この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。
はじめに
文書や手続きを単に電子化(デジタイゼーション)するだけでなく、その先のDX化を経済産業省は推進しています。[1]
それに伴い、これまで紙でやり取りしていた様々な情報がいたるところでデジタルデータに置き換わっていることは自明かと思います。
そんな爆発的に増えるデザインデータ量(情報資産)は、常に情報漏洩やインシデント等のリスク(発生確率×予想損失額)と背中合わせであり、
企業は、守るべき情報はしっかり守りながら優位性を高めることとなります。[2]
今回は、Microsoftの情報資産を守るソリューションである[ Information Protection ]について
このサービスの概要ならびに、できること(+注意点)を紹介します。
最後までお付き合いいただければ幸いです。
(最初は注意点の内容と飛ばしてご覧いただき、後でおさらいしていただければ理解しやすいかなと思います。)
MPIPの概要
Microsoft 365提供サービスの[ Microsoft Purview ](セキュリティ・コンプライアンスセンターからブランド名が変わりました)に、
[ 情報の保護 ]と呼ばれるセキュリティサービスが存在します。[3]
これが本記事で説明する[ Microsoft Purview Information Protection ]を指し、イニシャリズムでMPIPと呼称されています。
もとは、Azureの機能(Azure Information Protection)として提供されていましたが、M365へ統合されて今に至ります。
必要ライセンスはMicrosoft 365 E3やEnterprise Mobility & Security E3となり、より機能を利活用するには E5 が必要です。
オンプレミスにRMS(Rights Management Server)をもっている企業や、IRM(Information Rights Management)の保護機能を活用している場合、
それらのクラウド版という認識で問題ありません。
RMSの機能はAzure ADが代替してくれます。(RMSからMPIPへの移行も可能です。)[4]
このサービスを一言で表すと”情報に対して許可された操作を実施できる人物は誰であるかを決めるサービス”です。
それが[ 情報の保護 ]として機能し、付随して情報の検出・分類も提供されます。
”許可された操作”と記載した通り、アクセス権限を設定することができ、
次に、設定したアクセス権限を享受できる”人物”、つまりID情報(Azure AD)をユーザー・グループ・組織単位で設定できます。
(グループはAzure ADに存在するM365グループ・配布リスト・メールが有効なセキュリティグループを指します。)
実際の活用方法としては、JIS規格・ISO規格・IEC規格のいずれかに則ることが多く、
例えばJIS Q 27002(情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範)[5-1][5-2]に記載されている
・開示されても損害が生じない。
・開示された場合に、軽微な不具合又は軽微な運用の不都合が生じる。
・開示された場合に、運用又は戦術的目的に対して重要な短期的影響が及ぶ。
・開示された場合に、長期の戦略的目的に対して深刻な影響が及ぶ、又は組織の存続が危機にさらされる
のような基準を企業内で議論し、何が守るべき情報にあたるかの受容基準を決めて運用することになります。
(漏洩時の損失額が無いデータは守る必要はありません。受容基準が高すぎると利便性を失います。)
概要の締めとして、MPIPは、”ウイルスやマルウェアから情報を守る”ためのソリューションでは無いということで、
情報に対して保護する(暗号化する)機能ではありますが、情報漏洩としての焦点をもつ必要があり、EDRやAnti Virusとは異なることに注意が必要です。
あくまで、情報資産を守るソリューションです。
できる事(+注意点)
概要で触れましたが、MPIPのコンセプトは”情報に対して許可された操作を実施できる人物は誰であるかを決める”ことです。
MPIPを知るうえで必要な2つの概念が登場します。
まず1つ目の概念が”秘密度ラベル”です。この概念を一言で説明すると”分類・保護するための機能”です。
分類とは”どの秘密度ラベルがついているか”ということを示し、保護とは”暗号化しているかしていないか”を示します。
(以下では秘密度ラベルのことをラベルと記載します。別ソリューションの機能にある”保持ラベル”と混同しないようにお願い致します。)
ここで、イメージを掴むために3種類のラベルを用意し、図表に説明を記載します。
| ラベル名 | 分類 | 保護 | 例示 |
| 公開情報ラベル | 公開情報 | 保護しない(大々的に社外に向けて公表する情報) | メディア掲載用情報 |
| 社外秘情報ラベル | 社外秘情報 | 保護する(自社以外の人には見られたくない情報) | 社員の個人情報 |
| 機密情報ラベル | 機密情報 | 保護する(自社内外も含め特定の人にしか見られたくない情報) | 経営者の重要情報 |
先程のJIS Q 27002を踏襲し分類を定め、分類とラベル名を同じ名前に、
守るべき情報として暗号化する対象を社外秘情報と機密情報にしてみました。
メディア掲載用の情報を暗号化しなかったのは、守るべき情報ではないので、分類だけしてあるイメージです。
保護についてももう一歩踏み込んで説明します。(保護機能はMicrosoftのIRM機能が使われています。)
ラベルに保護機能を設定する時、予め保護対象を設定しておく方法と、ラベルを付けたユーザーに委ねる方法の2種類あります。
先程の図表の中で、自社以外の人には見られたくない社外秘情報と自社内外も含め特定の人にしか見られたくない機密情報がありました。
社外秘情報は、予め保護対象を社内ユーザーとして設定しておき、
機密情報は、どの人に対して権限を与えるかは可変的であるためラベルを付けたユーザーに委ねる方法が適します。
