インサイダー リスクの管理の概要

重要

Microsoft Purview Insider Risk Management は、さまざまなシグナルを関連付けて、IP の盗難、データ漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意による内部関係者のリスクを特定します。 インサイダー リスク管理により、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

インサイダー リスク管理ポリシーを使用して、リスクのあるアクティビティと管理ツールを特定し、organizationのリスク アラートに対処します。 前提条件を設定し、インサイダー リスク管理ポリシーを構成するには、次の手順を実行します。

重要

インサイダー リスク管理ソリューションは、顧客がユーザー レベルで内部ガバナンスを容易にするのに役立つテナント レベルのオプションを提供します。 テナント レベルの管理者は、organizationのメンバーにこのソリューションへのアクセスを提供するアクセス許可を設定し、Microsoft Purview コンプライアンス ポータルのデータ コネクタを設定して関連するデータをインポートして、危険な可能性のあるアクティビティのユーザー レベルの識別をサポートできます。 お客様は、雇用に関連する個々のユーザーの行動、特性、または業績に関連する分析情報を管理者が計算し、organizationの他のユーザーが利用できることを確認します。 さらに、お客様は、インサイダー リスク管理サービスからの分析情報だけでなく、雇用に関連する個々のユーザーの行動、特性、またはパフォーマンスに関連する独自の完全な調査を行う必要があることを認識しています。 お客様は、インサイダー リスク管理サービスおよび関連する機能またはサービスを、個々のユーザー識別および修復アクションに関連する法律を含む、適用されるすべての法律に準拠して使用することに単独で責任を負います。

インサイダー リスク ポリシーがorganizationのリスク管理にどのように役立つかの詳細については、「インサイダー リスク管理について学習する」を参照してください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

サブスクリプションとライセンス

インサイダー リスク管理を開始する前に、 Microsoft 365 サブスクリプション とアドオンを確認する必要があります。 インサイダー リスク管理にアクセスして使用するには、organizationにサポートされているサブスクリプションがあり、適切なライセンスがユーザーに割り当てられているかどうかを確認する必要があります。 サブスクリプションとライセンスの詳細については、インサイダー リスク管理の サブスクリプション要件 に関するページを参照してください。

重要

現在、インサイダー リスク管理は、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 organizationに対してインサイダー リスク管理がサポートされていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。

既存のMicrosoft 365 Enterprise E5 プランを持っていなくても、インサイダー リスク管理を試したい場合は、既存のサブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップできます。

推奨されるアクションは、organizationがインサイダー リスク管理を迅速に行うのに役立ちます。 [ 概要 ] ページに含まれている推奨されるアクションは、ポリシーを構成して展開する手順のガイドに役立ちます。

インサイダー リスクの管理に推奨されるアクション。

インサイダー リスク管理の構成を開始または最大化するために、次の推奨事項を使用できます。

  • 監査を有効にする: オンにすると、organizationのユーザーと管理者のアクティビティが Microsoft 365 監査ログに記録されます。 インサイダー リスク ポリシーと分析スキャンでは、このログを使用してリスク アクティビティを検出します。
  • インサイダー リスク管理を使用するためのアクセス許可を取得する: インサイダー リスク管理機能に対するアクセスレベルは、割り当てられたロール グループによって異なります。 推奨されるアクションにアクセスして構成するには、ユーザーを Insider Risk Management または Insider Risk Management Admins ロール グループに割り当てる必要があります。
  • ポリシー インジケーターの選択: インジケーターは、基本的に、検出して調査するリスク管理アクティビティです。 インジケーターを選択すると、複数の Microsoft 365 の場所とサービスにわたるアクティビティを検出できます。
  • 潜在的なインサイダー リスクをスキャンする: 分析スキャンを実行して、組織で発生している潜在的なインサイダー リスクを検出します。結果を評価した後、推奨されるポリシーを確認して設定します。
  • 他のユーザーにアクセス許可を割り当てる: インサイダー リスク機能の管理を担当する追加のチーム メンバーがいる場合は、適切なロール グループに割り当てる必要があります。
  • 最初のポリシーを作成する: 危険な可能性のあるアクティビティに関するアラートを受信するには、検出して調査するユーザー アクティビティを定義する定義済みのテンプレートに基づいてポリシーを設定する必要があります。

このエクスペリエンスに含まれる推奨される各アクションには、次の 4 つの属性があります。

  • アクション: 推奨されるアクションの名前と説明。
  • 状態: 推奨されるアクションの状態。 値は [未開始]、[ 進行中]、[ 後で保存]、または [完了] です
  • 必須または省略可能: インサイダー リスク管理機能が期待どおりに機能するために推奨されるアクションが必要か、オプションであるか。
  • 推定完了時間: 推奨されるアクションを完了するための推定時間 (分単位)。

