秘密度ラベル初心者が第1歩でつまづかないための「設計・運用」ポイント

Transcript

1. 秘密度ラベル初心者が 第1歩 でつまづかないための 「設計・運用」ポイント X : @seafay Linkedin：https://www.linkedin.com/in/seafay/ 出典: https://learn.microsoft.com/en-us/azure/networking/microsoft-global-network

2. 今日のハッシュタグは #ゆるPurview 自己紹介 所属： NSW株式会社 業務： Azure / Microsoft 365

   などの コンサルティング 資格： 情報処理安全確保支援士 など 近況： Microsoft Top Partner Engineer Award 3年連続受賞 「ひと目でわかるIntune 第3版」増刷されました。 Blog： https://contoso.pw/ Linkedin： https://www.linkedin.com/in/seafay/ 高橋 憲太郎 @seafay 2

3. 今日のハッシュタグは #ゆるPurview 本日のゴール 3 Microsoft Purview で転んでケガをする前に、そこに障害物が存在していることを把握して、 安全に Microsoft Purview

   を理解し、初心者を卒業しましょう。 そのうえで、秘密度ラベルを次の観点で理解します。 • 何を守るための仕組みなのか • どの機能と連携するのか • どこで設計ミスが起きやすいのか • 運用で何を監視・改善すべきなのか 本日の資料は、勉強会後公開します。

4. 基本機能の解説

5. 今日のハッシュタグは #ゆるPurview Microsoft Purview とは？ Purview = データを 「見て」 「判断」

   「制御」 「振り返る」 仕組み 5 組織のデータが 「どこにあり」 「どんな内容で」 「誰が利用でき」 「どういう状態にあるか」 を把握し、一貫してコントロールできる状態を作るため（運用するため）の仕組みです。 レイヤー 目的 運用における役割 カタログ データ資産の全体最適化を可能にする 全体傾向・リスク集中領域の把握 データの分類 制御ポリシーの判断基準を定義する データのリスク判断基準の付与 データの保護 不正利用・漏洩を技術的に防止する アクセス・共有・持ち出しの制御 監査・証跡 統制が機能しているか検証可能にする 操作履歴の追跡とインシデント分析 統制 組織として一貫した運用を維持する ポリシー適用と継続的な統制維持 Microsoft Purview

6. 今日のハッシュタグは #ゆるPurview Microsoft Purview とは？ 6 改善・再評価 (継続的改善) 4つのステップを継続的に回すことで、 組織のデータを安全に活用できる状態を維持

   Microsoft Purview

7. 今日のハッシュタグは #ゆるPurview 秘密度ラベル 7 秘密度ラベルは、データに対して 「この情報をどう扱うべきか」を示すための分類情報です。 秘密度ラベルには、3つの層があります。 • 視覚層（コンテンツマーキング）： ヘッダー、フッター、透かしなどで、利用者に情報の取り扱いレベルを見せる。

   • 管理層（メタデータ）： ファイルにラベル情報を付与し、DLP、自動分類、検索、監査などの判断材料にする。 • データ層（暗号化/アクセス制限）： 許可された利用者だけが開けるようにし、ファイルそのものに保護をかける。

8. 今日のハッシュタグは #ゆるPurview 視覚層（コンテンツマーキング）： 8 利用者に対して「この情報はどう扱うべきか」を明示するための層です。 設計上の注意 表示内容が長すぎる、意味が曖昧、業務文書を邪魔する、 こうした設計は利用者の反発を招きます。 どう使われるか •

   ヘッダーへの表示 • フッターへの表示 • 背景への透かし • ラベル名の表示 コンテンツマーキング

9. 今日のハッシュタグは #ゆるPurview 管理層（メタデータ） 9 ファイルに付与されたラベル情報をシステムが判断できる形で保持する層です。 重要なポイント メタデータにフラグとなる機能の制御情報を持つこと。 何に使われるか • DLP

   の判定条件 • 自動ラベル付けの判断 • 検索・分類 • 監査・レポート • 後続の運用分析

10. 今日のハッシュタグは #ゆるPurview データ層（暗号化/アクセス制限） 10 ファイルに保護をかけ、許可された利用者だけが利用できるようにする層です。 設計上の注意 暗号化は業務影響も大きく、RPA、業務システム、外部連携、モバイル利用などに影響します。 何に使われるか • 閲覧権限の制御

