インサイダー リスク管理の計画

重要

Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。

organizationで Insider Risk Management を開始する前に、情報テクノロジとコンプライアンス管理チームが確認する必要がある重要な計画活動と考慮事項があります。 次の領域でのデプロイについて十分に理解し、計画することで、Insider Risk Management 機能の実装と使用がスムーズに進み、ベスト プラクティスと一致するようにします。

organizationの危険なアクティビティに対処するための計画プロセスの詳細と概要については、「Insider Risk Management プログラムの開始」を参照してください。

以下のビデオを見て、Insider Risk Management ワークフローが、organization値、カルチャ、ユーザー エクスペリエンスを優先しながら、リスクを防止、検出、封じ込めるorganizationにどのように役立つかを説明します。

インサイダー リスク管理とコミュニケーション コンプライアンスが連携して、organizationのユーザーからのデータ リスクを最小限に抑える方法に関する Microsoft Mechanics ビデオをご覧ください。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview トライアル ハブ で今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

organizationの関係者と連携する

インサイダー リスク管理のアラートとケースに対するアクションを実行するために共同作業を行うために、organizationの適切な利害関係者を特定します。 最初の計画に含めることと、エンド ツー エンドの Insider Risk Management ワークフローに含めることを検討することをお勧めします。これは、organizationの次の領域のユーザーです。

• 情報技術
• コンプライアンス
• プライバシー
• セキュリティ
• 人事管理
• 法務

地域のコンプライアンス要件を決定する

地理的および組織の領域によって、コンプライアンスとプライバシーの要件がorganizationの他の領域とは異なる場合があります。 これらの分野の利害関係者と協力して、Insider Risk Management のコンプライアンスとプライバシーの制御と、organizationのさまざまな領域で使用する方法を確実に理解します。 一部のシナリオでは、コンプライアンスとプライバシーの要件では、ユーザーの場合や地域の規制やポリシーの要件に基づいて、調査やケースから一部の利害関係者を指定または制限するポリシーが必要になる場合があります。

特定のリージョン、ロール、または部門のユーザーを含むケース調査に特定の利害関係者が関与するための要件がある場合は、異なるリージョンと母集団を対象とする個別の (同一の場合でも) Insider Risk Management ポリシー を実装することをお勧めします。 この構成により、適切な利害関係者は、ロールとリージョンに関連するケースをトリアージして管理しやすくなります。 調査担当者とレビュー担当者がユーザーと同じ言語を話すリージョンのプロセスとポリシーを作成することを検討することをお勧めします。これは、Insider Risk Management のアラートとケースのエスカレーション プロセスを合理化するのに役立ちます。

レビューと調査のワークフローをサポートするためのアクセス許可を計画する

Insider Risk Management のポリシーとアラートを管理する方法に応じて、特定のロール グループにユーザーを割り当てて、さまざまな Insider Risk Management 機能のセットを管理する必要があります。 異なるコンプライアンス責任を持つユーザーを特定のロール グループに割り当てて、Insider Risk Management 機能のさまざまな領域を管理することもできます。 または、指定された管理者、アナリスト、調査担当者、閲覧者のすべてのユーザー アカウントを Insider Risk Management ロール グループに割り当てることにすることもできます。 詳細については、「 Insider Risk Management の概要」を参照してください。

要件と依存関係を理解する

Insider Risk Management ポリシーの実装方法に応じて、適切な Microsoft 365 ライセンス サブスクリプションを用意し、いくつかのソリューションの前提条件を理解して計画する必要があります。

ライセンス： Insider Risk Management は、さまざまな Microsoft 365 ライセンス サブスクリプションの一部として利用できます。 詳細については、 Insider Risk Management の概要に関する記事を 参照してください。

重要

Insider Risk Management は現在、Azure サービスの依存関係によってサポートされている地理的リージョンと国でホストされているテナントで利用できます。 organizationに対して Insider Risk Management がサポートされていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。

既存の Microsoft 365 Enterprise E5 プランを持っていなくても、Insider Risk Management を試したい場合は、既存のサブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップできます。

