Zero Trustを使用してデータをセキュリティで保護する

経歴

Zero Trustは、組織のセキュリティ原則を設計するために使用されるセキュリティ戦略です。 Zero Trustは、次のセキュリティ原則を実装することで、企業リソースをセキュリティで保護するのに役立ちます。

• 明示的に確認します。 ユーザー ID、位置情報、デバイスの正常性、サービスまたはワークロード、データ分類、異常など、入手可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。

• 最小限の特権アクセスを使用します。 ユーザー アクセスを限定するために、ジャストインタイム (JIT) の必要十分なアクセス権 (JEA)、リスク ベースの適応型ポリシー、データ保護を使用して、データと生産性の両方を安全に守ります。

• 侵害を想定します。 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドで暗号化されていることを確認し、分析を使用して可視化し、脅威検出を推進し、防御を強化します。

Microsoft Purviewでは、データの多層防御戦略とデータのZero Trust実装のための 5 つのコア要素を提案しています。

1. データ分類とラベル付け
   オンプレミスとクラウド サービスにある機密データを把握していなければ、それを十分に保護することはできません。 組織全体のデータを検出し、秘密度レベルに基づいて分類します。

2. Information Protection
   機密データへの条件付きアクセスと最低特権アクセスにより、データのセキュリティ リスクが軽減されます。 環境制御が不十分な場合は、機密度ベースのアクセス制御ガードレール、権限管理、暗号化を適用します。 情報の機密度のマーキングを使用して、認識とセキュリティ ポリシーのコンプライアンスを高めます。

3. データ損失の防止
   アクセス制御で解決できるのは、問題の一部のみです。 データ セキュリティまたはコンプライアンスのインシデントにつながるおそれのあるリスクの高いデータ アクティビティや移動を確認して制御すると、組織は機密データの過剰共有を防ぐことができます。

4. 内部リスク管理
   データ アクセスは、常にストーリー全体を提供するとは限りません。 さまざまなシグナルからの動作検出を有効にし、データ侵害の先駆け、もしくは前兆となる可能性のある組織内の悪意のある不注意なアクティビティに対処することで、データに対するリスクを最小限に抑えます。

5. ''データ管理''
   機密データのライフサイクルを事前に管理すると、その露出が減少します。 機密データのコピー数または伝達数を制限し、不要になったデータを削除することで、データ侵害のリスクを最小限に抑えます。

データのゼロトラスト展開の目標

データのエンド ツー エンドのZero Trust フレームワークを実装する場合は、これらの初期デプロイ目標に焦点を当てることをお勧めします。
	I.データの分類とラベル付け。 データを可能な限り自動的に分類してラベル付けします。 そうでない場合は手動で適用します。 Ii。暗号化、アクセス制御、およびコンテンツ マーキングを適用します。 保護とアクセス制御が不十分な場合は、暗号化を適用します。 Iii。データへのアクセスを制御します。 機密データの保護が強化されるように、機密データへのアクセスを制御します。 アクセスポリシーと利用ポリシーの決定がデータの機密性を含むものであることを確認します。
上記の目標の達成を進める際に、次の追加の展開目標を追加します。
	Iv。データ漏えいを防止します。 危険なシグナルとデータの機密性によって駆動される DLP ポリシーを使用します。 V.リスクの管理。 リスクの高いセキュリティ関連のユーザー アクティビティと、データ セキュリティまたはコンプライアンス インシデントにつながる可能性のあるデータ アクティビティ パターンを確認して、データ セキュリティ インシデントにつながる可能性があるリスクを管理します。 Vi。データの露出を減らします。 データ ガバナンスと継続的なデータ最小化を通じてデータの露出を減らす

データのZero Trust展開ガイド

このガイドでは、データ保護に対するZero Trustアプローチについて順を追って説明します。 これらは、情報の機密性および組織の規模と複雑性により大きく異なることにご注意ください。

Microsoft では、データ セキュリティ実装の前に、データ セキュリティ リスクの高レベルのカテゴリを定義するデータ分類フレームワークと秘密度ラベル分類を作成することをお勧めします。 この分類は、データ インベントリやアクティビティの分析情報からポリシー管理、調査の優先度付けまで、すべてを簡略化するために使用されます。

詳細については、以下を参照してください:

• 適切に設計されたデータ分類フレームワークを作成する

初期のデプロイの目的

I. 機密データを分類、ラベル付け、検出する

情報保護戦略は、組織のデジタル コンテンツ全体をカバーしている必要があります。

分類と秘密度ラベルを使用すると、機密データが配置されている場所、その移動方法を理解し、ゼロ トラスト原則と一致する適切なアクセスと使用制御を実装できます。

• 自動分類とラベル付けを使用して機密情報を検出し、データ資産全体の検出をスケーリングします。

• ドキュメントとコンテナーに手動でラベルを付け、知識豊富なユーザーによって分類と秘密度が最適に確立されている分析で使用するデータ セットを手動でキュレーションします。

