「Microsoft Purview」機密情報保護、内部リスク/コンプライアンス/監査管理、データ調査/証拠保存
目次
「Microsoft Purview」とは ~必要とされる背景~
ビジネスの環境においてデータは組織の重要な資産です。しかし、データ量が増大するにつれて多種多様な形式で様々な場所に分散して保存され、結果としてデータの一元管理が困難となり、情報漏洩リスクが高まっています。また、データの利活用はビジネスの競争力を高める重要な要素となりますが、データの一元管理ができていない状況はデータ利活用を阻害し、競争力を低下させる要因となってしまいます。また、近年普及が進んでいるAI活用も運用を誤れば情報漏洩に繋がってしまいます。
「Microsoft Purview」は、「データガバナンス」と「データカタログサービス(※)」を提供する統合データ管理プラットフォームです。データの一元管理と保護を実現し、内部リスクや規制に対応するサービスを提供します。データの検索、カタログ化、分類、保護を一元的に行うことにより情報漏洩リスクを軽減します。
※データカタログサービス
組織がデータを一元管理できるようにするサービス。データを素早く閲覧できるようにするだけでなく、閲覧禁止の機密情報を閲覧できないようにするなど、データポリシー(アクセス権限や利用ポリシー)などのメタデータ管理も含まれる。生成AIの普及に伴い、その必要性が高まっている。
機密情報漏洩リスクの例
- 退職予定者による情報持ち出し:転職先で有利になるよう取引先情報や営業秘密を入手し個人のクラウドへアップロードしていた
- ヒューマンエラー:自社のクラウドストレージにおいて機密情報が誰でも閲覧できる状態になっていた
- 既存漏洩対策の形骸化:上司承認後の送信のはずが実態はチェック無く素通りになっていた
- 悪意のある情報持ち出し:会社への待遇不満があり、顧客名簿を不正に持ち出して業者に転売した
AIによる情報漏洩リスクの例
- 企業買収情報に関する質問についてAIが一般社員に対して回答したためインサイダー取引の疑いをかけられた
- 権限保有者しか閲覧できない特許や営業秘密について、AIに検索させると誰でも閲覧できるような状態になっていた
- 会社に不満がある社員がAIを悪用してネットワークに関する情報を収集して最適なサイバー攻撃手法を探り、攻撃を行った
「Microsoft Purview」の主な機能
データ保護
Microsoft Purview Information Protection
検出
- 250種以上の標準テンプレートを利用して機密情報にあたるデータを検出(マイナンバー、銀行口座番号、パスポート番号など)
- キーワードや辞書をインポートして機密情報をカスタム定義
- 顧客情報など監視したい実際のデータをCSVファイルで取り込み機密情報として定義
分類・保護
- 秘密度ラベルの利用により組織の機密区分に応じた分類ラベルの適用 (手動・自動)
- 分類ラベルの適用による視覚的なデータの機密区分の把握
- 分類ラベルの適用と同時に個別のデータに対するアクセス権 (暗号化) の設定
機密情報を含むファイルに対する秘密度ラベル適用と暗号化により、
組織外のユーザーからのアクセスを保護
さまざまなロケーションに保存されるファイルに対する秘密度ラベルの自動適用にも対応
| デバイス | オンプレミス | クラウド ストレージ | |
|---|---|---|---|
 各端末 |  ・ファイルサーバー ・SharePoint Server |  Office 365 |  サードパーティーSaaS(Boxなど) |
| Microsoft 365 Apps for Business | Microsoft Information Protection(MIP)Scanner | ・自動ラベル付けポリシー ・SharePoint Online ライブラリの規定の秘密度ラベル | Microsoft Defender for Cloud Apps(MDA) |
利用可能な機密情報の例
クレジットカード情報、IP アドレス、銀行口座番号、運転免許証番号、パスポート番号、住民登録番号、社会保険番号、マイナンバー (企業・個人)、在留カード番号 など
利用可能な固有表現の例
住所、氏名、一般的なパスワード など
Microsoft Purview Data Loss Preventation(DLP)
