こんにちは、ヘルプデスクの織田です。
Microsoft 365 等のクラウドサービスを利用して、デバイス、認証、コミュニケーション、セキュリティ、コンプライアンスの管理を行っている組織が増えてきているかと思います。
ただ、様々な製品を導入した半面、現在の構成内容にコンプライアンス リスクが潜んでいないか不安を抱いているご担当者様も多いのではないでしょうか。
今回はそういった課題を解消するにあたり、強力なツールとなる 「Microsoft Purview コンプライアンス マネージャー」 をご紹介します。
クラウド環境におけるガバナンス強化の参考にしていただけると幸いです。
コンプライアンス リスクは「組織のコンプライアンス状態に影響を与える要因」のことですが、
どういったものがコンプライアンス リスクに該当するか、ぱっと浮かぶ方は少ないかなと思います。(私もそうでした・・・)
ということで、リスクの種類を調べてみました。
次に、これらのリスクに対して、Microsoft 365 製品がどうかかわってくるかを考えていきたいと思います。
Microsoft 365 製品は「労務に関するリスク」、「情報漏洩に関するリスク」の対策に貢献できると考えられ、各リスクに対応可能な Microsoft 365 製品としては、以下のようになってくると思います。
左右にスクロールしてご覧ください。
リスク内容 | リスク種類 | Microsoft 365 製品 | Microsoft 365 製品でできる対策 |
---|---|---|---|
各種ハラスメント | 労務に関するリスク | Microsoft Purview コミュニケーションコンプライアンス | Microsoft Teams、Exchange Online、Yammer におけるハラスメントに該当する言動の検知。 |
機密情報・個人情報の漏洩 | 情報漏洩に関するリスク | Microsoft Purview Information Protection | 場所に関わらずに、データ (ファイル) の分類と保護を実現する。 例えば、社外へ機密情報を誤って共有してしまったとしても、本機能で事前にファイルやメールに社内のユーザーしかアクセスできない保護をかけることで社外のユーザーの閲覧を防ぐことを実現する。 |
機密情報・個人情報の漏洩 | 情報漏洩に関するリスク | Microsoft Purview インサイダーリスク管理 | 組織内の悪意のあるアクティビティや不注意によるアクティビティを検出、調査、および操作できるようにすることで、内部リスクを最小限にする。 |
セキュリティ対策不足 | 情報漏洩に関するリスク | Microsoft Intune | デバイスの更新プログラム管理、セキュリティポリシーの展開を行える MDM 製品であり、BitLocker による暗号化や Microsoft 社が推奨するセキュリティベースラインの展開を行うことでデバイスのセキュリティ対策を実現。 |
セキュリティ対策不足 | 情報漏洩に関するリスク | Microsoft Defender for Endpoint | エンドポイント (デバイス) 全体の高度な脅威の検出と対応を可能とする。 |
セキュリティ対策不足 | 情報漏洩に関するリスク | Azure AD | 条件付きアクセス、Identity Protection といった機能で、ID ベースのリスクの検出と修復と、それらのリスクの調査を自動化を実現。 |
セキュリティ対策不足 機密情報・個人情報の漏洩 |
情報漏洩に関するリスク | Microsoft Defender for Cloud Apps | サードパーティも含むクラウド サービスを対象に、検出、調査、ガバナンスの適用を実現。 |
Microsoft 365 製品をうまく活用することで、コンプライアンス リスク対策、およびセキュリティ対策につながってくると思います。
製品別の対応を深掘りしていくと膨大な情報量となるため、今回は割愛させていただきます。
もし、具体的な活用方法を確認したい方は、以下のサイトをチェックしてみることをお勧めします。
参考サイト (インサイダーリスク):Microsoft Purview インサイダー リスク ソリューション
参考サイト (情報保護):Microsoft Purview を使用して機密データを保護する
参考サイト (セキュリティ):Microsoft 365 テナントにランサムウェア保護を展開する
ここまで、コンプライアンス リスクの種類の説明と、それに対応した Microsoft 365 製品の紹介をしてきました。
