Microsoft 365 でデータセキュリティを強化しよう

2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属 • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997～2025) • Microsoft MVP for Security (2006～2025) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

3 Microsoft Purview Information Protection (MIP) xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx ■ユーザー認証 クラウドの認証基盤 Entra ID で認証を実施 ■暗号化 クラウドから、いつでも どこでも暗号化を設定可能 ■権限設定 ラベルで事前定義された アクセス許可で簡単に設定 ■権限設定対象コンテンツ MIP に対応したアプリの コンテンツであればアクセス可能 ■権限設定対象ユーザー 権限が割り当てられたユーザーで あればライセンスを必要とすることなく アクセス可能 Microsoft Entra ID Microsoft Purview Information Protection ファイル/メール単位でコンテンツを暗号化し、ユーザーごとに権限を細かく制御します

4 秘密度ラベルとポリシー • コンテンツに対してラベルを選択すると、ラベルに関連付けられたポリシー 設定が適用される ラベル ポリシー コンテンツへの設定 アクセス制御設定 アクセス許可 オフライン アクセス の許可 コンテンツの期限 コンテンツのマーク設定 ヘッダー設定 フッター設定 暗号化 保護 保護なし Co-Owner Co-Author Reviewer Viewer カスタム ユーザーが内容を確認し、 ラベルを自身で選択 ラベル 個人利用 公開可能な情報 内部情報 機密情報 開発 計画

設定自体は簡単にできるけど、運用上考えるべき事柄が 多いので、それらをひとつずつ潰していきましょう

6 データセキュリティ実装時に考慮すべき要素 どのような情報を (情報分類) 機密情報 / 営業秘密情報 一般情報 どこで クライアントデバイス クラウドサービス 誰が 正社員 (国内) 派遣・ 請負社員 正社員 (海外) 取引先 何をするか 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し)

誰がデータにアクセスするか？

8 ラベルの付いたファイルにアクセスするには認証が必要 自分 (ラベル設定ユーザー) 社内ユーザーへの公開 社外ユーザーへの公開 メール (Outlook, Outlook on the Web) フルアクセス Microsoft Entra ID で認証後に 割り当てられた権限に基づいて アクセス可能 Microsoft Entra ID 等による認証 またはワンタイムパスコードによる認証 後に割り当てられた権限に基づいて アクセス可能 MIP 対応アプリ (Office アプリ / Adobe Acrobat) フルアクセス Microsoft Entra ID で認証後に 割り当てられた権限に基づいて アクセス可能 AIP for Individuals でサインアップ したアカウントでの認証後に割り当て られた権限に基づいてアクセス可能 MIP 対象外アプリ (MIP クライアント アプリ) 読み取り専用 Microsoft Entra ID で認証後に 読み取りアクセス可能 AIP for Individuals でサインアップ したアカウントでの認証後に 読み取りアクセス可能 認証を事前に済ませることで自動的にファイルへのアクセス許可を確認できます ところで、あなたアカウント持ってましたっけ？

9 【参考】AIP for Individuals https://signup.microsoft.com/signup?sku=rms ラベル設定したファイルにアクセスするためのライセンスを取得するための Web ページです 無料で取得できますが、取引先にそんなお願いできますか？

どのような情報にアクセスするか？

11 情報の分類とカテゴリ 情報の分類 カテゴリ アクセス権を設定するための分類 アクセスできるユーザーやアクセス許可範囲を定義することが必要 ファイル等に含まれるデータを整理し、検索しやすくするための分類 フォルダーやタグなどを利用して分類する

12 ラベルの設定例 ジャンル 説明 Public 社外に既に公開されており、制限なく閲覧またはコピーが可能な情報。 Internal 一般に社外に開示されていないが、意図しない開示があったとしても、会社の評判 や事業上の地位に重大な損害をもたらすことはない情報。 Confidential 有用かつ公然と知られていない情報および第三者から守秘義務を負って取得した 機密情報。紛失または不正な開示が、会社の評判や事業上の地位に損害を与 え、財務および法的損失をもたらす可能性がある情報。 Highly Confidential 有用かつ公然と知られていない情報および第三者から守秘義務を負って取得した 重大な極秘情報。紛失または不正な開示が、会社の評判や事業上の地位に著 しい損害を与え、重大な財務および法的損失をもたらす可能性がある情報。 なんかいっぱいあるけど、そのラベル選択できますか？

何をするか？

14 アクセス許可設定 共同所有者 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 共同作成者 レビュー担当者 閲覧者 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプション

15 【参考】経済産業省「秘密情報の保護ハンドブック」と 秘密ラベルを利用した実現方法 対策 実現したいこと 秘密度ラベルによる 実現方法 物理的・ 技術的な 防御 接近の制御 アクセス権を設定するなどして、 秘密情報に近寄りにくくする ・ アクセス許可設定 持ち出し 困難化 アクセス権のあるユーザーによる 秘密情報の持ち出しを 困難にする ・ アクセス許可のはく奪 ・ そもそも転職先では 開けない 心理的な 防止 視認性の確保 漏えいしたことが見つけられる ようにする ・ ログの参照 秘密情報に 対する 認識向上 秘密情報とは思わなかった、 と言い逃れをさせない ・ コンテンツのマーキング ・ ユーザー教育 働きやすい 環境の 整備 信頼関係の 維持・向上 社員のやる気を高めて 秘密情報を持ち出そうという 考えを起こさせない ・ ユーザー教育 ※ 対策・実現したいこと項目については経済産業省「秘密情報の保護ハンドブック」より 秘密情報 ・営業秘密 ・個人情報 ・重要な技術情報 ・特許出願の公開が 留保されている発明 など

どこでデータにアクセスするか？

17 ラベルを設定するタイミング 適用範囲 適用タイミング ユーザー選択による 秘密度ラベルの手動設定 Officeファイル/PDF/メール 秘密度ラベルを設定し、 ファイルを保存したタイミング ファイルとメールの自動ラベル 付け (ラベル設定オプション) Officeファイル/メール ファイルまたはメールに適用対象のコンテンツが 作成されたタイミングで 自動適用または適用を推奨 自動ラベル付けポリシー Officeファイル/PDF/メール Exchange Online, SharePoint Online, OneDrive for Business 保存時 Microsoft Defender for Cloud Apps (MDA) MDA のアプリコネクタによって監視対象と なっているクラウド内のコンテンツ MDA ファイルポリシー適用時 MIP Scanner ファイルサーバー SharePoint Server サービスアカウントによるスキャン時 メールフロールール (Exchange Online) Exchange Online で扱うメール Exchange 組織内でのトランスポート処理時

18 まとめ どのような情報を (情報分類) 機密情報 / 営業秘密情報 一般情報 どこで クライアントデバイス クラウドサービス 誰が 正社員 (国内) 派遣・ 請負社員 正社員 (海外) 取引先 何をするか 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 秘密度ラベルの特性を理解したうえで、どのように利用すべきかを決めていきましょう