一覧から推奨事項を選択して、インサイダー リスク管理の構成を開始します。 推奨される各アクションでは、要件、想定される内容、organizationで機能を構成することの影響など、推奨事項に必要なアクションについて説明します。 推奨される各アクションは、構成時に自動的に完了としてマークされるか、構成時に完了したアクションを手動で選択する必要があります。

手順 1 (必須): インサイダー リスク管理のアクセス許可を有効にする

重要

ロール グループを構成した後、ロール グループのアクセス許可が組織全体の割り当てられたユーザーに適用されるまでに最大 30 分かかる場合があります。

インサイダー リスク管理機能の構成に使用される役割グループは 6 つあります。 Microsoft Purview のメニュー オプションとして Insider リスク管理 を使用できるようにし、これらの構成手順を続行するには、次のいずれかのロールまたはロール グループに割り当てる必要があります。

インサイダー リスク管理ポリシーとアラートを管理する方法に応じて、特定の役割グループにユーザーを割り当てて、さまざまなインサイダー リスク管理機能のセットを管理する必要があります。 異なるコンプライアンス責任を持つユーザーを特定のロール グループに割り当てて、インサイダー リスク管理機能のさまざまな領域を管理できます。 または、指定された管理者、アナリスト、調査担当者、閲覧者のすべてのユーザー アカウントを Insider Risk Management ロール グループに割り当てることを決定できます。 コンプライアンス管理の要件に最適な 1 つのロール グループまたは複数のロール グループを使用します。

インサイダー リスク管理を使用する場合は、次のロール グループ オプションとソリューション アクションから選択します。

アクション インサイダー リスクの管理 Insider Risk Management 管理者 インサイダー リスク管理アナリスト インサイダー リスク管理調査担当者 インサイダーリスク管理監査人 インサイダー リスク管理の承認者
ポリシーと設定を構成する はい はい いいえ いいえ いいえ いいえ
分析分析情報にアクセスする はい はい はい いいえ いいえ いいえ
アラートの調査 & アクセス はい いいえ はい はい いいえ いいえ
ケース & 調査にアクセスする はい いいえ はい はい いいえ いいえ
コンテンツ エクスプローラーを表示 & アクセスする はい いいえ いいえ はい いいえ いいえ
通知テンプレートを構成する はい いいえ はい はい いいえ いいえ
エクスポート監査ログ & 表示する はい いいえ いいえ いいえ はい いいえ
フォレンジック証拠キャプチャ & 表示する はい いいえ いいえ はい いいえ いいえ
フォレンジック証拠キャプチャ要求を作成する はい はい いいえ いいえ いいえ いいえ
フォレンジック証拠のキャプチャ要求を承認する はい いいえ いいえ いいえ いいえ はい
アダプティブ保護を構成する はい はい いいえ いいえ いいえ いいえ
[アダプティブ保護ユーザーの表示] タブ はい いいえ はい はい いいえ いいえ

重要

組み込みの Insider Risk Management ロール グループまたは Insider Risk Management 管理者ロール グループに常に少なくとも 1 人のユーザーがあることを確認します (選択 organizationしたオプションに応じて)。

次のロールのメンバーは、インサイダー リスク管理ロール グループにユーザーを割り当てることができ、 Insider Risk Management Admins ロール グループに含まれているのと同じソリューション アクセス許可を持つことができます。

  • Microsoft Entra ID グローバル管理者
  • Microsoft Entra ID コンプライアンス管理者
  • Microsoft Purview Organization Management
  • Microsoft Purview コンプライアンス管理者

Insider Risk Management ロール グループにユーザーを追加する

この役割グループにユーザーを追加するには、次の手順を実行します。

  1. Microsoft 365 organizationの管理者アカウントの資格情報を使用して Microsoft Purview にサインインします。
  2. 左側のナビゲーションで [アクセス許可] を選択し、[Microsoft Purview ソリューション] の一覧で [ロール] を選択します。
  3. Insider Risk Management ロール グループを選択し、[編集] を選択します
  4. [ ユーザーの選択 ] タブを選択し、役割グループに追加するすべてのユーザーのチェック ボックスをオンにします。
  5. [選択]、[次へ] の順に選択します。
  6. [保存] を選択して、ユーザーをロール グループに追加します。 [ 完了] を選択 して手順を完了します。

手順 2 (必須): Microsoft 365 監査ログを有効にする

インサイダー リスク管理では、ポリシーと分析分析情報で識別されたユーザー分析情報とリスク管理アクティビティに Microsoft 365 監査ログが使用されます。 Microsoft 365 監査ログは、organization内のすべてのアクティビティの概要であり、インサイダー リスク管理ポリシーでは、これらのアクティビティを使用してポリシー分析情報を生成できます。

