この記事では、Microsoft 365を使用して ゼロ トラスト セキュリティを構築するためのデプロイ計画について説明します。 ゼロ トラストは、侵害を想定し、制御されていないネットワークから送信されたかのように各要求を検証するセキュリティ モデルです。 要求の発生元やアクセスするリソースに関係なく、ゼロ トラスト モデルは"信頼しない、常に検証する" ことを教えています。
この記事は、このポスターと共に使用してください。
| アイテム | 説明 |
|---|---|
PDF | Visio 更新日: 2025 年 4 月 |
関連ソリューション ガイド
|
ゼロ トラストの原則とアーキテクチャ
ゼロ トラストはセキュリティ戦略です。 製品やサービスではなく、次のセキュリティ原則のセットを設計して実装するアプローチです。
| 原理 | 説明 |
|---|---|
| 明示的に検証する | 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 |
| 最小限の特権アクセスを使用する | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 |
| 侵害を前提とする | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威検出を推進し、防御を強化します。 |
この記事のガイダンスは、Microsoft 365で機能を実装することで、これらの原則を適用するのに役立ちます。
ゼロ トラストアプローチは、デジタル資産全体に及び、統合されたセキュリティ哲学とエンドツーエンドの戦略として機能します。
この図は、ゼロ トラストに寄与する主要な要素の表現を示しています。
この図は次のことを示しています。
- セキュリティ ポリシーの適用は、ゼロ トラスト アーキテクチャの中心にあります。 これには、ユーザー アカウントのリスク、デバイスの状態、設定したその他の条件とポリシーを考慮した条件付きアクセスによる多要素認証が含まれます。
- ID、デバイス、データ、アプリ、ネットワーク、その他のインフラストラクチャ コンポーネントはすべて、適切なセキュリティで構成されています。 これらのコンポーネントごとに構成されたポリシーは、全体的なゼロ トラスト戦略と調整されます。 たとえば、デバイス ポリシーは正常なデバイスの基準を決定し、条件付きアクセス ポリシーでは、特定のアプリとデータにアクセスするために正常なデバイスが必要です。
- 脅威の保護とインテリジェンスは、環境を監視し、現在のリスクを表面化し、攻撃を修復するための自動アクションを実行します。
ゼロ トラストの詳細については、Microsoftの ゼロ トラスト ガイダンス センター を参照してください。
Microsoft 365のゼロ トラストのデプロイ
Microsoft 365は、環境にゼロ トラストを組み込むのに役立つ多くのセキュリティおよび情報保護機能を使用して意図的に構築されています。 多くの機能を拡張して、組織が使用する他の SaaS アプリやこれらのアプリ内のデータへのアクセスを保護できます。
この図は、ゼロ トラスト機能をデプロイする作業を表しています。 この作業は、ゼロ トラスト導入フレームワークのゼロ トラストビジネス シナリオに合わせて調整されています。
この図では、デプロイ作業は 5 つのスイム レーンに分類されています。
- セキュリティで保護されたリモート作業とハイブリッド作業 - この作業は、ID とデバイス保護の基盤を構築します。
- 侵害によるビジネス上の損害を防止または軽減 する — 脅威保護は、セキュリティ上の脅威をリアルタイムで監視および修復します。 Defender for Cloud Appsでは、AI アプリを含む SaaS アプリの検出が提供され、これらのアプリにデータ保護を拡張できます。
- 機密性の高いビジネス データを識別して保護 する - データ保護機能は、特定の種類のデータを対象とした高度な制御を提供し、最も重要な情報を保護します。
- AI アプリとデータをセキュリティ で保護する - 組織による AI アプリの使用と、これらがやり取りするデータを迅速に保護します。
- 規制とコンプライアンスの要件を満たす - 組織に影響を与える規制への準拠に向けた進捗状況を理解し、追跡します。
この記事では、クラウド ID を使用していることを前提としています。 この目的に関するガイダンスが必要な場合は、「 Microsoft 365 用の ID インフラストラクチャをデプロイする」を参照してください。
ヒント
手順とエンド ツー エンドのデプロイ プロセスを理解したら、 Microsoft ゼロ トラスト セキュリティ モデルの設定Microsoft 365 管理センターにサインインするときに高度なデプロイ ガイドを使用できます。 このガイドでは、標準および高度なテクノロジの柱にゼロ トラスト原則を適用する手順について説明します。
スイム レーン 1 - リモートとハイブリッドの作業をセキュリティで保護する
リモートとハイブリッドの作業をセキュリティで保護するには、ID とデバイスのアクセス保護を構成する必要があります。 これらの保護は、「ゼロ トラスト」原則の「明示的に検証する」に寄与します。
リモートとハイブリッドの作業を 3 つのフェーズでセキュリティで保護する作業を実行します。
フェーズ 1 — 開始点 ID とデバイス アクセス ポリシーを実装する
Microsoftでは、このガイドのゼロ トラストに関する包括的な ID とデバイス アクセス ポリシーのセット (ゼロ トラスト ID とデバイス アクセスの構成をお勧めします。
フェーズ 1 では、開始点レベルを実装することから始めます。 これらのポリシーでは、デバイスを管理に登録する必要はありません。