- デバイス上で利用される機密情報や秘密度ラベルを含むデータの書き出しや持ち出し捜査の監査ログ取得、制限
- 組織で許可されていないWebサービス(シャドーIT)への重要ファイルのアップロード制御
ファイルの機密度に応じた
USBデバイスへのコピー制御
未許可Webサービス(シャドーIT)への
重要ファイルのアップロード制御
Microsoft Purview Data Lifecycle Management
- データの変更や削除を行った際にデータを退避する「保持」、変更や削除を禁止する「レコード化」、指定期間経過後の「自動削除」等を定義
ex)メールボックス上での全てのメッセージを無期限に保持、Teams チャット上で共有した時点のファイルを1年間保持
メールボックス上での全てのメッセージを無期限に保持
(アイテム保持ポリシーを Exchange Online に適用)
調査・監査が必要になった際に後から事実の確認ができるように、削除されたメールも含めて 従業員の全てのメールメッセージを保持
Teams チャット上で共有した時点のファイルを1 年間保持
(保持ラベルの自動適用ポリシーを OneDrive に適用)
Teams 上でのファイルの共有はリンク情報の共有 となるため、後で調査が必要となった場合に該当ファイルの中身が変更されている可能性があることから共有時点のファイル情報の保持が必要
OCR(光学式文字認識)
画像内の機密情報をスキャンできます。データ損失防止 (DLP)、レコード(文書・記録情報)管理※、およびインサイダー リスク管理 (IRM)の既存のポリシーが画像とテキスト ベースのコンテンツに適用されます。
※インサイダー リスク管理
悪意や不注意による行動のリスクを検出、調査、操作できるようにすることにより、内部リスクを最小限に抑えること。
Teams の画像内に含まれた機密情報検知の例
- 画像内のコンテンツに含まれるテキストのスキャン対応
- Exchange, Teams, SharePoint, OneDrive, Windows端末で利用可能
- JPEG, JPG, PNG, BMP, TIFF, PDF をサポート
- 日本語対応
- 別途 Azure サブスクリプションが必要
- 例えば「社外秘」と記載されたPDFを誤って社外に送付してしまった場合でも、DLPポリシーを定義することで外部流出を防止
AI hub(AIツール・アプリ利用状況監視
- Copilotや組織が利用許可していないシャドー生成AIツールの組織内利用状況を確認できる
- エンドポイントDLPの機能で、ユーザーがCopilotを含む生成AIツールに機密情報を投稿するのを防ぐ
内部リスク・コンプライアンス・監査管理
Microsoft Purview Communication Compliance
- 事前に定義したキーワードや条件、機械学習を活用してメールやチャットなどのメッセージにおける違反の検知
- ハラスメント、違法な業務命令、カルテル等の談合、利益相反/競合する組織間のコミュニケーションの検知
- 業務上好ましくない不適切な画像(成人向け画像など)の検知
①パワーハラスメント
②カルテル・キックバック
③利益相反取引
④業務に関係のない会話
データ調査・証拠保存
Purview eDiscovery
- Microsoft 365 全体で組織の内部および外部の調査に対応するデータを保持、収集、レビュー、分析、エクスポートするための管理コンソール
Microsoft Purview の活用場面
「Microsoft Purview」は、さまざまな業務課題の解決にご活用いただけます。
- 機密ファイルの外部流出を未然に防ぎたい
- 会社の機密ポリシーに合わせた手動でのファイル管理が大変
- 社内外でのプロジェクト関係者のみ閲覧できるファイルのやり取りが必要
- 退職予定者の情報持ち出しを発見し対策を打ちたい
- 重要なメールを誤送信してしまってもそのメールを保護する仕組みが欲しい
- 個人所有のUSBメモリやクラウドサービスへの情報持ち出しを制限したい
- 社員がハラスメント被害で退職してしまうのを防ぎたい
機密情報保護、内部リスク/コンプライアンス/監査管理、データ調査/証拠保存「Microsoft Purview」につきましてはディーアイエスサービス&ソリューションまでお気軽にお問い合わせください。
