて使用し、どこから始めればいいのか疑問に思っている場合は、この記事で基本に関するガイダンスを提供し、重要なコンプライアンス タスクに優先順位を付けます。 この記事は、データの管理と監視、情報の保護、インサイダー リスクの最小化を迅速に開始するのに役立ちます。

この記事は、リスクを管理し、データを保護し、新しくリモート従業員との規制と基準に準拠し続ける最善の方法を理解している場合にも役立ちます。 従業員は現在、共同作業を行い、新しい方法で相互に接続しています。この変更は、既存のコンプライアンス プロセスとコントロールの適応が必要になる可能性があることを意味します。 organization内でこれらの新しいコンプライアンス リスクを特定して管理することは、データを保護し、脅威とリスクを最小限に抑えるために重要です。

これらの基本的なコンプライアンス タスクを完了したら、追加の Microsoft Purview ソリューションを実装して、organizationのコンプライアンス カバレッジを拡大することを検討してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

タスク 1: コンプライアンスアクセス許可を構成する

コンテンツを表示し、管理タスクを実行するには、organization内のユーザーがMicrosoft Purview コンプライアンス ポータルにアクセスできるユーザーを管理することが重要です。 Microsoft 365 には、コンプライアンスに固有の管理ロールと、Microsoft Purview コンプライアンス ポータルに含まれるツールを使用するための管理ロールが用意されています。

まず、organizationのユーザーにコンプライアンス アクセス許可を割り当てて、これらのタスクを実行できるようにし、権限のないユーザーが責任外の領域にアクセスできないようにします。 Microsoft 365 に含まれるコンプライアンス ソリューションの構成と実装を開始する前に、 コンプライアンス データ管理者 と コンプライアンス管理者 の役割に適切なユーザーが割り当てられていることを確認する必要があります。 また、コンプライアンス マネージャーでデータを表示するには、Microsoft Entraグローバル閲覧者ロールにユーザーを割り当てる必要もあります。

アクセス許可を構成し、管理者ロールにユーザーを割り当てる手順については、Microsoft Purview コンプライアンス ポータルの「アクセス許可」を参照してください。

タスク 2: コンプライアンスの状態を把握する

自分がどこにいるかわからない場合は、どこに行けばいいのかわからない。 コンプライアンスのニーズを満たすには、現在のリスク レベルと、これらの変化する時代に必要な更新プログラムを理解することが含まれます。 organizationがコンプライアンス要件を初めて使用する場合、または業界を管理する基準や規制に関する深い経験を持っている場合でも、コンプライアンスを改善するために実行できる唯一の最善の方法は、organizationがどこにあるかを理解することです。

Microsoft Purview コンプライアンス マネージャーは、organizationのコンプライアンス体制を理解し、改善が必要な領域を強調するのに役立ちます。 コンプライアンス マネージャーは、一元化されたダッシュボードを使用してリスクベースのスコアを計算し、データ保護と規制基準に関するリスクを軽減するのに役立つアクションの完了の進行状況を測定します。 また、コンプライアンス マネージャーをツールとして使用して、すべてのリスク評価を追跡することもできます。 一般的なツールを使用してリスク評価を効率的に完了させるためのワークフロー機能を提供します。

コンプライアンス マネージャーの使用を開始するための詳細なガイダンスについては、「コンプライアンス マネージャーの 概要」を参照してください。

重要

セキュリティとコンプライアンスは、ほとんどの組織に緊密に統合されています。 organizationは、セキュリティとコンプライアンスの両方に対する多層防御アプローチを提供するために、基本的なセキュリティ、脅威の保護、ID とアクセスの管理領域に対処することが重要です。

Microsoft Defender ポータルで Microsoft 365 Secure Score を確認し、次の記事で説明されているタスクを完了します。

• セキュリティ ロードマップ - 最初の 30 日間、90 日間以降の最優先事項
• セキュリティ チームが自宅での作業をサポートするための上位 12 のタスク

