organizationのデータを保護することは、暗号化されたコンテンツが、organizationの内部と外部の両方で、承認されたユーザーとの間で安全に流れられるようにすることを意味します。 設定が正しく構成されていないと、保護されたコンテンツに対する正当なコラボレーションが自動的にブロックされ、ユーザーは暗号化されたファイルや外部パートナーからの電子メールを開けなくなる可能性があります。
ゼロ トラストセキュリティに関する推奨事項
暗号化されたコンテンツ共有を許可するようにテナント間アクセス設定を構成する
ユーザーが暗号化されたファイルや電子メールをorganizationの外部のユーザーと送受信したり、パートナーから暗号化されたコンテンツを受け取ったりする場合は、id を確認する必要Microsoft Entra ID。 この検証は、送受信の両側に対して行われ、暗号化設定が適用されます。 テナント間アクセス設定でAzure Rights Management サービスへのアクセスがブロックされている場合、それらのユーザーには "organizationによってアクセスがブロックされます" というエラーが表示されます。 このシナリオでは、保護されたコンテンツを開くできません。
受信トラフィック (共有するコンテンツを開く外部ユーザー) と送信トラフィック (パートナーからコンテンツを開くユーザー) の両方に対してテナント間アクセス設定を構成して、Microsoft Rights Management Services アプリを許可します。 この構成がないと、適切なアクセス許可が割り当てられている場合でも、暗号化されたコンテンツ共有が中断されます。
修復アクション
Azure Rights Management サービスがアクティブ化されている
Azure Rights Management サービスは、Microsoft Purview Information Protectionの基本的な暗号化とアクセス制御テクノロジを提供します。 暗号化を適用する秘密度ラベルで使用され、Microsoft Purview Message Encryptionで電子メールを保護し、暗号化を適用する SharePoint IRM やメール フロー ルールなどの古い保護テクノロジでも使用されます。 このサービスは、他の情報保護機能を構成する前に、テナントに対してアクティブ化する必要があります。
修復アクション
内部 Rights Management ライセンスが有効になっている
内部 RMS ライセンスを使用すると、organizationのユーザーとサービスは、内部配布と共有のために保護されたコンテンツのライセンスを取得できます。 RMS がアクティブ化されると、自動的Azure有効になります。 無効にした場合、ユーザーは暗号化された電子メールとファイルで内部的に共同作業を行うことはできません。また、訴訟ホールド、電子情報開示、およびデータ復旧操作は、暗号化されたコンテンツにアクセスできません。
修復アクション
スーパー ユーザー メンバーシップは、Microsoft Purview Information Protection用に構成されています
Azure Rights Management サービスのスーパー ユーザー機能は、指定されたアカウントに、割り当てられた元のアクセス許可に関係なく、このサービスを使用してorganizationが暗号化したコンテンツを暗号化解除する機能を付与します。 電子情報開示、データ復旧、コンプライアンス調査、コンテンツの移行にはスーパー ユーザーが必要な場合があります。 スーパー ユーザー機能により、承認されたユーザーとサービスは、Azure Rights Management サービスがorganizationに対して暗号化するデータを常に読み取り、検査できます。
グループを使用してスーパー ユーザー アカウントを指定する場合、コンプライアンス ツールや電子情報開示プラットフォームで使用されるサービス アカウントなど、そのグループのメンバーシップを慎重に制御して制限する必要があります。 機能を常に有効にする必要がある機能またはビジネスニーズがない限り、Microsoft では、機能を既定で無効にし、必要な場合にのみ有効にすることをお勧めします。 グループを使用してスーパー ユーザー アカウントを指定する場合は、必要に応じて Just-In-Time アクセスを有効にし、永続的な特権を最小限に抑えることで、Microsoft Entra Privileged Identity Management (PIM) を使用してリスクを軽減します。
