ゼロ トラストでデータを保護する

背景

ゼロ トラストは、組織のセキュリティ原則を設計するために使用されるセキュリティ戦略です。 ゼロ トラストは、次のセキュリティ原則を実装することで、企業リソースをセキュリティで保護するのに役立ちます。

• 明示的に確認する ユーザー ID、位置情報、デバイスの正常性、サービスまたはワークロード、データ分類、異常など、入手可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。

• 最低特権アクセスを使用します。 ユーザー アクセスを限定するために、ジャストインタイム (JIT) の必要十分なアクセス権 (JEA)、リスク ベースの適応型ポリシー、データ保護を使用して、データと生産性の両方を安全に守ります。

• 侵害があるものと考える 影響範囲を最小限に抑えるために、アクセスをセグメント化します。 エンドツーエンドで暗号化されていることを確認し、分析を使用して可視化し、脅威検出を推進し、防御を強化します。

Microsoft Purview では、データの多層防御戦略とデータのゼロ トラスト実装のための 5 つのコア要素が提案されています。

1. データ分類とラベル付け
   オンプレミスとクラウド サービスにある機密データを把握していなければ、それを十分に保護することはできません。 組織全体のデータを検出し、秘密度レベルに基づいて分類します。

2. 情報の保護
   機密データへの条件付きアクセスと最低特権アクセスにより、データのセキュリティ リスクが軽減されます。 環境制御が不十分な場合は、機密度ベースのアクセス制御ガードレール、権限管理、暗号化を適用します。 情報の機密度のマーキングを使用して、認識とセキュリティ ポリシーのコンプライアンスを高めます。

3. データ損失の防止
   アクセス制御で解決できるのは、問題の一部のみです。 データ セキュリティまたはコンプライアンスのインシデントにつながるおそれのあるリスクの高いデータ アクティビティや移動を確認して制御すると、組織は機密データの過剰共有を防ぐことができます。

4. 内部リスク管理
   データ アクセスは、常にストーリー全体を提供するとは限りません。 さまざまなシグナルからの動作検出を有効にし、データ侵害の先駆け、もしくは前兆となる可能性のある組織内の悪意のある不注意なアクティビティに対処することで、データに対するリスクを最小限に抑えます。

5. ''データ管理''
   機密データのライフサイクルを事前に管理すると、その露出が減少します。 機密データのコピー数または伝達数を制限し、不要になったデータを削除することで、データ侵害のリスクを最小限に抑えます。

ゼロ トラストによるデータ管理の展開目標

データ管理のためにエンドツーエンドのゼロ トラスト フレームワークを導入するときは、これらの初期展開目標に取り組むことをお勧めします。
	I.データを分類してラベル付けする。可能な場合は、データを自動的に分類してラベル付けします。 そうでない場合は手動で適用します。 II.暗号化、アクセス制御、コンテンツ マーキングを適用する。 保護とアクセス制御が不十分な場合に暗号化を適用します。 III.データへのアクセスを制御する。機密データへのアクセスを制御して、その保護を強化します。 アクセスポリシーと利用ポリシーの決定がデータの機密性を含むものであることを確認します。
上記の目標の達成を進める際に、次の追加の展開目標を追加します。
	IV.データの漏えいを防ぐ。危険を示す信号とデータの機密性によって駆動される DLP ポリシーを使用します。 V.リスクを管理する。リスクの高いセキュリティ関連のユーザー アクティビティと、データ セキュリティまたはコンプライアンス インシデントにつながる可能性のあるデータ アクティビティ パターンを確認して、データ セキュリティ インシデントにつながるおそれがあるリスクを管理します。 VI.データの露出を減らす。データ ガバナンスと継続的なデータ最小化を通じてデータの露出を減らします

データのゼロ トラスト展開ガイド

このガイドでは、ゼロ トラストによるデータ保護のアプローチを、順を追って説明します。 これらは、情報の機密性および組織の規模と複雑性により大きく異なることにご注意ください。

Microsoft では、データ セキュリティ実装の前に、データ セキュリティ リスクの高レベルのカテゴリを定義するデータ分類フレームワークと秘密度ラベル分類を作成することをお勧めします。 この分類は、データ インベントリやアクティビティの分析情報からポリシー管理、調査の優先度付けまで、すべてを簡略化するために使用されます。

詳細については、以下を参照してください:

• 適切に設計されたデータ分類フレームワークを作成する

初期のデプロイの目的

I. 機密データを分類、ラベル付け、検出する

情報保護戦略は、組織のデジタル コンテンツ全体をカバーしている必要があります。

分類と秘密度ラベルを使用すると、機密データが配置されている場所、その移動方法を理解し、ゼロ トラスト原則と一致する適切なアクセスと使用制御を実装できます。

• 自動分類とラベル付けを使用して機密情報を検出し、データ資産全体の検出をスケーリングします。

• ドキュメントとコンテナーに手動でラベルを付け、知識豊富なユーザーによって分類と秘密度が最適に確立されている分析で使用するデータ セットを手動でキュレーションします。