Microsoft 365 の組織では、監査が既定で有効になっています。 組織によっては、特定の理由で監査を無効にしている場合があります。 組織の監査が無効になっている場合は、別の管理者が無効にしている可能性があります。 この手順を完了する場合は、監査を再びオンにしても問題ないか確認することをお勧めします。

監査を有効にする詳しい手順については、「監査ログ検索を有効または無効する」を参照してください。 監査を有効にすると、監査ログの準備中で、準備が完了してから数時間で検索を実行できるというメッセージが表示されます。 このアクションを行う必要があるのは 1 回だけです。 Microsoft 365 監査ログの使用に関する詳細については、「監査ログを検索する」を参照してください。

手順 3 (省略可能): インサイダー リスク分析の分析情報を有効にして表示する

インサイダー リスク管理分析を有効にすると、次のことができます。

  • ポリシーを作成する前に、潜在的なインサイダー リスクをスキャンします。 インサイダー リスク ポリシーを構成することなく、organization内の潜在的なインサイダー リスクの評価を行うことができます。 この評価は、organizationユーザー リスクの高い潜在的な領域を特定し、構成する可能性があるインサイダー リスク管理ポリシーの種類と範囲を決定するのに役立ちます。 この評価は、既存のポリシーの追加ライセンスまたは将来の最適化のニーズを判断するのにも役立ちます。 分析スキャン結果は、分析情報がレポートとして確認できるようになるまで最大 48 時間かかる場合があります。 分析分析の分析情報の詳細については、「Insider リスク管理設定: 分析」を参照し、Insider Risk Management Analytics ビデオをチェックして、分析が潜在的なインサイダー リスクの特定を促進し、迅速にアクションを実行するのに役立つ方法を理解するのに役立ちます。
  • インジケーターのしきい値設定に関するリアルタイムの推奨事項を受け取ります。 "ノイズ" を減らすためにポリシーを手動で調整すると、非常に時間がかかる場合があります。これには、ポリシーの目的の構成を決定するために多くの試行錯誤を行う必要があります。 分析が有効になっている場合、インサイダー リスク管理では、インジケーターのしきい値に関するリアルタイムの推奨事項を提供できます。 また、提供された推奨事項を手動で調整し、変更に基づいてポリシーのスコープに取り込まれるユーザーの数をリアルタイムで確認することもできます。 リアルタイム インジケーターのしきい値に関する推奨事項の詳細

注:

インサイダー リスク分析を有効にするには、 Insider Risk ManagementInsider Risk Management Admins、または Microsoft 365 グローバル管理者 ロール グループのメンバーである必要があります。

インサイダー リスク分析を有効にするには:

  1. Microsoft Purview で、[Insider リスク管理] に移動します。
  2. [インサイダー リスク管理の概要] タブで、[organizationのカードの内部リスクをスキャンする] で [スキャンの実行] を選択します。このアクションにより、organizationの分析スキャンが有効になります。 また、[Insider risk settings>Analytics] に移動し、[テナントのユーザー アクティビティをスキャンしてインサイダー リスクの可能性を特定する] を有効にすることで、organizationでのスキャンを有効にすることもできます。
  3. [分析の詳細] ウィンドウで、[スキャンの実行] を選択して、organizationのスキャンを開始します。 分析スキャン結果は、分析情報がレポートとして確認できるようになるまで最大 48 時間かかる場合があります。

分析分析情報を確認した後、インサイダー リスク ポリシーを選択し、organizationのインサイダー リスク軽減戦略に最適な関連する前提条件を構成します。

ほとんどのインサイダー リスク管理ポリシーには、関連するアクティビティ アラートを生成するためにポリシー インジケーター用に構成する必要がある前提条件があります。 organization用に構成する予定のポリシーに応じて、適切な前提条件を構成します。

Insider Risk Indicator (プレビュー) コネクタを構成する

Microsoft 以外 (サード パーティ) ワークロードの検出をインポートすることで、インサイダー リスク管理を拡張できます。 たとえば、検出を拡張して Salesforce アクティビティと Dropbox アクティビティを含め、SharePoint Online や Exchange Online などの Microsoft サービスに焦点を当てたインサイダー リスク管理ソリューションによって提供される組み込みの検出と共に使用できます。

内部リスク管理ソリューションに独自の検出を適用するには、Microsoft Sentinel や Splunk などのセキュリティ情報とイベント管理 (SIEM) ソリューションから前処理された集計された検出をインポートします。 これを行うには、Insider Risk Indicators コネクタ ウィザードにサンプル ファイルをインポートします。 コネクタ ウィザードは、サンプル ファイルを分析し、必要なスキーマを構成します。

注:

