Microsoft 365 セキュリティ ツールを使用して Copilot for Microsoft 365 のデータを保護する
多くの組織には、ユーザーが内部情報や個人情報を過剰共有するという懸念があります。 こうした懸念に対処するために、Microsoft は Microsoft 365 および Azure エコシステム内に強力なセキュリティ ツールを提供します。 これらのツールは、組織がアクセス許可を強化し、"Just-Enough-Access (最小限のアクセス許可)" を実装するのに役立ちます。Microsoft 365 や Azure だけでなく Copilot for Microsoft 365 でも、管理者がこれらのツールで定義したポリシーと設定を使用して、データの過剰共有を防止します。 管理者は、企業の専有データや機密データの過剰共有の可能性を防ぐため、アクセス許可、秘密度ラベル付け、データ アクセスに関連する組織のセキュリティ慣行を確認する必要があります。
Microsoft では、この状況に対処するための "Just-Enough-Access (最小限のアクセス許可)" アプローチを推奨しています。 この方法では、各ユーザーは、ジョブに必要な特定の情報にのみアクセスできます。 アクセス許可を厳密に制御して、ユーザーが表示すべきではないドキュメント、サイト、またはデータにアクセスできないようにします。
過剰共有を防ぐために、組織は次のベスト プラクティスの実装を検討する必要があります:
- サイト、ドキュメント、電子メール、その他のコンテンツのアクセス レビューを実施します。 過度に公開されている資産を特定します。 データの所有者が SharePoint サイト、ドキュメント ライブラリ、電子メール メールボックス、その他のデータ資産のインベントリを作成できるようにします。 ユーザーのアクセス許可が必要以上に広い領域を特定します。 たとえば、人事チームだけでなく、すべての従業員に表示される "人事特典" SharePoint サイトなどです。
- 過度に公開されている資産に対するアクセス許可を強化して、承認されたユーザーのみがアクセスできるようにします。 前の項目の例を使用して、"人事特典" サイトへのアクセスを人事部門のメンバーのみに制限します。 同様に、機密性の高い製品ロードマップ ドキュメントも、関連する製品マネージャーのみに制限します。 電子メールとドキュメントに外部共有とアクセスの有効期限を設定して、公開を制限します。
- アクセスを制限しても、ユーザーが自分の仕事を支障なく行えることを検証します。 制限付き資産のユーザーにアンケートと聞き取りを行って、自分の役割に必要なすべての情報に引き続きアクセスできるかどうかを確認します。 たとえば、会社の人事データが制限されている場合でも、営業担当がクライアントの連絡先情報やプロジェクト仕様に引き続きアクセスできることを確認します。
- 検索機能をテストして、ユーザーが各自の役割に関連する情報のみにアクセスできることを確認します。 内部のさまざまな役割として、ドキュメント、サイト、電子メールのサンプリング検索を実行します。 財務スタッフが人事データにアクセスできないことを確認します。 部門を超えたチームが共有プロジェクト リソースへのアクセス権を持っていることを検証します。 アクセス許可の調整は反復的なプロセスです。
データをセキュリティで保護するための Microsoft ツール
Microsoft 365、Copilot for Microsoft 365、および接続されたサービスはすべて、管理者が定義したポリシーと設定を使用して、アクセス許可を強化し、"Just-Enough-Access (最小限のアクセス許可)" を実装します。これは、データの過剰共有を防ぐために、プラグインと Microsoft Graph コネクタを介して行われます。 次の一覧では、これらのポリシーと設定を定義するために、管理者が使用できるツールの概要を示します。
- Microsoft Purview 情報保護。 機密性に基づいてドキュメントと電子メールを分類し、必要に応じて暗号化します。 承認されたユーザーのみにアクセスを制限するためのポリシーを作成できます。 たとえば、次のようなことが可能です。
- 従業員の給与を含むドキュメントまたは電子メールを "極秘" として分類し、人事チームのみにアクセスを制限する。