修復アクション
オンデマンド スキャンは、機密情報の検出用に構成されています
自動ラベル付けポリシーは、新しいコンテンツと変更されたコンテンツのみを分類します。 既存のファイルと電子メールは分類されず、ラベル検出に依存する DLP ポリシーには表示されません。 オンデマンド スキャンを使用すると、指定した場所で機密情報の種類の検出を手動でトリガーして履歴コンテンツを検出してさかのぼって分類し、将来を見据えたカバレッジではなく、情報保護の姿勢を完全に確認できます。
修復アクション
機密情報の検出に対して OCR が有効になっている
OCR (光学式文字認識) は、Exchange、SharePoint、OneDrive、Teams、エンドポイント デバイス全体の画像に機密情報の種類とトレーニング可能な分類子検出を拡張します。 OCR がないと、DLP ポリシーと自動ラベル付けポリシーでは、画像ベースのコンテンツ、スキャンされたドキュメント、スクリーンショット、請求書をスキャンできず、画像内の機密データは保護されません。 OCR では、Microsoft Syntex Azure従量課金制課金が必要であり、テナント レベルで構成されます。
修復アクション
カスタム機密情報の種類が構成されている
カスタム機密情報の種類 (SID) は、Microsoft Purview の組み込み検出を拡張して、organization固有のデータ パターン、独自の識別子、内部分類スキーム、特殊な業界コード、または組み込みの SID が一致しないその他の形式をカバーします。 カスタム SID がないと、自動ラベル付けポリシーとデータ損失防止 (DLP) ルールは汎用的なパターンのみに依存し、organization固有の機密データを見逃す可能性があります。
修復アクション
正確なデータ一致は、機密情報の検出用に構成されています
正確なデータ一致 (EDM) は、アップロードされた参照データベースに対して正確な値を照合することで、organization固有のデータを検出する高度な機密情報の種類です。 一般的な形式を検出するパターンベースの機密情報の種類 (SID) とは異なり、EDM は顧客リスト、従業員 ID、またはorganizationに固有の専用コードなどを識別します。 EDM がないと、自動ラベル付けポリシーと DLP ルールでは、この独自のデータを検出できず、露出のリスクが残ります。
修復アクション
名前付きエンティティの機密情報の種類は、自動ラベル付けとデータ損失防止ポリシーで使用されます
名前付きエンティティの機密情報の種類 (SID) は、ユーザーの名前、物理アドレス、医療用語などの一般的な機密性の高いエンティティを検出する事前構築済みの Microsoft 分類子です。 パターン マッチングを超えてデータ保護をコンテキスト対応分類に拡張し、カスタム開発なしで自動ラベル付けポリシーと DLP ルールで使用できます。
修復アクション
トレーニング可能な分類子は、データ損失防止ポリシーと自動ラベル付けポリシーで使用されます
トレーニング可能な分類子は、固定パターンではなく、意味とコンテキストによってコンテンツを認識する機械学習ベースの分類子です。 定義済みの形式に一致する機密情報の種類とは異なり、トレーニング可能な分類子は、戦略計画、財務レポート、人事ドキュメントなどの非構造化コンテンツを識別できます。 自動ラベル付けポリシーとデータ損失防止 (DLP) ルールでトレーニング可能な分類子を使用すると、パターンベースのルールでは確実にキャプチャできない機密性の高いビジネス コンテンツへの保護が拡張されます。
修復アクション
Purview 監査ログが有効になっている
機密性の高いデータにアクセスした Purview 監査ログ ログ、ポリシー違反が発生したとき、および Microsoft 365 全体で実行された管理アクション。 監査ログが使用可能な場合、セキュリティ チームはインシデントの調査、電子情報開示の実行、インサイダーの脅威の検出、監査者と規制当局への制御のデモンストレーションを行うことができます。
