米国の銀行業および資本市場のための、コンプライアンスとセキュリティの重要な検討事項

概要

セキュリティ、コンプライアンス、ガバナンスの厳格な管理に関して、金融サービス機関ほど要求が高い営利事業はほとんどありません。 データ、個人情報、デバイス、アプリケーションの保護は事業にとって極めて重要であるだけでなく、米国証券取引委員会 (SEC)、金融取引業規制機構 (FINRA)、米連邦金融機関検査協議会 (FFIEC)、米商品先物取引委員会 (CFTC) などの規制機関からのコンプライアンス要件やガイドラインに従う必要もあります。 さらに、金融機関はドッド・フランク法や 2002 年のサーベス・オクスリー法に従う必要もあります。

セキュリティに対する警戒、インサイダー リスクの懸念、公開データの侵害が勢いを増す今日の風潮の中で、個人情報や金融資産を預ける顧客も金融機関に高いレベルのセキュリティを要求するようになっています。

これまでも、金融機関が内部および外部のコラボレーションのために使用する IT システムやプラットフォームには、包括的な管理の必要性が直接的な影響を与え、制約を課してきました。 今日、金融サービスの従業員は採用しやすく使いやすい最新のコラボレーション プラットフォームを必要としています。 とはいえ金融サービスは、ユーザー、チーム、部門間のコラボレーションの柔軟性のために、ユーザーや IT システムを脅威から保護するためにポリシーを適用するセキュリティとコンプライアンスの管理を犠牲にすることはできません。

金融サービス セクターでは、コラボレーション ツールやセキュリティ コントロールの構成と配置に関して、次のようなことを真剣に検討する必要があります。

  • 組織のコラボレーションやビジネス プロセスの一般的なシナリオにおけるリスク評価
  • 情報の保護とデータ ガバナンスの要件
  • サイバーセキュリティおよびインサイダーの脅威
  • 規制遵守要件
  • その他の運営上のリスク

Microsoft 365 は、金融サービス組織が直面する現代の課題に対処できる最新の職場クラウド環境です。 企業全体の安全で柔軟なコラボレーションは、厳格な規制コンプライアンス フレームワークに準拠するために、コントロールとポリシーの適用と組み合わされます。 この記事では、金融サービスがデータとシステムをセキュリティで保護し、規制を遵守しつつ、最新のコラボレーション プラットフォームに移行する際に Microsoft 365 プラットフォームがどのように役立つかを説明します。

  • Microsoft 365 と Microsoft Teams を使用して、組織および従業員の生産性を向上する
  • Microsoft 365 を使用して現代のコラボレーションを保護する
  • 機密データを特定し、データ損失を防止する
  • 要塞を防御する
  • 記録を効率的に管理することで、データを管理し、規制を遵守する
  • 情報バリアにより、倫理的境界を確立する
  • データ流出とインサイダー リスクから保護する

Microsoft のパートナーである Protiviti は、この記事のために情報や重要なフィードバックを提供してくれました。

次のダウンロード可能なイラストは、この記事を補足します。 Woodgrove Bank と Contoso は、この記事で説明されている機能を適用して、金融サービスの一般的な規制要件に対処する方法を示すために使用されます。 これらのイラストを自分の用途に合わせて自由にアレンジしてください。

Microsoft 365 の情報保護とコンプライアンスのイラスト

アイテム 説明
モデル ポスター: Microsoft 365 の情報保護とコンプライアンスの機能。
英語: Visio として PDF | ダウンロードとしてダウンロードする
日本語: Visio として PDF | ダウンロードとしてダウンロードする
更新日: 2020 年 11 月
含まれる内容:
  • Microsoft Purview Information Protection と Microsoft Purview データ損失防止
  • アイテム保持ポリシーと保持ラベル
  • 情報バリア
  • コミュニケーション コンプライアンス
  • インサイダー リスク
  • サードパーティのデータの取り込み

Microsoft 365 と Teams を使用して、組織および従業員の生産性を強化する

コラボレーションでは通常、ドキュメントやデータを保存したりアクセスしたりする機能や、必要に応じて他のアプリケーションを統合する機能など、様々な形態の通信が必要になります。 多くの場合、金融サービスの従業員は他の部門やチームのメンバーと共同作業を行ったり連絡したりする必要があり、時には外部の企業とそうする必要もあります。 そのため、サイロを作ったり、情報共有を難しくしたりするシステムを使用するのは理想的ではありません。 むしろ、従業員が会社のポリシーに準拠した、セキュリティで保護された方法で連絡、共同作業、情報共有ができるプラットフォームやアプリケーションを活用することが望ましいと言えます。

クラウドベースの最新のコラボレーション プラットフォームを提供すれば、従業員は生産性を向上し、仕事をより早く終わらせるためのツールを選択し、統合することができるようになります。 Teams を、組織を保護するセキュリティ コントロールや情報ガバナンス ポリシーと組み合わせて使用することにより、従業員は効率的に連絡および共同作業できるようになります。

Teams は組織にコラボレーション ハブを提供します。 人々をつなぎ、共通のイニシアティブやプロジェクトにおいて生産的に仕事ができるように助けます。 チーム メンバーは Teams を使用して、1:1 および複数人によるチャット、ドキュメントの共同作業や共同執筆、ファイルの保存や共有を行うことができます。 また Teams では、統合されたエンタープライズ VoIP やビデオを使用してオンライン会議を実施することもできます。 さらに、Microsoft Planner、Microsoft Dynamics 365、Power Apps、Power BI などの Microsoft 製アプリや、サードパーティ製基幹業務アプリにより、Teams をカスタマイズすることも可能です。 Teams は内部のチーム メンバーと許可された外部ユーザーの両方による使用を目的としており、これらのユーザーはチーム チャネルやチャットに参加したり、保存されたファイルにアクセスしたり、他のアプリケーションを活用したりできます。

すべての Microsoft チームの背後には、Microsoft 365 グループがあります。 このグループは、Teams を含む多数の Office 365 サービスのためのメンバーシップ サービスと見なされます。 Microsoft 365 グループは、"所有者" および "メンバー" をセキュリティで保護された方法で区別し、Teams の様々な機能へのアクセスを管理するために使用されます。 適切なガバナンス コントロールと定期的に実施されるアクセス レビューにより、Teams はメンバーと所有者だけに対して、許可されたチャネルと機能の使用を許可します。

金融サービスにおいて Teams が役に立つ一般的なシナリオは、内部プロジェクトやプログラムを実施する場合です。 たとえば、銀行、資産管理企業、信用組合、保険会社を含む多くの金融機関では、マネー ロンダリング防止プログラムや他のコンプライアンス プログラムを実施する必要があります。 IT 部門、小売りや資産管理などの基幹業務部門、金融犯罪部門で構成される部門横断型のチームは、互いにデータを共有し、プログラムや特定の調査に関して連絡を取り合うことが必要になることがあります。 従来では、こうしたプログラムではネットワーク ドライブが使用されてきましたが、この方法には多数の課題があります。たとえば:

  • 1 度にドキュメントを編集できるのは 1 人のみ。
  • 個人を追加または削除するには IT 部門が関わることが多いため、セキュリティの管理に時間がかかる。
  • 必要な期間または望ましい期間よりもずっと長く、データが共有ネットワーク ドライブに保存されたままになる。

Teams では、顧客の機密データをセキュリティで保護された状態で保存し、チーム メンバー間で機密性の高い話題を話し合うためのコラボレーション スペースが提供されます。 チームの複数のメンバーが、同一のドキュメントを同時に編集または共同作業できます。 プログラムの所有者やコーディネーターをチーム所有者として設定して、必要に応じてメンバーを追加および削除することができます。

もう一つの一般的なシナリオは、ドキュメントの共同作業、保存、管理を、安全に行うために 「仮想データ ルーム」 として Teams を利用することです。 投資銀行、資産管理企業、未公開株式投資会社内のチーム メンバーやシンジケートは、取引や投資においてセキュリティで保護された方法で共同作業できます。 部門横断型のチームはそのような取引の計画や実施に関わることが多いため、データの共有や会話をセキュリティで保護された方法で実施できることは欠かせない要件です。 関係するドキュメントを外部の投資家とセキュリティで保護された方法で共有することも重要な要件です。 Teams ではセキュリティで保護され、完全に監査可能な場所が提供され、この場所で投資のためのデータを一元的に保存、保護、共有できます。

大画面上で画像について検討する会議中のオフィス ワーカーのグループ。

Teams: コラボレーションを改善し、コンプライアンス リスクを軽減する

Microsoft 365 では、基盤となるメンバーシップ サービスとして Microsoft 365 グループを使用することにより、その他の一般的なポリシーの機能が Teams に提供されます。 これらのポリシーは、コラボレーションを改善し、コンプライアンス ニーズを満たすのに役立ちます。

Microsoft 365 グループの名前付けポリシーにより、Microsoft 365 グループおよびチームに、会社のポリシーに従った名前を付けることができます。 名前が適切でないと、問題を引き起こすことがあります。 たとえば、名前が適切に付けられていないと、従業員はどのチームと協力したり情報を共有したりすればよいかがわかりません。 グループの名前付けポリシー (接頭語/接尾語に基づくポリシーや独自の禁止単語のサポートを含む) では、優れた "予防策" を実施し、予約された単語や不適切な用語など、特定の単語の使用を防止することができます。

Microsoft 365 グループの有効期限ポリシーでは、Microsoft 365 グループおよびチームが、組織で必要とされている (または望ましい) 期間を超えて保持されることを回避できます。 この機能では、2 つの重要な情報管理の問題を防止できます。

  • 必要ではない、または使用されていないチームの増加。
  • 組織が既に必要としていない、または使用していないデータの不必要な保持 (法的ホールド/保持の場合を除く)。

管理者は、Microsoft 365 グループの有効期限を 90 日、180 日、365 日のように指定できます。 Microsoft 365 グループを基盤とするサービスが有効期限の期間、非アクティブである場合、グループ所有者は通知を受け取ります。 何もしない場合、Microsoft 365 グループと、Teams を含むすべての関連サービスが削除されます。

Teams や他のグループ ベースのサービスに保存されているデータを不必要に保持することは、金融サービス組織にとってリスクとなり得ます。 Microsoft 365 グループの有効期限ポリシーは、必要ではなくなったデータの保持を防止するのに役立ちます。 組み込みの保持ラベルやポリシーと組み合わせることにより、Microsoft 365 は組織が会社のポリシーと規制遵守義務を果たすために必要なデータだけを保持するようにします。

Teams: 独自の要件を簡単に統合する

Teams では、セルフサービスのチーム作成が既定で有効になります。 とはいえ多くの規制対象組織は、現在従業員に使用されているのはどのコラボレーション チャネルか、機密データが含まれているのはどのチャネルか、組織チャネルの所有者は誰かということを管理し、理解することを望みます。 こうしたガバナンス コントロールを促進するため、Microsoft 365 では組織はセルフサービスのチーム作成を無効にすることができます。 Microsoft Power Apps や Power Automate などのビジネス プロセス自動化ツールを使用することにより、組織は、従業員が新しいチームの作成をリクエストするためのシンプルなフォームと承認プロセスを構築して配置することができます。 承認されるとチームは自動的にプロビジョニングされ、リンクがリクエスト元に送信されます。 この方法で、組織はコンプライアンス コントロールと独自の要件を設計し、チーム作成プロセスに統合できます。

許容されるデジタル通信チャネル

FINRA は、規制対象企業のデジタル通信が、証券取引所法の規則 17a-3 と 17a-4、および FINRA Rule Series 4510 の記録保持要件を満たすべきであることを強調しています。 FINRA は、組織がコンプライアンスとリスクの管理を改善するのに役立つ、重要な調査結果、観察、効果的な慣行を含む年次報告書をリリースしています。 2019 Report on Examination Findings and Observations (調査結果と観察についてのレポート 2019 年版) の中で FINRA は、デジタル通信は重要な分野であり、企業はこの分野において監督および記録保持の要件に従ううえで課題に直面していると報告しています。

組織が従業員に対してアプリ ベースのメッセージ サービスやコラボレーション プラットフォームなどの特定のアプリケーションの使用を許可する場合、その組織はそのアプリケーションで従業員が行う業務上の記録をアーカイブし、アクティビティや通信を監督する必要があります。 組織には、FINRA の規則や証券に関する法令を遵守するためにデュー ディリジェンスを実施し、従業員によるそれらのアプリの使用に関連して、これらの規則への潜在的な違反を追跡調査する責任があります。

FINRA が推奨する効果的な慣行には次のものがあります。

  • デジタル通信チャネルのための、包括的なガバナンス プログラムを確立する。 どのデジタル通信チャネルを許可するかについての組織の決定を管理し、それぞれのデジタル チャネルに対してコンプライアンス プロセスを定義する。 急速に変化するデジタル通信チャネルの状況をしっかりと把握し、コンプライアンス プロセスを最新の状態に維持する。
  • 許容されるデジタル チャネルを明確に定義し、管理する。 承認されたデジタル チャネルと禁止されたデジタル チャネルの両方を定義する。 禁止されたデジタル チャネルの使用と、記録管理と監督の要件を遵守する組織の能力を妨げるデジタル チャネル内の禁止された機能の使用を、ブロックまたは制限する。
  • デジタル通信のトレーニングを提供する。 登録された代表者に承認されたデジタル チャネルへのアクセス権を付与する前に、必須のトレーニング プログラムを実施する。 トレーニングにより、業務上および個人的なデジタル通信に関する組織の期待が明確になり、スタッフに各チャネルの許可された機能の使い方を、法令を遵守した方法で体験させることができる。

