国井さんにPurview の話を聞く会

Transcript

1. YonaYona Azure Club 2026年1月8日21:00～

2. 2 自己紹介 • 国井 傑 (くにい すぐる) • 株式会社エストディアン 所属

   • 公立大学法人会津大学 客員教授 • マイクロソフト認定トレーナー (1997～2026) • Microsoft MVP for Security (2006～2026) • https://AzureAD.net • 主な職務・実績 • Microsoft 365 セキュリティ/インフラ管理に関わるトレーニング • テクニカル ライター (日経 BP, 技術評論社, @IT 等)

3. 3 【参考】Microsoft Purview の主要な機能 Insider Risk Management 重要な内部者リスクを特定し、 対策を講じます 内部リスクの管理

   (Insider Risk Management) コミュニケーション コンプライアンス インフォメーション バリア 悪質なケースで個別調査 関連データの迅速な調査と 対応を可能とします eDiscovery and Audit eDiscovery (Premium) Audit (Premium) 訴訟に備え否認防止・証拠保存 Microsoft 365 E5 Compliance データのライフサイクルを通じて データを保護し、統治します Information Protection & Governance 機密情報保護への意識付け データ損失防止 (DLP) 機密情報の自動検出 機密情報の分類と保護 (秘密度ラベル) アイテムの保持・削除

4. 4 コンテンツ保護のステップ Microsoft Purview Information Protection Insider Risk Management Data

   Loss Prevention (DLP) ・ 秘密度ラベルを設定して ファイルやメールに対する 暗号化とアクセス制御を実現 ・ ラベルの設定は基本的に ユーザーが行うため、厳密に 実装できているかは疑わしい ・ あらかじめ決められたルールに 基づいて保護対象となる コンテンツを決定し、 アクションを制御したり、 MIP と組み合わせて 秘密度ラベルを設定したり することが可能 ・ 既にアクセス許可が割り当て られているユーザーの アクティビティを追跡 ・ 退職予定者などの内部 不正を起こしやすいユーザー をフォーカスした追跡が可能 ！

5. 秘密度ラベル

6. 6 データ資産のライフサイクル管理 データの入手 編集・加工 (バージョン管理) (必要な範囲に) 公開 アクセスログ 管理 廃棄

   オーナー 把握・問題の修正・権限維持 アクセス権の付与 アクセス権の使用 アクセス権のレビュー アクセス権のはく奪

7. 7 Microsoft Purview Information Protection xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx xxxxxxxxxx

   ▪ユーザー認証 クラウドの認証基盤 Entra ID で認証を実施 ▪暗号化 クラウドから、いつでも どこでも暗号化を設定可能 ▪権限設定 ラベルで事前定義された アクセス許可で簡単に設定 ▪権限設定対象コンテンツ MIP に対応したアプリの コンテンツであればアクセス可能 ▪権限設定対象ユーザー 権限が割り当てられたユーザーで あればライセンスを必要とすること なくアクセス可能 Microsoft Entra ID Microsoft Purview Information Protection ファイル/メール単位でコンテンツを暗号化し、ユーザーごとに権限を細かく制御します

8. 8 秘密度ラベルとポリシー • コンテンツに対してラベルを選択すると、ラベルに関連付けられたポリシー 設定が適用される ラベル ポリシー コンテンツへの設定 アクセス制御設定 アクセス許可

   オフライン アクセス の許可 コンテンツの期限 コンテンツのマーク設定 ヘッダー設定 フッター設定 暗号化 保護 保護なし Co-Owner Co-Author Reviewer Viewer カスタム ユーザーが内容を確認し、 ラベルを自身で選択 ラベル 個人利用 公開可能な情報 内部情報 機密情報 開発 計画

9. 9 アクセス許可設定 共同所有者 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存

   ラベルの設定変更 印刷 (紙媒体での持ち出し) 共同作成者 レビュー担当者 閲覧者 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプション

10. 10 秘密度ラベルの設定 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更

    印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプション 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプション 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプション 秘密度ラベル 分類が必要な数だけ作成 ラベルポリシー 秘密度ラベルとラベルを利用させたいユーザーをマッピング 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプショ ン 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプショ ン 返信/転送 コピー & ペースト ファイルの閲覧 編集/上書き保存 名前を付けて保存 ラベルの設定変更 印刷 (紙媒体での持ち出し) 透かしの追加 ヘッダーの追加 フッターの追加 オフラインアクセス アクセス許可の有効期限 コンテンツのマーキング アクセス制御のオプショ ン

11. 11 情報の分類とカテゴリ 情報の分類 カテゴリ アクセス権を設定するための分類 アクセスできるユーザーやアクセス許可範囲を定義することが必要 ファイル等に含まれるデータを整理し、検索しやすくするための分類 フォルダーやタグなどを利用して分類する

12. 12 秘密度ラベルによるコンテンツの保護範囲 自分 (ラベル設定ユーザー) 社内ユーザーへの公開 社外ユーザーへの公開 メール フルアクセス Microsoft Entra

    ID で認証後に 割り当てられた権限に基づいて アクセス可能 Microsoft Entra ID 等による認証 またはワンタイムパスコードによる認証 後に割り当てられた権限に基づいて アクセス可能 MIP 対応アプリ フルアクセス Microsoft Entra ID で認証後に 割り当てられた権限に基づいて アクセス可能 AIP for Individuals でサインアップ したアカウントでの認証後に割り当て られた権限に基づいてアクセス可能 MIP 対象外アプリ 読み取り専用 Microsoft Entra ID で認証後に 読み取りアクセス可能 AIP for Individuals でサインアップ したアカウントでの認証後に 読み取りアクセス可能