監査ログが有効になっていないと、脅威アクターは検出されずに動作することが多く、証拠がないためインシデント対応が不可能になります。 監査ログを有効にできない組織は、機密性の高い操作のアクティビティ ログ記録を義務付ける規制要件に準拠していないリスクもあります。
修復アクション
秘密度ラベルが構成されている
秘密度ラベルは、Microsoft Purview Information Protectionの基盤です。 組織は、Microsoft 365、オンプレミスの場所、および Microsoft 以外のアプリケーション全体で機密データを分類して保護できます。
秘密度ラベルがないと、組織はデータを保護するための標準化された方法がないため、未承認のアクセスや共有に対して脆弱になります。 適切に設計されたラベル分類には、通常、3 ~ 7 個の最上位レベルのラベルが含まれています。ラベルが多すぎると、ユーザーが圧倒され、効果が低下します。
修復アクション
グローバルに公開された秘密度ラベルが推奨される最大値を超えない
多すぎるラベルをグローバルに発行すると、ユーザーの混乱と意思決定の麻痺が生じ、導入が減少し、誤分類が増えます。 ユーザーが 25 を超えるラベルに直面すると、適切な分類の特定に苦労し、ラベルが正しくないか、機能が完全に回避されます。
Microsoft では、グローバル ポリシーでは 25 個以下のラベルを推奨しています。理想的には、それぞれ最大 5 つのサブラベルを含む 5 つの主要なラベルとして編成されています。 スコープ付きポリシーを使用して、特殊なラベルを特定のユーザー、グループ、または部門にのみ発行し、グローバル ラベル セットを一般的なシナリオに集中させます。
修復アクション
暗号化を使用した秘密度ラベルが構成されている
暗号化がないと、秘密度ラベルは、別の保護メカニズムによって補完されない限り、不正なアクセスを防ぐことなく、アイテムの秘密度レベルを示します。 Azure Rights Management サービスからの暗号化を適用するように構成された秘密度ラベルは、アクセス制御と使用権限を適用します。 この保護は、コンテンツが保存または共有されている場所に関係なく保持されます。 たとえば、ユーザーは "Confidential" というラベルが付いたドキュメントを共有できますが、そのラベルが暗号化を適用した場合、承認されていないユーザーはそれを開くことができません。
暗号化なしでラベルを使用している組織は、秘密度レベルを可視化しますが、ラベル自体には技術的な適用がありません。 暗号化を適用するラベルにより、承認されたユーザーのみがコンテンツの暗号化を解除し、そのユーザーに対して指定された制限でコンテンツを使用できるようになります。 たとえば、読み取り専用、またはコピーを禁止します。 この保護は、ファイルが漏洩したり不適切に共有されたりした場合でも、データ流出を防ぐのに役立ちます。 秘密度レベルを特定する以外の保護を必要とする価値の高いデータに暗号化を適用するように、少なくとも 1 つの秘密度ラベルを構成する必要があります。
修復アクション
ダブル キー暗号化ラベルが構成されている
二重キー暗号化 (DKE) は、Microsoft が管理するキーと顧客によって管理される 2 つのキーをコンテンツの暗号化解除に要求することで、機密性の高いデータに対する保護の追加レイヤーを提供します。 この "独自のキーを保持する" アプローチにより、データ主権に関する厳しい規制要件を満たす、法的強制があっても Microsoft がコンテンツの暗号化を解除できなくなります。
ただし、DKE では、専用のキー サービス インフラストラクチャ、機能の互換性の低下、サポートの負担の増加など、運用上の複雑さが大幅に発生します。 組織は、本当にミッション クリティカルなデータまたは厳しく規制されたデータ用に予約された 1 ~ 3 個のラベルを維持し、各 DKE ラベルに関する文書化されたビジネス上の正当な理由を持つ必要があります。 一般的なビジネス コンテンツには標準暗号化を使用します。 過剰な DKE ラベル (4 つ以上) は、管理オーバーヘッド、ユーザーの混乱を生み出し、コラボレーションを減らします。 重要なサービスを利用できないと、ビジネスクリティカルなドキュメントへのアクセスが妨げられるので、DKE を広く展開しないでください。
修復アクション
暗号化されたドキュメントに対して共同編集が有効になっている