デジタル通信に関する FINRA の調査結果と観察は、すべての業務上の通信の保持に関する SEC Rule 17a-4、通信の監視とレビューに関する FINRA Rule 31103120、記録保持に関する Rule Series 4510 と直接関連があります。 米商品先物取引委員会 (FTC) は 17 CFR 131 で同様の要件を公布します。 これらの規制については、この記事の後半で掘り下げて検討します。

Teams は、Microsoft 365 のセキュリティとコンプライアンスの包括的なスイートと共に、金融サービス機関がビジネスを効果的に実施し、規制に準拠するための企業デジタル通信チャネルを提供します。 この記事の残りの部分では、レコード管理、情報保護、情報バリア、監督制御用の Microsoft 365 組み込み機能が、Teams にこれらの規制上の義務を満たす堅牢なツールセットを提供する方法について説明します。

Microsoft 365 により、現代のコラボレーションを保護する

ユーザー ID をセキュリティで保護し、アクセスを制御する

顧客情報、財務ドキュメント、およびアプリケーションへのアクセスの保護は、ユーザー ID の強力なセキュリティ保護から始まります。 これには、企業が ID を格納および管理し、信頼できる認証手段を提供し、それらのアプリケーションへのアクセスを動的に制御するための安全なプラットフォームが必要です。

従業員は仕事中に、アプリケーションからアプリケーションに移動したり、場所やデバイスを変えたりします。 その過程で、データへのアクセスはそれぞれのステップで認証する必要があります。 ID が漏えいしないようにするためには、認証プロセスにおいて強力なプロトコルや多要素認証 (ワンタイム SMS パス コード、認証用アプリ、証明書) がサポートされている必要があります。 リスクベースのアクセス ポリシーを実施することは、金融データとアプリケーションをインサイダーの脅威、不注意なデータ漏えい、データ流出から保護するうえで極めて重要です。

Microsoft 365 は Azure Active Directory (Azure AD) によりセキュリティで保護された ID プラットフォームを提供します。そこでは ID は一元的に保存され、セキュリティで保護された方法で管理されます。 Azure AD を、関連する Microsoft 365 セキュリティ サービスと組み合わせることにより、組織を脅威から保護しつつ、セキュリティで保護された方法で仕事を進めるために必要なアクセスを従業員に許可する基盤を提供することができます。

Azure AD 多要素認証 (MFA) はプラットフォームに組み込まれており、ユーザーが機密性の高い金融データやアプリケーションにアクセスする際にユーザー ID を確認するのに役立つ、付加的な認証の証明を提供します。 Azure MFA では、パスワードと既知のモバイル デバイスなど、少なくとも 2 種類の認証が要求されます。 認証の第 2 要素のいくつかの選択肢として、次のものがサポートされています。

  • Microsoft Authenticator アプリ
  • SMS で配信されるワンタイム パスコード
  • 電話 (ユーザーは PIN を入力する必要があります)

パスワードが何らかの理由で漏えいしてしまった場合でも、ハッカーはユーザーの電話がなければ組織のデータにアクセスすることはできません。 さらに Microsoft 365 は重要なプロトコルとして先進認証を使用しており、Microsoft Outlook やその他の Microsoft Office アプリケーションなど、従業員が毎日使用するコラボレーション ツールに Web ブラウザーからアクセスする場合でも、同様の強力で十分な認証エクスペリエンスを提供できます。

パスワードレス

パスワードは、一連のセキュリティ手法において最も弱い要素です。 その他の検証手段がない場合には、単一障害点となり得ます。 金融機関の必要を満たすために、Microsoft は幅広い認証オプションをサポートしています。

パスワードレス の手法は、MFA をユーザーにとってさらに使いやすいものにします。 すべての MFA がパスワードレスであるわけではありませんが、パスワードレスの技術は多要素認証を取り入れています。 Microsoft、Google、その他の業界大手企業は、Fast IDentity Online (FIDO) と呼ばれるグループにおいて、より簡単でより強力な認証エクスペリエンスを Web やモバイル デバイス全体で可能にするための標準を開発しました。 最近開発された FIDO2 標準では、フィッシングを撲滅するために、ユーザーはパスワードを入力せずに簡単かつセキュリティで保護された方法で認証できるようになります。

パスワードレスである Microsoft MFA の手法には、次のものが含まれます。

  • Microsoft Authenticator: 柔軟性、利便性、コストのために、Microsoft Authenticator モバイル アプリの使用を推奨します。 Microsoft Authenticator は、Azure AD に接続されたアプリに対して生体認証、プッシュ通知、ワンタイム パスコードをサポートしています。 Apple および Android アプリ ストアから利用できます。
  • Windows Hello: PC 向けの組み込みエクスペリエンスとしては、Windows Hello の使用を推奨します。 Windows Hello では、生体情報 (顔や指紋など) を使用して自動的にサインインします。
  • FIDO2 セキュリティ キー は、Microsoft パートナーである Yubico、Feitian Technologies、HID Global から、USB、NFC が有効なバッジ、生体認証キーとして提供されています。

Azure AD 条件付きアクセス は、会社の資産を保護することを目的として、アクセス制御に関する決定を自動化し、組織のポリシーを適用するための強固なソリューションを提供します。 典型的な例は、フィナンシャル プランナーが機密性の高い顧客データが含まれるアプリケーションにアクセスする場合です。 フィナンシャル プランナーは、そのアプリケーションにアクセスする際には自動的に多要素認証を行うように要求され、アクセスは会社が管理しているデバイスからでなければなりません。 Azure 条件付きアクセスは、ユーザー、デバイス、位置情報、ネットワークのプロパティや、ユーザーがアクセスしようとしているアプリケーションなど、ユーザーのアクセス要求に関するシグナルをまとめます。 アプリケーションへのアクセスの試行を、構成されたポリシーに対して動的に評価します。 ユーザーまたはデバイスのリスクが高まるか他の条件が満たされると、Azure AD は、MFA の要求、セキュリティで保護されたパスワードのリセット、アクセスの制限やブロックなどのポリシーを自動的に適用します。 これにより、動的に変化する環境の中で、組織の機密性の高い資産が保護されます。

Azure AD と、関連する Microsoft 365 のセキュリティ サービスは基盤を提供します。この基盤の上で、金融機関に対して最新のクラウド コラボレーション プラットフォームをロール アウトすることが可能となり、データとアプリケーションへのアクセスをセキュリティで保護し、通常のコンプライアンス義務を果たすことができるようになります。 これらのツールは次のような重要な機能を提供します。

