Microsoft Purview での DLP (データ損失防止) の構成

Microsoft Purview での DLP (データ損失防止) の構成

2024 年 4 月 1 日

この技術的および教育的な記事は、セキュリティ アナリスト、IT 管理者、およびシステム エンジニアが Microsoft Purview でデータ損失防止 (DLP) ポリシーを構成および実装できるようガイドすることを目的としています。 DLP は、組織が機密データの漏洩、悪用、または損失を防止し、重要な情報が安全に保たれ、規制に準拠していることを保証するための戦略およびツールのセットです [1]。

はじめに

データ プライバシー規制 (GDPR、LGPD、HIPAA など) が厳しくなり、デジタル化が進む世界では、機密情報の保護が最優先事項です。データ損失は、事故、人為的ミス、悪意のいずれによるものであっても、重大な経済的損害、規制上の罰金、重大な風評被害を引き起こす可能性があります。 Microsoft Purview は、組織が Microsoft 365、Azure、エンドポイント、クラウド アプリケーション、その他の場所にわたる機密データを識別、監視、保護するのに役立つ包括的な DLP ソリューションを提供します [2]。

この実践的なガイドでは、機密データの特定からポリシーの作成と展開、検証、ベスト プラクティスに至るまで、Microsoft Purview で DLP ポリシーを構成するための重要な手順を説明します。読者が効果的な DLP 戦略を実装し、機密情報を保護し、法規制順守を確保できるように、段階的な手順、構成例、および検証方法が提供されます。

Microsoft Purview DLP が重要なのはなぜですか?

  • 包括的な識別: 幅広い種類の機密情報 (TIS) を検出し、トレーニング可能な分類器で拡張できます。
  • マルチサイト カバレッジ: Microsoft Exchange Online、SharePoint Online、OneDrive for Business、Microsoft Teams、Windows/macOS デバイス、クラウド アプリケーション全体で保存時、使用中、転送中のデータを保護します。
  • 粒度の高い制御: さまざまな種類のデータ、ユーザー、場所に対して特定の条件とアクションを含むポリシーを定義できます。
  • 規制遵守: 組織がデータ プライバシー要件と業界規制を遵守できるように支援します。
  • 可視性とレポート: データ アクティビティと DLP ポリシーの検出に関する詳細なレポートを提供します。

前提条件

Microsoft Purview で DLP を構成するには、次のアイテムが必要です。

  1. ライセンス: Microsoft Purview DLP を含むライセンス。これは多くの場合、Microsoft 365 E5 Compliance、Microsoft 365 E5 などのパッケージの一部であるか、アドオンとして購入できます [3]。
  2. 管理アクセス: Microsoft Purview コンプライアンス ポータル (「https://compliance.microsoft.com」) のコンプライアンス管理者、コンプライアンス データ管理者、またはグローバル管理者のアクセス許可を持つアカウント。
  3. Microsoft 365 のデータ: ポリシーをテストするには、Microsoft 365 環境に機密情報を含むデータ (電子メール、ドキュメント) が存在することが理想的です。

ステップバイステップ: データ損失防止ポリシー (DLP) の構成

電子メールを介した外部ユーザーへのクレジット カード番号の共有を検出してブロックする DLP ポリシーを作成してみましょう。

1. Microsoft Purview コンプライアンス ポータルへのアクセス

  1. ブラウザを開いて「https://compliance.microsoft.com」に移動します。
  2. 必要な権限を持つアカウントでログインします。

2. 機密情報の特定

Microsoft Purview DLP は、機密情報の種類 (TIS) を使用して機密データを識別します。何百もの事前構成された TIS が付属していますが、独自の TIS を作成することもできます。

  1. 左側のナビゲーション ペインで、データ分類 > 機密情報の種類 を選択します。
  2. 既存の TIS (例: 「クレジット カード番号」) を検索して、その定義と検出方法を確認できます。

3. DLP ポリシーの作成

事前定義されたテンプレートを使用して DLP ポリシーを作成し、カスタマイズしてみましょう。

  1. 左側のナビゲーション ペインで、データ損失防止 > ポリシーを選択します。
  2. [+ ポリシーの作成] をクリックします。

ステップ 1: テンプレートを選択するかカスタム ポリシーを作成する

  1. カテゴリ: 「金融」を選択します。
  2. テンプレート: 「米国財務データ」を選択します。
  3. [次へ] をクリックします。

ステップ 2: ポリシーに名前を付ける

  1. 名前: 「外部パーティのクレジット カードをブロック」。
  2. 説明: 「電子メールを介して外部受信者にクレジット カード番号が送信されるのを検出し、ブロックします。」
  3. [次へ] をクリックします。