暗号化を適用する秘密度ラベルによって保護されたドキュメントに対して共同編集が有効になっていない場合、Office デスクトップ アプリを使用する場合、一度にファイルを編集できるのは 1 人だけです。 その結果、チームの速度が低下し、コラボレーションが困難になり、プロジェクトの完了が遅れる可能性があります。 この制限は、プライバシーに暗号化を必要とするが、効率的に連携する必要がある機密性の高いプロジェクトで作業するグループでは特に困難です。
秘密度ラベルで暗号化されたファイルの共同編集を有効にすると、承認された複数のユーザーが Office デスクトップ アプリで同時にファイルを編集できます。 Office for the webを使用してすべてのユーザーがこれらのファイルを編集できる場合を除き、この変更によりチェックアウトが必要な時間が短縮され、セキュリティを犠牲にすることなくチームが効率的に共同作業できるようになります。 共同編集設定は、他のラベル付け機能の要件にもなることがあります。
修復アクション
Teams、グループ、サイトに対してコンテナー ラベルが構成されている
コンテナー ラベルは、個々のアイテムを超えて、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトなどのコラボレーション ワークスペース全体に秘密度ラベルを拡張します。 これらのラベルは、外部共有、ゲスト アクセス、デバイス制限、プライバシーなどのワークスペース レベルの設定を制御します。
コンテナー ラベルがないと、機密情報を処理する場合でも、外部ゲスト アクセスを使用して Teams を作成できる場合があります。 このアクションにより、適切にラベル付けされたドキュメントが不適切にセキュリティで保護されたワークスペースに存在する場合に、データ流出リスクが発生します。 コンテナー ラベルは、ワークスペースのセキュリティが格納されているコンテンツの機密性と一致するようにするのに役立ちます。たとえば、外部共有を許可する Teams サイトに "極秘" とラベル付けされたドキュメントが存在しないようにすることができます。
修復アクション
SharePoint で秘密度ラベルが有効になっている
SharePoint で秘密度ラベルの統合が無効になっている (既定) 場合、SharePoint と OneDrive のファイルにラベルを付けたり、既存のラベルを表示したりすることはできません。また、暗号化を適用する秘密度ラベルの追加保護の恩恵を受けることはできません。 この保護ギャップにより、機密ファイルは未分類になり、未承認のアクセスや外部共有に対して脆弱になります。
SharePoint で秘密度ラベルを有効にすると、ユーザーは Office for the web と SharePoint を使用してラベルを適用できます。 また、これらの場所の既定のラベル付けと、ファイルを自動的に分類できる自動ラベル付けポリシーの要件でもあります。 これらのファイルの秘密度ラベルは、Microsoft 365 Copilotのセキュリティを強化し、データ損失防止ポリシーやその他の Microsoft Purview ソリューションで使用することもできます。
修復アクション
SharePoint で PDF ラベル付けが有効になっている
SharePoint で PDF ラベル付けが無効になっている (既定値) 場合、PDF ファイルにラベルを付けたり、既存のラベルを表示したりできないため、保護ギャップが生まれます。 Office ファイルとは異なり、PDF は、分類マーカーが表示されずに外部に循環できるため、受信者が処理要件を判断したり、データ損失防止 (DLP) ポリシーで機密性の高いコンテンツを検出したりできなくなります。
SharePoint と OneDrive の PDF ラベル付けを有効にすると、秘密度ラベルのサポートが PDF に拡張され、ユーザーはOffice for the webや SharePoint を使用してラベルを適用でき、自動ラベル付けポリシーなどの他のラベル付け方法がサポートされ、PDF コンテンツを自動的に分類できます。
修復アクション
秘密度ラベル ポリシーがユーザーに発行される