現時点では、"生" 検出シグナルをインサイダー リスク管理にインポートすることはできません。 事前に処理された集計は、ファイルとしてのみインポートできます。

カスタム インジケーターは、次のように使用できます。

  • ユーザーをポリシーのスコープに取り込むために使用されるトリガー。
  • ユーザーにリスクのスコアを付けるために使用されるポリシー インジケーター。

organizationの Insider Risk Indicators コネクタを構成するための詳細なガイダンスについては、Insider Risk Indicators コネクタの記事を参照してください。 コネクタを構成したら、次の構成手順に戻ります。

Microsoft 365 HR コネクタを構成する

インサイダー リスク管理では、サード パーティのリスク管理と人事プラットフォームからインポートされたユーザー データとログ データのインポートがサポートされます。 Microsoft 365 人事 (HR) データ コネクタを使用すると、ユーザーの終了日、最終雇用日、パフォーマンス向上計画通知、パフォーマンス レビュー アクション、ジョブ レベルの変更状態など、CSV ファイルから人事データを取得できます。 このデータは、インサイダー リスク管理ポリシーでアラート インジケーターを駆動するのに役立ち、組織で完全なリスク管理範囲を構成する上で重要な要素です。 organizationに複数の HR コネクタを構成すると、インサイダー リスク管理によってすべての HR コネクタからインジケーターが自動的にプルされます。

次のポリシー テンプレートを使用する場合は、Microsoft 365 HR コネクタが必要です。

  • 危険なユーザーによるデータ 漏洩
  • ユーザー データの盗難を離れる
  • 患者データの誤用
  • 離職するユーザーによるセキュリティ ポリシー違反
  • 危険なユーザーによるセキュリティ ポリシー違反

organization用に Microsoft 365 HR コネクタを構成する詳細なガイダンスについては、HR データをインポートするためのコネクタの設定に関する記事を参照してください。 HR コネクタを構成したら、次の構成手順に戻ります。

医療固有のデータ コネクタを構成する

インサイダー リスク管理では、既存の電子カルテ (EMR) システムでサード パーティからインポートされたユーザーデータとログ データのインポートがサポートされています。 Microsoft Healthcare および Epic データ コネクタを使用すると、不適切な患者レコード アクセス、疑わしいボリューム アクティビティ、編集およびエクスポートアクティビティなど、CSV ファイルを使用して EMR システムからアクティビティ データをプルできます。 このデータは、インサイダー リスク管理ポリシーでアラート インジケーターを駆動するのに役立ち、組織で完全なリスク管理範囲を構成する上で重要な要素です。

organization用に複数の Healthcare コネクタまたは Epic コネクタを構成する場合、インサイダー リスク管理では、すべての Healthcare コネクタと Epic コネクタからのイベントとアクティビティのシグナルが自動的にサポートされます。 次のポリシー テンプレートを使用する場合は、Microsoft 365 Healthcare または Epic コネクタが必要です。

  • 患者データの誤用

organizationの医療固有のコネクタを構成する詳細なガイダンスについては、「医療データをインポートするためのコネクタのセットアップ」または「Epic EHR データをインポートするためのコネクタの設定」の記事を参照してください。 コネクタを構成したら、次の構成手順に戻ります。

データ損失防止 (DLP) ポリシーを構成する

インサイダー リスク管理では、DLP ポリシーを使用して、重大度レベルの高い DLP アラートの不要な関係者への機密情報の意図的または偶発的な公開を特定するのに役立ちます。 いずれかのデータ リーク テンプレートを使用してインサイダー リスク管理ポリシーを構成する場合は、これらの種類のアラートのポリシーに特定の DLP ポリシーを割り当てることができます。

データ損失ポリシーは、機密情報に対する重大度の高い DLP アラートのインサイダー リスク管理でリスク スコアリングをアクティブ化するユーザーを特定するのに役立ち、organizationで完全なリスク管理カバレッジを構成する上で重要な部分です。 インサイダー リスク管理と DLP ポリシーの統合と計画に関する考慮事項の詳細については、「 Insider リスク管理ポリシー」を参照してください。

重要

次の手順を完了していることを確認します。

  • DLP と Insider の両方のリスク管理ポリシーでスコープ内ユーザーを理解し、適切に構成して、予想されるポリシー カバレッジを生成します。
  • これらのテンプレートで使用されるインサイダー リスク管理の DLP ポリシーの [インシデント レポート] 設定は、重大度レベルの 高い アラート用に構成されています。 [ インシデント レポート ] フィールドが [低 ] または [ ] に設定されている DLP ポリシーからインサイダー リスク管理アラートは生成されません。

DLP ポリシーは、次のポリシー テンプレートを使用する場合は省略可能です。

  • データ漏えい
  • 優先ユーザーによるデータ漏洩

organizationの DLP ポリシーを構成する詳細なガイダンスについては、データ損失防止ポリシーの作成と展開に関する記事を参照してください。 DLP ポリシーを構成したら、次の構成手順に戻ります。