時代の変更に伴い、リスクの種類や内容が変容しており、考慮できていなかったリスクも出てくるかもしれません。
次はそういった悩みを払拭できるであろう Microsoft 365 の機能「Microsoft Purview コンプライアンス マネージャー」をご紹介させていただきます。
Microsoft Purview コンプライアンス マネージャーについて、Microsoft 社の公開情報では以下のように紹介されています。
<Microsoft 社公開情報抜粋>
Microsoft Purview コンプライアンス マネージャーは、組織のマルチクラウド コンプライアンス要件をより簡単かつ便利に管理するのに役立つ Microsoft Purview コンプライアンス ポータルの機能です。
コンプライアンス マネージャーは、データ保護リスクのインベントリの作成から、複雑な制御の実装の管理、規制や認証の最新情報の入手、監査人への報告まで、コンプライアンスの過程全体を支援します。
参考サイト:Microsoft Purview コンプライアンス マネージャー
Microsoft Purview コンプライアンス マネージャーは、Microsoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/) を利用します。
概要タブには、コンプライアンス状況を表すコンプライアンス スコアが表示されます。
なお、初期設定では、データ保護と一般的なデータ ガバナンスに関する主要な規制と基準を含む一連のコントロールを含んだ「Microsoft 365 データ保護ベースライン」に基づいた評価が表示されます。
ソリューション (製品) 別にコンプライアンスに関するスコアを展開してみると、コンプライアンススコアが低い要因が項目別に確認できます。
さらに、不合格と判定されている項目を展開してみると、改善内容 (実装) と改善対応を行うことで受ける影響 (Related Controls) を確認できます。
■ 実装
■ Related Controls
上記の不合格項目は、グローバル管理者の役割をもつアカウントは1名のみに依存する場合のリスクが指摘されています。
[実装] のメニューの中に、以下のサイトリンクがページ内に貼られており、実装にあたっての考慮事項も確認できるようになっています。
参考サイト:手順 2 Microsoft 365 特権アカウントを保護する
これらの改善事項を対応すると、スコアが向上するといった仕組みになっております。
コンプライアンス スコアの評価にはいくつかルールがあります。詳しくは、以下のサイトをご確認ください。
参考サイト:コンプライアンス スコアの計算
簡単にではありますが、「Microsoft Purview コンプライアンス マネージャー」 のメニューを確認していきました。
「Microsoft Purview コンプライアンス マネージャー」は、Microsoft 365 環境におけるコンプライアンス リスクを業界標準の指標に則って、リスクの評価と改善方法のアドバイザリーを提供する機能であり、表示されたアドバイザリーを参考に改善対応をすることで、組織のコンプライアンス リスクとセキュリティ リスクの軽減の手助けになってくれると思います。
なお、コンプライアンス スコアの評価は 「Microsoft 365 データ保護ベースライン」 に基づいた評価が初期設定となっておりますが、政府や業界標準に基づいたプレミアム評価テンプレート (有償オプション) を適用することもできます。
金融業界であれば、PCI DSS のテンプレートを適用するといった使い方が考えられます。
次は、どのようにコンプライアンス スコアをあげていくかのアプローチを考えていきたいと思います。
コンプライアンス スコアを向上するためには、[改善のための処置] に表示される製品別の各種課題をクリアしていくことになります。
ただし、一人の担当者がすべての改善を行うことは現実的ではないと思います。
そもそも、業務領域 (デバイス、認証、セキュリティ、コンプライアンス) ごとに担当が分かれており、担当領域ごとに各担当者に協力いただくことが必要になってくると思います。
その協力依頼は、対応内容を各担当者に説明して対応してもらうのも骨が折れる対応であるといえます。
そこで、「Microsoft Purview コンプライアンス マネージャー」 の機能を利用して、この部分の効率化を検討してみたいと思います。
運用イメージとしては以下の通りです。