    • 編集権限の制御 • 印刷やコピーの制限 • 外部共有時の保護 • 退職者・異動者へのアクセス制御

11. 今日のハッシュタグは #ゆるPurview 秘密度ラベルの利用ステップ 11 1.ファイルにラベル付与 2.権限設定 3.アクセス制御の実現

12. 今日のハッシュタグは #ゆるPurview コンテナ（場所）ラベル 12 アイテム用ラベルとの違い • アイテム用ラベル：ファイルやメールに付与する • コンテナラベル：Teams や

    SharePoint サイトなどの場所に付与する コンテナラベル利用例 • 外部ユーザーの参加可否 • 外部共有の可否 • プライバシー設定 • アクセス制御の方針 コンテナラベルは、Teams、Microsoft 365 グループ、SharePoint サイトなど、 データが置かれる場所に対して適用するラベルです。 重要なポイント データが保存される場所を保護する仕組みです。

13. 今日のハッシュタグは #ゆるPurview 自動ラベル付けと自動ラベル付けポリシー 13 クライアント側の自動ラベル付け Office アプリなど、利用者の操作時点でラベルを推奨・適用する。 サービス側の自動ラベル付けポリシー SharePoint、OneDrive、Exchange などのサービス側で、保存済みデータに対して

    ラベルを適用する。 ファイルやメールの内容に応じて、ラベルの推奨または自動適用を行う仕組みです。 設計上の注意 誤検知・過検知・未検知が必ず発生します。 最初から強制ではなく、検出、推奨、限定適用の順で進めます。

14. 今日のハッシュタグは #ゆるPurview ラベルの発行プロセス 14 秘密度ラベルは、作成後、展開プロセスが必要です。 そして、誰に、どの順番で、どの強さで展開するかが重要です。 ラベルの作成 ラベルの発行 展開されたラベル 範囲と機能定義

    • 対象データ（どこで使うか） • 保護レベル（暗号・制御） • 自動判定条件（キーワード / SIT） 適用定義 • 対象ユーザー / グループ • 強制レベル（必須/規定値/推奨/自動） • 例外設計（格下げ） 利用可能なラベル • 表示ラベルの数 • アプリによる挙動の違い （Exchange / SharePoint / Teams / Endpoint）

15. さぁ、秘密度ラベルを始めようと思ったら

16. 今日のハッシュタグは #ゆるPurview 多くの組織がここで考えること 1. ラベルを何種類作るか 2. ラベル名をどうするか 3. 暗号化を使うか 4.

    自動ラベルを使うか 5. DLP と連携するか よくある一言、「ベストプラクティス！！」

17. 今日のハッシュタグは #ゆるPurview そして、なぜ多くの導入は失敗するのか 17 Checkpoint 1：ラベルを増やしすぎる → 分類できない Checkpoint 2：必須ラベルをON

    → 現場が止まる Checkpoint 3：暗号化をON → システム連携が死ぬ Checkpoint 4：全社展開 → 調整不能 Checkpoint 5：運用崩壊 → 誰も使わなくなる

18. 今日のハッシュタグは #ゆるPurview 最初に問うべきこと 18 あなたの組織は、組織のデータを どんな内容を含むデータを、どこまで、どのように統制したいのか。 組織のビジネスプロセスにおけるデータの扱いは組織によって異なる。 つまり、組織ごとに最適化すべきポイントが異なる。

19. 秘密度ラベル導入PJの開始 それって、つまり、忘れてたってこと？

20. 今日のハッシュタグは #ゆるPurview 導入プロジェクトスコープの考慮漏れ あのデータはどこに？ このデータは何？ 秘密度ラベルの導入では、データカタログ的な視点が重要になります。 「データカタログ」とは、組織のデータ統制の現在地を把握するための機能 なぜ重要か ラベルを付けても、次が分からなければ運用は詰まります。 どこに機密データが多いのか