ステップ 3: ポリシーを適用する場所を選択する

  1. 場所: この例では、電子メールに焦点を当てます。 「Exchange メールボックス」を有効にします。
    • (オプション) 必要なライセンスと構成がある場合は、「SharePoint サイト」、「OneDrive アカウント」、「Teams メッセージ」、「デバイス」 (エンドポイント DLP 用) などの他の場所を有効にすることができます。
  2. 適用先: より詳細な範囲を指定するには、「すべてのユーザー」または「特定のユーザー、グループ、または配布グループを選択」を選択します。
  3. [次へ] をクリックします。

ステップ 4: ポリシー設定をカスタマイズする

  1. 「詳細ポリシー設定のカスタマイズ」を選択します。
  2. [次へ] をクリックします。

ステップ 5: 高度な個人設定設定

テンプレートによって作成されたデフォルトのルールが表示されます。編集しましょう。

  1. 既存のルールをクリックします (例: 「米国の金融コンテンツを検出する」)。
  2. 条件: 「コンテンツに含まれる」条件が「クレジット カード番号」に設定されていることを確認します (最小カウントは 1、精度は「任意」)。
  3. 条件の追加: [条件の追加] をクリックし、[受信者] > [外部] を選択します。
  4. アクション: 「アクション」セクションで、以下を設定します。
    • アクセスをブロックするかコンテンツを暗号化する: 「ユーザーのコンテンツへのアクセスをブロックする (すべてブロック)」にチェックを入れます。
    • ユーザー通知: 「ポリシー ヒントをユーザーに通知する」にチェックを入れ、必要に応じてメッセージをカスタマイズします。
    • ユーザー オーバーライド: (オプション) ユーザーが理由を指定してブロックをバイパスできるようにします。クレジット カード データの場合、通常は推奨されません。
    • インシデント レポート: 「管理者にアラートを送信する」と「管理者にインシデント レポートを送信する」にチェックを入れます。
  5. [保存] をクリックします。
  6. [次へ] をクリックします。

ステップ 6: ポリシー設定

  1. ポリシー モード: 「最初にテスト」(ブロックせずに影響を監視する場合) または「今すぐアクティブ化」(アクションをすぐに適用する場合) を選択します。
    • ヒント: ブロックを適用する前に、必ず「最初にテスト」から開始して影響を評価し、ポリシーを調整してください。
  2. [次へ] をクリックします。

ステップ 7: 完了

  1. ポリシーの概要を確認します。
  2. [作成] をクリックします。

4. エンドポイント DLP の構成 (オプションですが推奨)

Windows および macOS デバイス上のデータを保護するには、Endpoint DLP を構成する必要があります。これにより、USB へのコピー、許可されていないアプリケーションへの貼り付け、クラウド サービスへのアップロードなどのアクションを監視および制限できます。

  1. Microsoft Purview コンプライアンス ポータルで、データ損失防止 > 設定 に移動します。
  2. [エンドポイント DLP 設定] を選択します。
  3. 「デバイス監視」が「オン」になっていることを確認します。
  4. 「許可されていないドメイン グループとクラウド サービスの制限」と「許可されていないアプリケーションの制限」を設定します。
  5. デバイスを監視するには、Microsoft Defender for Endpoint にオンボードされ、DLP コネクタが有効になっている必要があります [4]。

検証とテスト

DLP ポリシーを検証することは、DLP ポリシーが期待どおりに機能し、誤検知が発生しないことを確認するために重要です。

1. 電子メール DLP ポリシーのテスト

  1. テスト電子メールの作成: 電子メール クライアント (Outlook Web App または Outlook デスクトップ) で、新しい電子メールを作成します。
  2. 機密情報を含める: 電子メールの本文に、有効なクレジット カード番号を入力します (実際ではないテスト番号、またはシミュレーション目的のテスト番号ジェネレーター (「4111-1111-1111-1111」など) を使用します)。
  3. 外部受信者に送信: 電子メールの宛先を組織外の電子メール アドレスにします。
  4. ポリシー ヒントに注意してください: ポリシーがテスト モードの場合、電子メールに機密情報が含まれていることを示すポリシー ヒントがユーザーに表示されます。
  5. レポートの確認: Microsoft Purview コンプライアンス ポータルで、データ損失防止 > アラート または レポート に移動します。
    • DLP ポリシー検出のアラートが生成されているかどうかを確認します。
    • DLP ポリシー一致レポートを確認して、検出された電子メールの詳細。

