Microsoft Purview でのゼロ トラストの実装
Microsoft Purview ソリューションは、次のセキュリティ原則に基づくゼロ トラストセキュリティ戦略を実装するのに役立ちます。
| 明確に確認する | 最小限の特権アクセスを使用する | 侵害を想定する |
|---|---|---|
| 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を確認し、分析を使用して可視性を高め、脅威検出を推進し、防御を強化します。 |
Microsoft Purview は、データ保護ソリューションを提供することで 、最小限の特権アクセスを使用 する原則の主要なコンポーネントです。 Purview 機能を使用すると、プラットフォーム、アプリ、クラウド全体でデータを保護できます。
データを保護するためのゼロ トラスト
Microsoft Purview には、詳細なデータ防御戦略とデータ保護のためのゼロ トラスト実装に関する次の機能とオプションが用意されています。
データ分類: データを知ることができます
organization全体で機密データを検出して検出し、保護を向上させることができます。 詳細については、「 Microsoft データ分類ダッシュボードを使用する方法」を参照してください。
情報保護: データを保護できるようにします
秘密度ラベルを適用して、Microsoft 365 Copilotやその他のアプリやサービスと統合して、アクセス制御ガードレールを提供し、最も機密性の高いデータの権限管理による暗号化を提供します。 フッターや透かしなどのコンテンツ マーキングにより、認識とセキュリティ ポリシーのコンプライアンスが向上する可能性があります。 ユーザーがコンテンツを作成または更新している間、非常に目立つラベルとラベル付けの推奨事項は、機密データに関するユーザー教育をサポートします。 詳細については、「秘密度レベルの詳細」を参照してください。
保護ポリシーで秘密度ラベルを使用する場合、機密情報が検出された時点で、データ資産全体にアクセス制限を自動的に適用できます。
データ損失防止 (DLP): データ損失を防ぐことができます
ユーザーは、organizationの機密データにリスクを伴うことがあり、その結果、データのセキュリティやコンプライアンス インシデントが発生する可能性があります。 データ損失防止は、機密データの危険な過剰共有を監視し、保護するのに役立ちます。 秘密度ラベル付けと同様に、ポリシー ヒントは機密データに関するユーザー教育をサポートします。 詳細については、「 データ損失防止の詳細」を参照してください。
データ ライフサイクル管理: 不要なものを削除し、重要なデータを保護できます
機密データのライフサイクルを管理するポリシーを展開して、データの公開を減らします。 不要になったデータを自動的に削除し、完全に削除することで、機密データのコピー数または伝達数を制限します。 逆に、ユーザーがデータを削除した後、セキュリティで保護された場所にコピーを自動的に保持することで、悪意のある削除や誤った削除から重要なデータを保護します。 詳細については、「 データ ライフサイクル管理の詳細」を参照してください。
サポート ツールとテクノロジ:
注:
Microsoft AI 用データ セキュリティ態勢管理は、一般提供の段階で、データをより迅速に保護し、ユーザーが MICROSOFT、ChatGPT、Gemini、その他のサード パーティの LLM からMicrosoft 365 Copilotやその他の副操縦士などの AI アプリと対話する方法に関する分析情報を得るのに役立ちます。
これらの機能を実装するときは、適切な ロールベースのアクセス許可と管理単位 を使用して、Just-Enough-Access とセグメント アクセスを提供します。 Just-In-Time アクセスの特権アクセス管理 を使用して、これらの保護対策を強化します。
次のような特定のシナリオの 暗号化 要件を検討してください。
- Microsoft 365 Copilot
- 秘密度ラベルを使用して、選択したドキュメントと電子メールに二重キー暗号化を適用するのは、organizationのみで、クラウド サービスで暗号化を解除できない場合です。
- 機密性の高いコンテンツをorganization境界内に保持したり、外部メール アクセスをログに記録したり、暗号化されたメールへのアクセスを取り消したりする必要がある場合は、高度なメッセージ暗号化を使用します。
- 保存中の Microsoft 365 データのルート暗号化キーを制御する必要がある場合は、 Customer Key を使用します。
- 条件付きアクセスまたはテナント間アクセスの設定を使用する場合、これらのサービスには 、暗号化されたコンテンツをサポートするための特定の構成が必要です。
価値の高いドキュメントと電子メールの場合、 レコード管理 では追加の制限と廃棄レビュー プロセスがサポートされます。
インサイダー リスク管理を使用して、危険なセキュリティ関連のユーザー アクティビティとデータ アクティビティ パターンを特定し、対処します。
Microsoft Teams、SharePoint、OneDrive のグループとユーザー間の双方向の通信とコラボレーションを制限することで、特定のユーザー間のアクセスをセグメント化する必要がある場合は、 情報バリア の使用を検討してください。
その他のガバナンス オプション:
- Microsoft Purview 統合カタログのアクセス ポリシーを使用すると、ユーザーはデータへのアクセスを要求できますが、必要なデータにアクセスできるだけでなく、必要な限りアクセスできることを確認するツールも提供されます。
- データ共有アプリを使用してデータの重複を最小限に抑え、代わりに、アクセスを制限または削除できる読み取り専用アクセスを提供します。
コンプライアンス マネージャーを使用して、セキュリティ機能と構成の実装の導入を促進し、監視することを検討してください。 自動監視を使用して簡単に構築できる評価は、マルチクラウド環境全体の要件を追跡するのに役立ちます。
監査ソリューションを使用して、Microsoft 365 データを監視し、セキュリティ イベントに対応するのに役立ちます。
カスタマー ロックボックスを使用して、サポート調査中に所有している Microsoft 365 データにアクセスする前に、Microsoft サービス エンジニアが承認を得る必要があることを確認します。
次の手順
Microsoft Purview を使用してデータ保護のためのゼロ トラスト戦略を実装するのに役立つソリューション ガイダンス:
データ保護は、organizationによって保存および管理される個人データを保護するのに役立ちます。Microsoft Privaと Microsoft Purview を使用したデータのプライバシーとデータ保護の管理に関するページも参照してください。
ゼロ トラスト ソリューション ガイダンス:
- データ保護の概念とデプロイの目的については、「信頼しないデータのセキュリティ保護」を参照してください。
- Microsoft 365 データの強力なゼロ トラスト戦略とアーキテクチャに貢献するその他の機能については、「Microsoft 365 でのゼロ トラスト展開計画」を参照してください。
- Microsoft 365 Copilotにゼロ トラストを適用する方法については、「ゼロ トラストの原則をMicrosoft 365 Copilotに適用する」を参照してください。
ゼロ トラストの詳細と、ゼロ トラスト ガイダンス センターを使用してエンタープライズ規模の戦略とアーキテクチャを構築する方法について説明します。