次のステップを実行します。

• 機密情報の種類に関する詳細情報

• トレーニング可能な分類子について説明します

• 感度ラベルについて

分類とラベル付けを構成してテストしたら、データ資産全体でデータ検出をスケールアップします。

Microsoft 365 サービスを超えて検出を拡張するには、次の手順に従います。

• Microsoft Purview オンプレミス スキャナーの使用を開始する

• SaaS アプリケ―ションの機密情報を検出して保護する

• Microsoft Purview ガバナンス ポータルでのスキャンとインジェストについて説明します

データを検出、分類、ラベル付けするときは、これらの分析情報を使用してリスクを修復し、ポリシー管理イニシアティブに通知します。

次のステップを実行します。

• コンテンツ エクスプローラーの使用を開始する

• アクティビティ エクスプローラーを使用してラベル付けアクティビティを確認する

• データ インサイトについて説明します

II. 暗号化、アクセス制御、コンテンツ マーキングの適用

秘密度ラベルを使用して、暗号化とアクセス制御を使用して最も機密性の高いデータを保護することで、最小限の特権の実装を簡略化します。 コンテンツ マーキングを使用して、ユーザーの認識と追跡可能性を高めます。

ドキュメントとメールを保護する

Microsoft Purview 情報保護では、秘密度ラベルまたはドキュメントとメールのユーザー定義のアクセス許可に基づいて、アクセスと使用状況の制御を有効にします。 また、必要に応じてマーキングを適用し、組織の内部または外部の信頼の低い環境に存在または流出する情報を暗号化することもできます。 これは、保存時、移動中、および対応アプリケーションでの使用時に保護します。

次のステップを実行します。

• Microsoft 365 の暗号化オプションを確認する
• 秘密度ラベルを使用してコンテンツへのアクセスと使用を制限する

Exchange、SharePoint、OneDrive でドキュメントを保護する

Exchange、SharePoint、OneDrive の格納データについては、ポリシーを使用することで、秘密度ラベルによる自動分類を目的の場所で実装し、アクセスを制限したり、承認されたエグレス時の暗号化を管理します。

次の手順を実行します。

• SharePoint、OneDrive、Exchange の自動ラベル付けポリシーを構成する

III. データへのアクセスを制御する

機密データをより適切に保護できるように、それらへのアクセスを制御する必要があります。 アクセスポリシーと利用ポリシーの決定がデータの機密性を含むものであることを確認します。

Teams、Microsoft 365 グループ、SharePoint サイトでのデータ アクセスと共有を制御する

コンテナー秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、または SharePoint サイトに条件付きアクセスと共有の制限を実装します。

次の手順を実行します。

• Microsoft Teams、Microsoft 365 グループ、SharePoint サイトで秘密度ラベルを使用する

SaaS アプリケ―ションのデータへのアクセスを制御する

Microsoft Defender for Cloud Apps には、Microsoft 365 および Box や Google Workspace などのサードパーティ環境において条件付きアクセスや、機密ファイルの管理のために、次のような追加機能が用意されています。

• 過剰な特権に対処し、データ漏えいを防ぐためのアクセス許可を削除する。

• レビュー用のファイルを検疫する。

• 機密性の高いファイルにラベルを適用する。

次のステップを実行します。

• Microsoft Purview 情報保護の統合

ヒント

クラウド アプリのデジタル資産の管理に役立つゼロ トラストの原則を適用する方法については、「ゼロ トラスト用 SaaS アプリを Microsoft 365 にの統合する」に関するページを参照してください。

IaaS/PaaS ストレージへのアクセスを制御する

機密データを含む IaaS/PaaS リソースに必須のアクセス制御ポリシーをデプロイします。

次の手順を実行します。

• Microsoft Purview の DevOps ポリシーについて説明します

IV. データの漏えいを防ぐ

データへのアクセスの制御は必要ですが、データ移動の制御を行ったり、不注意や不正なデータ漏えいや損失を防ぐには不十分です。 これがデータ損失防止とインサイダー リスク管理の役割であり、セクション IV で説明します。

Microsoft Purview DLP ポリシーを使用して、次の間で機密データを識別、チェック、および自動的に保護します。

• Teams、Exchange、SharePoint、OneDrive アカウントなどの Microsoft 365 サービス

• Word、Excel、PowerPoint などの Office アプリケーション

• Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) エンドポイント

• オンプレミスのファイル共有とオンプレミスの SharePoint

• Microsoft 以外のクラウド アプリ

次のステップを実行します。

• データ損失防止の計画

• DLP ポリシーを作成、テスト、調整する

• データ損失防止アラート ダッシュボードについて説明します

• アクティビティ エクスプローラーを使用してデータ アクティビティを確認する

V. インサイダー リスクを管理する

最小限の特権の実装は、既知のリスクを最小限に抑えるのに役立ちますが、追加のセキュリティ関連のユーザー動作シグナルの関連付け、機密データ アクセス パターンの確認のほか、広範な検出、調査、ハンティング機能も重要です。

この手順に従います:

• インサイダー リスク管理について説明します

• インサイダー リスク管理アクティビティを調査する

VI. 不要な機密情報を削除する

組織は、機密データのライフサイクルを管理することで、データの露出を減らすことができます。

組織にとって機密データの価値がなくなった、または許容されなくなった場合は、機密データそのものを削除して、可能な限りすべての特権を削除します。

次の手順を実行します。

• データ ライフサイクル管理とレコード管理を実装する

データ転送ではなく、インプレース共有と使用を優先することで、機密データの重複を最小限に抑えます。

次の手順を実行します。

• Microsoft Purview とのインプレース データ共有について説明します

このガイドで説明されている製品

Microsoft Purview

Microsoft Defender for Cloud Apps

詳しい情報や導入のサポートが必要な場合は、カスタマー サクセス チームにご連絡ください。

ゼロ トラスト展開ガイド シリーズ