今回からMicrosoft 365で提供されているコンプライアンス系の機能を学んでいきます。コンプライアンス系の機能はエンタープライス・管理者向けなので、あまり一般のユーザーからすると知らない情報が多く、いろいろ触りながら知見を得ていきたいと思います。
Microsoft 365のコンプライアンス機能
Microsoft Purviewとは
Microsoft Purview (Purview) は、Microsoft 365を始めとした様々なMicrosoftサービス群で統合的なデータガバナンスを実現するためのソリューションブランドです。読み方・発音としては、「パービュー」が近そうです。
Purviewは単一のサービスや機能ではなく、コンプライアンスやガバナンスに関わる複数の機能を総称したサービスブランドです。これらの特徴として、”データ”もしくは”データに対するアクション”を主軸においてガバナンスを効かせることがあります。
Microsoft Purviewのリスクとコンプライアンスソリューション
Purviewの中でもMicrosoft 365でデータの管理と監視、情報の保護、コンプライアンスリスクの最小化、規制要件の満たすのに役立つ機能が「リスクとコンプライアンス」ソリューションとしてまとめられています。
コンプライアンス・ガバナンスを効かせる目的
コンプライアンスやガバナンスは、組織が法令や規則を遵守するようにコントロールすることが目的になります。これは主に従業員やデバイスなど、内部に存在する要素に対して管理を効かせ、問題が起きないように監視していく必要があります。そのため、ユーザーの不注意による情報漏洩や内部不正の検知といったことを実現していきます。
昨今はリモートワークや働き方改革によってデータを扱う場所、時間、ツールが従来よりも多様化しています。そのため、場所にとらわれず組織が持つリソースをコントロールできなければいけません。
なお、近い概念としてはセキュリティが関連します。これは主に外部からの悪意を持った攻撃に対する防御措置が目的ですが、情報漏洩対策としては似た領域をカバーする部分もあります。
リスクとコンプライアンスソリューションでの保護と管理
Microsoft 365で提供されるリスクとコンプライアンスソリューションを使用して組織のコンプライアンスを守るためには、「保護」と「管理」という2つの観点があります。
機密データを「保護」する
保護のステップでは組織の中に存在する様々なデータ、特に機密データを守っていきます。
最初に、組織の中にあるデータを把握する必要があります。これはデータが保存される場所として、クラウドやオンプレミスを含めたどんな場所を利用しているのか整理します。これにはストレージサービスだけでなく、データをアップロードして利用するような社内システムやクラウドサービスも含みます。
次に、どのような種類のデータが存在するのかを把握します。ここではファイルの拡張子・種類だけでなく、データの中にどれくらいの機密情報が含まれているかということが重要です。データに含まれる情報に応じて、そのデータを識別するための分類機能として次のようなものがあります。
- 機密情報の種類
- 秘密度ラベル
- 保持ラベル
データを分類した後は、それぞれの識別に応じてデータに対する操作を監視したり制限したりできます。こういった機能はデータ損失防止(DLP)と呼ばれ、Microsoft 365上だけでなく様々な場所のデータを保護できるような連携機能も提供されています。
リスクとコンプライアンスを「管理」する
データの分類と保護に関する方針が定ったら、それらがきちんと守られて運用されているかを継続して管理する必要があります。また、管理の中にはファイルとしてのデータだけではなく、チャットメッセージなどのコミュニケーションデータも含めることができます。
- インサイダーリスク管理
- 通信コンプライアンス
- 情報バリア
- レコード管理
- 監査
- 電子情報開示
例えば、インサイダーリスク管理ではユーザーのアクティビティを場所的・時間的に横断で監視し、外部への機密情報の持ち出しなどの不正行為を検知してブロックすることができます。
また、そういったインシデントが発生した際に正確な追跡ができるよう、監査ログや操作対象のファイルの改竄を防止し、保管しておく機能も充実しています。
こういったコンプライアンスソリューションを利用して、次回以降組織のデータを守っていくための機能の使い方を学んでいきます。
コメント
来年度から「ネットワーク分離」→「ゼロトラスト」に移行するにあたり、まさにこのような記事を探していました。ありがとうございます!
今後も楽しみにしています、よろしくお願いします。