タスク 3: organizationの監査を有効にする

organizationの現在の状態とコンプライアンス機能を管理できるユーザーを決定したので、次の手順は、コンプライアンス調査を実施し、organizationのネットワークおよびユーザー アクティビティのレポートを生成するデータがあることを確認することです。 監査を有効にすることも、この記事の後半で説明するコンプライアンス ソリューションの重要な前提条件です。

監査ログによって提供される分析情報は、コンプライアンス要件をソリューションに一致させるために役立つ貴重なツールであり、改善が必要なコンプライアンス領域を管理および監視するのに役立ちます。 アクティビティが記録される前と、監査ログを検索する前に、監査ログを有効にする必要があります。 有効にすると、organizationのユーザーと管理者のアクティビティが監査ログに記録され、ユーザーに割り当てられたライセンスに応じて 90 日間、最大 1 年間保持されます。

監査を有効にする詳しい手順については、「監査ログ検索を有効または無効する」を参照してください。

タスク 4: 潜在的なコンプライアンスの問題について警告するポリシーを作成する

Microsoft には、管理者のアクセス許可の不正使用、マルウェア アクティビティ、外部および内部の潜在的な脅威、データ ライフサイクル管理リスクを特定するのに役立つ、いくつかの組み込みのアラート ポリシーが用意されています。 これらのポリシーは既定でオンになっていますが、organizationに固有のコンプライアンス要件を管理するためにカスタム アラートを構成する必要がある場合があります。

アラート ポリシーとアラート ダッシュボード ツールを使用して、カスタム アラート ポリシーを作成し、ユーザーがポリシー条件に一致するアクティビティを実行したときに生成されたアラートを表示します。 たとえば、アラート ポリシーを使用して、organizationのコンプライアンス要件、アクセス許可、データ損失インシデントに影響を与えるユーザーと管理者のアクティビティを追跡できます。

カスタム アラート ポリシーを作成するための詳細なガイダンスについては、「 Microsoft 365 のアラート ポリシー」を参照してください。

タスク 5: 機密データを分類して保護する

作業を完了させるために、組織内のユーザーは、組織内外の両方のユーザーと共同作業します。 これは、コンテンツがファイアウォールの内側に留まらないことを意味します。コンテンツはあらゆる場所、デバイス、アプリ、およびサービスでローミングされます。 ローミングの際は、組織のビジネスおよびコンプライアンス ポリシーを満たす、安全に保護された方法を使用する必要があります。

秘密度ラベルを使用すると、organizationのデータを分類して保護しながら、ユーザーの生産性と共同作業能力が妨げられないことを確認できます。 秘密度ラベルを使用して、暗号化と使用の制限を適用して視覚的マーキングを適用し、プラットフォームとデバイス間、オンプレミス、クラウド内の情報を保護します。

秘密度ラベルを構成して使用するための詳細なガイダンスについては、「秘密度 ラベルの概要」を参照してください。

タスク 6: アイテム保持ポリシーを構成する

アイテム保持ポリシーを使用すると、コンテンツを保持するか、コンテンツを削除するか、またはその両方を事前に決定し、指定された保持期間の終了時にコンテンツを保持して削除することができます。 これらのアクションは、業界の規制や内部ポリシーに準拠し、訴訟やセキュリティ違反が発生した場合のリスクを軽減するために必要な場合があります。

コンテンツがアイテム保持ポリシーの対象である場合、ユーザーは何も変更されないかのようにコンテンツの編集と操作を続行できます。 コンテンツは元の場所に保持されます。 ただし、アイテム保持ポリシーの対象となるコンテンツを誰かが編集または削除した場合、元のコンテンツのコピーは、そのコンテンツのアイテム保持ポリシーが有効になっている間に保持される安全な場所に保存されます。