ラベルは、ユーザーがファイル、メール、会議などのアイテムに適用する前に、ラベル ポリシーを使用して発行する必要があります。 ラベル ポリシーでは、どのユーザーがどのラベルを受け取り、既定のラベル付け動作を設定し、その他のラベル付け要件を設定するかを定義します。 公開されたポリシーがないと、秘密度ラベルはユーザーに対して使用できなくなります。
修復アクション
既定の秘密度ラベルがラベル ポリシーで構成されている
既定のラベルを設定すると、秘密度ラベルをサポートするすべての新しい項目と編集された項目、および Teams などの新しいコンテナーの基本レベルの保護設定が保証されます。 ユーザーは必要に応じてラベルを手動で上書きできます。自動ラベル付けなどの他のラベル付け方法では、既定のラベルを感度レベルの高いラベルに置き換えることができます。 既定の秘密度ラベルを設定すると、ラベル付けの範囲が広がり、ユーザーの意思決定の疲労が軽減され、コンテンツの保護レベルが最小限に抑えられます。
ラベルなしコンテンツは、データ損失防止 (DLP) ポリシーや、ラベル検出に依存するその他の保護ソリューションをバイパスする可能性があります。 必要に応じて、ラベル付けされていないドキュメントとLoopコンポーネントとページ、メールと会議の招待、新しいコンテナー、および Power BI コンテンツの既定のラベルに別の既定の秘密度ラベルを設定します。
修復アクション
秘密度ラベル ポリシーで必須のラベル付けが有効になっている
ポリシー設定 [ ラベルの適用をユーザーに要求 する] では、ユーザーがファイルを保存し、メールや会議出席依頼を送信したり、新しいグループやサイトを作成したり、Power BI コンテンツを使用したりする前に、秘密度ラベルを適用する必要があります。 この設定により、ユーザーが秘密度ラベルを完全に削除することもできなくなります。 ラベルのない項目では、セキュリティとコンプライアンスのリスクが発生します。 たとえば、脅威アクターは、ラベル検出に基づいてトリガーする保護ソリューションによって防止できる機密データを流出させることができます。
修復アクション
ユーザーは、秘密度ラベルをダウングレードするための正当な理由を提供する必要があります
ユーザーがラベルを変更するための正当な理由を提供する必要がない場合は、ラベルを秘密度の低いものに自動的に置き換えることができます。 たとえば、追加の保護設定を適用する "Confidential" ラベルを "全般" に置き換えます。 このアクションにより、セキュリティとコンプライアンスのリスクが生じます。 正当な理由を要求すると、このリスクがユーザーにより明確になり、目に見える監査証跡として理由を提供するように強制されます。
侵害されたアカウントまたは退職した従業員は、データ流出を可能にするためにラベルをダウングレードする可能性があります。 正当な理由を要求することは、ユーザー ワークフローへの影響が少ないアビリティを高める軽量のコントロールです。
修復アクション
ラベル ポリシー Email添付ファイルから秘密度を継承する
ユーザーが機密性の高いドキュメントを電子メールに添付する場合、一貫性のある保護を維持するために、電子メールは添付ファイルから最も機密性の高いラベルを継承する必要があります。 この設定を有効にしないと、機密性の高い添付ファイルを含むラベル付けされていないメールがユーザーから送信され、メールの秘密度と実際のコンテンツが一致しなくなる可能性があります。
ラベルの継承Email、添付ファイルの最も優先度の高いラベルが電子メール メッセージに自動的に適用され、保護レベルが一致し、偶発的なデータの公開を防ぎます。
修復アクション
既定の秘密度ラベルは、SharePoint ドキュメント ライブラリ用に構成されています
ドキュメント ライブラリの既定のラベルを使用して SharePoint を構成すると、そのライブラリにアップロードされた新しいファイル、またはライブラリ内で編集された既存のファイルに、まだ秘密度ラベルがない場合、または秘密度ラベルがあるが優先度が低い場合は、そのラベルが適用されます。 この場所ベースのラベル付けは、ベースライン レベルの保護と、コンテンツ検査なしで自動ラベル付けの形式を提供します。 ファイルにラベルが付いていない場合、重要なファイルは保護をバイパスし、脆弱なままになります。
この構成は、同じレベルの機密性を持つファイルを含むドキュメント ライブラリに最適です。 コンテンツ検査を使用する自動ラベル付けポリシーと、必要に応じて優先度の高い秘密度ラベルを使用した手動ラベル付けを追加できます。