    どの部門でラベル適用が進んでいるのか 未分類データがどこに残っているのか 過剰分類・過少分類が起きていないか コンテナの設定と実データがズレていないか 重要なポイント 後から分析できるようにデータカタログによる運用を設計しておく必要があります。 20

21. 今日のハッシュタグは #ゆるPurview 機能間連携の考慮漏れ 利用されるデータは常に移動し、変化する 秘密度ラベルは「点」で考えてはいけない 連携して考えるべき機能 • 秘密度ラベル • コンテナラベル

    • DLP • Insider Risk Management • eDiscovery • Audit • Information Barriers • SharePoint / OneDrive / Teams • Copilot / 生成AI よくある失敗 • ラベルと、DLP の連携がない • コンテナラベルとファイルラベルの使い分け • 監査ログをどう運用するかが未決定 • 生成AI利用時のデータ参照範囲の考慮漏れ 重要なポイント 組織のデータをストーリーでとらえる（時間軸/場所/人） 21

22. 今日のハッシュタグは #ゆるPurview 対象データソースの考慮漏れ 「組織のデータ」はどこに消えた？ 「組織のデータ」は Microsoft 365 の中だけにあるとは限らない。 考慮すべきデータソース •

    SharePoint Online • OneDrive for Business • Teams • Exchange Online • ローカルファイルサーバー • 業務システム • SaaS • データベース • 外部共有先 • バックアップ・アーカイブ 重要なポイント 秘密度ラベルの適用範囲だけでなく、組織のデータが存在している場所を確認する。 22

23. 秘密度ラベルの設計 この壁を越えて行け

24. 今日のハッシュタグは #ゆるPurview 設計における、第1の壁 「初期設定」 注意すべき初期設定 1. SharePoint 上で秘密度ラベルを扱うための設定 2. SharePoint

    上の PDF ファイルのラベル付けに関する設定 3. ラベル付きファイルの共同編集に関する設定 4. グループやサイトにコンテナラベルを付与するための設定 5. サブラベルではなく、ラベルグループを使う前提の整理 （テナントの開設時期によっては、移行が必要） 秘密度ラベルは、有効化すればすべての場所で期待どおり動くわけではありません。 重要なポイント 初期設定を見落とすと、設計上は正しいのに動かない状態になります。 24

25. 今日のハッシュタグは #ゆるPurview 設計における、第2の壁 「ラベルの定義」 25 管理者定義ラベル 組織として統一した分類・保護・監査を行うためのラベル。 ユーザー定義ラベル 利用者が個別に権限などを指定できる柔軟なラベル。 注意点

    ユーザー定義ラベルは便利ですが、統制の観点では非常に扱いが難しくなります。 • SharePoint 上での取り扱い（有効期限を使うと・・・） • 共同編集と自動保存（有効期限を使うと・・・） • 運用監査の難しさ • 利用者判断への依存 ラベルには、管理者が定義するものと、ユーザーが定義するものがあります。

26. 今日のハッシュタグは #ゆるPurview 設計における、第3の壁 「ラベルのスコープ」 26 ラベルは、どこにでも同じように適用すればよいわけではありません。 考えるべきスコープ • ファイル •

    メール • Teams • Microsoft 365 グループ • SharePoint サイト • OneDrive • 特定部門 • 特定ユーザー • 特定業務 よくある失敗 • 全社一律で出して混乱する • 一部部門だけ独自ラベルを作って分断する • ファイルラベルとコンテナラベルの役割が混ざる • スコープが広すぎて運用できない 重要なポイント 統制したい範囲と、運用できる範囲を把握する。

27. 今日のハッシュタグは #ゆるPurview 設計における、第4の壁 「生成AI向けのラベル」 AI用の特別なラベルで解決することが多い今日この頃 27 生成AI、特に Microsoft 365 Copilot

    の利用を考える場合、 秘密度ラベルの設計はさらに重要になります。 なぜ重要か 生成AIは、ユーザーがアクセス可能な情報をもとに回答を生成します。 そのため、アクセス権、ラベル、共有状態、データの置き場所が不適切だと、 意図しない情報露出につながる可能性があります。 考慮すべきこと • 機密データに適切なラベルが付いているか • 過剰共有されたサイトがないか • コンテナラベルと実データが一致しているか • Copilot 利用前に棚卸しすべきデータがあるか • 全社検索・生成AI利用に耐えられる権限設計か