注:

エンドポイント DLP では仮想化環境がサポートされるようになりました。つまり、インサイダー リスク管理ソリューションはエンドポイント DLP を介して仮想化された環境をサポートします。 エンドポイント DLP での仮想化環境のサポートの詳細

Microsoft Defenderおよび DLP アラートを使用してユーザー リスクの重大度レベルの共有を構成する

インサイダー リスク管理 (プレビュー) からユーザー リスクの重大度レベルを共有して、一意のユーザー コンテキストをMicrosoft Defenderおよび DLP アラートに適用できます。 インサイダー リスク管理は、90 日から 120 日間のユーザー アクティビティを分析し、その期間の異常な動作を探します。 このデータをMicrosoft Defenderおよび DLP アラートに追加すると、アナリストがアラートの優先順位を付けるのに役立つ、これらのソリューションで使用できるデータが強化されます。 Microsoft Defenderおよび DLP アラートを使用してユーザー リスクの重大度レベルを共有する方法の詳細

優先度ユーザー グループを構成する

インサイダー リスク管理には、重要なポジションを持つユーザーの固有のリスク アクティビティ、高レベルのデータとネットワーク アクセス、または過去のリスク動作履歴を特定するのに役立つ、優先度の高いユーザー グループをポリシーに割り当てるサポートが含まれています。 優先度の高いユーザー グループを作成し、グループにユーザーを割り当てることは、これらのユーザーが提示する一意の状況にポリシーをスコープするのに役立ちます。

優先度の高いユーザー グループを作成し、ユーザーをグループに割り当てることで、特定されたユーザーが提示する固有の状況に固有のポリシーのスコープを設定するのに役立ちます。 優先度ユーザー グループのリスク スコア ブースターを有効にするには、[Insider リスク管理設定] ページに移動し、[ポリシー インジケーター] と [リスク スコア ブースター] を選択します。 これらの特定されたユーザーはアラートを受け取る可能性が高くなります。アナリストや調査担当者は、これらのユーザーのリスク重大度を確認して優先順位を付け、organizationのリスク ポリシーと標準に従ってアラートをトリアージできます。

次のポリシー テンプレートを使用する場合は、優先度ユーザー グループが必要です。

  • 優先ユーザーによるセキュリティ ポリシー違反
  • 優先ユーザーによるデータ漏洩

詳細な構成ガイダンスについては、 インサイダー リスク管理設定 の概要に関する記事を参照してください。

物理バッジ コネクタの構成 (省略可能)

インサイダー リスク管理では、物理制御プラットフォームとアクセス プラットフォームからのユーザー データとログ データのインポートがサポートされています。 物理バッジ コネクタを使用すると、ユーザー ID、アクセス ポイント ID、アクセス時刻と日付、アクセス状態など、JSON ファイルからアクセス データをプルできます。 このデータは、インサイダー リスク管理ポリシーでアラート インジケーターを駆動するのに役立ち、組織で完全なリスク管理範囲を構成する上で重要な要素です。 organization用に複数の物理バッジ コネクタを構成した場合、インサイダー リスク管理は、すべての物理バッジ コネクタからインジケーターを自動的にプルします。 すべてのインサイダー リスク ポリシー テンプレートを使用する場合、物理バッジ コネクタからの情報は、他のインサイダー リスクシグナルを補完します。

重要

インサイダー リスク管理ポリシーで、出発および終了したユーザーに関連するシグナル データを、物理的な制御およびアクセス プラットフォームからのイベント データと関連付けるためには、Microsoft 365 HR コネクタも構成する必要があります。 Microsoft 365 HR コネクタを有効にせずに物理バッジ コネクタを有効にした場合、インサイダー リスク管理ポリシーは、organization内のユーザーに対する未承認の物理的アクセスに関するイベントのみを処理します。

organizationの物理バッジ コネクタを構成する詳細なガイダンスについては、物理バッジ データをインポートするためのコネクタの設定に関する記事を参照してください。 コネクタを構成したら、次の構成手順に戻ります。

Microsoft Defender for Endpointの構成 (省略可能)

Microsoft Defender for Endpointは、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、対応できるように設計されたエンタープライズ エンドポイント セキュリティ プラットフォームです。 organizationでのセキュリティ違反の可視性を高めるために、内部リスク管理セキュリティ違反ポリシー テンプレートから作成されたポリシーで使用されるアクティビティについて Defender for Endpoint アラートをインポートしてフィルター処理できます。

セキュリティ違反ポリシーを作成する場合は、organizationでMicrosoft Defender for Endpointを構成し、Defender Security Center でインサイダー リスク管理統合のために Defender for Endpoint を有効にしてセキュリティ違反アラートをインポートする必要があります。 要件の詳細については、Microsoft Defender for Endpointの最小要件に関する記事を参照してください。