2. エンドポイント DLP ポリシーのテスト (構成されている場合)

  1. Endpoint DLP 用の Windows オンボード デバイスでドキュメント (Word、メモ帳など) を作成し、テスト用のクレジット カード番号を入力します。
  2. クレジット カード番号を USB デバイスにコピーするか、許可されていないアプリケーションに貼り付けてみます。
  3. エンドポイント DLP ポリシーは、設定に応じてアクションをブロックするか、ユーザーに通知する必要があります。
  4. Microsoft Purview ポータルで Endpoint DLP レポートを確認します。

セキュリティのヒントとベスト プラクティス

  • 段階的な実装: 監査モード (「最初にテスト」) でポリシーから始めて、影響を理解し、ブロックを適用する前にルールを調整します。
  • ユーザー教育: 機密データとは何か、DLP ポリシーが存在する理由、侵害を防ぐ方法についてユーザーをトレーニングします。ポリシーのヒントは、リアルタイム教育のための貴重なツールです。
  • データ分類: DLP とデータ分類およびラベル付け (Microsoft Information Protection) を組み合わせて、より効果的な保護を実現します。 DLP ポリシーは機密ラベルによってトリガーできます。
  • 継続的なレビューと調整: データ環境と規制は変化します。 DLP ポリシーを定期的に確認して調整し、関連性と有効性を維持します。
  • インシデントの監視: DLP のアラートとレポートを積極的に監視して、侵害のパターン、リスクの高いユーザー、保護のギャップを特定します。
  • ポリシーの範囲: ポリシーの範囲を細かく指定します。リスクの高いユーザー グループまたはデータには、より制限的なポリシーを適用します。

一般的なトラブルシューティング

  • 誤検知 (不適切なブロック): 正当な電子メールまたはアクションがブロックされている場合は、ポリシー条件を確認してください。インスタンス数または TIS 精度を調整します。信頼できる送信者またはドメインの例外を追加することを検討してください (注意が必要です)。
  • 誤検知 (機密データの受け渡し): 機密データが検出されない場合は、TIS が正しく構成されていること、およびインスタンス数と精度が適切であることを確認します。ポリシーが正しい場所とユーザーに適用されていることを確認してください。
  • ポリシーのヒントが表示されない: ポリシーでユーザー通知が有効になっているかどうかを確認します。電子メール クライアント (Outlook) が最新であり、ポリシー ヒントをサポートしていることを確認してください。
  • エンドポイント DLP が機能しない: デバイスが Microsoft Defender for Endpoint にオンボードされていること、および Endpoint DLP コネクタが Purview ポータルで有効になっていることを確認してください。デバイスのイベント ログでエラーを確認してください。
  • ポリシー適用の遅延: DLP ポリシーがすべてのサービスに反映され、適用されるまでに時間がかかる場合があります。数時間待ってから再度テストしてください。

結論

Microsoft Purview でのデータ損失防止 (DLP) ポリシーの構成は、組織の機密情報を保護し、法規制へのコンプライアンスを確保する上で重要な手順です。 Microsoft Purview DLP は、複数の場所にわたる機密データのフローを特定、監視、制御することで、企業が偶発的か意図的かにかかわらずデータ漏洩のリスクを軽減できるようにします。 DLP 戦略の導入を成功させるには、慎重な計画、厳格なテスト、およびユーザー教育とポリシーの改良への継続的な取り組みが必要です。この記事で提供されるツールとガイダンスを使用すると、セキュリティ チームは組織の最も貴重な情報資産を保護する堅牢な防御を構築できます。

参考文献:

[1] Microsoft Learn。 データ損失防止について詳しくは、こちらをご覧ください。入手可能場所: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp [2] Microsoft Learn。 Microsoft Purview とは何ですか?。入手可能場所: https://learn.microsoft.com/pt-br/purview/overview [3] Microsoft Learn。 データ損失防止のためのライセンス要件。入手可能場所: https://learn.microsoft.com/pt-br/purview/dlp-learn-about-dlp#licensing-requirements-for-data-loss-prevention [4] Microsoft Learn。 ※予防についてのご紹介エンドポイントのデータ損失を防ぎます*。入手可能場所: https://learn.microsoft.com/pt-br/purview/endpoint-dlp-getting-started