Teams と Viva Engage メッセージ、Exchange メール、SharePoint サイト、OneDrive アカウントを含む Microsoft 365 環境内の複数のサービスに対して、保持ポリシーをすばやく設定できます。 アイテム保持ポリシーに自動的に含めることができるユーザー、メールボックス、またはサイトの数に制限はありません。 ただし、より選択的に取得する必要がある場合は、特定のインスタンスを動的にターゲットするようにクエリベースのアダプティブ スコープを構成するか、常に含めるか常に除外する特定のインスタンスを指定する静的スコープを構成します。

アイテム保持ポリシーを構成するための詳細なガイダンスについては、「 アイテム保持ポリシーの作成と構成」を参照してください。 保持ポリシーは、Microsoft 365 アプリとサービスのデータ ライフサイクル管理戦略の基礎を形成するため、「 データ ライフサイクル管理の概要」も参照してください。

タスク 7: 機密情報と不適切な言語ポリシーを構成する

機密情報を保護し、職場のハラスメントインシデントを検出して対処することは、社内のポリシーと基準を遵守する上で重要な部分です。 Microsoft Purview のコミュニケーション コンプライアンスは、電子メールと Microsoft Teams の通信に対する修復アクションをすばやく検出、キャプチャ、実行できるようにすることで、これらのリスクを最小限に抑えるのに役立ちます。 これには、不適切な表現、脅威、嫌がらせ、organizationの内外で機密情報を共有するコミュニケーションが含まれます。

定義済みの [不適切なテキスト ポリシーの検出] テンプレートを使用すると、ポリシー一致の内部通信と外部通信をチェックして、指定された校閲者が調べることができるようにすることができます。 レビュー担当者は、organizationでメール、Microsoft Teams、Viva Engage、またはサード パーティのコミュニケーションを調査し、適切な修復アクションを実行して、organizationの標準に準拠していることを確認できます。

定義済みの機密情報の検出ポリシー テンプレートを使用すると、定義済みの機密情報の種類またはキーワードを含む電子メールと Microsoft Teams 通信をチェックするポリシーをすばやく作成して、重要なデータがアクセスできないユーザーと共有されないようにすることができます。 これらの活動には、機密プロジェクトに関する不正なコミュニケーションや、インサイダー取引やその他の共謀活動に関する業界固有のルールが含まれる可能性があります。

コミュニケーション コンプライアンスを計画および構成するための詳細なガイダンスについては、「 コミュニケーション コンプライアンスの計画 」および「 コミュニケーション コンプライアンスの概要」を参照してください。 通信コンプライアンス のライセンス情報については、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。

タスク 8: 機密アイテムで何が起こっているかを確認する

秘密度ラベル、機密情報の種類、保持ラベルとポリシー、トレーニング可能な分類子を使用して、前のタスクで見てきたように、Exchange、SharePoint、OneDrive 全体で機密性の高いアイテムを分類およびラベル付けできます。 クイック タスク体験の最後の手順は、ラベルが付けられている項目と、ユーザーがそれらの機密性の高いアイテムに対して実行しているアクションを確認することです。 コンテンツ エクスプローラー と アクティビティ エクスプローラー は、この可視性を提供します。

コンテンツ エクスプローラー

コンテンツ エクスプローラーを使用すると、機密情報の種類として分類されているか、トレーニング可能な分類子によって特定の分類に属しているすべての項目と、秘密度または保持ラベルが適用されているすべての項目をネイティブ形式で表示できます。

コンテンツ エクスプローラーの使用に関する詳細なガイダンスについては、「 データの概要 - データ分類の概要」および「 コンテンツ エクスプローラーの概要」を参照してください。

アクティビティ エクスプローラー

アクティビティ エクスプローラーを使用すると、分類およびラベル付けされた機密アイテムで何が行われているかを監視できます。

• SharePoint
• Exchange
• OneDrive

使用可能なフィルターは 30 種類以上あり、以下がその一例です。

• 日付の範囲
• アクティビティの種類
• 場所
• ユーザー
• 機密ラベル
• 保持ラベル
• ファイル パス
• DLP ポリシー

アクティビティ エクスプローラーの使用に関する詳細なガイダンスについては、「アクティビティ エクスプローラーの 概要」を参照してください。

次の手順

organizationのコンプライアンス管理の基本を構成したので、機密情報を保護し、追加のインサイダー リスクを検出して対処するために、Microsoft Purview で次のコンプライアンス ソリューションを検討してください。