  • ユーザー ID を一元的に保存し、セキュリティで保護された方法で管理する。
  • 多要素認証を含む強力な認証プロトコルを使用してアクセス要求の際にユーザーを認証し、すべてのアプリケーションにおいて一貫した強固な認証エクスペリエンスを提供する。
  • ID、ユーザー/グループ メンバーシップ、アプリケーション、デバイス、ネットワーク、位置情報、リアルタイムのリスク スコアを含む複数のシグナルをポリシーの意思決定プロセスに組み込みつつ、すべてのアクセス要求に対して動的にポリシーを検証する。
  • ユーザーの挙動とファイル プロパティに基づいて詳細なポリシーを検証して、必要な場合には追加のセキュリティ手段を動的に適用する。
  • 組織内の "シャドウ IT" を特定し、情報セキュリティ チームがクラウド アプリケーションを認可またはブロックできるようにする。
  • Microsoft および Microsoft 以外のクラウド アプリケーションへのアクセスを監視し、制御する。
  • メールのフィッシング詐欺とランサムウェア攻撃からプロアクティブに保護する。

Azure AD Identity Protection

条件付きアクセスでは疑わしい要求からリソースを保護しますが、Identity Protection は継続的にリスクを検出して疑わしいユーザー アカウントを修正することにより、さらなる手段を講じます。 Identity Protection は、環境内での疑わしいユーザーやサインインの挙動に関する情報を、24 時間体制で報告し続けます。 自動的な対応により、漏えいした ID が悪用されることをプロアクティブに防止します。

Identity Protection により、組織は 3 つの重要なタスクを実現することができます。

  • ID ベースのリスクを自動的に検出して修正する。
  • ポータルのデータを使用してリスクを調査する。
  • リスク検出データをサードパーティのユーティリティにエクスポートして、さらに分析する。

ユーザーを保護するために、Identity Protection では、Azure AD を使用する組織、Microsoft アカウントを使用するコンシューマー、Xbox を使用するゲーム業界から Microsoft が積み上げてきた知識が活かされています。 Microsoft は毎日 65 兆のシグナルを分析して、脅威を特定し、顧客を保護しています。 Identity Protectin が生成し、取り込まれるシグナルは、さらに条件付きアクセスなどのツールに取り込まれ、アクセスに関する決定を行います。 それらはセキュリティ情報イベント管理 (SIEM) ツールにも取り込まれ、組織の適用ポリシーに基づいてさらに調査が行われます。

Identity Protection は、クラウド インテリジェンスを活用して ID 漏えいから組織を自動的に保護します。クラウド インテリジェンスは、Microsoft エコシステム全体におけるヒューリスティックなユーザーおよびエンティティ行動分析 (UEBA) と機械学習 (ML) に基づく高度な検出に支えられています。

プレゼンテーションを聞く 5 人のインフォメーション ワーカー。

機密データを特定し、データ損失を防止する

Microsoft 365 では、組み合わされた強力な機能により、組織内の機密データを特定できるようになります。機能には次が含まれます。

  • Microsoft Purview Information Protection は、機密データをユーザー ベースで分類、および自動的に分類します。
  • Microsoft Purview データ損失防止 (DLP) は、機密データの種類 (つまり、正規表現) とキーワード、およびポリシー適用を使用して、機密データを自動的に特定します。

Microsoft Purview Information Protection を使用すると、組織は秘密度ラベルを使用してドキュメントやメールをインテリジェントに分類できます。 秘密度ラベルは、ユーザーが Microsoft Office アプリケーションのドキュメントや Outlook のメールに手動で適用できます。 ラベルは、ドキュメントのマーク付け、暗号化による保護、権限管理の実施を自動的に適用できます。 また、機密データを自動的に見つけて分類するためのキーワードや機密データの種類 (クレジット カード番号、社会保険番号、ID 番号など) を使用するポリシーを構成することにより、秘密度ラベルを自動的に適用することもできます。

さらに、単純なパターン マッチングやコンテンツ内の要素ではなく、コンテンツに基づいて機密データを特定するために機械学習モデルを使用する、"トレーニング可能な分類子" も提供されています。 分類するコンテンツの大量の例を分類子に教えることにより、コンテンツの種類を特定する方法を学習させます。 分類子をトレーニングするには、まず特定のカテゴリのコンテンツの例を与えます。 これらの例から学習した後に、一致する例と一致しない例を混ぜたものをモデルに与えて、モデルをテストします。 分類子は、与えられた例がそのカテゴリに該当するかどうかを予測します。 その後、人が結果を確認し、陽性、陰性、偽陽性、偽陰性に仕分けし、分類子の予測の正確性を高めます。 トレーニングされた分類子が公開されると、分類子は Microsoft SharePoint Online、Exchange Online、OneDrive for Business のコンテンツを処理し、コンテンツを自動的に分類します。

ドキュメントとメールに秘密度ラベルを適用すると、選択された秘密度を特定するメタデータがオブジェクト内に組み込まれます。 このようにして、秘密度はデータに付随するようになります。 そのため、ラベルが付けられたドキュメントがユーザーのデスクトップやオンプレミス システム内に保存された場合でも、そのドキュメントは保護されるようになります。 この機能により、Microsoft Defender for Cloud Apps またはネットワーク エッジ デバイスなど、他の Microsoft 365 ソリューションを使用して機密データを識別し、セキュリティ制御を自動的に適用できます。 秘密度データには他の利点もあり、組織内でどのデータが機密データとみなされるか、そのデータを受け取ったときにどのように扱うべきかに関して、従業員を教育することができます。

Microsoft Purview データ損失防止 (DLP) は、ドキュメント、メール、会話をスキャンして機密データを探すことにより、機密データを含むものを自動的に特定し、これらのオブジェクトにポリシーを適用します。 ポリシーは、SharePoint と OneDrive for Business のドキュメントに対して適用されます。 ポリシーは、ユーザーが送信するメールや、Teams のチャットやチャネルの会話にも適用されます。 ポリシーは、キーワード、機密データの種類、保持ラベル、データの共有先が組織内か外部かを判断するように構成することができます。 DLP ポリシーを微調整して偽陽性を減らせるように、コントロールが提供されています。 機密データが見つかった場合、カスタマイズ可能なポリシー ヒントを Microsoft 365 アプリケーション内でユーザーに対して表示し、コンテンツに機密データが含まれていることを知らせて是正措置を提案することができます。 ポリシーにより、ユーザーによるドキュメントへのアクセス、ドキュメントの共有、特定の種類の機密データを含むメールの送信を防止することもできます。 Microsoft 365 には、100 を超える機密データの種類が組み込まれています。 組織は、自分たちのポリシーに合致するように機密データの種類をカスタマイズできます。