修復アクション
自動ラベル付けポリシーは、すべてのワークロードに対して構成されます
自動ラベル付けは、コンテンツ検査に基づいて項目に自動的にラベルを付けることで、ラベル付けの範囲を大幅に拡張します。 手動ラベル付けに依存する場合、ユーザーは機密データとしてカウントされるものを常に認識しない場合や、毎日のタスク中に情報のラベル付けを忘れる可能性があります。 既定のラベルは保護のベースラインを提供しますが、より高いレベルの保護を必要とするコンテンツは考慮しません。 これにより分類のギャップが生じ、機密性の高いコンテンツが適切なラベルや保護なしで Microsoft 365 アプリケーション内を移動できるようになります。
ユーザーが Office アプリでファイルを開いたときにトリガーされるラベルの自動ラベル付け設定と、ユーザー操作を必要としない自動ラベル付けポリシーを構成できます。 機密性の高いコンテンツを検出するように少なくとも 1 つの自動ラベル付けポリシーを設定すると、ユーザーが実行するアクションに関係なく、このコンテンツに自動的にラベルが付けられます。 さらに、このラベル付きコンテンツは、データ損失防止 (DLP) ルールやアクセス制限など、セキュリティを強化するために、他の Microsoft Purview ソリューションと共に使用できます。
修復アクション
自動ラベル付けポリシーが適用モードになっている
自動ラベル付けポリシーがシミュレーション モードのままになっている場合、そのデータのラベル付けからの保護は実現されません。 その結果、ユーザーとサービスは、特定された機密データを保護するための追加の保護措置を講じることはできません。 たとえば、ユーザーは Office アプリに、ファイルに高機密というラベルが付いていると表示されません。 データ損失防止ルールでは、秘密度ラベルを使用して、外部ユーザーとの共有やその他の危険なアクションを防ぐことができます。 また、ラベル付きデータは、Microsoft 365 Copilotを使用する場合に追加の保護レイヤーを提供します。
機密情報に自動的にラベルが付けられるようにするには、少なくとも 1 つの自動ラベル付けポリシーを有効にします。 シミュレーション テスト後に自動ラベル付けポリシーを有効にすると、保護対策が有効になり、リスクの軽減が開始されます。
修復アクション
SharePoint と OneDrive に対して自動ラベル付けポリシーが有効になっている
SharePoint と OneDrive の自動ラベル付けが設定されていない場合、秘密度ラベルなしでアップロードされたファイルは、ラベルに依存する Data Loss Protection (DLP) ポリシーに表示されない可能性があります。 その結果、これらのファイルは、より少ないセーフガードで環境を移動することができ、不適切な共有やアクセスのリスクを高める可能性があります。
たとえば、SharePoint と OneDrive の強制モードで少なくとも 1 つの自動ラベル付けポリシーを有効にすると、ユーザーが作成または編集するときに機密性の高いファイルを分類できます。 自動ラベル付け分類では、DLP ポリシーなどのダウンストリーム保護がサポートされているため、ファイルの機密性に基づいて対応し、データの公開リスクを軽減できます。
修復アクション
Microsoft Purview Message Encryptionは、クライアント アクセスを簡略化して構成されます
SimplifiedClientAccessEnabled 設定は、[保護] ボタンをOutlook on the webに表示するかどうかを制御します。 このボタンを使用すると、ユーザーはメールに暗号化をすばやく追加できます。 設定がオンになっていない場合、ユーザーは [保護] ボタンを使用できず、メッセージを暗号化する他の方法を見つける必要があります。
この設定を有効にするには、AzureRMSLicensingEnabled もアクティブである必要があります。 Rights Management 暗号化サービスAzure、[保護] ボタンを機能させるために必要な暗号化テクノロジが提供されます。
修復アクション
カスタム ブランド化テンプレートは、Microsoft Purview Message Encryption用に構成されています