13. 13 MIP クライアントアプリ Office アプリ / Adobe Acrobat 以外のアプリから秘密度ラベルの設定が必要な場合は ファイルを右クリックしてMIP

    クライアントアプリを呼び出し、ラベルを設定します

14. 14 MIP クライアントを利用した追跡/アクセス権はく奪 • サービスへの接続 • ドキュメントの ContentID の確認 •

    ドキュメントの追跡 • アクセス権のはく奪 Get-AipServiceDocumentLog -ContentName "test.docx" -Owner “[email protected]” ` -FromTime "12/01/2020 00:00:00" -ToTime "12/31/2020 23:59:59" Get-AipServiceTrackingLog -ContentId c03bf90c-6e40-4f3f-9ba0-2bcd77524b87 Set-AipServiceDocumentRevoked -ContentId 0e421e6d-ea17-4fdb-8f01-93a3e71333b8 -IssuerName testIssuer Connect-AipService

15. 15 MIP クライアントを利用したスーパーユーザーの設定 • スーパーユーザーの有効化 • スーパーユーザーの指定 Add-AipServiceSuperUser -EmailAddress スーパーユーザーのメールアドレス

    Enable-AipServiceSuperUserFeature

16. 16 【参考】AIP for Individuals https://signup.microsoft.com/signup?sku=rms ラベル設定したファイルにアクセスするためのライセンスを取得するための Web ページです 無料で取得できますが..

17. 17 秘密度ラベル割り当ての自動化 適用範囲 適用タイミング 【参考】 ユーザー選択による 秘密度ラベルの手動設定 すべてのファイル/メール ファイルまたはメールを開き、 そのコンテンツに対してユーザーが

    秘密度ラベルを設定したタイミング ファイルとメールの自動ラベル 付け (ラベル設定オプション) すべてのファイル/メール ファイルまたはメールを開いたタイミングで 自動適用または適用を推奨 自動ラベル付けポリシー すべてのファイル/メール Exchange Online, SharePoint Online, OneDrive for Business 保存時 Microsoft Defender for Cloud Apps (MDA) MDA のアプリコネクタによって監視対象と なっているクラウド内のコンテンツ MDA ファイルポリシー適用時 AIP Scanner Windows Server 内のファイル共有 サービスアカウントによるスキャン時 メールフロールール (Exchange Online) Exchange Online で扱うメール Exchange 組織内でのトランスポート処理時

18. Microsoft 365 Copilot と秘密度ラベル

19. 19 Copilot 利用を前提とした際のデータ格納の課題 Tasks Teams Chats Insights Coworkers Devices User

    People Messages Meetings Calendar Files Groups MICROSOFT GRAPH Copilot for Microsoft 365 ユーザー デバイス Microsoft 365 apps Copilot と 関連コンポーネント 組織のデータ SharePoint Exchange Online Teams チャット Viva Engage グループ OneDrive ユーザー用 フォルダーとファイル レコーディング データ コミュニケーション サイト チーム サイト グループ メールボックス ユーザー メールボックス Copilot での利用を踏まえた データのインデックス化 (= セマンティック インデックス) データと関係性をグラフ化 パーソナライズされ、意味の ある関係性を持たせた データを提供 Microsoft Graph サイトに分類してデータを利用すると いう概念が Copilot には存在しない ため、機密という意識が薄れる Office 365 内のアクセス許可設定 のミスから Copilot に流用される 過去に作成したコンテンツの存在に 気が付かない間に意図せず流用される

20. 20 秘密度ラベルで暗号化されたファイルの表示・抽出権限に応じた データ利用 指示 参照 不可 指示 参照 可能 応答

    〇 ユーザー A 秘密度ラベルで 保護されたファイル ユーザー A さんが EXTRACT 権限を 保有しているファイル 秘密度ラベルで暗号化された個々のファイルの権限を含め、 ユーザー自身が適切なアクセス権を持つコンテンツのみが Copilot に利用される 秘密度ラベルで 保護されたファイル ユーザー B さんが EXTRACT 権限を 保有していないファイル 秘密度ファイルの暗号化で利用可能な定義済みのロール ・EXTRACT 権限あり: 共同所有者、共同作成者 ・EXTRACT 権限なし: レビュー担当者、閲覧者 応答 秘密度ラベルで設定されたアクセス制御設定に基づいて Copilot が引用する コンテンツを決定するため、権限を持たないファイルは結果に反映されません

21. 21 Microsoft 365 E5 を利用した生成 AI の安全な活用 AI 用 DSPM

    エンドポイント DLP ブラウザー ベース DLP Microsoft 365 Copilot DLP ポリシー AI サイト / クラウド データ エンドポイント ブラウザ クリップボード 特定コンテンツ利用時に アラート / ブロック ※ 監視 クラウド DLP 特定コンテンツ利用時に アラート / ブロック 特定コンテンツ利用時に アラート / ブロック 特定コンテンツ利用時の Copilot による応答ブロック ※ Edge for Business ブラウザーから ChatGPT, Gemini, Copilot, DeepSeek に対するアクセス時に有効 Microsoft Defender for Cloud Apps 未許可 AI サイトへのアクセス制限

22. 22 Microsoft 365 E5 を利用した生成 AI の安全な活用 (続き) 秘密度ラベル コミュニケーション

    コンプライアンス インサイダー リスク管理 監査ログ eDiscovery コンプライアンス マネージャー AI サイト / クラウド データ エンドポイント ブラウザ クリップボード 暗号化による AI 引用の制限 コンテンツ共有状況の監視 過剰共有レポート プロントインジェクションの 監視・制限 不適切な AI 利用の検知 Copilot へのアクセス履歴 プロンプトの記録 各種コンプライアンス 基準への適合支援