組織のデータ分類についての方針やどの種類のデータが機密性が高いとみなされるかについて従業員が理解できるようにするために、Microsoft Purview Information Protection および DLP ポリシーのロール アウトには入念な計画とユーザー教育プログラムが欠かせません。 従業員に対して、機密データを特定し、それをどのように扱うべきかを理解するのに役立つツールや教育プログラムを提供するならば、従業員を情報セキュリティ リスクを低減するためのソリューションの一部として組み込むことができます。

Identity Protection が生成して取り込まれるシグナルは、アクセスに関する決定を行う条件付きアクセスなどのツールや、組織の適用ポリシーに基づいて調査を行うためのセキュリティ情報イベント管理 (SIEM) ツールに取り込むこともできます。

Identity Protection は、クラウド インテリジェンスを活用して ID 漏えいから組織を自動的に保護します。クラウド インテリジェンスは、Microsoft エコシステム全体におけるヒューリスティックなユーザーおよびエンティティ行動分析と機械学習に基づく高度な検出に支えられています。

多数のモニターの前にいるインフォメーション ワーカーの写真。

要塞を防御する

Microsoft が最近発表した Microsoft 365 Defender ソリューションは、現代の組織を進化する脅威からセキュリティで保護することを目的としています。 Threat Protection ソリューションはインテリジェント セキュリティ グラフを活用して、複数の攻撃ベクトルに対して包括的な統合セキュリティを提供します。

インテリジェント セキュリティ グラフ

Microsoft 365 が提供するセキュリティ サービスは、インテリジェント セキュリティ グラフに支えられています。 サイバー攻撃に対抗するため、インテリジェント セキュリティ グラフは高度な分析を利用して、脅威インテリジェンスを Microsoft やそのパートナーからのシグナルと結びつけます。 Microsoft はグローバル サービスを大規模に運営しており、スタック全体の保護レイヤーを強化する何兆ものセキュリティ シグナルを収集しています。 機械学習モデルがこのインテリジェンスを評価し、シグナルと脅威に関する分析情報は Microsoft の製品やサービスで幅広く共有されます。 これにより、Microsoft は脅威をすばやく検出して対応し、アクション可能な警告や情報を顧客に提供して、改善を促すことができます。 機械学習モデルは新しい分析情報によって継続的にトレーニングおよび更新されており、さらにセキュリティが強化された製品の開発や、よりプロアクティブなセキュリティの提供に役立っています。

Microsoft Defender for Office 365 は、メールや Office ドキュメントで配信される悪意のあるリンクやマルウェアから組織を保護する、統合された Microsoft 365 サービスを提供します。 現在、ユーザーに影響を与える最も一般的な攻撃ベクトルの 1 つは、メールによるフィッシング攻撃です。 この攻撃は特定のユーザーをターゲットとしていて、ユーザーに悪意のあるリンクをクリックさせたり、マルウェアを含む添付ファイルを開かせたりするためのコール トゥ アクションが含まれており、非常に巧妙です。 コンピューターが感染すると、攻撃者はユーザーの認証情報を盗んで組織内を動き回るか、メールやデータを抜き出して機密情報を探します。 Defender for Office 365 は、クリック時にドキュメントやリンクを評価し、悪意があるものを発見した場合にはアクセスをブロックすることにより、添付ファイルやリンクの安全性を確認します。 メールの添付ファイルは、ユーザーのメールボックスに配信される前に保護されたサンドボックス内で開かれます。 また、不正な URL がないか Office ドキュメント内のリンクも評価します。 Defender for Office 365 はさらに、SharePoint Online、OneDrive for Business、Teams 内のリンクやファイルも保護します。 悪意のあるファイルが検出された場合、Defender for Office 365そのファイルを自動的にロックして、潜在的な被害を軽減します。

Microsoft Defender for Endpoint は、予防的な保護、侵害後の検出、自動調査、対応のための統一されたプラットフォームです。 Defender for Endpoint には、企業のエンドポイントでの機密データの検出と保護のための機能が組み込まれています。

Microsoft Defender for Cloud Apps を使用すると、組織はポリシーを詳細なレベルで適用し、機械学習を使用して自動的に定義される個々のユーザー プロファイルに基づいて動作の異常を検出できます。 Defender for Cloud Apps ポリシーは、アクセスされるドキュメントのユーザーの動作とプロパティに関連する追加のシグナルを評価することにより、機密性の高い会社の資産を保護するために Azure 条件付きアクセス ポリシーに基いて構築できます。 Defender for Cloud Apps は、アクセスするデータと使用するアプリケーションに基づいて考慮し、従業員ごとの特徴的な振る舞いを学習します。 ポリシーは、学習済みの挙動パターンに基づいて、従業員がその挙動プロファイルとは異なる行動をとった際にセキュリティ コントロールを自動的に適用できるようになります。 たとえば、従業員が通常、月曜日から金曜日の午前 9 時から午後 5 時まで会計アプリケーションにアクセスしますが、日曜日の夜に突然そのアプリケーションに大量にアクセスし始めた場合、Defender for Cloud Apps は、ユーザーに再認証を要求するポリシーを動的に適用できます。 これにより、ユーザーの認証情報が漏えいしていないことを確認できます。 Defender for Cloud Apps は、組織内の "シャドウ IT" を特定する際にも役立ちます。これにより、情報セキュリティ チームは、従業員が機密データを扱う際に、認可されたツールを使用しているかどうかを確認できます。 最後に、Defender for Cloud Apps は、Microsoft 365 プラットフォームの外側でさえ、クラウドの任意の機密データを保護できます。 組織は特定の外部のクラウド アプリを許可することにより (または許可しないことにより)、アクセスをコントロールし、使用状況を監視できます。

Microsoft Defender for Identity はクラウドベースのセキュリティ ソリューションであり、オンプレミスの Active Directory のシグナルを活用して、組織に対する高度な脅威、ID の漏えい、内部関係者の不正な行動を特定、検出、調査します。 AATP により、セキュリティ オペレーション アナリストやセキュリティ専門家はハイブリッド環境における高度な攻撃を検出でき、次のことが可能になります。

  • 学習ベースの分析を使用して、ユーザー、エンティティの挙動、アクティビティを監視する。
  • Active Directory に保存されているユーザーの ID と認証情報の保護。
  • キル チェーン全体で疑わしいユーザー アクティビティや高度な攻撃を特定し、調査する。
  • 迅速なトリアージのために、簡潔なタイムラインで示された明確なインシデント情報を提供する。

小さな会議室に集まるオフィス ワーカーたちと、1人がプレゼンテーションを行う。

データと記録の管理

金融機関は、自社の保持スケジュールに示されている通り、規制上、法的、業務上の義務に従って、記録と情報を保持する必要があります。 たとえば、記録の種類に応じて SEC は 3 から 5 年の保持期間を義務付けており、最初の 2 年間はすぐにアクセスできるようにしておく必要があります。 データの保持期間が短い場合 (データを破棄するのが早すぎる場合)、組織は法的および規制上のコンプライアンス リスクに直面することになります。また、情報が必要ではなくなった場合に破棄を義務付ける規制にも従う必要があります。 組織にとってのコストやリスクを最小化しつつ情報を適切に破棄するために、効果的な記録管理戦略においては、実際的で一貫した手法が重要になります。