「Microsoft Purview コンプライアンス マネージャー」から各担当チームに改善事項の通知を行い、それをもとに担当チームが改善を行っていくイメージとなります。
デバイス管理チームへの改善通知を例に、上記の運用が実現可能かを検証していきたいと思います。
コンプライアンスマネージャーは、Microsoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/) にサインインします。
[ソリューション] タブより、今回のターゲット製品である [Intune] の [残っている処置] を開きます。
Intune における改善事項が表示されるので、内容を確認の上、今後のアクションを検討します。
[保留中の更新] と表示される場合がありますが、こちらは前回確認時から変更があったものを示します。
これらに対するアクションとしては、内容を確認の上、[更新の承認] を行います。
以下のように個別で承認する以外に、すべての更新を承認するといったアクションもできます。
次に、デバイス管理チームの改善事項を通知するアクションとして、通知を行う改善項目にチェックを入れ、[ユーザーに割り当てる] を開きます。
デバイス管理チームの担当者であるヘルプ一郎さんを設定し、[割り当てる] を選択します。
選択した改善項目の割り当て先がヘルプ一郎さんになっていることを確認します。
では、次にデバイス管理チームの担当者であるヘルプ一郎さんに、どのような通知がされたかを確認していきたいと思います。
ヘルプ一郎さん宛に、以下のメールが通知されていました。通知は成功したようです!
ヘルプ一郎さんは、改善事項を確認するために、メール内の [View all actions assigned to you in Compliance Manager] をクリックします。
Microsoft Purview コンプライアンス ポータルに移動したが、アレ! 何も表示されない・・・
これは至ってシンプルな理由があります。それは、Microsoft Purview コンプライアンス マネージャーを利用するのに必要な権限がないためです。
「言われてみればそうか!」となるのですが、意外と見落としやすいところではあるので、注意が必要です。
では、ヘルプ一郎さんに、Microsoft Purview コンプライアンス マネージャーを利用するのに必要なロールの割り当てを行います。
コンプライアンスマネージャーは、Microsoft Purview コンプライアンス ポータル (https://compliance.microsoft.com/) にサインインし、
[アクセス許可] より、[Microsoft Purview ソリューション] の [役割] を選択します。
割り当てる権限はなるべく最小権限にとどめるため、今回は参照権限のみを保有する [Compliance Manager Readers] をヘルプ一郎さんに割り当てます。
ヘルプ一郎さんに必要な権限が付与されましたので、再度通知メールよりMicrosoft Purview コンプライアンス マネージャー にアクセスしてみたいと思います。
今度は割り当てられている改善事項が表示されました。
これをもとに、デバイス管理担当であるヘルプ一郎さんは改善のアクションを行っていきます。
まだまだ整理が必要な項目や確認できていない機能が多数ありますが、全てに手を付けてしまうと結構なボリュームとなってしまうので、一旦、今回の検証はここまで (担当者への通知まで) とさせていただきます。
上手く使えこなせれば、ガバナンス強化に向けた強力なツールになってくれると感じました。
なお、私もまだまだ使いこなすまでは至っていないので、活用方法で何か良いアイデアをお持ちの方は、是非アドバイスいただけるとありがたいです!
今回は、「Microsoft Purview コンプライアンス マネージャー」を利用した組織のコンプライアンス評価について考えてみました。
日々、運用を行う中でどうしても抜け穴が生じてしまうと思います。
そういった抜け穴がないか、最新のセキュリティに準拠しているかを定期的に評価するツールとして、重要な役割を果たすことができると思います。
Microsoft 365 E5 のライセンスを保有しているお客様はこちらの機能を活用した定期的なコンプライアンス評価の実施を検討してみてはいかがでしょうか。
弊社では、Microsoft 365 製品の導入、運用支援を行っておりますので、是非ご相談いただけますと幸いです。
今回は以上となります。
関連ページ
「Enterprise Mobility + Security 導入支援サービス」はこちら |