Microsoft 365 マルチテナント問題と中国テナントから見る Microsoft Purview

Transcript

1. Microsoft 365 マルチテナント問題と 中国テナントからみるMicrosoft Purview Twitter : @seafay 出典: https://learn.microsoft.com/en-us/azure/networking/microsoft-global-network

2. 自己紹介 自宅ラック的エンジニア 所属： NSW株式会社 業務： Azure / Microsoft 365 などの

   コンサルティング 近況： 最近は Azure / M365 まわりの Microsoft認定資格 を取ることに注力 Blog： https://contoso.pw/ 高橋 憲太郎 @seafay 2

3. 今日のゴール 本日の勉強会である Microsoft Purview の基本機能に関する情報は 別の発表者に任せ、ニッチなところを突っ走ることをご了承ください。 法律の解釈や実業務対応に関しては必ず専門家に確認ください。 Microsoft Purview はなんて〇〇〇なんだろう！

   すぐに勉強しないと！となること

4. 偉い人「DXのためにクラウド移行だ」 IT担当者A「なんも聞いてないし、聞きたくない」 IT担当者B「クラウド移行はDXちゃうんやで」 IT担当者C「もっと予算許可して」

5. Microsoft Purview 「近年で最も資料修正コスト（＆学習コスト）を要求された Microsoftソリューション」 旧名Azure Purview の場合 Azure 上のサブスクリプションに紐づいて利用するデータ管理サービス Azure

   上のリソースのデータに対し、秘密度ラベルなどを適用するといった機能を指しま す。 Microsoft 365 E5 Compliance(Purview)の場合 • Microsoft Purview データ損失防止（旧名：Office 365 DLP） • Microsoft Purview 情報保護（旧名：Azure Information Protection） • Microsoft Purview eDiscovery（旧名：Office 365 eDiscovery） • Microsoft Purview 監査 等からなる Microsoft 365 向け データ管理サービス機能を指します。 5

6. Microsoft Purview 監査ソリューション Microsoft Purview 監査ソリューションは、セキュリティ イベント、フォレンジック調査、 内部調査、コンプライアンス義務に組織が効果的に対応するための統合ソリューションが用 意されています。 6

7. 個人情報の具体例（GB/T 35273-2020） 【基本的な個人情報】 氏名、生年月日、性別、民族、国籍、家族関係、住所 電話番号、電子メールアドレスなど 【個人識別情報】 身分証明書、軍人証明書、パスポート、運転免許証、社員証、パス、社会保障カード、住民票など 【個人バイオメトリクス情報】 個人遺伝子、指紋、声紋、掌紋、耳介、虹彩、顔認識機能など 【オンライン識別情報】

   個人情報の対象者のアカウント、IPアドレス、個人用電子証明書 【生理・健康情報】 病理情報、入院記録、医師の指示、検査報告、手術・麻酔記録、看護記録、投薬記録、薬剤・食物アレルギー、不妊情報、病歴、診断・治療、家族病歴、現病歴、 感染歴等の医療に関連する記録、体重・身長・肺活量等の個人健康情報 【個人教育情報】 個人の職業、地位、勤務先、学歴、学位、教育歴、職歴、研修歴、成績表など 【個人資産情報】 銀行口座、認証情報（パスワード）、銀行預金情報（資金額、支払、回収記録等）、不動産情報、信用記録、取引・消費記録、銀行取引明細書等、および仮想通貨、 仮想取引、ゲームCDキー等の仮想資産情報など 【個人コミュニケーション情報】 通信記録およびコンテンツ、SMS、MMS、電子メール、個人的な通信を記述するデータ（しばしばメタデータと呼ばれる）など 【連絡先情報】 連絡先、友達リスト、チャットグループのリスト、メールアドレスリストなど 【個人のウェブ閲覧記録】 ログに保存されたPI対象者の操作の記録（ウェブ閲覧記録、ソフトウェア使用記録、クリック記録、お気に入りなど）等を指す 【個人がよく使用する機器の情報】 ハードウェアのシリアル番号、機器のMACアドレス、ソフトウェアの一覧、機器固有の識別子（IMEI/Android ID/IDFA/Open UDID/GUID、SIMカードのIMSI情 報）など、個人がよく使う機器の一般的な状態を記述した情報を指す 【個人の位置情報】 居場所の記録、正確な位置情報、宿泊施設情報、経度・緯度などを含む 【その他の情報】 結婚歴、宗教的嗜好、性的指向、未公表の犯罪歴など 7

