RaMP チェックlist — データ保護
この迅速モダン化計画 (RaMP) チェックリストは、不注意と悪意のあるアクセスの両方からオンプレミスとクラウドのデータを保護するのに役立ちます。
''不注意によるアクセス'' は、ユーザーが自分の役割と責任に基づいて、持つべきではないデータへのアクセス権を取得したときに発生します。 その結果、意図しないデータ漏えい、データの破壊、またはデータのセキュリティとプライバシーに関する規制の違反が発生する可能性があります。
''悪意のあるアクセス'' は、外部の攻撃者または悪意のある内部関係者が意図的にデータにアクセスしようとしたときに発生します。 悪意のある内部関係者は、利益を得るためにデータを使用したり、組織に損害を与えたりする可能性があります。 外部の攻撃者は、最も機密性の高いデータを削除、変更、流出、暗号化する可能性があります。これにより、ユーザーはランサムウェア攻撃を受けやすくなります。
どちらの種類の攻撃でも、データを特定し、保護し、その破壊や流出を防ぎ、ビジネス目的のユーザーのみがアクセスできるように、必要な手順を行う必要があります。
データの保護は、"侵害を想定した" ゼロ トラスト原則の一部です。 すべてのユーザーのアカウントとデバイスの保護が適用されている場合でも、攻撃者が入口を見つけてユーザーの環境の走査を開始し、組織にとって最も重要なデータを検索できると想定する必要があります。
そのため、次の手順を実行する必要があります。
データについて理解する
データランドスケープを理解し、クラウドとオンプレミス環境全体の重要な情報を特定します。
データを保護する
暗号化、アクセス制限、視覚的なマーキングなどの保護アクションにリンクされた秘密度ラベルを適用して、ライフサイクル全体にわたって機密データを保護します。
データの損失を防ぐ
クラウド、オンプレミス環境、エンドポイント全体に一貫したデータ損失防止ポリシーのセットを適用して、機密データを使用して危険なアクティビティを監視、防止、修復します。
最小限の特権アクセスを使用
アクセスが許可されているユーザーと、ビジネス要件と生産性の要件を満たすためにデータに対して何を実行できるかで構成される最小限のアクセス許可を適用します。
プログラムとプロジェクト メンバーのアカウンタビリティ
次の表では、スポンサープラン/プログラム管理/プロジェクト管理階層の観点から組織データの全体的な保護を説明し、結果を決定して推進します。
| リード | 所有者 | アカウンタビリティ |
|---|---|---|
| CISO、CIO、またはデータ セキュリティのディレクター | エグゼクティブ スポンサー | |
| データ セキュリティからのプログラム リーダー | 結果とチーム間のコラボレーションを推進する | |
| セキュリティ アーキテクト | 構成と標準に関してアドバイスする | |
| Microsoft 365 管理 | OneDrive と保護されているフォルダーに対する Microsoft 365 テナントへの変更を実装する | |
| データ セキュリティ エンジニアまたはインフラストラクチャ セキュリティ エンジニア | インフラストラクチャ バックアップを有効にする | |
| アプリケーションの所有者 | 重要なビジネス資産を識別する | |
| データ セキュリティ 管理 | 構成の変更を実装する | |
| IT 管理者 | 標準とポリシーのドキュメントを更新する | |
| セキュリティ ガバナンスや IT 管理 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | ユーザーのガイダンスにポリシーの更新が反映されるようにする |
展開の目的
これらのデプロイ目標を達成して、ゼロ トラストのデータを保護します。
| 完了 | 展開の目標 | 所有者 |
|---|---|---|
| 1. データを知る | データ セキュリティ アーキテクト | |
| 2. データを保護する | データ セキュリティ エンジニア | |
| 3. データ損失の防止 | データ セキュリティ エンジニア | |
| 4. 最小限の特権アクセスを使用する | データ セキュリティ エンジニア |
1. データを知る
これらの実装手順を実行して、データデプロイの目標を達成します。
| 完了 | 実装手順 | 所有者 | ドキュメント |
|---|---|---|---|
| 1. データ分類レベルを決定します。 | データ セキュリティ アーキテクト | 詳細情報 | |
| 2. 組み込みおよびカスタムの機密情報の種類を決定します。 | データ セキュリティ アーキテクト | 詳細情報 | |
| 3. 事前トレーニング済みおよびカスタムのトレーニング可能な分類子の使用を決定します。 | データ セキュリティ アーキテクト | 詳細情報 | |
| 4. 機密データを検出して分類します。 | データ セキュリティ アーキテクトまたはデータ セキュリティ エンジニア | 詳細情報 |
2. データを保護する
次の実装手順を実行して、データ展開の保護の目標を満たします。
| 完了 | 実装手順 | 所有者 | ドキュメント |
|---|---|---|---|
| 1. 秘密度ラベルの使用と設計を決定します。 | セキュリティ アーキテクト | 作業開始 | |
| 2. Microsoft 365 アプリとサービスの項目にラベルを付けて保護します。 | データ セキュリティ エンジニア | 秘密度ラベルを管理する | |
| 3. Microsoft Cloud App Security を有効にして構成します。 | データ セキュリティ エンジニア | 作業開始 | |
| 4. クラウド内のデータ ストアに存在する機密アイテムを検出、ラベル付け、保護します。 | データ セキュリティ エンジニア | ベスト プラクティス | |
| 5. オンプレミスのデータ ストアに存在する機密アイテムを検出、ラベル付け、保護します。 | データ セキュリティ エンジニア | Azure Information Protection (AIP) 統合ラベル付けスキャナー | |
| 6. 秘密度ラベルを Azure リソース Azure Purview に拡張する | データ セキュリティ エンジニア | Azure Purview でのラベル付け |
3. データ損失の防止
これらの実装手順を実行して、データ損失の防止の展開目標を満たします。
| 完了 | 実装手順 | 所有者 | ドキュメント |
|---|---|---|---|
| 1. データ損失防止 (DLP) ポリシーを設計して作成します。 | セキュリティ アーキテクト | 詳細情報 | |
| 2. エンドポイントデータ損失防止を有効にして構成します。 | データ セキュリティ エンジニア | 詳細情報 | |
| 3. Cloud App Security の条件付きアクセス アプリ制御のアクセス ポリシーを構成します。 | データ セキュリティ エンジニア | 概要 |
4. 最小限の特権アクセスを使用する
これらの実装手順を実行して、ユーザーと管理者が最小限の特権アクセスの展開目標を満たしていることを確認します。
| 完了 | 実装手順 | 所有者 |
|---|---|---|
| 1. データ展開の目的を把握し、機密情報と重要な情報の場所のアクセス許可を確認します。 | データ セキュリティ エンジニア | |
| 2. コラボレーションとビジネスの要件を満たしながら、機密性の高い重要な情報に対する最小限のアクセス許可を実装し、影響を受けるユーザーに通知します。 | データ セキュリティ エンジニア | |
| 3. 従業員の変更管理を実行して、機密情報や重要な情報の将来の場所を作成し、最小限のアクセス許可でメインします。 | ユーザー教育チーム | |
| 4. 場所の機密情報と重要な情報を監査および監視して、広範なアクセス許可が付与されていないことを確認します。 | データ セキュリティ エンジニアやセキュリティ ガバナンス 管理 |
結果
これらのデプロイ目標を完了すると、ゼロ トラスト アーキテクチャのデータ セクションが作成されます。
