皆さん、こんにちは。ヘルプデスクの田中です。
前回「Endpoint DLP で情報漏えいの強化を試してみる」を執筆させていただきました。
今回は、Microsoft 社の「秘密度ラベル」をご紹介したいと思います。
秘密度ラベルは、Microsoft Purview Information Protection の中の一機能として備わっています。
Microsoft Purview を使用して機密データを保護する
Azure Information Protection の機能を利用しており、暗号化の仕組みは同じものとなります。ただ、構成する場所が違うため、以下のように覚えてもらえれば大丈夫かと思います。
秘密度ラベルになって優れた点は、iOS、および Android のモバイル アプリでラベルが付与できるようになっています。どのような機能が利用可能なのか等、詳細は以下の Docs を確認してみてください。
秘密度ラベルで出来ることは、以下の Docs を確認することで網羅可能です。今回は、組織内 (テナント内) のみ閲覧可能なラベルをファイル (Word) に付与したときの動作確認まで実施しようと思います。
では、構成していこうと思います!
今回は、手動による秘密度ラベル付けを実施予定となります。「やりたいこと」によってライセンス要件が変化するため、必要なライセンスの詳細は以下を確認してみてください。
Microsoft Purview Information Protection: 秘密度ラベル付け
Microsoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/) に管理者アカウントでサインインして、[情報の保護] - [ラベル] を選択します。
[ラベルの作成] を選択します。
[ラベルに名前を付けてヒントを作成する] 画面に遷移後、以下のように入力して、[次へ] をクリックします。
左右にスクロールしてご覧ください。
| 項目 | 設定値 | 備考 |
|---|---|---|
| 名前 | 組織内 | 管理ポータルに表示 |
| 表示名 | 組織内 | ユーザーラベルに表示 |
| ユーザー向け説明 | このラベルは、組織内ユーザーのみ閲覧可能なラベルです | ユーザーラベルに表示される説明 |
| 管理者向けの説明 | 組織内が閲覧可能なラベル | 管理ポータルに表示される説明 |
[このラベルの範囲を定義する] 画面に遷移後、「ファイルとメール」にチェックを入れて、[次へ] をクリックします。
[ファイルとメールの保護設定を選択] 画面に遷移後、「ファイルとメールを暗号化」にチェックを入れて、[次へ] をクリックします。
[暗号化] 画面に遷移後、以下のように入力して、[次へ] をクリックします。
左右にスクロールしてご覧ください。
| 項目 | 設定値 | 備考 | ||||||
|---|---|---|---|---|---|---|---|---|
| 暗号化 | 暗号化設定を構成 | ― | ||||||
| アクセス許可を今すぐ割り当てますか、それともユーザーが決定するようにしますか? | アクセス許可を今すぐ割り当てる | ユーザーラベルに表示 | ||||||
| コンテンツに対するユーザーのアクセス許可の期限 | 許可しない | アクセス許可の期限を設定することが可能 | ||||||
| オフライン アクセスを許可する | 常に許可 | オフライン状態で暗号化ファイルへのアクセスを許可することが可能。 ※ ただし、一度でもファイルにアクセスしていないとオフラインアクセスはできません。 |
||||||
| 特定のユーザーとグループにアクセス許可を付与する | ||||||||
|
||||||||
[ファイルとメールの自動ラベル付け] 画面に遷移後、そのまま [次へ] をクリックします。
[グループとサイトの保護設定を定義] 画面に遷移後、何もせずに、[次へ] をクリックします。
[スキーマ化されたデータ アセットの自動ラベル付け (プレビュー)] 画面に遷移後、そのまま [次へ] をクリックします。
[設定を確認して完了] 画面に遷移後、そのまま [ラベルを作成] をクリックします。
[秘密度ラベルが作成されました] 画面に遷移後、[完了] をクリックします。
その後、正常に作成されたことを確認した上で完了です。