8. 一般データ保護規則 (GDPR) EUでビジネスを展開することになったその日から、GDPRというキーワードに追われる GDPR では、欧州連合 (EU) の人々に商品やサービスを提供する企業、政府機関、非営利団 体、その他の組織、または EU 居住者のデータを収集および分析する新しい規則が導入され

   ました。 GDPR は、お客様または企業の所在地に関係なく適用されます。 8

9. データ越境 データの越境移転3つのパターン 1. 日本と同等の制度を持つと十分性認定を与えた欧州連合（EU）・英国に移転する場合 2. EU・英国以外の国で、日本の個人情報保護法が定める個人情報取扱事業者と 同じ基準を満たしている（基準適合）現地企業に提供する場合 3. EU・英国以外の国で、その他の企業に提供する場合 米Microsoft（日本マイクロソフト）の「越境移転」に関する見解

   データセンターの所在地を問わず、当社サービスの利用は「外国の第三者への提供」（越境移転）には 該当しない。 保管された個人データを取り扱わないこととしているため ※ データの管理責任はユーザーに資するため 9

10. 最近のEUの動向 2020年2月 「欧州データ戦略」が公表 2020年11月 「データガバナンス法案」が公表 2022年2月 「データ法案」が公表 2022年4月 「データガバナンス法案」を欧州議会が承認 EU関連の最近の動向

    10

11. 情報保護とかなんと めんどくさい のだろう 大変な IT担当者一同「運用管理が一番しんどいやつ」 社員一同「何すればいいのか、結局よくわからん」

12. Microsoft 365 の情報保護対応 第1ステップ データ主体の要求 (DSR)に対応するために、コンプライアンス センターのコンテンツ検索と電子情報 開示を使用して、組織全体の個人データを検出する。 DSR への対応に関する社内ガイドラインを整備する。

    組織内のユーザーによって送信された DSR に対応できるように運用準備を行う。 ・user data search（UDR） ケース ツール ・役割設計 E5があれば！ Microsoft Purview eDiscovery (Premium) を使って機械学習ベースの検索が可能 第2ステップ データ損失防止 (DLP) ポリシーを使用して機密データを識別する。 E5があれば！ Microsoft Teams DLPが利用可能 ・メッセージ内の機密情報を保護する ・ドキュメント内の機密情報を保護する Endpoint DLP が利用可能 ・クライアント上のコンテンツを監視・保護する 第3ステップ データ保持ポリシーを使い、必要な期間だけ個人データを保持する。 E5があれば！ ドキュメントやメールの個人情報を自動的に識別可能 12

13. そうだテナントを分けよう

14. マルチテナントとは 小規模な機関には、シングルテナント アーキテクチャをお勧めします。 ただし、ユーザー数が 100 万人を超える組織の場合は、パフォーマンスの問題やテナントの 制限 ( Azure サブスクリプションとクォータ、Azure

    AD サービスの制限と制限など) を軽減 するために、マルチテナント アーキテクチャをお勧めします。 ユーザー数が 100 万人未満の組織では、他の基準で複数のテナントが必要であることが示さ れない限り、単一のテナントを作成することを強くお勧めします。 100 万以上のユーザー オブジェクトを持つ組織の場合は、地域的なアプローチを使用して 複数のテナントを使用することをお勧めします。 Microsoft Learnより 14