保持ラベルを構成する

アイテム保持ポリシーはコンテナー レベルのすべてのアイテム (SharePoint サイト、ユーザー メールボックスなど) に自動的に適用されますが、 保持ラベル は SharePoint ドキュメントや電子メール メッセージなどの個々のアイテムに適用されます。 これらのラベルは、手動または自動で適用できます。

保持ラベルは、必要なものを保持し、不要なものを削除するために、データ ガバナンス戦略の一部として使用できます。 特定のドキュメントまたは電子メールで異なるアイテム保持または削除設定が必要な場合は、アイテム保持ポリシーの例外が必要な場合は、これらのラベルを使用します。 たとえば、SharePoint ポリシーではすべてのドキュメントが 3 年間保持されますが、特定のビジネス ドキュメントは 5 年間保持する必要があります。 詳細については、「 アイテム保持ポリシーの例外の保持ラベルを作成する」を参照してください。

ただし、アイテム保持ラベルは、 レコード管理で使用される場合、アイテム レベルでドキュメントや電子メールをサポートするために、さらに多くの管理オプションを提供します。 このレベルのデータ管理は、ビジネス、法務、または規制の記録保持の要件に対して価値の高い項目に適しています。 詳細については、「 レコード管理の概要」を参照してください。

機密情報の種類を特定して定義する

organizationのデータに含まれる情報に含まれるパターンに基づいて機密情報の種類を定義します。 組み込みの機密情報の種類を使用すると、クレジット カード番号、銀行口座番号、パスポート番号などを識別して保護できます。 または、organizationに固有のカスタム機密情報の種類を作成します。

カスタム機密情報の種類を定義するための詳細なガイダンスについては、「カスタム機密情報の種類を作成する」を参照してください。

データの損失を防止する

Microsoft Purview データ損失防止 (DLP) ポリシーを使用すると、Microsoft 365 organization全体で機密情報を識別、監視、および自動的に保護できます。 DLP ポリシーを使用して、Microsoft サービス全体で機密性の高いアイテムを特定し、機密アイテムが誤って共有されるのを防ぎ、ユーザーがワークフローを中断することなく準拠を維持する方法を学習できるようにします。

DLP ポリシーを構成するための詳細なガイダンスについては、「 データ損失防止ポリシーを作成して展開する」を参照してください。 データ損失管理のライセンス情報については、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。

インサイダー リスクを検出して対処する

従業員は、さまざまなプラットフォームやサービスにわたってデータを作成、管理、共有するためのアクセスを増やしています。 ほとんどの場合、組織には、コンプライアンス要件と従業員のプライバシー基準を満たしながら、organization全体のリスクを特定して軽減するためのリソースとツールが限られています。 これらのリスクには、従業員の退職によるデータの盗難や、誤った過共有や悪意によって、organization外の情報のデータ 漏洩が含まれる場合があります。

インサイダー リスク管理 では、幅広いサービスとサード パーティのインジケーターを使用して、リスクの高いユーザー アクティビティをすばやく特定、トリアージ、および行動するのに役立ちます。 Microsoft 365 および Microsoft Graph のログを使用することにより、インサイダー リスク管理では、特定のポリシーを定義してリスク指標を特定し、これらのリスクを軽減するためのアクションを実行できます。

インサイダー リスク管理ポリシーを計画および構成するための詳細なガイダンスについては、「 インサイダー リスク管理の計画 」および「 インサイダー リスク管理の概要」を参照してください。 インサイダー リスク管理のライセンス情報については、 セキュリティ & コンプライアンスに関する Microsoft 365 ライセンス ガイダンスに関するページを参照してください。