次に、ラベル ポリシーを作成してユーザーにポリシー適用していきます。ラベルポリシーは、作成したラベルを対象ユーザーに表示させるなど、ポリシーで管理することが可能です。
Microsoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/)に管理者アカウントでサインインして、[情報の保護] – [ラベル ポリシー] を選択します。
[ラベルを発行] を選択します。
[発行する秘密度ラベルを選ぶ] 画面に遷移後、[発行する秘密度ラベルを選ぶ] をクリックします。
[発行する秘密度ラベル] 画面に遷移後、発行したい秘密度ラベルにチェックを入れて[追加] をクリックします。
[発行する秘密度ラベル] に選択したラベルが表示されていることを確認し、[次へ] をクリックします。
[ユーザーとグループに発行する] 画面に遷移後、「選択 ユーザーまたはグループ」をクリックします。
[ユーザーとグループ] 画面に遷移後、ポリシーを適用したいユーザー、またはグループにチェックを入れて[完了]をクリックします。
※ 尚、運用上、グループで適用するのが良いです。ただし、グループを適用する場合は、"メールが有効なグループ" が対象となりますのでご注意ください。
[ユーザーとグループ] に選択したユーザー、またはグループが表示されていることを確認し、[次へ] をクリックします。
[ポリシーに設定] 画面に遷移後、何もせずに、[次へ] をクリックします。
[ドキュメントに既定のラベルを適用する] 画面に遷移後、[次へ] をクリックします。
※ 尚、本項目は秘密度ラベルのつけ忘れ等を防止するため、既定のラベルを設定するのも良いと思います。
[メールに既定のラベルを適用する] 画面に遷移後、[次へ]をクリックします。
[Power BI コンテンツにこの既定のラベルを適用する (プレビュー)] 画面に遷移後、[次へ] をクリックします。
[ポリシーの名前を設定する] 画面に遷移後、ポリシー名前を入力し、[次へ] をクリックします。
[確認と完了] 画面に遷移後、問題ないことを確認し、[送信] をクリックします。
[新しいポリシーが作成されました] 画面に遷移後、[完了] をクリックします。
その後、正常に作成されたことを確認した上で完了です。
実際に動作確認をしてみましょう!
今回のシナリオは、ラベルを適用したファイルを組織外のユーザーに誤送信してしまった場合とします。
尚、検証用デバイスには「Azure Information Protection 統合ラベル付けクライアント」がインストールされています。
まず、Wordを起動して “白紙の文書” を選択すると、「秘密度」があります。
「秘密度」をクリックしてみると、作成したラベルが表示されていることがわかります。
「バーの表示」をクリックすると、Officeのリボン下に利用可能なラベルが、バーとして表示されます。
実際に「組織内」のラベルをクリックすると、設定した暗号化が適用されます。
「権限の表示」をクリックしてみると、どのような権限が付与されているのかを確認することができます。今回は、アクセス権を「Co-Author」で設定しているため、こちらの権限が付与されています。
ファイルを保存して、組織外のユーザーにファイルを送付します。
※ メールにも「秘密度」があるので、メール自体に暗号化を適用することもできます。
では、組織外のユーザーでファイルを開いてみます。
ファイルが開けないことを確認できました。尚、「アカウントの追加」をクリックすると、認証画面が表示されますが、認証しても、下記画像が再度表示されるだけとなります。
いかがでしたでしょうか。事前にファイルに対して秘密度ラベルを適用しておくことで、誤送信があったとしても、情報漏えいを防げていると考えられますね。
ただ、秘密度ラベルは、「ユーザーにラベルの適用を一存する」とも筆者は考えておりますので、つけ忘れやラベルの削除等を考えると、DLPやその他のコンプライアス機能を組み合わせることがより良いセキュリティ対策になると思っています。
ラベルに慣れていくための利用者向けの教育も必要と考えますが、何もしないよりは、まずは導入して使いこなすことにより、ユーザー1人1人が情報漏えいに対して意識をするようになると考えているため、良い製品になると考えています。
次回も EMS に関連する記事、または自分が興味ある分野について執筆していこうと思います。最後まで読んでいただきありがとうございました!
関連ページ |