28. 今日のハッシュタグは #ゆるPurview 設計における、第5の壁 「ラベルの優先度」 28 秘密度ラベルには優先度があります。 なぜ重要か ラベルの優先度は、次の判断に影響します。 • ラベルの昇格・降格

    • 自動ラベル付け • 既定ラベルユーザー操作 • 保護設定 • 監査時の判断 よくある失敗 • 強いラベルと弱いラベルの順序が曖昧 • ラベル名と優先度が一致していない • 降格時の理由入力を設計していない • 自動ラベルとの競合を考えていない 設計上の注意 組織としてどの情報をより強く守るかを表す設計要素です。

29. 秘密度ラベルの運用 気をつけろ！ そこに、落とし穴があるぞ！

30. 今日のハッシュタグは #ゆるPurview 運用における、第1の落とし穴「ラベルの名前」 ラベル名は、ユーザーが迷わない名前にする必要があります。 悪い例 • 部署名だけのラベル • 意味が重複するラベル •

    専門用語が多いラベル • 判断基準が説明されていないラベル • 「重要」「極秘」など感覚依存するラベル 重要なポイント ラベル名が悪いと、利用者は誤分類します。誤分類が増えると、DLP、監査、統制に影響 良い考え方 組織変更に左右されにくい、 情報の性質・ミッション・ビジネス機能を 基準にする。 例： • 財務 • 法務 • 知的財産 • 個人情報 • 契約情報

31. 今日のハッシュタグは #ゆるPurview 運用における、第2の落とし穴 「ラベルの展開」 31 ラベルは、展開方法を誤ると業務停止を招きます。 やってはいけない展開 • 初日から全社必須化 •

    暗号化ラベルを一斉適用 • 説明なしで既定ラベルを設定 • 業務影響を検証せずに自動ラベルを有効化 • 例外運用を用意しない 展開順序 • パイロット展開 • 推奨ラベル • 既定ラベル • 限定的な自動ラベル • 業務影響の確認 • 必須ラベル • 強制制御 重要なポイント 統制は利用者が使い続けられる強さで段階的に上げること

32. 今日のハッシュタグは #ゆるPurview 運用における、第3の落とし穴「ラベルの暗号化」 32 暗号化は業務システムや自動処理に影響します。 影響を受けやすいもの • RPA • バッチ処理

    • 業務システム連携 • 帳票出力 • 外部委託先とのファイル連携 • PDF 変換 • スキャン文書 • モバイルアプリ • サードパーティ製品 導入時の考慮点 • 暗号化を使う対象 • 暗号化しない対象 • 例外申請の流れ • 解除・再分類の承認者 • 障害時の対応 • 業務システム連携時の代替策 重要なポイント 暗号化はデータの保護機能であると同時に、業務を止める可能性がある機能です。

33. 今日のハッシュタグは #ゆるPurview 運用における、第4の落とし穴「ラベルの暗号化」 33 ラベルを「機密」から「一般」へ下げるような操作は、統制上の重要なイベント です。 なぜ重要か ラベルの格下げは、次のリスクにつながります。 • 本来守るべきデータが保護対象から外れる

    • DLP の対象外になる • 暗号化が解除される • 外部共有可能になる • 監査時に説明できなくなる 監査すべきこと • 誰が格下げしたか • いつ格下げしたか • どのファイルを格下げしたか • 理由は妥当か • 同じユーザーが繰り返していないか • 部門単位で偏りがないか 重要なポイント ラベルの格下げは、単なるユーザー操作ではありません。 統制の例外処理として監査するべき操作です。

34. 秘密度ラベルの導入ガイド 失敗する組織の共通点

35. 今日のハッシュタグは #ゆるPurview なぜ秘密度ラベル導入は失敗するのか 35 Checkpoint 1：ラベルを増やしすぎる / 複雑なラベル設計を展開する → 分類できない