詳細な規範的ガイダンスについては、ゼロ トラスト ID とデバイス アクセス保護 に関する記事を参照してください。 この一連の記事では、ID とデバイス アクセスの前提条件の構成のセットと、Microsoft 365 for enterpriseへのアクセスをセキュリティで保護するための一連のMicrosoft Entra 条件付きアクセス、Microsoft Intune、およびその他のポリシーについて説明しますクラウド アプリとサービス、その他の SaaS サービス、および Microsoft Entra アプリケーション プロキシで公開されたオンプレミス アプリケーション。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
3 つのレベルの保護に対して推奨される ID とデバイス アクセス ポリシー:
次に関するその他の推奨事項:
|
Microsoft E3 または E5 次のいずれかのモードでMicrosoft Entra IDを使用します。
|
マネージド デバイスを必要とするポリシーのデバイス登録。 デバイスを登録するための Intune を使用したデバイスの管理 に関するページを参照してください。 |
フェーズ 2 — Intuneを使用してデバイスを管理に登録する
次に、デバイスを管理に登録し、より高度なコントロールでデバイスの保護を開始します。
デバイスを管理に登録するための詳細な規範的なガイダンスについては、「 Intune を使用 してデバイスを管理する」を参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
Intuneを使用してデバイスを登録します。
ポリシーの構成:
|
エンドポイントをMicrosoft Entra IDに登録する | 次のような情報保護機能の構成:
これらの機能については、「 スイム レーン 3 - 機密性の高いビジネス データを識別して保護 する 」を参照してください (この記事の後半)。 |
詳細については、Microsoft Intune の ゼロ トラスト を参照してください。
フェーズ 3 — ゼロ トラスト ID とデバイス アクセス保護の追加: エンタープライズ ポリシー
デバイスを管理に登録すると、準拠しているデバイスを必要とする、推奨ゼロ トラスト ID とデバイス アクセス ポリシーの完全なセットを実装できるようになりました。
共通 ID とデバイス アクセス ポリシーに戻り、エンタープライズ層にポリシーを追加します。
ゼロ トラスト導入フレームワーク — 安全なリモートとハイブリッドの作業でリモートとハイブリッドの作業をセキュリティで保護する方法について説明します。
スイム レーン 2 - 侵害によるビジネス上の損害を防止または軽減する
Microsoft Defender XDRは、エンドポイント、電子メール、アプリケーション、ID など、Microsoft 365環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する拡張検出および応答 (XDR) ソリューションです。 さらに、Microsoft Defender for Cloud Appsは、組織が GenAI アプリを含む SaaS アプリへのアクセスを識別および管理するのに役立ちます。
Microsoft Defender XDRをパイロットして展開することで、侵害によるビジネス上の損害を防止または軽減します。
Pilot に移動し、Microsoft Defender XDR を展開して、Microsoft Defender XDR コンポーネントのパイロットと展開に関する方法に関するガイドを参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
| すべてのコンポーネントの評価とパイロット環境を設定します。 脅威から保護する 脅威を調査してそれに対応する |
Microsoft Defender XDRの各コンポーネントのアーキテクチャ要件については、ガイダンスを参照してください。 | Microsoft Entra ID 保護は、このソリューション ガイドには含まれていません。 これはスイムレーン1に含まれています - 安全なリモートおよびハイブリッド作業。 |
ゼロ トラスト導入フレームワーク — 侵害によるビジネス上の損害を防止または軽減する方法でビジネス上の損害を防止または軽減する方法について説明します。
スイム レーン 3 - 機密性の高いビジネス データを特定して保護する
Microsoft Purview Information Protectionを実装して、どこにいても機密情報を検出、分類、保護できるようにします。
Microsoft Purview Information Protection機能はMicrosoft Purviewに含まれており、データを把握し、データを保護し、データ損失を防ぐためのツールを提供します。 この作業はいつでも開始できます。
Microsoft Purview Information Protectionには、特定のビジネス目標を達成するために使用できるフレームワーク、プロセス、および機能が用意されています。
情報保護を計画およびデプロイする方法の詳細については、「deploy a Microsoft Purview Information Protection solutionを参照してください。
ゼロ トラスト導入フレームワーク — 機密ビジネス データの識別と保護で機密ビジネス データを識別して保護する方法について説明します。
スイム レーン 4 - AI アプリとデータをセキュリティで保護する
Microsoft 365には、組織が AI アプリとこれらの使用するデータを迅速にセキュリティで保護するのに役立つ機能が含まれています。