インサイダー リスク管理統合用 に Defender for Endpoint を構成 するための詳細なガイダンスについては、Defender for Endpoint での高度な機能の構成に関する記事を参照してください。 Microsoft Defender for Endpointを構成したら、次の構成手順に戻ります。

フォレンジック証拠を構成する (省略可能)

セキュリティ インシデントにつながる可能性のある危険なユーザー アクティビティに関するより良い分析情報を得るには、フォレンジック調査中にセキュリティ チームが視覚的なコンテキストを持つことが重要です。 カスタマイズ可能なイベント トリガーと組み込みのユーザー プライバシー保護コントロールを使用すると、フォレンジック証拠を使用すると、デバイス間でカスタマイズ可能なキャプチャが可能になり、organizationは機密データの不正なデータ流出などの潜在的なデータ リスクの軽減、理解、対応を強化できます。

organizationのフォレンジック証拠を構成するための詳細なガイダンスについては、インサイダー リスク管理フォレンジック証拠の概要に関する記事を参照してください。

光学式文字認識を構成する (省略可能)

Microsoft Purview では、ドキュメント内の機密性の高いコンテンツをスキャンして、不適切な露出からドキュメントを保護できます。 Microsoft Purview で光学式文字認識 (OCR) を有効にすると、機密情報の種類やトレーニング可能な分類子などのデータ分類子で、スタンドアロン イメージ内の文字を検出することもできます。 OCR 設定 (プレビュー) を構成すると、既存のインサイダー リスク ポリシーが画像とドキュメントの両方に適用されます。

OCR プレビューの場合、インサイダー リスク管理では、Windows エンドポイント デバイス、SharePoint Online、Teams の各場所でのスキャンがサポートされます。 Exchange Onlineと OneDrive はプレビューではサポートされていません。

OCR 設定は、インサイダー リスク管理のフォレンジック 証拠クリップには適用されません。

OCR スキャンと従量課金制の設定について詳しくは、こちらをご覧ください

手順 5 (必須): インサイダー リスク設定を構成する

インサイダー リスク設定 は、ポリシーの作成時に選択したテンプレートに関係なく、すべてのインサイダー リスク管理ポリシーに適用されます。 設定は、インサイダー リスク管理ページの上部にある [設定] ボタンを使用して構成されます。 これらの設定は、プライバシー、インジケーター、インテリジェント検出などを制御します。 ポリシーを作成する前に考慮する設定の詳細を確認してください

手順 6 (必須): インサイダー リスク管理ポリシーを作成する

インサイダー リスク管理ポリシーには、ユーザーが割り当てられており、アラート用に構成されているリスク インジケーターの種類が定義されています。 危険な可能性のあるアクティビティがアラートをトリガーする前に、ポリシーを構成する必要があります。 ポリシー ウィザードを使用して、新しいインサイダー リスク管理ポリシーを作成します。

注:

Microsoft 以外のワークロードのカスタム トリガーまたはインジケーターを作成するには、「 カスタム インジケーター」を参照してください。

  1. Microsoft Purview で、[Insider リスク管理] に移動し、[ポリシー] タブを選択します。

  2. [ポリシーの作成] を選択し、ポリシー ウィザードを開きます。

  3. [ポリシー テンプレート] ページで、ポリシー カテゴリを選択し、新しいポリシーのテンプレートを選択します。 これらのテンプレートは、検出および調査するリスク アクティビティを定義する条件とインジケーターで構成されています。 テンプレートの前提条件を確認し、トリガーとなるイベントと検出されたアクティビティを確認し、このポリシー テンプレートがニーズに適していることを確認します。

    重要

    一部のポリシー テンプレートには、ポリシーに関連するアラートを生成するための構成が必要となる前提条件があります。 該当するポリシーの前提条件を構成していない場合は、上記の手順 4 を参照してください。

  4. [次へ] を選んで続行します。

  5. [名前と説明] ページで、次のフィールドを入力します。

    • 名前 (必須): ポリシーのフレンドリ名を入力します。 この名前は、ポリシーの作成後は変更できません。
    • 説明 (省略可能): ポリシーの説明を入力します。
  6. [次へ] を選んで続行します。

  7. [ユーザーとグループ] ページで、[すべてのユーザーとグループを含める] または [特定のユーザーとグループを含める] を選び、ポリシーに含めるユーザーまたはグループを定義するか、優先ユーザーに基づくテンプレートを選んでいた場合には、[優先ユーザー グループを追加または編集する] を選択します。 [すべてのユーザーとグループを含める] を選択すると、インサイダー リスク管理は、organization内のすべてのユーザーとグループのトリガー イベントを検索して、ポリシーのリスク スコアの割り当てを開始します。 [特定のユーザーとグループを含める] を選択すると、どのユーザーとグループにポリシーを適用するかを定義できます。 ゲスト アカウントはサポートされていません。

