Microsoft 365 でデータ分類を実装する
Microsoft 365 のデータ分類では、ゼロ変更管理と呼ばれるプロセスが採用されています。 このプロセスは、組織がポリシーを作成する前に、組織の機密コンテンツとラベル付きコンテンツをスキャンします。 これにより、組織は、すべての保持ラベルと秘密度ラベルがその環境に与える影響を確認できます。 また、組織が保護とガバナンス ポリシーのニーズの評価を開始できるようにします。
Microsoft 365 のデータ分類機能により、組織は分類するデータに関する分析情報を得ることができます。 この知識があれば、組織は機密データを保護および管理するために必要なポリシーを確立できます。 Microsoft 365 全体管理者またはコンプライアンス管理者として、組織内のコンテンツを評価してタグ付けすることができます。 そのため、次のことができます。
- 移動先を制御します。
- 場所に関係なく保護します。
- 組織のニーズに応じてデータを保持および削除します。
組織は、秘密度ラベル、保持ラベル、トレーニング可能な分類子を適用して、タグ付けされたコンテンツを評価します。 検出、評価、タグ付けにはさまざまな方法があります。 結果として、組織は多数のドキュメントやメールに 1 つ以上のラベルを付けてタグ付けし、分類する可能性があります。 組織が保持ラベルと秘密度ラベルを適用したら、次の手順は、アイテムがどのようにラベルを使用するか、およびそれらのアイテムに対して何が起こるかを確認することです。
Microsoft Purview コンプライアンス ポータルでのデータ分類
Microsoft 365 では、Microsoft Purview コンプライアンス ポータルの [データ分類] ページでは、次のタグ付きコンテンツを表示できます。
- 機密情報の種類として分類されたアイテムの数と、それらの分類の内容。
- Microsoft 365 と Microsoft Entra ID 保護の両方で適用された上位の秘密度ラベル。
- 最も多く適用されている保持ラベル。
- 機密コンテンツに対してユーザーが行っているアクティビティの概要。
- 機密データおよび保持されたデータの保存場所。
注:
Azure Active Directory (Azure AD) は現在、Microsoft Entra ID になりました。 詳細情報 を参照してください。
[データ分類] ページでは、次のコンプライアンス機能を 管理することもできます。
- トレーニング可能な分類子
- 機密情報の種類
- 完全なデータ一致ベースの機密情報の種類
- コンテンツ エクスプローラー
- アクティビティ エクスプローラー
組織がデータ分類フレームワークを開発したら、次の手順は実装です。 Microsoft Purview コンプライアンス ポータルを使用すると、管理者はデータ分類フレームワークに従ってデータを検出、分類、確認、監視できます。 組織は秘密度ラベルを使用してデータを保護できます。 これは、暗号化やコンテンツマーキングなど、さまざまな保護を適用することによって行われます。 ラベルは、次の複数の方法でデータに適用できます。
- 手動
- 既定では、ポリシー設定に基づいています
- 個人ユーザー情報などの条件により自動的に
比較的合理化されたデータ分類フレームワークを持つ小規模な組織の場合、データ分類レベルごとに 1 つの秘密度ラベルを作成するだけで十分です。 次の例は、機密ラベル マッピングへの 1 対 1 のデータ分類レベルを示しています。
| 分類ラベル | 秘密度ラベル | ラベルの設定 | 公開先 |
|---|---|---|---|
| Unrestricted | Unrestricted | '制限なし' フッターを適用する | すべてのユーザー |
| 全般 | 全般 | '全般' フッターを適用する | すべてのユーザー |
ヒント
Microsoft が内部ユーザーと共に実施した情報保護パイロット中に、"個人" ラベルの意図について混乱を示しました。 これは個人情報なのか、それとも単に個人情報に関連するだけなのかを知らなかったのです。 その結果、Microsoft はラベルを "非ビジネス" に変更しました。 この新しいラベルがより明確になり、混乱を解消できることを願っていました。 この例は、分類が最初から完全である必要はないことを示しています。 正しいと思われるものから始め、パイロットを実行し、必要に応じてフィードバックに基づいてラベルを調整します。
大規模な組織では、多くの場合、グローバルな範囲とより複雑な情報セキュリティのニーズがあります。 ポリシー内の分類レベルの数と、Microsoft 365 環境内の秘密度ラベルの数の間に 1 対 1 の関係を持つことは困難な場合があります。 この課題は、"制限付き" などの特定のデータ分類レベルで、地域に応じて異なる定義または異なるコントロールのセットを持つ可能性があるグローバル組織で特に当てはまります。
Microsoft Purview データ分類
Microsoft Purview コンプライアンス ポータルには、Microsoft 365 データ分類機能が含まれています。 コンプライアンス ポータルのナビゲーション ウィンドウの [データ分類] グループには、組織が機密データとビジネスクリティカルなデータを検出、分類、確認、監視するのに役立つ機能が含まれています。
次のセクションでは、[データ分類] グループの機能の概要を 説明します。
概要
このページには、組織が機密情報とラベルを使用する方法を示す情報が表示されます。 下記のインサイトが表示されます:
- 上位の機密情報の種類。
- それぞれの種類を含むアイテムの数。
- Microsoft 365 の場所で検出された上位の分類アクティビティの概要。
- コンテンツに適用される最上位の秘密度ラベルと保持ラベル。
分類子
組織はこのページを使用して、機密情報とコンテンツの新しいカテゴリを定義することで分類戦略を調整できます。 分類子の種類ごとに、ページの上部に次のタブが表示されます。