IDに対してどの権限を与えるかについては、以下5種類のアクセス許可設定が選択可能です。[6]
・閲覧者(表示のみ)
・レビュー担当者(表示、編集)
・共同作成者(表示、編集、コピー、印刷)
・共同所有者(フルコントロール)
・自分のみ
(予め保護対象を社内ユーザーとして設定する方では、上記の自分のみ以外の4種に加えて、カスタム設定ができます。)
ラベルを付与した本人は、基本的にファイルのフルコントロール権限を持ちます。
ラベル付与者が退職されたりして、社内で誰も開ける人がいなくなった場合は、
スーパーユーザーを設定し、自社が発行する保護ラベル付きファイルを全て操作可能にしておくことができます。
他ラベルを作成する時の考え方として、例えば持株会社と頻繁にデータをやり取りするのであれば、
予め持株会社用ラベルを作成しておくことで、持株会社との情報だと可視化(分類)でき、
復号化できるユーザーについても事前に自社と持株会社のユーザーのみと設定しておくのが綺麗かなと思います。
では、ラベルはどの情報に対して適用できるかというと、主にドキュメント(Officeファイル等)やメールに適用します。
ドキュメントやメール以外にもMicrosoft Teams サイト、Microsoft 365 グループ (以前は Office 365 グループ)、およびSharePoint サイトなどのコンテナーにあるコンテンツ、スキーマ化されたデータ アセット(SQL、Azure SQL、Azure Synapse、Azure Cosmos、AWS RDS など)に対しても、ラベルを適用できます。[7](特定のフォルダの下位層に存在するファイルに対して一括で同じラベルを付けることも可能です。[8])
こちらの弊ブログ記事を併せてご覧いただければよりイメージしやすいかと思います。[9]
ラベルを付けることでファイルの拡張子が変わるものもありますので、導入の際に他サービスとの兼ね合い等も調査することもあります。
Officeファイルに関しては、ラベルをつけるとファイルプロパティに[カスタム]プロパティが暗黙的に付与されますので、
ファイルプロパティによって、制御できる機能を持つサービスとの組み合わせが可能になります。
例えば、Microsoft Exchange のメールフロールールで、「プロパティ内のoooo項目がxxx値だった時にメール送信を禁止する」といったような具合です。
注意点としては、
分類しかしないラベル(保護機能がないラベル:公開情報ラベル)と
分類と保護をしているラベルとで、サポートされる拡張子は別になることです。
例えば、csvやzipファイル(コンテナーファイル)の拡張子に対して、分類しかないラベル(公開情報ラベル)はつけることができません。
保護をしているラベルのサポートされる拡張子においても、
拡張子によっては、アクセス許可設定が行えないファイルがあります。
例えば、zipファイルは、先ほど紹介した5種類のアクセス許可設定を設定できない[汎用的な保護]となり、ユーザーチェックのみ行われます。
復号化後はそのユーザーにフルコントロール権限が与えられます。
暗号化していないラベルを暗号化するラベルに更新した場合、
クラウド上で確認ができるOffice for the Web など、Teams や OneDrive などに保存されているファイルに対しては、自動的にラベル情報が更新され、
クラウド上で確認ができないローカルやファイルサーバーに保存しているファイルに対しては、ラベルの付け直しが必要になります。
2つめの概念は”ラベルポリシー”という概念です。この概念を一言で説明すると”秘密度ラベルの適用に関するルール”です。
ルールの内容としては、
・どのユーザーに対してどのラベルを扱えるようにするか。
・ユーザはラベルを削除したり、優先度が低いラベルに付け替えるときは、理由を記述しなければならないするか。(変更理由はログに残ります。)
・メールやドキュメントに必ず何らかのラベルを付ける必要があるか。
等になります。
例えば、重役に該当する方だけに割り当てるルールを作ることで、その方しか機密情報ラベルを使えなくすることができます。
ラベルポリシーに関しては、Microft PurviewのUI画面で設定できない項目が多く存在し、
PowerShellを使うことでよりきめ細かい内容を設定できます。[10]
例えば
・Outlook クライアントからのメール送信時に、ラベルに応じたポップアップを表示し、制御を加える[11]
・Office アプリでInformation Protection バーを表示する
・監査データが AIP およびMicrosoft 365分析に送信されないようにする
等があります。導入の際に検討する内容もありますが、実運用に載せた後にチューニングしていく内容も多いです。
注意点としては、
ラベルポリシーによる制御によって、適用先の部署で問題が起きないかどうかを網羅しておく必要があります。
例えば、RPAを導入している部署に対して、ラベル付け必須のポリシーを適用することでRPA処理が止まり、タスク数を増やす改修作業が必要になったり、
明らかに分類・保護対象の情報資産を扱わない人に対して適用すると、問い合わせの元や管理工数が上がってしまう等が想像されます。
以上がMPIPを知るうえで必要な2つの概念の説明になりました。
MPIPを運用する上で
ラベル付きファイルを操作(作成・編集・削除等)した場合、既定でログに残ります。
ログはMicroft Purview機能のアクティビティエクスプローラーに集積されます。[12]
また、保護付きのラベルファイルは、相手に渡した後でもアクセス権を剥奪することが可能です。
ファイルを渡した相手がログ上でおかしな挙動をした場合、アクセス権を剥奪し情報を守ります。
注意点としては、
アクティビティエクスプローラーは30日間しか保持しないため、定期的にログをエクスポートしておく必要があります。
また、一度のエクスポートではログは1万件までしかサポートされません。
フィルター機能で1万件以内にして複数回エクスポートしたり、代替機能を使う必要があります。[13]