  8. [次へ] を選んで続行します。

  9. [優先するコンテンツ] ページで、(必要に応じて) 優先するソースを割り当てることができるので、その結果、これらのソースに対して重大度 High のアラートが生成される可能性が高くなります。 次のいずれかを選択します。

    • コンテンツに優先順位を付けたい。 このオプションを選択すると、 SharePoint サイト秘密度ラベル機密情報の種類およびファイル拡張子 のコンテンツ タイプに優先順位を付けられます。 このオプションを選択する場合は、少なくとも 1 つの優先度コンテンツ タイプを選択する必要があります。

    • 今は優先度の高いコンテンツを指定したくありません。 このオプションを選択すると、ウィザードの優先コンテンツ詳細ページはスキップされます。

  10. [次へ] を選んで続行します。

  11. 前の手順で [コンテンツに優先順位を付ける ] を選択した場合は、 SharePoint サイト秘密度ラベル機密情報の種類ファイル拡張子スコアリングの詳細ページが表示されます。 これらの詳細ページを使用して、SharePoint、機密情報の種類、秘密度ラベル、トレーニング可能な分類子、およびファイル拡張子を定義して、ポリシーに優先順位を付けます。 スコアリングの詳細ページでは、ポリシーのスコープを設定してリスク スコアのみを割り当て、優先度コンテンツを含む指定されたアクティビティに対してアラートを生成できます。

    • SharePoint サイト: [SharePoint サイトの追加] を選択し、アクセスして優先化する SharePoint サイトを選択します。 たとえば、 "group1@contoso.sharepoint.com/sites/group1" です。
    • 機密情報の種類: [優先する機密情報 の種類を追加する] を選択し、優先順位を付ける機密性の高い種類を選択します。 たとえば、"米国の銀行口座番号" と "クレジット カード番号" を入力。
    • 秘密度ラベル: [秘密度ラベルの追加] を選択して優先化したいラベルを選択します。 たとえば、"機密情報""シークレット"
    • トレーニング可能な分類子: [ トレーニング可能な分類子の追加] を選択し、優先順位を付けるトレーニング可能な分類子を選択します。 たとえば、 ソース コードです。
    • ファイル拡張子: 最大 50 個のファイル拡張子を追加します。 '.' をファイル拡張子と共に含めたり省略したりできます。 たとえば、 .py または py は Python ファイルに優先順位を付けます。
    • スコアリング: このポリシーによって検出されたすべてのリスク管理アクティビティにリスク スコアを割り当てるか、優先度コンテンツを含むアクティビティにのみリスク スコアを割り当てるかを決定します。 [ すべてのアクティビティのアラートを取得する ] または [優先度の高いコンテンツを含むアクティビティについてのみアラートを取得する] を選択します。
  12. [次へ] を選んで続行します。

  13. [優先度ユーザー別のデータ リーク] または [データ リーク] テンプレートを選択した場合は、カスタム トリガーイベントとポリシー インジケーターの [このポリシーのトリガー] ページにオプションが表示されます。 アクティビティ スコアリングのスコープ内でユーザーをポリシーに割り当てるイベントをトリガーするための DLP ポリシーまたはインジケーターを選択できます。 [ ユーザーがデータ損失防止 (DLP) ポリシートリガー イベントに一致する ] オプションを選択した場合は、DLP ポリシードロップダウン リストから DLP ポリシーを選択して、このインサイダー リスク管理ポリシーの DLP ポリシーのトリガー インジケーターを有効にする必要があります。 [ ユーザーが流出アクティビティトリガー イベントを実行する ] オプションを選択した場合は、ポリシー トリガー イベントの一覧に表示されているインジケーターの 1 つ以上を選択する必要があります。

    重要

    表示されているインジケーターまたはシーケンスを選択できない場合は、organizationに対して現在有効になっていないためです。 ポリシーを選択して割り当てるようにするには、[ インジケーターを有効にする ] プロンプトを選択します。

    他のポリシー テンプレートを選択した場合、カスタム トリガー イベントはサポートされません。 組み込みのポリシートリガー イベントが適用されます。 ポリシー属性を定義せずに手順 23 に進みます。

  14. 危険なユーザーによるデータ リークまたは危険なユーザーによるセキュリティ ポリシー違反テンプレートを選択した場合は、[このポリシーのトリガー] ページに、コミュニケーション コンプライアンスと人事データ コネクタ イベントとの統合に関するオプションが表示されます。 危険なユーザー イベントが人事システムで報告された後、ユーザーが脅威、嫌がらせ、または差別的な言語を含むメッセージを送信する場合、またはユーザーをポリシー スコープに取り込む場合は、リスク スコアを割り当てることができます。 [ 通信コンプライアンスからのリスク トリガー (プレビュー)] オプションを選択した場合は、既定の通信コンプライアンス ポリシー (自動的に作成) を受け入れるか、このトリガーに対して以前に作成したポリシー スコープを選択するか、別のスコープポリシーを作成できます。 HR データ コネクタ イベントを選択する場合は、organizationの HR データ コネクタを構成する必要があります。