まず、AI に Purview データ セキュリティ態勢管理 (DSPM) を使用します。 このツールは、organizationで AI がどのように使用されるか、特に AI ツールと対話する機密データに焦点を当てます。 AI 用の DSPM は、Microsoft Copilots および ChatGPT Enterprise や Google Gemini などのサードパーティ SaaS アプリケーションに対してより深い分析情報を提供します。
次の図は、AI の使用がデータに与える影響の集計ビューの 1 つを示しており、生成 AI アプリごとの機密性の高い相互作用を表しています。
AI用のDSPMを使用するために:
- 機密データを含む AI の使用状況を可視化します。
- データ評価を確認して、SharePointのオーバーシェア コントロールを使用して軽減できるオーバーシェアのギャップについて学習します。
- 方針の適用範囲における秘密度ラベルとデータ損失防止 (DLP) ポリシーのギャップを見つけます。
Defender for Cloud Appsは、SaaS GenAI アプリと使用状況を検出して管理するためのもう 1 つの強力なツールです。 Defender for Cloud Appsカタログには 1,000 を超える生成 AI 関連アプリが含まれており、組織で生成 AI アプリがどのように使用されているかを可視化し、それらを安全に管理できます。
これらのツールに加えて、Microsoft 365は、AI をセキュリティで保護および管理するための包括的な機能セットを提供します。 これらの機能を使い始める方法については 、AI アプリとデータの検出、保護、管理 に関するページを参照してください。
次の表は、Security for AI ライブラリの詳細情報へのリンクを含むMicrosoft 365機能の一覧です。
| 能力 | 詳細情報 |
|---|---|
| SharePoint 高度な管理 を含むSharePointの共有制御機能 | SharePoint過剰共有制御を適用する |
| AI 用 DSPM |
AI の (DSPM) を使用して AI の使用状況を可視化する AI 用の DSPM を使用してデータを保護する |
| 秘密度ラベルと DLP ポリシー | 秘密度ラベルと DLP ポリシーのギャップを引き続き特定する |
| Insider Risk Management (IRM) — 危険な AI 使用状況ポリシー テンプレート | 危険な AI テンプレートを適用する |
| 適応型保護 | Insider Risk Management のアダプティブ保護を構成する |
| Defender for Cloud Apps |
AI アプリの検出、承認、ブロック AI アプリのトリアージと保護 コンプライアンス リスクに基づいて AI アプリを管理する |
| Purview コンプライアンス マネージャー | AI 関連の規制の評価を構築および管理する |
| Purview コミュニケーション コンプライアンス | 生成型 AI アプリケーションに入力されたプロンプトと応答を分析して、不適切または危険なやり取りや機密情報の共有を検出するのに役立ちます |
| Purview のデータライフサイクル管理 | AI ツールでのデータの露出超過のリスクを軽減するために必要なくなったコンテンツを事前に削除する |
| 電子情報開示 | プロンプトと応答でキーワードを検索し、電子情報開示ケース内の結果を管理する |
| Copilotおよび AI アクティビティの監査ログ | Copilotの相互作用が行われた方法、タイミング、場所、およびアクセスされた項目(それらの項目に付された秘密度ラベルを含む)を特定します |
| Privaプライバシー評価 | 構築する AI アプリのプライバシーへの影響評価を開始する |
スイム レーン 5 - 規制とコンプライアンスの要件を満たす
organizationの IT 環境の複雑さやorganizationの規模に関係なく、ビジネスに影響を与える可能性のある新しい規制要件が継続的に追加されます。 ゼロ トラストアプローチは、多くの場合、コンプライアンス規則によって課される一部の種類の要件 (個人データへのアクセスを制御する要件など) を超えています。 ゼロ トラストアプローチを実装している組織は、既にいくつかの新しい条件を満たしている場合や、ゼロ トラスト アーキテクチャに準拠するように簡単に構築できる場合があります。
Microsoft 365には、次のような規制コンプライアンスを支援する機能が含まれています。
- コンプライアンス マネージャー
- コンテンツ エクスプローラー
- 保持ポリシー、秘密度ラベル、DLP ポリシー
- コミュニケーション コンプライアンス
- データ ライフサイクル管理
- Priva プライバシー リスク管理
規制とコンプライアンスの要件を満たすには、次のリソースを使用します。
| リソース | 詳細情報 |
|---|---|
| ゼロ トラスト導入フレームワーク — 規制とコンプライアンスの要件を満たす | 戦略の定義、計画、導入、管理など、organizationが従うことができる方法論的アプローチについて説明します。 |
| 規制コンプライアンスのために AI アプリとデータを管理する | 役立つ特定の機能を含む、新たに登場する AI 関連の規制に対する規制コンプライアンスに対処します。 |
| Microsoft PrivaとMicrosoft Purviewを使用して、リスクを評価し、組織の環境内の個人データを保護するための適切な措置を講じます。 |
次のステップ
ゼロ トラストの詳細については、ゼロ トラスト ガイダンス センターを参照してください。