organizationがカスタム ブランド化テンプレートを使用していない場合、暗号化されたメッセージを受信する社外のユーザーには、Microsoft ブランドの汎用ポータルが表示される可能性があります。 ポータルにはorganizationの ID が反映されていないため、受信者はメッセージの出所に対する信頼性を低下させることができます。
カスタム ブランド テンプレートを使用すると、組織はロゴ、色、免責事項、連絡先の詳細をポータルに追加できます。 これらの要素は、ポータルが受信者に馴染み深く見えるのに役立ち、暗号化されたメッセージを表示して操作するときの信頼をサポートできます。
修復アクション
Email保持ポリシーが構成されている
アイテム保持ポリシーがないと、電子メールはユーザー メールボックスに無期限に保持され、規制違反 (GDPR、HIPAA、SOX)、電子情報開示コストの増加、管理されていないストレージ費用に対する責任が生じます。
アイテム保持ポリシーは、コンプライアンス要件に基づいてメッセージを削除または保持し、法的リスクを軽減し、規制記録保持義務が確実に満たされるようにすることで、電子メールのライフサイクルを自動的に管理します。
修復アクション
メール フロー ルールは、機密性の高いメッセージに権限保護を適用します
メール フロー ルールがないと、組織はユーザーに依存して、秘密度ラベルを手動で適用したり、メッセージを暗号化したりします。 この方法では、不整合やエラーが発生する可能性があります。これにより、機密メールが適切な保護なしで送信され、不正なアクセスやデータ流出のリスクが高まる可能性があります。
メール フロー ルールは、暗号化を自動的に追加し、次のような特定の条件を満たすメールのアクセス許可を設定するのに役立ちます。
- 社外のユーザーに送信されるメール
- 機密情報を含むメール
- 部署ベースの要件に従う必要があるメール
これにより、ユーザーが手動でセキュリティで保護しなくても、重要なメッセージが確実に保護されます。
修復アクション
データ損失防止ポリシーが有効になっている
データ損失防止 (DLP) ポリシーがないと、従業員は電子メール、ファイルのアップロード、またはMicrosoft Teams通信を通じて機密情報を自由に共有できるため、データ侵害や規制違反のリスクが高まります。
DLP ポリシーは、Microsoft 365 ワークロード全体で機密情報の漏えいを自動的に監視、検出、防止し、未承認のデータ流出に対する自動保護を提供します。
修復アクション
エンドポイント データ損失防止ポリシーが構成されている
エンドポイント データ損失防止 (DLP) ポリシーがないと、組織はクラウドベースのアクティビティのみを監視できます。これにより、ユーザーがデバイスからアクセスしたり、転送したりするときに機密データが公開されます。
- USB ドライブ
- プリンター
- 外部アプリケーション
- リムーバブル メディア
エンドポイント DLP は、クラウド ワークロードからユーザー デバイスへの保護を拡張します。 次のMicrosoft Defender for Endpointと統合されます。
- データ処理アクティビティを監視する
- 不正なデータ流出をリアルタイムで防止する
修復アクション
Adaptive Protection は、データ損失防止ポリシーで有効になっています
Adaptive Protection では、すべてのユーザーに同じルールを適用するのではなく、データ損失防止 (DLP) ポリシーが各ユーザーのリスク プロファイルに合わせて調整されます。 Adaptive Protection がないと、組織は、異常なデータ アクセスや危険なアクティビティなどの行動インジケーターに対応できないため、インサイダーの脅威を防ぐ機会を逃します。
Insider Risk Management と DLP を統合することで、Adaptive Protection は機械学習を使用して、高、中、低のリスクとしてユーザーを識別します。 これにより、Adaptive Protection はリスクの高いユーザーに対してより厳格な DLP 制御を自動的に適用しながら、機密性の高いデータを保護し、運用効率をサポートするアプローチである他のユーザーの柔軟性を高めます。
修復アクション