もとはAzureの機能だったがM365に統合されたと前述しましたが、AIPのログをAzure Log Analyticsで管理できなくなりました。
→ 未定の域は出ませんが、多くのユーザーからM365で確認できるログ情報について問い合わせがあるようです。今後の発展に期待しましょう。
アクセス権の剥奪についても、相手がオンラインであることが前提になるので、次に相手がオンラインになった際に機能することを押さえておきましょう。
さいごに
最後まで本記事を読んでくださりありがとうございました。
MPIPについてまとまっている記事(特に日本語)が少なかったため、MPIPのコンセプトと現時点でできること(+注意点)をまとめました。
今後もMPIPの機能は拡充されていくと思うので、また、弊ブログ・FAQで紹介させて頂ければ幸いです。
MPIPは他の機能と組み合わせることで、より機能を発揮します。
同じ[ Microsoft Purview ]の機能である[ Data Loss Prevention (DLP)]と組み合わせることで、
自動的にラベル付与する仕組みを取ることも可能ですし、[ Microsoft Defender ]にあるCASB機能[ Cloud Apps ]と組み合わせることも可能です。
弊社ではM365製品の活用方法や技術サポートをご支援させていただくサービスがございます。
お困り事やご相談事ありましたらお気軽にご連絡いただければ幸いです。
参考記事
[はじめに]
[1]:経済産業省のデジタル・トランスフォーメーション(経済産業省サイト)
https://www.meti.go.jp/policy/digital_transformation/index.html
[2]:情報保護とデータ ライフサイクル管理の概要(Microsoftサイト)
https://docs.microsoft.com/ja-JP/learn/modules/m365-compliance-information-governance/introduction
[MPIPの概要]
[3]:Microsoft Purview を使用して機密データを保護する(Microsoftサイト)
https://docs.microsoft.com/ja-jp/microsoft-365/compliance/information-protection?view=o365-worldwide
[4]:RMS から Azure ADへの移行Information Protection(Microsoftサイト)
https://docs.microsoft.com/ja-jp/azure/information-protection/migrate-from-ad-rms-to-azure-rms
[5]:JIS Q 27002 について(JISCサイト・kikakurui.comサイト)
[5-1]https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?toGnrJISStandardDetailList
[5-2]https://kikakurui.com/q/Q27002-2014-01.html
[できること(+注意点)]
[6]:Azure Information Protection の使用権限を構成する(Microsoftサイト)
https://docs.microsoft.com/ja-jp/azure/information-protection/configure-usage-rights
[7]:秘密度ラベルを使用して、Microsoft Teams、Microsoft 365 グループ、SharePoint サイトのコンテンツを保護する(Microsoftサイト)
https://docs.microsoft.com/ja-jp/microsoft-365/compliance/sensitivity-labels-teams-groups-sites?view=o365-worldwide#enable-this-preview-and-synchronize-labels
[8]:【AIP】一括で複数ファイルのラベルを操作する方法はありますか(弊社FAQ記事)
https://cloudsteady.jp/post/55569/
[9]:社外秘のデータを分類・保護してみましょう(弊社ブログ記事)
https://cloudsteady.jp/post/57908/
[10]:管理者ガイド: Azure Information Protection統合ラベル付けクライアントのカスタム構成(Microsoftサイト)
https://docs.microsoft.com/ja-jp/azure/information-protection/rms-client/clientv2-admin-guide-customizations
[11]:AIP メール送信時のポップアップ制御について(弊社ブログ記事)
https://cloudsteady.jp/post/53269/
[12]:アクティビティ エクスプローラーの使用を開始する
https://docs.microsoft.com/ja-jp/microsoft-365/compliance/data-classification-activity-explorer?view=o365-worldwide
[13]:Azure Log Analytics での AIP ログ分析が提供終了なので代替手段をまとめてみる。(弊社ブログ記事)
https://cloudsteady.jp/post/56023/
[MPIPを体系的に学ぶ]
・MCP試験 SC-400: Microsoft Information Protection 管理者(Microsoftサイト)<サイト内にラーニングパスが用意されています。>
https://docs.microsoft.com/ja-jp/learn/certifications/exams/sc-400
(この記事が参考になった人の数:4)
読み込み中...