- クライアント データを "秘密" として分類し、そのクライアントに割り当てられた営業担当者のみがアクセスできるようにする。
- 財務レポートを "内部のみ" として分類し、外部共有を防ぐために自動的に暗号化する。
- エグゼクティブ コミュニケーションを "内部使用のみ" として分類し、リーダーシップ チームのみにアクセスを制限する。
- Microsoft Purview 秘密度ラベル。 SharePoint サイト、ドキュメント、電子メールを "秘密" や "内部使用のみ" などの秘密度タグで分類してラベル付けします。特定の秘密度タグを持つ資産へのアクセスを制限するためのポリシーを作成できます。 たとえば、次のようなことが可能です。
- 従業員のパフォーマンス レビューに "人事秘密" 秘密度タグでラベルを付け、人事マネージャーのみにアクセスを制限する。
- 顧客データに "顧客秘密" タグでラベルを付け、そのタグの付いたアイテムのダウンロード、印刷、または共有をブロックするポリシーを構成する。
- 顧客データに "秘密" というラベルを付け、このラベルが適用されているファイルを自動的に暗号化するように構成する。
- 会計スプレッドシートに "財務秘密" というラベルを付け、財務チーム メンバーのみにアクセスを制限する。
- Microsoft Entra 条件付きアクセス ポリシー。 ユーザーの場所、デバイス、ネットワークなどの条件に基づいて、SharePoint を含む Microsoft 365 の情報とサービスへのアクセスを許可または制限します。 これらのポリシーは、システムがリスクを検出したり、ユーザー資格情報が侵害されたりしたときにアクセスを制限するのに役立ちます。 たとえば、次のようなことが可能です。
- 多要素認証を要求して、リモート接続時に財務データを含む SharePoint サイトにアクセスする。
- ユーザーが企業ネットワーク上のマネージド デバイスを介して接続している場合を除き、内部プレゼンテーションを含むサイトの外部共有をブロックする。
- マネージド デバイスを要求して、プロプライエタリー ソース コードを含むサイトにアクセスする。
- 公表日の前にプレス リリースを含むサイトへのアクセスをブロックする。
- システムがあり得ない移動を検出した場合には、アクセスをブロックするか、別の要素によるステップアップ認証を要求する。これは、多くの場合、資格情報の盗用の指標となる。
- Microsoft Entra Privileged Identity Management (PIM)。 Just-In-Time 管理者アクセスを提供し、最小限の特権の原則を適用し、必要なときに必要なアクセス許可のみをユーザーに付与することで永続的な特権を制限します。 たとえば、次のようなことが可能です。
- SharePoint 管理者やグローバル管理者などの特権ロールは、承認された営業時間に対してのみ付与して、継続的なアクセスを最小限に抑える。
- 多要素認証と正当な理由を要求して、データまたはアプリへの特権アクセスをアクティブ化する。
- 課金管理者などの特権アクセスを 1 週間あたり最大 5 時間に制限する。
- 承認を要求して、Microsoft 365 グローバル管理者ロール アクセスをアクティブ化する。
- SharePoint サイト アクセス レビュー。 サイトの所有者、メンバー、アクセス要求のアクセス レビューを必須にして自動化し、ユーザーが必要としないまたは不要になったアクセス許可を取り消します。 アクセス レビューを使用すると、ユーザーは自分の役割に必要なアクセス権のみを保持できるようになります。 たとえば、次のようなことが可能です。
- 人事システムおよび財務システムへアクセス許可は、レビューと承認がなされない場合、90 日後に自動的に取り消されます。
- 外部のユーザー アカウントに対して四半期ごとに業務上の正当な理由を要求して、継続的なアクセスの必要性を検証する。
- ユーザー アクセスの四半期ごとのレビューを要求して、退職した従業員のアクセス権を削除する。
- コラボレーション サイトの外部ユーザー アクセスにポリシーの時間制限を適用する。
- Microsoft Graph コネクタとプラグイン。 Microsoft Graph コネクタまたはプラグインを使用して、接続されている外部データへのアクセスの制限します。 たとえば、次のようなことが可能です。
- 接続されたデータ プロバイダーにアクセスするためにユーザーとグループが必要とするアクセス スコープの定義する。