加えて、ニューヨーク州金融サービス局からの規制上の指令は、対象事業者が非公開情報の破棄のためのポリシーと手順を維持することを要求しています。 23 NYCRR 500 のセクション 500.13「Limitations on Data Retention」(データ保持に関する制限) は次のように定めています。「サイバーセキュリティ プログラムの一部として、対象事業者は、対象事業者の事業の運営または正当な事業上の目的のために必要ではなくなった、このパートのセクション 500.01(g)(2)-(3) で特定されている非公開情報を、定期的に安全に破棄するためのポリシーと手順を含める必要がある。ただし、法律または規制により当該情報の保持が要求される場合を除く」

金融機関は大量のデータを管理しています。 いくつかの保持期間は、契約の満了や従業員が組織から去るなどのイベントによって開始されます。 このような状況では、記録の保持ポリシーを適用することは課題となりえます。 組織のドキュメント全体に適切に記録保持期間を割り当てる手法は、状況によって異なることがあります。 ある組織では、保持ポリシーを広範に適用することもあれば、自動分類や機械学習のテクニックを活用することもあります。 他の組織では、個々のドキュメントに対してそれぞれの保持期間を割り当てる、もっと詳細なプロセスを必要とする手法を採用することでしょう。

Microsoft 365 には、レコード管理要件をインテリジェントに実装するための保持ラベルとポリシーを定義する柔軟な機能が用意されています。 レコード マネージャーは、従来の保持スケジュールの "レコードの種類" を表す保持ラベルを定義します。 保持ラベルには、次のような詳細を定義する設定が含まれます。

  • どのくらいの期間記録を保持するか
  • 保持期間が終了したらどうするか (ドキュメントを削除する、処理レビューを開始する、何もしない)
  • 保持期間を開始する要因となるもの (作成日、最終更新日、ラベル付けされた日、イベント)、ドキュメントやメールに記録としてのマーク付け (編集や削除ができないことを意味する) をする要因となるものは何か

その後、保持ラベルは SharePoint または OneDrive のサイト、Exchange メールボックス、Microsoft 365 グループに公開されます。 ユーザーは、ドキュメントやメールに保持ラベルを手動で適用できます。 記録管理者は、インテリジェンスを使用してラベルを自動的に適用できます。 インテリジェンス機能は、90 以上の組み込みの機密情報の種類 (ABA ルーティング番号、米国の銀行口座番号、米国社会保障番号など) に基づくものにすることができます。 また、ドキュメントやメールに含まれるクレジット カード番号や個人を識別できるその他の情報などのキーワードや機密データに基づいて、あるいは SharePoint のメタデータに基づいて、この機能をカスタマイズすることもできます。 手動または自動のパターン マッチングでは簡単に特定できないデータに関しては、機械学習のテクニックに基づいてトレーニング可能な分類子を使用して、ドキュメントをインテリジェントに分類することもできます。

証券取引委員会 (SEC) は、ブローカー ディーラーと他の規制対象金融機関に対して、すべての業務上の通信を保持することを要求しています。 これらの要件は、メール、ドキュメント、インスタント メッセージ、ファックスなどを含む多くの種類の通信とデータに適用されます。 SEC Rule 17a-4 は、記録を電子データ ストレージ システムに保存するために組織が満たさなければならない基準を定義しています。 2003 年に、SEC はこれらの要件を明確化したリリースを発表しました。 これには次の基準が含まれていました。

  • 電子ストレージ システムに保存されるデータは、再書き込み不能、削除不能でなければならない。 これは、WORM (write once, read many) 要件と呼ばれます。
  • ストレージ システムは、召喚状またはその他の法的命令が出された場合に、規則で要求されている保持期間を超えてデータを保存することが可能でなければならない。
  • ハードウェアおよびソフトウェアの統合された制御コードを使用することにより、要求されている保持期間に記録を上書き、消去または変更することを防止する電子ストレージ システムを使用した場合、組織は当該規則の条項 (f)(2)(ii)(A) の要件に違反することにならない。
  • アクセス制御等を使用して、記録が上書きまたは消去されるリスクを "減らす" だけの電子ストレージ システムは、当該規則の要件を満たさない。

金融機関が SEC Rule 17a-4 の要件を満せるように、Microsoft 365 は、データの保持方法、ポリシーの構成方法、サービス内でのデータの保存方法に関して、一連の機能を提供します。 これには次のものが含まれます。

  • データの保管 (Rule 17a-4(a)、(b)(4)) - 保持ラベルとポリシーは、組織のニーズを満たせるように柔軟で、様々な種類のデータ、ドキュメント、情報に自動または手動で適用できます。 SharePoint および OneDrive for Business のドキュメント、Exchange Online メールボックス内のデータ、Teams 内のデータなど、広範な種類のデータや通信がサポートされます。

  • 再書き込み不能、消去不能形式 (Rule 17a-4(f)(2)(ii)(A)) - 保持ポリシーのための保管ロック機能により、記録管理者と管理者は、記録を変更できないようにするなど、保持ポリシーをより厳格なものに構成できます。 これにより、誰もどんな形でも保持ポリシーを削除、無効化、変更できなくなります。 このことは、一度保管ロックが有効になると無効化できないこと、保持期間中は保持ポリシーが適用されたデータを上書き、変更、削除する方法が存在しないことを意味しています。 さらに、保持期間を短縮することはできません。 ただし、データの保持を継続するようにという法的な要求があった場合には、保持期間を延長することは可能です。

    保持ポリシーに対して保管ロックが適用されると、次の操作ンが制限されます。

    • ポリシーの保持期間は延長だけが可能になります。 短縮することはできません。
    • ユーザーをポリシーに追加することはできますが、ポリシー内で構成された既存のユーザーを削除することはできません。
    • 組織内の管理者は、保持ポリシーを削除することができません。

    保管ロックにより、ユーザーだけでなく、最高レベルの特権アクセスを持つ管理者さえも設定を変更したり、保存されたデータを変更、上書き、削除したりできなくなり、Microsoft 365 内のアーカイブが SEC 2003 リリースで提供されているガイダンスに沿ったものとなります。

  • データのストレージ/シリアル化およびインデックス化の品質、正確さ、検証 (Rule 17a-4(f)(2) (ii)(B) および (C)) - Office 365 ワークロードのそれぞれには、データをストレージ メディアに記録するプロセスの品質と正確さを自動的に検証する機能が含まれています。 さらに、データの効果的な検索や取得が可能になるようなインデックス化を行うために、メタデータやタイムスタンプを利用してデータを保存します。