15. Azure / Microsoft 365 / Dynamics 365 は 1つの Azure

    AD に紐づいて管理されます。 例1： Microsoft Power Platform Microsoft Power Platform は Power Automate や Power BI といったビジネスの効率化に向けたソリューションです。 Microsoft 365 と だけ連携するのではなく、 Dynamics 365 のような ERP/CRM システム との連携も行えるように設計されています。 マルチテナントとしての利用も行えますが、そうした場合、ユーザー アカウント、ID、セキュリティ グループ、サブスクリプショ ン、ライセンス、ストレージデータはテナント間で共有することはできません。 例2： Microsoft Sentinel Microsoft Sentinel は Microsoft 365 や Azure 、オンプレミス環境、その他のクラウドサービスのログデータを横断的に監視する SIE M＆SOAR サービスです。 Microsoft 365 の監査ログやアクティビティログを取り込むには、同一Azure AD に紐づいた Microsoft Sentinel 環境が必要です。 例3： Exchange Online Azure AD / Microsoft 365 に関連付けることができる カスタムドメイン（承認済みドメイン）は 1ドメイン：1テナント であり、1つのドメインを複数のテナントに関連付けることができません。 例4： Active Directory 1つのドメインフォレストは、1つのAzure AD テナントとのみ同期できます。 Windows 10 /11 では 「Hybrid Azure AD 参加」 または 「Azure AD 参加」 の管理シナリオ以外の構成では サポートされる機能が制限されます。 抑えておくべき基本的な情報 15

16. テナント分けると？ Hybrid Azure AD Join が できない → 1つのADが同期できる AAD

    は1つ （現地ADが別にある場合はなんとかなる） 同じドメインが利用できない テナント毎に機能設計および運用設計が必要 テナント毎にアドオン機能の導入が必要 現地法人への対応や教育が必要 IT担当者一同「運用管理が一番しんどいやつ（2回目）」 16

17. シングルテナントvsマルチテナント コラボレーションを考えたら、マルチテナントは非現実的 個人情報・機密情報をどのように配置し、共有可能な情報とするか、 またその制御をテナント単位で考慮する必要があるかを検討する必要があります。 シングルテナント シングルテナント Multi-Geo マルチテナント データが置かれる場所 契約時のロケーション

    複数の地域・国 契約テナント毎 GDPR対応 一部注意 OK OK コラボレーション 制約なし 制約なし 制約あり 機能差分 制約なし 制約あり 制約あり データの制御 テナント内 テナント内 テナント間 地域外ネットワークアクセス 一部遅延あり 影響なし 影響なし Microsoft 365 Multi-Geoでは、データを保管する地域を選択できます。 そのため、複数のテナントを契約せずに幅広い地域でグローバルにデータの展開・運用が可能。 17

18. Microsoft 365 Multi-Geo の利用可能地域 Microsoft 365 Multi-Geo は、テナント内に 250 以上の

    Micr osoft 365 シートがあり、そのうち 5% 以上が複数地域を使 用している Enterprise Agreement 顧客向けに、アドオンと して利用可能できます。 18

19. 偉い人「よし、次は中国だ」 IT担当者一同「もうマジ無理」

20. 中国法 ひと目でわかる中国法 または、ひと目でわかる 21Vianet が運用する Microsoft 365 が求められる 中国のデータ関連法で特に抑えておく必要があるのは以下の通り。 2017年6月1日施行

    中国サイバーセキュリティ法（CSL） 2020年1月1日施行 中国暗号法 2021年9月1日施行 中国データセキュリティ法（DSL） 2021年11月1日施行 中国個人情報保護法（PIPL） 2022年9月1日 施行 データ国外移転安全評価弁法(CAC） 現地法人のある地域や分野によって一部追加がある場合もあります。 20