Edge for Business を介して AI アプリに対してブラウザーのデータ損失防止を有効にする
AI アプリのブラウザー DLP ポリシーは、機密データがブラウザーを介してorganizationを残すリスクを軽減するのに役立ちます。 これらのポリシーが設定されていない場合、コミュニケーション コンプライアンスとクラウドベースの DLP コントロールでは、ユーザーが Edge for Business を通じて AI サービスと対話する方法の可視性が制限される可能性があります。 ブラウザー DLP はブラウザー レベルで保護を追加し、AI サービスへのアクセスが許可されている場合でも組織がデータ保護制御を適用するのに役立ちます。
たとえば、ユーザーは Edge for Business を通じてファイルをアップロードしたり、機密情報をアンマネージドまたはコンシューマー AI サービスに貼り付けたりすることができます。 ただし、ブラウザー DLP は、使用時点でこれらのアクションをブロックまたは制限するのに役立ち、制御されないデータの公開の可能性を減らすことができます。 このアプローチは、承認済みまたはマネージド プラットフォームの外部にある AI サービスにデータ保護プラクティスを拡張するのに役立ちます。
修復アクション
インサイダー リスク管理ポリシーは、危険な AI の使用に対して有効になっています
組織が Adaptive Protection で Insider Risk Management を使用するまで、インサイダーの脅威、データを流出させる正当なアクセスの悪用などの危険な動作、またはユーザーが機密データを大規模な言語モデルや未承認のクラウド AI サービスに公開する安全でない AI シナリオを検出できない可能性があります。
Insider Risk Management は、データ損失防止 (DLP) と連携して、ユーザーの行動シグナルとコンテンツ ベースのルールを組み合わせることで、チームがリスクを早期に検出し、機密データが公開または侵害される前に対応できるようにします。
修復アクション
通信コンプライアンスの監視は、Microsoft Copilot用に構成されています
組織が Copilot の相互作用をキャプチャするようにコミュニケーション コンプライアンス ポリシーを構成するまで、ユーザーが AI サービスに機密データを公開するタイミングを確認できません。 また、機密情報で Copilot をどのように使用するか、ポリシー違反の可能性を特定することもできません。 その結果、ユーザーは、顧客レコード、財務データ、ソース コード、または企業秘密を AI サービスと知らずに共有する可能性があります。
Copilot の相互作用に焦点を当てたコミュニケーション コンプライアンス ポリシーにより、組織はプライバシー制御を尊重しながら、AI の使用を明確に監視できます。 これらのポリシーは、ユーザーが AI 機能で機密データを操作する方法を示し、チームがデータ ガバナンスとコンプライアンスの要件に確実に従うのに役立ちます。
修復アクション
通信コンプライアンスの監視は、エンタープライズ AI ツール用に構成されています
コレクション ポリシーは、エンタープライズ AI アプリ アクティビティの監視をサポートするデータ インジェスト レイヤーを提供します。 これらのポリシーが設定されている場合、コミュニケーション コンプライアンスは AI アプリの相互作用からシグナルを収集し、AI 対応ワークフロー全体にデータ保護リスクが存在する可能性がある場所を組織が理解するのに役立ちます。 この可視性は、AI の使用がMicrosoft Copilotを超えて拡大するにつれて、チームがデータ保護制御をより一貫して適用するのに役立ちます。
実際には、ユーザーは機密情報の処理が承認されていないカスタム AI アプリケーション、Power Automate フロー、AI Builder オートメーション、または非Microsoft AI サービスと機密データを誤って共有することがあります。 ただし、エンタープライズ AI アプリの相互作用をカバーするコミュニケーション コンプライアンス ポリシーは、これらのサービスへの潜在的なデータの公開を表面化し、データ保護プラクティスをカスタムおよびサードパーティの AI ソリューションに拡張するのに役立ちます。
修復アクション