- 接続されたサービスと Copilot for Microsoft 365 プラグインで使用されるデータに対して、ユーザー アカウントベースのサービス認証を要求する。
- Graph コネクタを使用してインデックス付けされた外部コンテンツへの拡張検索機能を、アクセス権を持つ必要があるユーザーのみに制限する。
これらのツールの組み合わせを使用してアクセスを制限し、最小限の特権を実装すると、組織は機密データの公開を制限し、過剰共有を防止し、機密情報を安全に保つことができます。 これらのツールは、"Just-Enough-Access (最小限のアクセス許可)" を有効にする強力なメカニズムです。各従業員が過度の特権を持たずに作業を完了するのに十分なアクセス権を持つようにすることで、Copilot for Microsoft 365 を役立つ推奨事項に必要な適切なデータのみに集中させることもできます。
追記。 データとユーザー デバイスのセキュリティ保護の詳細については、次のトレーニング オファリングを参照してください。
- 「Microsoft Defender XDR のセキュリティ メトリックを調べる」。
- 「Microsoft Defender for Endpoint を使用してエンドポイント保護を実装する」。
- 「Microsoft 365 でのコンプライアンスの管理」。
ゼロ トラスト セキュリティ モデルの実装
最近の出来事でわかることは、セキュリティは簡単ではないということです。 最近話題になっている不正アクセスは、今日の脅威アクターがますます巧妙になっていることを浮き彫りにしています。 また、ますます接続が進む世界でビジネス リスクを管理する複雑さも浮き彫りにしています。 それは、あらゆる規模の組織、そして官民を問わない困難となっています。 Microsoft は、ゼロ トラスト セキュリティ モデルでこれらの懸念に取り組みます。外部と内部の両方のあらゆる種類の脅威に対処します。
ゼロ トラストは、Microsoft 365、Azure、Copilot for Microsoft 365 を含むすべての Microsoft サービスのセキュリティ戦略です。 ゼロ トラスト モデルでは、企業のファイアウォールの背後にあるすべてのものは安全であると想定するのではなく、すべての要求が潜在的な侵害であると想定しています。 そのため、組織はオープン ネットワークから発信されたかのようにあらゆる要求を検証する必要があります。 要求の発信元やアクセス先のリソースに関係なく、ゼロ トラストでは「決して信頼しない、常に検証する」と考えます。 すべてのアクセス要求は、アクセスを許可する前に完全に認証、承認、および暗号化されます。 ゼロ トラスト モデルでは、横移動を最小限に抑えるために、マイクロセグメント化と最小限の特権アクセス原則が適用されます。 豊富なインテリジェンスと分析を使用して、異常をリアルタイムで検出して対応します。
ゼロ トラスト モデルの基盤を提供する基本原則には、次のものがあります:
- 明示的に確認する。 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 たとえば、ユーザー ID、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常などです。
- 最小特権アクセスを使用する ユーザー アクセスを限定するために、ジャストインタイム (JIT) の必要十分なアクセス権 (JEA)、リスク ベースの適応型ポリシー、データ保護を使用して、データと生産性の両方を安全に守ります。
- 侵害があるものと考える。 侵害の「爆発半径」を最小限に抑えて横移動を防ぐために、アクセスをネットワーク、ユーザー、デバイス、アプリの認識によってセグメント化します。 すべてのセッションが最初から最後まで暗号化されていることを確認します。 アナリティクスを使用して可視性を高めて脅威検出を推進し、防御を強化します。
追記。 ゼロ トラスト モデルの詳細な分析は、このトレーニングの範囲外です。 ただし、Microsoft のゼロ トラスト セキュリティ モデルの詳細と、組織に実装する方法については、「ゼロ トラスト セキュリティ モデルを調べる」を参照してください。
理解度チェック
次の各質問に最適な回答を選択します。 次に、「自分の回答を確認します」を選択します。