ポリシー テンプレートの要件:選択したポリシー テンプレートに応じて、organizationで Insider Risk Management を構成する前に、次の要件を理解し、それに応じて計画する必要があります。

• 出発ユーザーによるデータ盗難テンプレートを使用する場合は、Microsoft 365 HR コネクタを構成して、organization内のユーザーの辞任と終了日の情報を定期的にインポートする必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。
• データ リーク テンプレートを使用する場合は、少なくとも 1 つのMicrosoft Purview データ損失防止 (DLP) ポリシーを構成して、organizationの機密情報を定義し、重大度の高い DLP ポリシー アラートのインサイダー リスク アラートを受信する必要があります。 DLP ポリシーを構成するための詳細なガイダンスについては、 データ損失防止ポリシーの作成と展開 に関する記事を参照してください。
• セキュリティ ポリシー違反テンプレートを使用する場合、セキュリティ違反アラートをインポートするには、Defender Security Center で Insider Risk Management 統合のMicrosoft Defender for Endpointを有効にする必要があります。 Defender for Endpoint と Insider Risk Management の統合を有効にする詳細なガイダンスについては、「Microsoft Defender for Endpointで高度な機能を構成する」を参照してください。
• Risky ユーザー テンプレートを使用する場合は、Organization内のユーザーのパフォーマンスまたは降格状態情報を定期的にインポートするように Microsoft 365 HR コネクタを構成する必要があります。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポート に関する記事を参照してください。

運用環境の少数のユーザー グループでテストする

運用環境でこのソリューションを広く有効にする前に、organizationで必要なコンプライアンス、プライバシー、法的レビューについて、少数の運用ユーザーでポリシーをテストすることを検討する必要があります。 テスト環境で Insider Risk Management を評価するには、シミュレートされたユーザー アクションやその他のシグナルを生成して、トリアージと処理のためのケースのアラートを作成する必要があります。 このアプローチは多くの組織では実用的でない可能性があるため、運用環境の少数のユーザー グループで Insider Risk Management をテストすることをお勧めします。

ポリシー設定の匿名化機能を有効にして、このテスト中に Insider Risk Management コンソールでユーザーの表示名を匿名化し、ツール内でプライバシーを維持します。 この設定は、ポリシーが一致するユーザーのプライバシーを保護するのに役立ち、インサイダー リスク アラートのデータ調査と分析レビューの客観性を高めるのに役立ちます。

Insider Risk Management ポリシーを構成した直後にアラートが表示されない場合は、リスクの最小しきい値がまだ満たされていない可能性があります。 [ ユーザー ] ページを確認して、ポリシーがトリガーされ、期待どおりに動作していることを確認し、ユーザーがポリシーのスコープ内にあるかどうかを確認します。

Microsoft 365 US Government Cloud と商用クラウド間の移行

Microsoft 365 US Government Cloud から世界中の商用クラウド、または世界中の商用クラウドから Government Cloud にorganizationを移行する場合、アクティブなケースとアラートは移行されません。 移行を開始する前に、アラートとケースを閉じます。

利害関係者向けのリソース

Insider Risk Management ドキュメントを、管理と修復のワークフローに含まれるorganizationの関係者と共有します。

• インサイダー リスク ポリシーを作成して管理する
• インサイダー リスク アクティビティを調査する
• インサイダー リスクのケースに対処する
• インサイダー リスク コンテンツ エクスプローラーでケース データを確認する
• インサイダー リスク通知のテンプレートを作成する

始める準備はいいですか。

organizationの Insider Risk Management を構成する準備はできましたか? 次の記事を確認することをお勧めします。

• Insider Risk Management の設定を使用 して、グローバル ポリシー設定を構成します。
• Insider Risk Management の使用を開始 して、前提条件の構成、ポリシーの作成、アラートの受信を開始します。
• Insider Risk Management フォレンジック 証拠の使用を開始して、organizationでフォレンジック証拠のキャプチャを構成するための詳細なガイダンスを確認します。