この記事では、Microsoft 365 でゼロ トラストセキュリティを構築するための展開計画について説明します。 ゼロ トラストは、侵害を想定し、制御されていないネットワークから送信されたかのように各要求を検証するセキュリティ モデルです。 要求がどこから発生したか、アクセスするリソースに関係なく、ゼロ トラスト モデルでは"信頼しない、常に検証する" ことが教えられます。
この記事は、このポスターと共に使用してください。
| アイテム | 説明 |
|---|---|
| Visio 更新日: 2025 年 4 月 |
関連するソリューション ガイド |
ゼロ トラストの原則とアーキテクチャ
ゼロ トラストはセキュリティ戦略です。 製品やサービスではなく、次のセキュリティ原則のセットを設計して実装するアプローチです。
| 原理 | 説明 |
|---|---|
| 明示的に検証する | 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 |
| 最小限の特権アクセスを使用する | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 |
| 侵害を前提とする | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威検出を推進し、防御を強化します。 |
この記事のガイダンスは、Microsoft 365 で機能を実装することで、これらの原則を適用するのに役立ちます。
ゼロ トラスト アプローチは、デジタル資産全体にわたって広がり、統合されたセキュリティ哲学とエンドツーエンドの戦略として機能します。
この図は、ゼロ トラストに貢献する主要な要素の表現を示しています。
この図は次のことを示しています。
- セキュリティ ポリシーの適用は、ゼロ トラスト アーキテクチャの中心にあります。 これには、ユーザー アカウントのリスク、デバイスの状態、設定したその他の条件とポリシーを考慮した条件付きアクセスによる多要素認証が含まれます。
- ID、デバイス、データ、アプリ、ネットワーク、その他のインフラストラクチャ コンポーネントはすべて、適切なセキュリティで構成されています。 これらのコンポーネントごとに構成されたポリシーは、ゼロ トラスト戦略全体と調整されます。 たとえば、デバイス ポリシーは正常なデバイスの基準を決定し、条件付きアクセス ポリシーでは、特定のアプリとデータにアクセスするために正常なデバイスが必要です。
- 脅威の保護とインテリジェンスは、環境を監視し、現在のリスクを表面化し、攻撃を修復するための自動アクションを実行します。
ゼロ トラストの詳細については、「Microsoft ゼロ トラスト ガイダンス センター」を参照してください。
Microsoft 365 のゼロ トラストの展開
Microsoft 365 は、環境にゼロ トラストを組み込むのに役立つ多くのセキュリティと情報保護機能を使用して意図的に構築されています。 多くの機能を拡張して、組織が使用する他の SaaS アプリやこれらのアプリ内のデータへのアクセスを保護できます。
この図は、ゼロ トラスト機能をデプロイする作業を表しています。 この作業は、ゼロ トラスト導入フレームワークのゼロ トラストビジネス シナリオに合わせて調整されています。
この図では、デプロイ作業は 5 つのスイム レーンに分類されています。
- セキュリティで保護されたリモートとハイブリッドの作業 - この作業は、ID とデバイス保護の基盤を構築します。
- 侵害によるビジネス上の損害を防止または軽減する — 脅威保護は、セキュリティ上の脅威をリアルタイムで監視および修復します。 Defender for Cloud Appsは、AI アプリを含む SaaS アプリの検出を提供し、これらのアプリにデータ保護を拡張できます。
- 機密性の高いビジネス データを特定して保護 する - データ保護機能は、特定の種類のデータを対象とした高度な制御を提供し、最も価値のある情報を保護します。
- AI アプリとデータをセキュリティで保護する - organizationの AI アプリの使用と、これらが操作するデータを迅速に保護します。
- 規制とコンプライアンスの要件を満たす - organizationに影響を与える規制への準拠に向けた進捗状況を把握し、追跡します。
この記事では、クラウド ID を使用していることを前提としています。 この目的のガイダンスが必要な場合は、「 Microsoft 365 の ID インフラストラクチャをデプロイする」を参照してください。
ヒント
手順とエンド ツー エンドのデプロイ プロセスを理解したら、Microsoft 365 管理センターにサインインするときに、「Microsoft ゼロ トラスト セキュリティ モデルの高度なデプロイ ガイドを設定する」を使用できます。 このガイドでは、標準および高度なテクノロジの柱にゼロ トラスト原則を適用する手順について説明します。 サインインせずにガイドをステップ実行するには、 Microsoft 365 セットアップ ポータルにアクセスします。
スイム レーン 1 - リモートとハイブリッドの作業をセキュリティで保護する
リモートとハイブリッドの作業をセキュリティで保護するには、ID とデバイスのアクセス保護を構成する必要があります。 これらの保護は、ゼロ トラスト原則の検証に明示的に貢献します。
リモートとハイブリッドの作業を 3 つのフェーズでセキュリティで保護する作業を実行します。
フェーズ 1 — 開始点 ID とデバイス アクセス ポリシーを実装する
Microsoft では、このガイドのゼロ トラストに関する包括的な ID とデバイス アクセス ポリシーのセット (ID とデバイス アクセスの構成ゼロ トラスト) をお勧めします。
フェーズ 1 では、開始点レベルを実装することから始めます。 これらのポリシーでは、デバイスを管理に登録する必要はありません。