  • 複製コピーのための別個のストレージ (Rule 17a-4(f)(3(iii)) - Office 365 クラウド サービスは、高可用性の重要な特徴として、データの複製コピーを保存します。 これは、すべてのサーバーの物理的なレベル、データ センター内のサーバー レベル、地理的に分散されたデータ センターのサービス レベルを含む、サービスのすべてのレベルにおいて冗長性を実装することによって実現されます。

  • ダウンロード可能およびアクセス可能なデータ (Rule 17a-4(f)(2)(ii)(D)) - Office 365 は通常、保持のラベルが付けられたデータの検索、アクセス、指定の場所へのダウンロードを許可します。 そして、Exchange Online Archives のデータは組み込みの eDiscovery 機能を使用して検索可能になります。 その後、データは必要に応じて、EDRML や PST などの標準的な形式でダウンロードできるようになります。

  • 監査要件 (Rule 17a-4(f)(3)(v)) - Office 365 は、データ オブジェクトの変更、保持ポリシーの構成または変更、eDiscovery 検索の実行、アクセス許可の変更に関わる、管理者およびユーザーによるすべての操作に対して、監査ログを提供します。 Office 365 は、操作の実行者、実行日時、操作の詳細、実行されたコマンドに関するデータを含む、包括的な監査証跡を維持します。 その後監査ログは出力され、必要に応じて正式な監査プロセスの一部に含められます。

最後に、Rule 17a-4 は組織に対して、多くの種類の取引の記録を 2 年間はすぐにアクセスすることができるような状態で保持することを要求しています。 記録は、すぐにはアクセスできない状態でさらに 3 年から 6 年間保持する必要があります。 複製された記録も、オフサイトの場所で同じ期間保持しなければなりません。 Microsoft 365 の記録管理機能により、記録管理者によって管理される期間の間、記録は変更や削除ができず、かつ簡単にアクセスできる状態で保持することができるようになります。 組織の規制遵守義務に応じて、この期間は日単位、月単位、年単位になります。

組織が必要とする場合、Microsoft は要請に応じて SEC 17a-4 へのコンプライアンスの証明書を提供します。

さらにこれらの機能により、Microsoft 365 は米商品先物取引委員会CFTC Rule 1.31(c)-(d) と、金融取引業規制機構FINRA Rule Series 4510 で定められているストレージ要件を満たすことができます。これらの規則は集合として、金融機関による記録の保持に関する世界的な規範的ガイダンスとなっています。

Microsoft 365 による SEC Rule 17a-4 や他の規制の遵守に関する追加の詳細については、「Office 365 - Cohasset 評価 - SEC Rule 17a-4(f) - SharePoint、OneDrive、Exchange、Teams、および Yammer の不変ストレージ (2022 年)」ダウンロード ドキュメントをご覧ください。

情報バリアにより、倫理的境界を確立する

金融機関は、特定の役割を持つ従業員が他の役割と情報交換や共同作業することを防止する規制に従わなければならないことがあります。 たとえば、FINRA が公開した規則 2241(b)(2)(G)、2242(b)(2) (D)、(b)(2)(H)(ii)、(b)(2)(H)(iii) は会員に対して次のことを要求しています。

「(G) 調査分析員を、投資銀行業務に携わる人や、判断や監督が偏ってしまう可能性がある販売および取引の人員を含む他の人からの審査、圧力、監視を受けないようにするために合理的に設計された、情報バリアや他の制度化されたセーフガードを確立する」および「(H) 負債の調査分析員を、次に携わる人からの審査、圧力、監視を受けないように合理的に設計された、情報バリアや他の制度化されたセーフガードを確立する: (i) 投資銀行業務; (ii) 主要な取引または販売および取引業務; (iii) 判断や監督が偏ってしまう可能性がある他の人」

究極的には、これらの規則は組織に対して、ポリシーを確立し、銀行業務、販売、取引に関わる役割の人が、分析員と情報共有や意思疎通を行うことができないように、情報バリアを設けることを要求しています。

情報バリアにより、Office 365 環境内に倫理的境界を確立することが可能になり、コンプライアンス管理者または他の権限を与えられた管理者が Teams のユーザー グループ間での通信を許可または防止できるようになります。 情報バリアは、特定の操作に対してチェックを実施し、不正な通信を防止します。 内部チームが合併/買収や機密性の高い取引に従事したり、厳重に制限すべき機密情報を扱ったりするなどのシナリオにおいても、情報バリアは通信を制限することができます。

情報バリアは、Teams の会話やファイルをサポートしています。 情報バリアは、次のような種類の通信に関連する操作を防止して、FINRA 規制を遵守できるようにします。

  • ユーザーの検索
  • チームへのメンバーの追加、チーム内の他のメンバーと関わり続けること
  • チャット セッションの開始または継続
  • グループ チャットの開始または継続
  • 誰かを会議に招待すること
  • 画面の共有
  • 電話の発信

監督管理を実施する

金融機関には通常、従業員の活動を監視し、適用される証券関連の法令を遵守できるようにするために、組織内に監督機能を確立して維持することが求められます。 具体的に、FINRA は次のような監督要件を定めています。

  • FINRA Rule 3110 (監督) は、企業が監督手順書類 (written supervisory procedures, WSP) を作成し、従業員の活動と、行っている事業の種類を監督することを要求しています。 他の要件に加えて、手順には次が含まれている必要があります。

    • 監督人員の監督
    • 企業による投資銀行業務、証券業務、内部通信、内部調査のレビュー
    • 内部関係者による取引のレビュー
    • 書簡や苦情のレビュー

    手順には、レビューの責任者、各人が行う監督活動、レビューの頻度、レビュー対象のドキュメントや通信の種類を含める必要があります。

  • FINRA Rule 3120 (監督管理システム) は、企業が Rule 3110 で定義された監督手順書類を検証するための監督管理ポリシーと手順 (supervisory control policies and procedures, SCP) のシステムを確立することを要求しています。 企業には、WSP を作成することだけでなく、これらの手順を毎年テストして、適用される証券関連の法令への遵守能力を検証するためのポリシーを確立することも求められています。 テストの範囲を定義するために、リスクベースの手法とサンプリングを使用されることがあります。 他の要件の中でもこの規則は特に、企業に対して、テスト結果の概要と、テスト結果に対する重大な例外または修正された手順を含む年次レポートを経営陣に提出することを求めています。

画面上でグラフや表を見ているオフィス ワーカーと、後ろの方で行われている会議。

通信コンプライアンス

Microsoft Purview コミュニケーション コンプライアンス は、組織内の不適切なメッセージの検出、調査、および対処を支援することで、コミュニケーション リスクを最小限に抑えるコンプライアンス ソリューションです。 事前に定義されたカスタムポリシーを使用すると、指定されたレビュー担当者が調査できるように、ポリシーの一致の確認のために内部および外部の通信をスキャンできます。 レビュー担当者は、組織内のスキャンされた電子メール、Microsoft Teams、Yammer、またはサードパーティーの通信を調査し、適切な処置を行い、組織のメッセージ基準に準拠しているかどうかを確認できます。