    Checkpoint 2：必須ラベルを有効化 → 現場が止まる Checkpoint 3：暗号化を有効化 → システム連携が死ぬ Checkpoint 4：いきなり全社展開 → 調整不能 Checkpoint 5：次第に運用崩壊 → 誰も使わなくなる

36. 今日のハッシュタグは #ゆるPurview 秘密度ラベル導入で失敗しないために 36 Checkpoint 1：ラベルは2個ないし3個から始める Checkpoint 2：推奨ラベルから開始 Checkpoint 3：暗号化をONする場合は、例外を常に設計する

    Checkpoint 4：現場を巻き込んだパイロット導入を必ず実行 Checkpoint 5：段階導入

37. 今日のハッシュタグは #ゆるPurview 秘密度ラベル導入で必要なもの（全部必須） 情報保護としての設計が必要 37 • ラベル体系 • 適用対象 •

    暗号化有無 • 外部共有制御 • 既定ラベル • 自動ラベル条件 • ユーザー教育 • 運用ルール • 監査・改善サイクル ポリシーと表裏一体

38. 今日のハッシュタグは #ゆるPurview データカタログ的視点とは何か？ 観測設計(観点 → 分析 → 対応)を導入時に行うこと 38 1.どの場所にラベルが付いているか

    例： • Exchange • SharePoint • OneDrive • Teams • Office ファイル 2.どの業務領域でラベルが使われているか例： • 人事 • 経理 • 営業 • 法務 • 開発 3.どのラベルが改善対象か 例： • 「社外秘」が乱用されている • 「公開」がほとんど使われない • 「極秘」が過剰に選ばれる • 未分類ファイルが多い 4.どのデータ群から優先的に改善するか例： • 重要な SharePoint サイト • 役員・経営資料 • 契約書フォルダー • 顧客情報を扱うチーム • 外部共有が多い場所 誤用が多い部門を特定する 運用改善の対象を絞る 分析指標： 部門ごとの誤分類率・未適用率 異常が発生している場所を特定 する 分析指標： 未分類率・誤分類率・高機密率 ラベルの利用傾向 から問題の原因を 特定し、設計また は運用の対策を決 定する 分析指標 使用率の偏り・未 使用・過剰利用 リスク（漏洩影響） × 利用頻度 × 共有状況で 優先度を決定する 外部共有 × 機密 → 最優先 未分類 × 高利用 → 優先 高機密 × 広共有 → 即対応

39. 今日のハッシュタグは #ゆるPurview 推奨導入ステップ 1. 守るべきデータと業務範囲を整理する 2. ラベル体系を設計する 3. コンテナラベルとの関係を決める 4.

    初期設定を確認する 5. パイロット対象を決める 6. 推奨ラベル・既定ラベルから開始する 7. 監査ログと利用状況を確認する 8. 自動ラベル付けを限定的に導入する 9. DLP・暗号化・外部共有制御と連携する 10. 必須ラベルや強制制御を段階的に適用する 11. 定期的にラベル体系を見直す 12. データカタログ的な分析で改善点を把握する 重要なポイント 導入のゴールは、ラベルを配布することではありません。 分類・保護・監査・改善が回る状態を作ることです。 39

40. 今日のハッシュタグは #ゆるPurview なんでこんなにも修羅の道なのか 秘密度ラベルが難しい理由は、設定項目が多いからではありません。 本当に難しい理由 • ラベルが分類・保護・監査・統制にまたがる • SharePoint、Teams、Exchange、Office、DLP と連携する

    • 他SaaSにまで広がる（広げる必要がある） • ファイル形式やアプリによって挙動が変わる（制約が多い） • 利用者の判断に依存する部分がある • 制御や統制を強くしすぎると業務が止まる • 制御が弱すぎると統制にならない • 導入後も継続的な見直しが必要（機能追加や変更） • 例：新しい SharePoint 高度管理管理者ロール 40

41. 今日のハッシュタグは #ゆるPurview What‘ｓ Ｎｅｗ Microsoft Purviewと仲良くなろうぜ！ 41 日経BP社 「ひと目でわかる Microsoft

    Purview」が発売予定 絶賛執筆中（今年発売予定） あなたも良き Purview ライフを

42. Thank you