詳細な規範的なガイダンスについては、「ID とデバイス アクセス保護ゼロ トラスト」を参照してください。 この一連の記事では、Microsoft 365 を使用するエンタープライズ クラウド アプリとサービス、その他の SaaS サービス、および Microsoft Entra アプリケーションプロキシを使用して公開されたオンプレミス アプリケーションへのアクセスをセキュリティで保護するための ID およびデバイス アクセスの前提条件構成セットと、Microsoft Entra 条件付きアクセス、Microsoft Intune およびその他のポリシーについて説明します。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
3 つのレベルの保護に対して推奨される ID とデバイス アクセス ポリシー:
次に関するその他の推奨事項:
|
Microsoft E3 または E5 次のいずれかのモードでMicrosoft Entra IDします。
|
マネージド デバイスを必要とするポリシーのデバイス登録。 デバイスを登録するには、「Intuneを使用してデバイスを管理する」を参照してください。 |
フェーズ 2 — Intuneを使用してデバイスを管理に登録する
次に、デバイスを管理に登録し、より高度なコントロールでデバイスの保護を開始します。
管理へのデバイスの登録に関する詳細な規範的ガイダンスについては、「Intuneを使用してデバイスを管理する」を参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
Intuneを使用してデバイスを登録します。
ポリシーの構成:
|
エンドポイントをMicrosoft Entra IDに登録する | 次のような情報保護機能の構成:
これらの機能については、「 スイム レーン 3 — 機密性の高いビジネス データを特定して保護 する」を参照してください (この記事の後半)。 |
詳細については、「Microsoft Intuneのゼロ トラスト」を参照してください。
フェーズ 3 — ゼロ トラスト ID とデバイス アクセス保護を追加する: エンタープライズ ポリシー
デバイスを管理に登録すると、推奨されるゼロ トラスト ID とデバイス アクセス ポリシーの完全なセットを実装できるようになり、準拠しているデバイスが必要になります。
[共通 ID とデバイス アクセス ポリシー] に戻り、エンタープライズ層にポリシーを追加します。
ゼロ トラスト導入フレームワークでリモートとハイブリッドの作業をセキュリティで保護する方法の詳細については、リモートとハイブリッドの作業をセキュリティで保護する方法に関するページを参照してください。
スイム レーン 2 - 侵害によるビジネス上の損害を防止または軽減する
Microsoft Defender XDRは、エンドポイント、電子メール、アプリケーション、ID など、Microsoft 365 環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する拡張検出および応答 (XDR) ソリューションです。 さらに、Microsoft Defender for Cloud Appsは、組織が GenAI アプリを含む SaaS アプリへのアクセスを識別および管理するのに役立ちます。
Microsoft Defender XDRをパイロット化して展開することで、侵害によるビジネス上の損害を防止または軽減します。
Microsoft Defender XDR コンポーネントのパイロットとデプロイに関する方法ガイドについては、「パイロットとデプロイMicrosoft Defender XDR」を参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
| すべてのコンポーネントの評価とパイロット環境を設定します。 脅威から保護する 脅威を調査してそれに対応する |
Microsoft Defender XDRの各コンポーネントのアーキテクチャ要件については、ガイダンスを参照してください。 | Microsoft Entra ID 保護は、このソリューション ガイドには含まれていません。 これは、 スイムレーン1 - 安全なリモートとハイブリッド作業に含まれています。 |
ゼロ トラスト導入フレームワークの侵害によるビジネス上の損害を防止または軽減する方法の詳細については、侵害によるビジネス上の損害を防止または軽減する方法に関する記事を参照してください。
スイム レーン 3 - 機密性の高いビジネス データを特定して保護する
Microsoft Purview Information Protectionを実装して、どこにいても機密情報を検出、分類、保護できます。
Microsoft Purview Information Protection機能は Microsoft Purview に含まれており、データを把握し、データを保護し、データ損失を防ぐツールを提供します。 この作業はいつでも開始できます。
Microsoft Purview Information Protectionには、特定のビジネス目標を達成するために使用できるフレームワーク、プロセス、および機能が用意されています。
情報保護を計画および展開する方法の詳細については、「Microsoft Purview Information Protection ソリューションをデプロイする」を参照してください。
ゼロ トラスト導入フレームワークで機密性の高いビジネス データを特定して保護する方法の詳細については、機密ビジネス データの識別と保護に関するページを参照してください。
スイム レーン 4 - AI アプリとデータをセキュリティで保護する
Microsoft 365 には、組織が AI アプリとこれらの使用データを迅速にセキュリティで保護するのに役立つ機能が含まれています。
