RaMP チェックリスト — データ保護
この迅速モダン化計画 (RaMP) チェックリストは、不注意と悪意のあるアクセスの両方からオンプレミスとクラウドのデータを保護するのに役立ちます。
''不注意によるアクセス'' は、ユーザーが自分の役割と責任に基づいて、持つべきではないデータへのアクセス権を取得したときに発生します。 その結果、意図しないデータ漏えい、データの破壊、またはデータのセキュリティとプライバシーに関する規制の違反が発生する可能性があります。
''悪意のあるアクセス'' は、外部の攻撃者または悪意のある内部関係者が意図的にデータにアクセスしようとしたときに発生します。 悪意のある内部関係者は、利益を得るためにデータを使用したり、組織に損害を与えたりする可能性があります。 外部の攻撃者は、最も機密性の高いデータを削除、変更、流出、暗号化する可能性があります。これにより、ユーザーはランサムウェア攻撃を受けやすくなります。
どちらの種類の攻撃でも、データを特定し、保護し、その破壊や流出を防ぎ、ビジネス目的のユーザーのみがアクセスできるように、必要なステップを行う必要があります。
データの保護は、"侵害を想定した" ゼロ トラスト原則の一部です。 すべてのユーザーのアカウントとデバイスの保護が適用されている場合でも、攻撃者が入口を見つけてユーザーの環境の走査を開始し、組織にとって最も重要なデータを検索できると想定する必要があります。
そのため、次の手順を実行する必要があります。
データについて理解する
データ状況を理解し、クラウドとオンプレミス環境全体にわたる重要な情報を特定します。
データを保護する
暗号化、アクセス制限、視覚的マーキングなどの保護アクションにリンクされた機密ラベルを適用することで、ライフサイクル全体にわたって機密データを保護します。
データ損失の防止
一貫した一連のデータ損失防止ポリシーをクラウド、オンプレミス環境、エンドポイント全体に適用して、機密データを使用した危険なアクティビティを監視、防止、修復します。
最低特権アクセスを使用
ビジネス要件と生産性要件を満たすために、誰にアクセスを許可するか、データに対して何を許可するかで構成される最小限の権限を適用します。
プログラムとプロジェクト メンバーのアカウンタビリティ
この表は、結果を決定し推進するための、スポンサーシップ/プログラム管理/プロジェクト管理階層の観点から組織データの全体的な保護を説明しています。
| リード | Owner | 責任 |
|---|---|---|
| CISO(最高情報セキュリティ責任者)、CIO(最高情報責任者)、またはデータセキュリティのディレクター。 | エグゼクティブスポンサー。 | |
| データ セキュリティからのプログラム リーダー | 結果とチーム間の協力を推進する。 | |
| セキュリティ アーキテクト | 構成と標準に関してアドバイスする | |
| Microsoft 365 管理者 | OneDrive と保護されているフォルダーに対する Microsoft 365 テナントへの変更を実装する | |
| データ セキュリティ エンジニアまたはインフラストラクチャ セキュリティ エンジニア | インフラストラクチャ バックアップを有効にする | |
| アプリケーションオーナー | 重要なビジネス資産を識別する | |
| データセキュリティ管理者 | 設定変更を実装する | |
| IT 管理者 | 標準とポリシードキュメントを更新する | |
| セキュリティガバナンスおよび/またはIT管理者 | コンプライアンスを確保するために監視する | |
| ユーザー教育チーム | ユーザーのガイダンスにポリシーの更新が反映されるようにする |
デプロイ目標
これらのデプロイ目標を達成して、ゼロ トラストのデータを保護します。
| 完了 | デプロイ目標 | Owner |
|---|---|---|
| 1. データを把握する | データ セキュリティ アーキテクト | |
| 2. データを保護する | データ セキュリティ エンジニア | |
| 3. データの損失を防ぐ | データ セキュリティ エンジニア | |
| 4. 最小特権アクセスを使用する | データ セキュリティ エンジニア |
1. データを把握する
「データを把握する」という目標を達成するには、次の実装ステップを実行します。
| 完了 | 実装ステップ | Owner | ドキュメント |
|---|---|---|---|
| 1. データ分類レベルを決定します。 | データ セキュリティ アーキテクト | について学ぶ | |
| 2. 組み込みおよびカスタムの機密情報の種類を決定します。 | データ セキュリティ アーキテクト | について学ぶ | |
| 3. 事前トレーニング済みおよびカスタムのトレーニング可能な分類子の使用を決定します。 | データ セキュリティ アーキテクト | について学ぶ | |
| 4. 機密データを検出して分類します。 | データ セキュリティ アーキテクトまたはデータ セキュリティ エンジニア | について学ぶ |
2. データを保護する
「データを保護する」というのデプロイ目標を達成するには、次の実装ステップを実行します。
| 完了 | 実装ステップ | Owner | ドキュメント |
|---|---|---|---|
| 1. 秘密度ラベルの使用と設計を決定します。 | セキュリティ アーキテクト | 開始するには | |
| 2. Microsoft 365 アプリとサービスの項目にラベルを付けて保護します。 | データ セキュリティ エンジニア | 秘密度ラベルを管理する | |
| 3.Microsoft Defender for Cloud Apps を有効にして構成する | データ セキュリティ エンジニア | 開始するには | |
| 4. クラウドのデータ ストアにある機密アイテムを検出、ラベル付け、保護します。 | データ セキュリティ エンジニア | ベスト プラクティス | |
| 5. オンプレミスのデータ ストアにある機密アイテムを検出し、ラベルを付け、保護します。 | データ セキュリティ エンジニア | 情報保護スキャナー | |
| 6.Microsoft Purview データ マップを使用して秘密度ラベルを Azure に拡張する | データ セキュリティ エンジニア | Microsoft Purview データ マップでのラベル付け |
3. データの損失を防ぐ
「データ損失を防ぐ」というデプロイ目標を達成するには、次の実装ステップを実行します。
| 完了 | 実装ステップ | Owner | ドキュメント |
|---|---|---|---|
| 1. データ損失防止 (DLP) ポリシーを設計および作成します。 | セキュリティ アーキテクト | について学ぶ | |
| 2. エンドポイントデータ損失防止を有効にして構成します。 | データ セキュリティ エンジニア | について学ぶ | |
| 3.Microsoft Defender for Cloud Apps のアプリの条件付きアクセス制御のアクセス ポリシーを構成します。 | データ セキュリティ エンジニア | 概要 |
4. 最小特権アクセスを使用する
これらの実装ステップを実行して、ユーザーと管理者が「最小特権アクセスを使用する」というデプロイ目標を確実に満たすようにします。
| 完了 | 実装ステップ | Owner |
|---|---|---|
| 1. 「データ配置の把握」という目標から、機密情報と重要な情報の場所のアクセス許可を確認します。 | データ セキュリティ エンジニア | |
| 2. コラボレーションとビジネスの要件を満たしながら、機密性の高い重要な情報に対する最小限のアクセス許可を実装し、影響を受けるユーザーに通知します。 | データ セキュリティ エンジニア | |
| 3. 従業員の変更管理を実行して、機密情報や重要な情報の将来の場所を作成し、最小限のアクセス許可でメインします。 | ユーザーエデュケーションチーム | |
| 4. 場所の機密情報と重要な情報を監査および監視して、広範なアクセス許可が付与されていないことを確認します。 | データ セキュリティ エンジニアやセキュリティ ガバナンス 管理 |
結果
これらのデプロイ目標を完了すると、ゼロ トラスト アーキテクチャのデータ セクションが作成されます。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示