次のステップを実行します。

• 機密情報の種類に関する詳細情報

• トレーニング可能な分類子の詳細

• 秘密度ラベルの詳細

分類とラベル付けを構成してテストしたら、データ資産全体でデータ検出をスケールアップします。

Microsoft 365 サービスを超えて検出を拡張するには、次の手順に従います。

• Microsoft Purview オンプレミス スキャナーの使用を開始します

• SaaS アプリケーションで機密情報を検出して保護する

• Microsoft Purview ガバナンス ポータルでのスキャンとインジェストについて学習します

データを検出、分類、ラベル付けするときは、これらの分析情報を使用してリスクを修復し、ポリシー管理イニシアティブに通知します。

次のステップを実行します。

• コンテンツ エクスプローラーの概要

• アクティビティ エクスプローラーでラベル付けアクティビティを確認する

• Data Insights について

II. 暗号化、アクセス制御、コンテンツ マーキングの適用

秘密度ラベルを使用して、暗号化とアクセス制御を使用して最も機密性の高いデータを保護することで、最小限の特権の実装を簡略化します。 コンテンツ マーキングを使用して、ユーザーの認識と追跡可能性を高めます。

ドキュメントとメールを保護する

Microsoft Purview Information Protectionでは、秘密度ラベルまたはドキュメントと電子メールのユーザー定義のアクセス許可に基づいて、アクセスと使用状況の制御を有効にします。 また、必要に応じてマーキングを適用し、組織の内部または外部の信頼の低い環境に存在または流出する情報を暗号化することもできます。 これは、保存時、移動中、そして高度なアプリケーションにおける使用時に保護を提供します。

次のステップを実行します。

• Microsoft 365
• 秘密度ラベルを使用してコンテンツと使用状況へのアクセスを制限する

Exchange、SharePoint、OneDriveでドキュメントを保護する

Exchange、SharePoint、およびOneDriveに格納されているデータの場合、秘密度ラベルを使用した自動分類をポリシーを使用して対象の場所に展開し、アクセスを制限し、承認されたエグレスでの暗号化を管理できます。

次の手順を実行します。

• SharePoint、OneDrive、Exchange の自動ラベル付けポリシーを構成する

III. データへのアクセスを制御する

機密データをより適切に保護できるように、それらへのアクセスを制御する必要があります。 アクセスポリシーと利用ポリシーの決定がデータの機密性を含むものであることを確認します。

Teams、Microsoft 365 Groups、SharePoint サイトでのデータ アクセスと共有を制御する

コンテナー秘密度ラベルを使用して、サイトのMicrosoft Teams、Microsoft 365 Groups、またはSharePointに条件付きアクセスと共有の制限を実装します。

次の手順を実行します。

• Microsoft Teams、Microsoft 365 Groups、およびSharePointサイトで秘密度ラベルを使用します

SaaS アプリケ―ションのデータへのアクセスを制御する

Microsoft Defender for Cloud Appsでは、条件付きアクセスの追加機能が提供され、box や Google Workspace などのMicrosoft 365およびサードパーティ環境で機密ファイルを管理できます。

• 過剰な特権に対処し、データ漏えいを防ぐためのアクセス許可を削除する。

• レビュー用のファイルを隔離する。

• 機密性の高いファイルにラベルを適用する。

次のステップを実行します。

• Microsoft Purview Information Protection を統合する

ヒント

クラウド アプリのデジタル資産を管理するのに役立つZero Trust原則を適用する方法については>Microsoft 365

IaaS/PaaS ストレージへのアクセスを制御する

機密データを含む IaaS/PaaS リソースに必須のアクセス制御ポリシーをデプロイします。

次の手順を実行します。

• Microsoft Purview DevOps ポリシーについて学習する

IV. データの漏えいを防ぐ

データへのアクセスの制御は必要ですが、データ移動の制御を行ったり、不注意や不正なデータ漏えいや損失を防ぐには不十分です。 これがデータ損失防止とインサイダー リスク管理の役割であり、セクション IV で説明します。

Microsoft Purview DLP ポリシーを使用して、次の間で機密データを識別、チェック、および自動的に保護します。

• Teams、Exchange、SharePoint、OneDriveなどのMicrosoft 365 サービス

• Word、Excel、PowerPointなどの Office アプリケーション

• Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) エンドポイント

• オンプレミスのファイル共有とオンプレミスのSharePoint

• Microsoft 以外のクラウド アプリ

次のステップを実行します。

• データ損失防止の計画

• DLP ポリシーの作成、テスト、調整

• データ損失防止アラート ダッシュボードについて説明します

• アクティビティ エクスプローラーでデータ アクティビティを確認する

V. インサイダー リスクを管理する

最小限の特権の実装は、既知のリスクを最小限に抑えるのに役立ちますが、追加のセキュリティ関連のユーザー動作シグナルの関連付け、機密データ アクセス パターンの確認のほか、広範な検出、調査、ハンティング機能も重要です。

この手順に従います:

• Insider Risk Management について

• インサイダー リスク管理活動を調査する

VI. 不要な機密情報を削除する

組織は、機密データのライフサイクルを管理することで、データの露出を減らすことができます。

組織にとって機密データの価値がなくなった、または許容されなくなった場合は、機密データそのものを削除して、可能な限りすべての特権を削除します。

次の手順を実行します。

• データ ライフサイクル管理とレコード管理をデプロイする

データ転送ではなく、インプレース共有と使用を優先することで、機密データの重複を最小限に抑えます。

次の手順を実行します。

• Microsoft Purview を使用したインプレース データ共有について知識を深める

このガイドで説明されている製品

Microsoft Purview

Microsoft Defender for Cloud Apps

詳しい情報や導入のサポートが必要な場合は、カスタマー サクセス チームにご連絡ください。

Zero Trust 展開ガイド シリーズ