通信コンプライアンスでは、ポリシーとレビュー担当者に基づいて、ポリシーのレビュー活動を監査できるレポートが提供されます。 レポートでは、組織の書面によるポリシーで定義されたとおりにポリシーが機能しているかを検証することができます。 さらに、レビューが必要な通信や、会社のポリシーに準拠していない通信を特定するために使用することもできます。 最後に、ポリシーの構成と通信のレビューに関連するすべての活動は、Office 365 の統合監査ログで監査されます。 結果として、通信コンプライアンスは、金融機関が FINRA Rule 3120 を遵守するのに役立ちます。

コミュニケーション コンプライアンスを使用すると、FINRA ルールに準拠するだけでなく、組織は、他の法的要件、企業ポリシー、倫理基準の影響を受ける可能性のあるコミュニケーションを検出して操作できます。 通信コンプライアンスには脅威、ハラスメント、冒涜的表現の分類子が組み込まれており、通信をレビューする際の偽陽性を減らすことができるため、レビュー担当者の調査と修正プロセスの時間を節約することができます。 また、合併や買収、経営陣の交代などの機密性の高い変化を経験する際に、組織はコミュニケーションを監視することによってリスクを抑えることができるようになります。

画面に集中するインフォメーション ワーカー。

データ流出とインサイダー リスクから保護する

企業にとっての共通の脅威は、データ流出や、組織からデータを抽出する行為です。 金融機関では機密性の高い情報に日々アクセスしているため、このリスクは非常に重大な懸念となりえます。 利用できる通信チャネルが増大し、データを移動するためのツールが普及しているため、データ漏えい、ポリシー違反、インサイダー リスクなどの脅威を軽減するための高度な能力が求められるようになっています。

インサイダー リスクの管理

どこからでもアクセスできるオンライン コラボレーション ツールを従業員が利用できるようにすることは本質的に、組織に対してリスクをもたらすことです。 従業員は意図せずに、または悪意を持って攻撃者や競合相手にデータを漏えいする可能性があります。 または、自分で使用するためにデータを抜き取ったり、将来の従業員のためにデータを持ち出すかもしれません。 こうしたシナリオは、セキュリティとコンプライアンスの両方の観点において金融サービス機関とっての重大なリスクとなります。 こうしたことが発生したときにこれらのリスクを特定し、すぐに緩和するには、データ収集のため、そして法務、人事、情報セキュリティの部門をまたぐ共同作業のためのインテリジェントなツールが必要になります。

Microsoft Purview インサイダー リスク管理は、組織内の悪意のあるアクティビティや不注意によるアクティビティを検出、調査、および操作できるようにすることで、内部リスクを最小限に抑えるのに役立つコンプライアンス ソリューションです。 インサイダー リスク ポリシーを使用すると、ケースに対応したり、必要に応じて Microsoft 電子情報開示 (Premium) にケースをエスカレートしたりするなど、組織内で識別および検出するリスクの種類を定義できます。 組織内のリスク アナリストは、ユーザーが組織のコンプライアンス基準に準拠していることを確認するために、適切なアクションをすばやく実行できます。

たとえば、インサイダー リスク管理では、ユーザーの Windows 10 デスクトップからのシグナル (USB ドライブへのファイルのコピーや個人メール アカウントでのメールのやり取りなど) を、オンライン サービスでのアクティビティ (Office 365 メール、SharePoint Online、Microsoft Teams、OneDrive for Business など) と関連付け、データ流出のパターンを特定することができます。 また、こうしたアクティビティを、組織を去る従業員と関連付けることもできます。これは、よくあるデータ流出のパターンです。 時間の経過と共に、複数の潜在的に危険なアクティビティと動作を検出できます。 共通するパターンが発見されると警告を発し、調査担当者が重要なアクティビティに注目して、ポリシー違反を確信をもって検証できるようにします。 インサイダー リスク管理では、調査担当者からのデータを疑似匿名化することでデータのプライバシー規制を準拠しながらも、効率的に調査を行えるようにするために重要なアクティビティを浮かび上がらせます。 修正のために事例を報告するための一般的なエスカレーション ワークフローに続いて、調査担当者は重要なアクティビティのデータをパッケージ化し、HR および法務部にセキュリティで保護された方法で送信できます。

インサイダー リスク管理は、インサイダー リスクを検出および調査する組織の能力を格段に高めつつ、より高いレベルでの事例への対応が必要になった場合に、組織がデータのプライバシー規制を準拠し、確立されたエスカレーションの方法を実行できるようにします。

パーティションで区切られたスペースで画面を見るコール センターの職員。

テナントの制限

機密データを扱い、セキュリティを非常に重視している組織は通常、ユーザーがアクセスできるオンライン リソースを管理することを望みます。 同時に、Office 365 などのオンライン サービスを使用してセキュリティで保護されたコラボレーションを行うことも希望します。 結果として、ユーザーがアクセスできる Office 365 環境を管理するのは挑戦となります。企業向けではない Office 365 環境は、意図せずに、または悪意を持って会社のデバイスからデータを抜き取るために利用されることがあるからです。 従来、組織はユーザーが会社のデバイスからアクセスできるドメインや IP アドレスを制限してきました。 ユーザーが Office 365 サービスに正当にアクセスする必要があるクラウド ファーストの世界では、この方法は通用しません。

Microsoft 365 では、テナントの制限にこの課題に対処するための機能を加えています。 テナントの制限では、従業員による不正な ID (自社のディレクトリに含まれない ID) を使用した外部の Office 365 エンタープライズ テナントへのアクセスを制限するよう構成できます。 現時点で、テナントの制限はテナント全体に適用され、構成されたリストに含まれるテナントへのアクセスだけが許可されます。 Microsoft はこのソリューションの開発を続けており、今後より詳細な制御が可能になり、提供される保護が強化されていきます。

グラフィック。

まとめ

Microsoft 365 と Teams は金融サービス企業に対して包括的な統合ソリューションを提供し、シンプルながらも強力なクラウドベースのコラボレーションおよびコミュニケーション機能を企業全体で利用できるようにします。 Microsoft 365 のセキュリティとコンプライアンステクノロジを使用することで、教育機関は、サイバーセキュリティやインサイダー リスクを含むさまざまな運用リスクからデータ、ID、デバイス、アプリケーションを保護するために、堅牢なセキュリティ制御を使用して、より安全で準拠した方法で運用できます。 Microsoft 365 は本質的にセキュリティで保護されたプラットフォームを提供し、金融サービス組織はこのプラットフォームを使用して、会社、従業員、顧客を保護しながら、成長し続けることができます。