⽥⼝ ⼤智 どう使う︖ 2022年11⽉22⽇（⽕）EMS勉強会

免責事項 • 本資料は実際に製品を触った上での個⼈の⾒解を記載しています。 • 僕はハラスメントの専⾨家ではないですが、1⼈のエンジニアとしてCommunication Complianceに向き合った記録を発表します。 • 実務上のハラスメントへの対応については、法律の専⾨家等の⾒解を確認した上で 実施してください。 2

⾃⼰紹介 3 経歴 l 明治⼤学 - 野球部 l ⽇本マイクロソフト - インターン l 留学 - シアトル l コンサル会社 - セキュリティコンサル l 現職 所属 l セキュリティ・データガバナンスセクション 得意領域 l セキュリティ規格（ISO27000シリーズ、ISMAP 等） l セキュリティポリシー整備 趣味 l ダンス（Soul/Lock/Waack） ぐっちー (@GuchyJp) 株式会社クラウドネイティブ クラウドセキュリティアーキテクト

Communication Compliance(CC)とは︖ コミュニケーションのリスクを最⼩化するために、組織内の不適切なメッセージを検出し、 捕捉し、修正処置を講じることができるソリューションです。 4 参考︓ https://www.microsoft.com/ja-jp/security/business/compliance/e5-compliance?activetab=pivot%3aoverviewtab ───────────────────────────────────── ───────────────────────────────────── ───────────────────────────────────── ───────────────────────────────────── ───────────────────────────────────── ───────────────────────────────────── ───────────────────────────────────── ───────────お前の⺟ちゃんでべそ───── ────────────────────────────────────

切り⼝とユースケース 以下の5つの切り⼝で組織内の投稿を監視することができます。 5 参考︓ https://www.microsoft.com/ja-jp/security/business/compliance/e5-compliance?activetab=pivot%3aoverviewtab 規制 コンプライアンス 機密情報 不適切な コンテンツ •⾦融や医療などの各種業界等の規制（レギュレーション）に準拠しているかどうかをチェックします。 •クレジットカード番号やパスポート番号などのマイクロソフト社が提供する特定の機密情報のテンプレート を利⽤して検知します。 説明やユースケース •マイクロソフト社が提供するエンジンなどが不適切、不適切、または不快とみなすコンテンツを検出しま す。 切り⼝ カスタム 利益相反 •ユーザー独⾃に定義するキーワードなどの情報を使って独⾃のポリシーを設定します。 •オリジナルの不適切なワードを集めた辞書を作成し、それにマッチしたら検出する流れにするなどの⼿法 が考えられます。 •特定の部署と部署の間のコミュニケーションを監視します。 •証券会社などで、利益相反に該当しそうな⾏為を発⾒したいユースケースで利⽤できます。

主な対象製品 CCは基本的に、Microsoft Teams、Exchange Online、Yammerを対象に利⽤ することができます。 6

どのように検知するのか︖ Communication Complianceを簡単に検証してみました。 7

どのように検知するのか︖ Communication Complianceを簡単に検証してみました。 8

どのように検知するのか︖ Communication Complianceを簡単に検証してみました。 9 ⽇本語の検知は若⼲弱い印象

基本的な運⽤の流れ Communication Complianceは以下のような運⽤が考えられます。 10

11 みなさん使ってみたいと 思いましたか︖

12 僕は思いません（笑）

普通に使っても運⽤できなくね問題 CCを真⾯⽬に運⽤していくためには専⾨的な対応チーム（オペレーター）や、プロセス 等を整備することが考えられますが、普通の会社には真似できたものではありません。 13 オペレーター雇える︖ 内部監査でやる︖ 対処⼤変じゃない︖ 誰やる︖そんな余裕ある︖ パワハラするのは偉い⼈が多いよ（部⻑とか） あんまり取締していると 落ち着けなくない︖

14 超⼤企業（マイクロソフト社とか︖）は 運⽤できるかもだけど、 普通の企業はどう使える 可能性があるのか︖

チャレンジ①︓違反者の上司へのエスカレーション機能を使ってみる オペレーターをつけることが難しい組織は、違反した従業員の上司にエスカレーション機 能（Power Automateで構築）を利⽤することが考えられます。 15

上司へのエスカレーション機能を使ってみる オペレーターをつけることが難しい組織は、上司にエスカレーション機能（Power Automateで構築）を利⽤することが考えられます。 16 だけど、ちょっと考えて⾒てください。 上司(中間管理職)の⼈が「部下がコミュニケーション違反 をしているかもしれない連絡」をもらっても困りませんか︖

チャレンジ②︓本⼈に通知するようにしてみた そこで、CCで違反の可能性がある投稿を検出した場合は、本⼈に通知するようなフ ローを構築してみました。 （⚠当社本番環境では未実装⚠） 17 不適切な 投稿 BotがDMで 注意喚起

18 なぜ本⼈に 通知してみたのか︖

なぜ本⼈に通知したのか︖ 取り締まることを⽬的とせず、本⼈に「気づき」を与えたかったからです。少々間違 えることはあります。⼈間だもの。⼤事なのはその後じゃないでしょうか︖ 19 👦 👩 👦 僕の過去のコミュニケーションしくじり事案 （氷⼭の⼀⾓）

本⼈に通知するようにしてみた（具体例） 実際の投稿はこんな感じです（⚠当社本番環境では未実装⚠） 20 Botなので指摘して も重くない 裸の王様に「裸ですよ」と ⾔ってくれる役割を果たす

こんな時代だからこそ、コミュニケーションは重要 今のITの発展は⽬覚ましいものがあります。 ITは情報を共有する⼿段と捉えるのならば、 ⼈と⼈とのコミュニケーションは最も重要なプロセスであり、 ITの時代だからこそ⽋かせないものです。 そんなコミュニケーションを、思いやりの⼼を持って、 ただし変に萎縮せずに⾏うことが重要です。 CCの通知を個⼈に送る仕組みは⾃分の発⾔を振り返るための ”気づきを与えられる可能性”があるのではと僕は思いました。 （全社展開しての効果測定はできてません。） 21

22 ⼤事な課題が 残っていました

M365使っていないと使えない問題 CCは基本的に、Microsoft Teams、Exchange Online、Yammerが対象です。 23

M365使っていないと使えない問題への対応（現在構築途中） Slackの投稿データをCommunication Compliance側に連携する検証を⾏なって います。（今⽇までに終わらなかった・・・ごめんなさい） 24 IaaS Merge1 （Veritas Inc.） 投稿

続きや細かい設定はブログを書くので是⾮ご覧ください🙇 25

26 ご視聴いただき、 ありがとうございました🙇