トレーニング可能な分類子。 機械学習を使用して、組織内のコンテンツのカテゴリを識別します。 Microsoft では、履歴書やソース コードなどの一般的なコンテンツ タイプや、不適切な表現や脅威などの不快な言葉を識別するための組み込みの分類子を提供しています。 これらの分類子は、保持ラベル、秘密度ラベル、通信コンプライアンスなどの準拠ソリューションで使用する準備ができています。 組み込みの分類子が組織のニーズを満たしていない場合は、カスタムの分類子を作成して、会社の契約などの特定の種類のコンテンツを識別できます。 組織は、カスタム分類子を作成した後、その精度を向上させるために分類子をトレーニングする必要があります。 トレーニングは、分類子が Microsoft Purview で公開および使用できる状態になるまで続行する必要があります。
機密情報の種類。 組織では、機密情報の種類を使用して分類戦略を改善することもできます。 機密情報の種類は、機密アイテムを識別するのに役立ちます。 この分類子は、機密アイテムが誤ってまたは不適切に共有されるのを防ぐのに役立ちます。 また、電子情報開示で関連するデータを見つけ、特定の種類の情報にガバナンス アクションを適用するのにも役立ちます。 たとえば、組織は機密情報の種類の分類子を使用して、クレジット カードや銀行口座番号などの情報を保護できます。 Microsoft は、世界中の地域にまたがる機密情報を検出するための多くの組み込み型を提供しています。 または、組織は機密情報に合わせてカスタムの種類を作成することもできます。 カスタムの機密情報の種類 (SIT) は、次に基づいて定義します。
- パターン
- 従業員番号、社会保障番号、ID などのキーワードの証拠
- 特定のパターンの証拠に対する文字の近接性
- 信頼度レベル
完全なデータ一致 (EDM) 分類子。 組織が、正確またはほぼ正確なデータ値を使用するカスタムの機密情報の種類を必要としているとします。 一般的なパターンに基づいて一致するものを見つけたものではなく、このカスタムの機密情報の種類が必要です。 組織は何を行う必要がありますか? 完全データ一致 (EDM) ベースの分類を使用すると、組織は機密情報のデータベース内の正確な値を参照するカスタムの機密情報の種類を作成できます。 システムはデータベースを毎日更新でき、最大 1 億行のデータを含めることができます。 従業員、患者、クライアントが行き来し、記録が変化しても、組織のカスタムの機密情報の種類は最新の状態であり、適用されます。 また、Microsoft Purview データ損失防止ポリシーやMicrosoft Cloud App Security ファイル ポリシーなどのポリシーで EDM ベースの分類を使用することもできます。 EDM ベースの分類では、組織は次の目的で設計されたカスタムの機密情報の種類を作成できます。
- 動的に、簡単に更新する。
- 拡張性の高いものにする。
- 誤検知の減少。
- 構造化された機密データの操作。
- Microsoft を含む他のユーザーと共有せず、機密情報をより安全に処理します。
コンテンツ エクスプローラー
組織では、コンテンツ エクスプローラーを使用して次の内容を確認できます。
- 機密情報の種類を含むアイテムの数。
- 秘密度ラベルまたは保持ラベルが適用されているアイテムの数。
特定のアクティビティを確認するには、情報の種類またはラベルを選択してドリルダウンし、アイテムを格納する場所を開きます。 場所には、Exchange、SharePoint、および OneDrive を含めることができます。 [検索] 機能を使用すると、その情報またはラベルを持つメールとドキュメントの一覧が表示されるまで、特定の場所をすばやく見つけることができます。 [検索] をもう一度使用して、名前、ファイルの種類などを基にアイテムを検索します。 検索機能には、アイテム内の機密情報の種類 (インスタンスの数や信頼レベルなど) に関するクイック分析情報も表示されます。
組織は、ソース コンテンツを開くことでさらに深く進むことができます。 これにより、機密情報とコンテキスト、およびファイルのメタデータを確認できます。 組織は、ファイル名や機密情報の種類、適用されたラベルなどの詳細を含む Excel スプレッドシートに結果をエクスポートできます。
アクティビティ エクスプローラー
組織はアクティビティ エクスプローラーを使用して、Exchange、SharePoint、OneDrive、およびエンドポイント デバイスなどの場所間の分類アクティビティを確認できます。 分類アクティビティには、ラベルの変更とファイルの更新が含まれます。 [フィルター] メニューを使用すると、日付範囲、アクティビティの種類、場所、ユーザー、秘密度ラベルなどを使用してアクティビティをフィルター処理できます。
履歴グラフは、最近のアクティビティを色別に整理します。 列にマウス ポインターを合わせると、その日に発生したインスタンスの数が表示されます。 Microsoft 365 の場所とデバイスでログに記録された各アクティビティの完全な一覧をスクロールします。 次に、アクティビティを選択して詳細を確認します。 組織は、管理ニーズに最も適したデータを表示するようにリストをカスタマイズすることもできます。
ユーザーが毎日機密データを作成して共有することはよくあります。 そのため、検出、分類、レビューは継続的なプロセスである必要があります。 組織は、[概要] ページを 監視して新しい分析情報を検出し、システムが機密データを適切に検出、保護、管理できるようにする必要があります。
注:
次のスクリーンショットでは、ページの上部に表示される警告メッセージに注意してください。 これは、システムが組織内のユーザー アクティビティの記録を開始できるように、Microsoft 365 で監査を有効にする必要があることを示します。 このメッセージには、監査を開始するために選択できる [監査を 有効にする] ボタンが含まれています。
![Microsoft Purview コンプライアンス ポータルの [アクティビティ エクスプローラー] ページを示すスクリーンショット。](../../wwl/implement-data-classification-sensitive-information/media/activity-explorer-page-c8f57003-cc56df3e.png)