まず、AI に Purview データ セキュリティ態勢管理 (DSPM) を使用します。 このツールは、organizationで AI がどのように使用されるか、特に AI ツールと対話する機密データに焦点を当てます。 DSPM for AI は、Microsoft Copilots やサード パーティの SaaS アプリケーション (ChatGPT Enterprise や Google Gemini など) に対してより深い分析情報を提供します。
次の図は、AI の使用がデータに与える影響に対する集計ビューの 1 つを示しています。生成 AI アプリごとの機密性の高い相互作用です。
AI のDSPMを使用して、次の目的で次の手順を実行します。
- 機密データを含む AI の使用状況を可視化します。
- データ評価を確認して、SharePoint のオーバーシェアリング コントロールで軽減できるオーバーシェアリングのギャップについて学習します。
- 秘密度ラベルとデータ損失防止 (DLP) ポリシーのポリシー カバレッジのギャップを見つけます。
Defender for Cloud Appsは、SaaS GenAI アプリと使用状況を検出して管理するためのもう 1 つの強力なツールです。 Defender for Cloud Appsには、カタログに 1,000 を超えるジェネレーティブ AI 関連アプリが含まれており、organizationでのジェネレーティブ AI アプリの使用方法を可視化し、それらを安全に管理するのに役立ちます。
これらのツールに加えて、Microsoft 365 には、AI のセキュリティ保護と管理のための包括的な機能セットが用意されています。 これらの機能を使い始める方法については 、「AI アプリとデータの検出、保護、管理 」を参照してください。
次の表は、Microsoft 365 の機能の一覧で、 AI 用セキュリティ ライブラリの詳細情報へのリンクを示しています。
| 能力 | 詳細情報 |
|---|---|
| SharePoint のオーバーシェアリング コントロール (SharePoint 高度な管理を含む) | SharePoint のオーバーシェアリング コントロールを適用する |
| AI のDSPM |
AI の (DSPM) を使用して AI の使用状況を可視化する AI のDSPMを使用してデータを保護する |
| 秘密度ラベルと DLP ポリシー | 秘密度ラベルと DLP ポリシーのギャップを引き続き特定する |
| Insider Risk Management (IRM) — 危険な AI 使用状況ポリシー テンプレート | 危険な AI テンプレートを適用する |
| 適応型保護 | Insider Risk Management のアダプティブ保護を構成する |
| Defender for Cloud Apps(クラウドアプリケーション用ディフェンダー) |
AI アプリの検出、承認、ブロック AI アプリのトリアージと保護 コンプライアンス リスクに基づいて AI アプリを管理する |
| Purview コンプライアンス マネージャー | AI 関連の規制に関する評価を構築および管理する |
| Purview コミュニケーション コンプライアンス | 生成型 AI アプリケーションに入力されたプロンプトと応答を分析して、不適切または危険な相互作用や機密情報の共有を検出するのに役立ちます |
| Purview データ ライフサイクル管理 | AI ツールでのデータの露出超過のリスクを軽減するために必要なくなったコンテンツを事前に削除する |
| 電子情報開示 | プロンプトと応答でキーワードを検索し、電子情報開示ケース内で結果を管理する |
| Copilot と AI アクティビティの監査ログ | Copilot のやり取りが発生した方法、タイミング、場所、およびアクセスされた項目 (それらの項目の秘密度ラベルを含む) を特定する |
| Priva プライバシー評価 | ビルドする AI アプリのプライバシーへの影響評価を開始する |
スイム レーン 5 - 規制とコンプライアンスの要件を満たす
organizationの IT 環境の複雑さやorganizationの規模に関係なく、ビジネスに影響を与える可能性のある新しい規制要件が継続的に追加されます。 ゼロ トラストアプローチは、多くの場合、コンプライアンス規制によって課される一部の種類の要件 (たとえば、個人データへのアクセスを制御する要件) を超えています。 ゼロ トラストアプローチを実装している組織は、既にいくつかの新しい条件を満たしている場合や、ゼロ トラストアーキテクチャに準拠するために簡単に構築できる場合があります。
Microsoft 365 には、次のような規制コンプライアンスを支援する機能が含まれています。
- コンプライアンス マネージャー
- コンテンツ エクスプローラー
- 保持ポリシー、秘密度ラベル、DLP ポリシー
- コミュニケーション コンプライアンス
- データ ライフサイクル管理
- Priva プライバシー リスク管理
規制とコンプライアンスの要件を満たすには、次のリソースを使用します。
| リソース | 詳細情報 |
|---|---|
| ゼロ トラスト導入フレームワーク — 規制とコンプライアンスの要件を満たす | 戦略の定義、計画、導入、管理など、organizationが従うことができる方法論的アプローチについて説明します。 |
| 規制コンプライアンスのために AI アプリとデータを管理する | 役立つ特定の機能を含む、新たに登場する AI 関連の規制に対する規制コンプライアンスに対処します。 |
| Microsoft Priva と Microsoft Purview でデータのプライバシーとデータの保護を管理する | Microsoft Privaと Microsoft Purview を使用して、organizationの環境内の個人データを保護するためのリスクを評価し、適切な措置を講じます。 |
次のステップ
ゼロ トラストの詳細については、ゼロ トラスト ガイダンス センターにアクセスしてください。