21. 中国サイバーセキュリティ法(CSL) Q. CSLの適用対象者は誰が該当する？ A. 中国国内で、構築、運営、保守、使用するネットワークに対して適用される。 CSLで言われるネットワークとは、外部接続の有無に関係なく、 オフィス内のイントラネットや社内向け業務システム、SaaS、クラウドサービス、アプリな どすべてを指します。 CSLにはデータの 国内保存義務

    と 越境移転規制 があります。 中国国内で取得・生成した個人情報を中国国内に保存しなければならないという 要件があります。 21

22. 中国個人情報保護法（PIPL） 中国でビジネスを行っている企業や中国進出を計画している企業はPIPLへの対応 が必須です。 PIPLではCSLなどと同様に、個人情報の越境移転を規制しています。 個人情報を中国国外に移転する際には、原則として国家インターネット部門が定 めた標準契約を締結する必要があります。 Q. PIPLの適用対象者はだれか A.中国国内で行われる自然人の個人情報処理に適用されます。 日本からネットワークを経由して、ユーザーデータやIoTデータを分析するサービスを影響

    するなども適用対象となります。 22

23. Office 365 はどういう扱い？ Office 365 は SaaS に該当するため、Microsoft が ネットワーク運用者となり、契約者は

    「利用者」という扱いになります。 そのため、等級保護認証 の 企業側での取得は不要ですが 21Vianet が運用する Office 365 で ある必要があります。 23

24. 21Vianetが運用するOffice 365 24 シングルテナント 中国テナント データが置かれる場所 契約時のロケーション 中国 中国サイバーセキュリティ法 注意

    OK コラボレーション 制約なし 制約あり 機能差分 制約なし 制約あり データの制御 テナント内 テナント間 地域外ネットワークアクセス 一部遅延あり 一部遅延あり 中国アクセス GFW影響懸念あり GFWの影響なし

25. 偉い人「21Vianet と契約しとけばええんやな」 IT担当者一同「誰がやんねん」 法律「中国の現地法人で契約が必要です」

26. 21Vianet のライセンス提供モデル 26 21Vianetが運営する Microsoft 365 Business Basic 21Vianetが運営する Microsoft

    365 Apps for business 21Vianetが運営する Microsoft 365 Business Standard 21Vianetが運営する Office 365 Enterprise E1 21Vianetが運営する Office 365 Enterprise E3 21Vianetが運営する Office 365 Enterprise F3 21Vianetが運営する Enterprise Mobility + Security E3 21Vianetが運営する Microsoft Power Platform 21Vianet「現地法人が契約してね」

27. 21Vianet が運用する Office 365 Exchange Online / SharePoint Online /

    OneDrive for Business が利用可能です。 Microsoft Forms / Microsoft Planner / Microsoft Stream / Microsoft Teams などは 提供されません。 27

28. IT担当者一同「どうして・・・」 法律「Office 365上の個人情報は閲覧を含め、海外からのアクセスは データ越境となりうるから現地で運用してくださいね」

29. セキュリティポータル 29

30. コンプライアンスポータル 30

31. 21Vianet が運用する サポートサービス IT担当者一同「運用管理が一番しんどいやつ（3回目）」 31

32. 21Vianetが運用するコンプライアンス ポータル 32 機能 対応 Archiving 〇 Alert policies ×

    Availability forthcoming Microsoft Purview Audit (Standard) 〇 Content Search 〇 Microsoft Purview Data Loss Prevention 〇 eDiscovery cases 〇 eDiscovery export 〇 eDiscovery holds 〇 Microsoft Purview Data Lifecycle Management 〇 Manual sensitivity labels 〇 Microsoft Purview Message Encryption (Basic) 〇 https://learn.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/office-365-operated-by-21vianet

33. 本日のゴールのおさらい Microsoft Purview はなんて〇〇〇なんだろう！ すぐに勉強しないと！となること Microsoft「SC-400 の認定資格がPurviewの範囲」

34. Thank you