  15. [次へ] を選んで続行します。

  16. [優先ユーザーによるデータ リーク] または [データ リーク] テンプレートを選択し、[ユーザーが流出アクティビティと関連インジケーターを実行する] を選択した場合は、選択したイベントをトリガーするインジケーターのカスタムしきい値または既定のしきい値を選択できます。 [既定の しきい値を使用する (推奨)] または [ トリガーするイベントにカスタムしきい値を使用する] を選択します。

  17. [次へ] を選んで続行します。

  18. [ トリガーするイベントにカスタムしきい値を使用する] を選択した場合は、手順 13 で選択したトリガー イベント インジケーターごとに、適切なレベルを選択して目的のレベルのアクティビティ アラートを生成します。 ユーザーの 1 日の基準を超える異常なアクティビティ (特定のインジケーター) に基づいて、推奨されるしきい値、カスタムしきい値、またはしきい値を使用できます。

  19. [次へ] を選んで続行します。

  20. [ポリシー インジケーター] ページの [Insider risk settingsIndicators]\(インサイダー リスク設定>\) ページで、使用可能として定義したインジケーターが表示されます。インジケーターバリアントが定義されている場合は、インジケーターバリアントが含まれます。 ポリシーに適用するインジケーターを選択します。

    重要

    このページのインジケーターを選択できない場合、すべてのポリシーを有効にするインジケーターを選択する必要があります。 ウィザードの [インジケーターをオンにする] ボタンを使用するか、または インサイダー リスクマネジメント>設定>ポリシー インジケーター ページにあるインジケーターを選択します。

    Office または Device インジケーターが少なくとも 1 つ以上選択されている場合は、必要に応じて リスク スコアブースター を選択します。 リスク スコア ブースターは、選択されたインジケーターにのみ適用されます。 データの盗難 または データ漏洩 ポリシー テンプレートを選択した場合は、ポリシーに適用する シーケンス検出 メソッドを少なくとも 1 つ以上と、累積流出検出 メソッドを 1 つ選択します。 危険なブラウザー使用状況ポリシー テンプレートを選択した場合は、1 つ以上の閲覧インジケーターを選択します。

  21. [次へ] を選んで続行します。

  22. [ インジケーターのしきい値の種類の選択] ページで 、次のいずれかのオプションを選択します。

    • Microsoft によって提供されるしきい値を適用する: 指定されたすべてのセレクターに組み込みのしきい値を適用する場合は、このオプションを選択します。
    • ユーザーのアクティビティに固有のしきい値を適用する: テナント内のユーザー アクティビティに基づいてインサイダー リスク管理でしきい値を推奨する場合は、このオプション (推奨) を選択します。

    注:

    このオプションを使用するには 、Analytics を有効にする 必要があり、少なくとも 1 つの組み込みインジケーターを選択する必要があります。 インサイダー リスク管理では、 カスタム インジケーター組み込みインジケーターのバリアントに推奨されるしきい値は提供されません。

    • 独自のしきい値を選択する: インジケーターのしきい値を手動でカスタマイズする場合は、このオプションを選択します。 Analytics が有効になっている場合、カスタマイズする既定のしきい値設定は、推奨されるしきい値 (テナント内のユーザー アクティビティに基づく) に基づきます。 Analytics がオンになっていない場合、既定のしきい値設定は組み込みのしきい値に基づいています。

    ヒント

    しきい値設定の各セットの下にある分析情報の [ 影響 の表示] リンクを選択して、適切なしきい値設定を決定するのに役立つグラフを表示します。 しきい値を手動でカスタマイズする方法について詳しくは、こちらをご覧ください

  23. [次へ] を選んで続行します。

  24. [レビュー] ページで、ポリシーに選択した設定、選択に対する提案または警告を確認します。 [編集] を選んで、ポリシー値を変更するか、ポリシーを作成してアクティブ化するには [送信] を選択します。

次の手順

これらの手順を完了して、最初のインサイダー リスク管理ポリシーを作成したら、約 24 時間後にアクティビティ インジケーターからアラートの受信を開始します。 この記事の手順 4 のガイダンスまたは 「新しいインサイダー リスク ポリシーを作成する」の手順を使用して、必要に応じて追加のポリシーを構成します。

インサイダー リスク アラートとアラート ダッシュボードの調査の詳細については、「 Insider リスク管理アクティビティ」を参照してください。