$30 off During Our Annual Pro Sale. View Details »

Microsoft 365 による情報保護 ~ DLP 編

Kunii, Suguru
November 23, 2022

Microsoft 365 による情報保護 ~ DLP 編

2022年11月22日開催「第5回 EMS 勉強会 Microsoft 365 による情報保護 ~ DLP 編」の資料です。

Kunii, Suguru

November 23, 2022
Tweet

More Decks by Kunii, Suguru

Other Decks in Technology

Transcript

  1. 第5回 EMS 勉強会 Microsoft 365 による情報保護 ~ DLP 編

  2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

    • マイクロソフト認定トレーナー (1997~2023) • Microsoft MVP for Enterprise Mobility (2006~2023) • http://AzureAD.net • 主な職務・実績 • ID 関連技術/運用管理を中心としたトレーニング • 評価ガイド執筆多数 (MECM, Microsoft Defender 等) • テクニカル ライター (@IT, ITpro, ZDNet Japan 等)
  3. Introduction 暗号化すればセキュリティ対策として十分なのか?

  4. 4 コンテンツ保護のステップ Microsoft Purview Information Protection Insider Risk Management Data

    Loss Prevention (DLP) ・ 秘密度ラベルを設定して ファイルやメールに対する 暗号化とアクセス制御を実現 ・ ラベルの設定は基本的に ユーザーが行うため、厳密に 実装できているかは疑わしい ・ あらかじめ決められたルールに 基づいて保護対象となる コンテンツを決定し、 アクションを制御したり、 MPIP と組み合わせて 秘密度ラベルを設定したり することが可能 ・ 既にアクセス許可が割り当て られているユーザーの アクティビティを追跡 ・ 退職予定者などの内部 不正を起こしやすいユーザー をフォーカスした追跡が可能 !
  5. https://learn.microsoft.com/ja-jp/microsoft-365/solutions/information- protection-deploy-protect-information?view=o365-worldwide MPIP 利用シナリオ Scenario A ・ 管理者定義の秘密度ラベルを手動/自動でコンテンツに割り当て Scenario B

    ・ DLP ポリシーを設定し、メール/ファイルの送信をブロック Scenario C ・ Teams/SharePoint サイトのコンテンツをゲストとの共有をブロック Scenario D ・ サイトのコンテンツに自動的に秘密度ラベルを設定
  6. DLP について

  7. 7 DLP (Data Loss Prevention) Exchange Online Teams SharePoint Online

    OneDrive for Business オンプレミス - SharePoint サイト - ファイル共有※※ エンドポイント データの分類設定 サードパーティ クラウド※ ※ Microsoft Defender for Cloud Apps を経由して実現 ※※ MIP Scanner を経由して実現 ルール 条件 データの分類 処理 暗号化・アクセス のブロック など 通知 アラート メールベース 機密情報の種類 完全なデータ一致 トレーニング可能な分類子
  8. 8 データの分類 機密情報の種類 完全なデータ一致 (EDM) トレーニング可能な分類子 ・ あらかじめ用意された アルゴリズムに基づいて 機密情報を検出

    ・ 200 種類以上のテンプレートを 事前に用意 ・ キーワードや正規表現などを もとにカスタム定義も可能 ・ CSV 形式であらかじめ 機密情報を登録しておき、 一致するデータを検出 ・ CSV データはハッシュ化されて データセンターに保存される ・ SharePoint サイトに機密 情報に当たるデータを保存して おき、その内容を学習させる ことで機密情報を特定できる ようにする
  9. 9 EdmUploaderAgent ツールによるデータベースのアップロード cd 'C:¥Program Files¥Microsoft¥EdmUploadAgent¥’ .¥EdmUploadAgent.exe /authorize .¥EdmUploadAgent.exe /SaveSchema

    /DataStoreName employeedb /OutputDir "C:¥Users¥vmadmin¥Documents¥“ .¥EdmUploadAgent.exe /UploadData /DataStoreName employeedb /DataFile "C:¥Users¥vmadmin¥Documents¥ EmployeeData.csv" /HashLocation "C:¥Users¥vmAdmin¥Documents¥" /Schema "C:¥Users¥vmAdmin¥Documents ¥employeedb.xml" .¥EdmUploadAgent.exe /GetSession /DataStoreName employeedb
  10. 10 DLP の適用範囲 適用範囲 ソリューション 役割 メール Exchange Online DLP

    メールによる外部への 機密情報送信の保護 ファイル共有 SharePoint Online OneDrive for Business DLP 外部に共有された機密ファイルの保護 チャット、チャネルメッセージ Teams DLP チャネルメッセージおよびファイル内の機密情 報の保護 デバイス上の操作 Endpoint DLP デバイス上での不正な操作の検出と制御 ファイルサーバー オンプレミス DLP ファイルサーバー上に保存される機密情報に 対するアクセスの保護 SaaS アプリ (Box, Salesforce など) Microsoft Defender for Cloud Apps 機密情報を含むファイルの監視と保護 Microsoft Japan Digital Days 2021 #S10 より
  11. 11 アクティビティ エクスプローラー

  12. まとめ

  13. 13 コンテンツ保護のステップ Microsoft Purview Information Protection Insider Risk Management Data

    Loss Prevention (DLP) ・ 秘密度ラベルを設定して ファイルやメールに対する 暗号化とアクセス制御を実現 ・ ラベルの設定は基本的に ユーザーが行うため、厳密に 実装できているかは疑わしい ・ 様々なデータ種類と 様々な領域に対して コンテンツを検査できるので コンテンツ保護の取りこぼしを カバーできる ・ アクティビティ エクスプローラー で結果が確認できるので 時間をかけてベスト プラクティスを作り上げていく ことが重要 ・ 既にアクセス許可が割り当て られているユーザーの アクティビティを追跡 ・ 退職予定者などの内部 不正を起こしやすいユーザー をフォーカスした追跡が可能 !