PSPF に対するオーストラリア政府のコンプライアンスに関する予定表アイテムと Teams 会議の秘密度ラベル付け
この記事では、会議や予定表アイテムへの秘密度ラベルの適用に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、政府機関が 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に従いながら、セキュリティとコンプライアンスの成熟度を高めるのに役立ちます。
会議と会議コンテンツの保護を支援するには、次の 2 つのオプションがあります。
- E5 または A5 ライセンスを持つ組織は、予定表アイテムに秘密度ラベルを適用できます。
- Teams Premiumアドオン ライセンスを持つ組織は、これらの保護をチーム会議に拡張できます。
予定表アイテムのラベル付け
秘密度ラベル会議スコープ オプションは、E5 または A5 ライセンスをお持ちのお客様が利用でき、Outlook または Teams の予定表にラベルを発行できます。 予定表アイテムは、必須のラベル付け構成の対象となる場合があります。 ラベル ポリシーで有効にした場合、ユーザーは予定表アイテムを作成したり、予定表の招待を送信したりする前に、ラベルの適用を求められます。
ラベル付けされた予定表アイテムは、クライアント ベースの視覚的マーキングを受け取り、招待や会議のコンテンツの機密性を示します。 電子メール経由で転送された招待は、構成済みのテキスト ベースのヘッダーを受信します。 以下に例を示します。
重要
ラベルが暗号化を適用する場合、会議出席依頼、予定表エントリ、および添付ファイルは、ラベルの Azure Rights Management 暗号化設定を介してカプセル化され、承認されたユーザーのみが囲まれたコンテンツにアクセスできるようになります。 これには、会議出席依頼の外部受信者が含まれます。
予定表アイテムのラベル付けを有効にするには、ラベルスコープ内から [会議] オプションを選択する必要があります。
会議スコープ オプションを有効にする必要があるラベルを考慮する必要があります。 グループやサイトのラベルと同様に、情報管理マーカー (IMM) のないラベルの会議スコープのみを有効にすることが適切です。
次の例では、この構成を示します。
| 機密ラベル | 会議のスコープ オプション |
|---|---|
| 非公式の | オン |
| 公式 | オン |
| OFFICIAL Sensitive (カテゴリ) | オフ |
| • OFFICIAL Sensitive | オン |
| •公式機密性の高い個人のプライバシー | オフ |
| • 公式の機微な法的特権 | オフ |
| •公式機密立法秘密 | オフ |
| •公式敏感な国家キャビネット | オフ |
| PROTECTED (カテゴリ) | オフ |
| •保護 | オン |
| • 保護された個人のプライバシー | オフ |
| • 保護された法的特権 | オフ |
| • 保護された立法の秘密 | オフ |
| • 保護されたキャビネット | オン |
前の表の構成設定は、会議の添付ファイル (実際の機密データを含む可能性が高い) では、自動ラベル付けではサブラベルのセット内でラベルの変更が推奨されないため、会議に適用されるラベルに影響を与えずに IMM を適用できることを示しています。
ただし、会議に OFFICIAL などの下位レベルのラベルが付き、PROTECTED などの上位レベルの添付ファイルが追加された場合は、ラベルの継承設定が有効になります。 結果は、会議に PROTECTED ラベルが適用され、会議出席依頼のコンテンツが、その会議に適用された最も高いラベルに沿って処理されるようにします。 ラベルの継承では、会議出席依頼に適用されるテキストベースのマーキングは変更されません。 セキュリティの機密情報の不適切な配布を防止する方法で説明されているラベルベースのデータ損失防止 (DLP) ポリシーが適用されます。これには、件名のマーキングをメールに適用するものも含まれます。
注:
ラベルの継承は、アイテムの添付ファイルでのみ適用されます。 会議出席依頼に含まれる共有リンクは、会議に適用されたラベルを高めることはありません。 現在、ラベルの継承では、Azure Rights Management で暗号化された添付ファイルに適用されたラベルをチェックすることはできません。 会議出席依頼に添付されているこのようなコンテンツを保護するには、DLP ポリシーが必要です。
政府機関は、会議ラベル スコープ オプションと PSPF Policy 8 のコア要件の相関関係を考慮する必要があります。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8、コア要件 (v2018.6) | 各エンティティは、次の必要があります。 i. 保有情報の特定、 ii. 情報保有の機密性とセキュリティの分類を評価し、iii. これらの情報保持の値、重要度、および機密性に比例した運用制御を実装します。 |
会議のラベル付けを有効にすると、予定表アイテム (PSPF ポリシー 8 要件 4 に合わせて調整) にマーキング機能を拡張でき、項目の機密性に関連する操作制御 (アイテム暗号化など) を適用できます。
| 要件 | 詳細 |
|---|---|
| PSPF ポリシー 8、要件 4: マーキング情報 (v2018.6) | 発信者は、該当する保護マーキングを使用して、電子メールを含む機密情報とセキュリティの機密情報を明確に識別する必要があります。 |
| PSPF ポリシー 8、コア要件 C (v2018.6) | これらの情報保持の値、重要度、および機密性に比例した運用制御を実装します。 |
予定表アイテムの秘密度ラベルに関するアプリケーションの詳細については、「 秘密度ラベルを使用して予定表アイテム、Teams 会議、チャットを保護する」を参照してください。
Teams Premium ラベルの構成
重要
この記事では、Teams Premiumライセンスがあり、有効になっていることを前提としています。 このライセンスが適用されていないと、ラベル スコープ オプションTeams Premium有効にできません。
E5 ライセンスを使用すると、会議ラベル スコープ オプションを有効にし、秘密度ラベルを会議に適用できます。 Microsoft Teams Premiumは、さまざまな機能を含むアドオン ライセンスであり、その一部は現在の記事の範囲外です。 ただし、Teams 会議に適用できるいくつかの強化されたセキュリティ制御も含まれています。 これらの機能は、 保護された会議と呼ばれる機能のカテゴリにグループ化され、次のものが含まれます。
- 会議の透かし
- ロビーのバイパスやチャット コンテンツのコピーと貼り付けなどの設定を制御するためのポリシーとテンプレート
- 記録のアクセス許可をきめ細かく制御する
- オンライン会議 (複数参加者会議を含む) のエンドツーエンド暗号化
これらのコントロールは、前のセクションで参照したマーキングと機能を、実際の Teams 会議まで拡張します。ここで、視覚的なマーキングを Teams インターフェイスに適用して、説明するコンテンツの機密性を示すことができます。
透かし機能は、サインインしているユーザーのユーザー プリンシパル名 (UPN) を含む会議の背景に適用できます。 これらの透かしは、ユーザーが不適切に情報を開示できないようにすることを目的としています。 Teams 以外のアプリケーションまたは外部デバイスを介してセッションの記録を記録する場合、記録は出席者の ID でマークされます。 ユーザーは、未承認の記録の 発信元 として識別されます。
会議テンプレート
Teams Premiumでは、Teams 管理者が会議をスケジュールするときにユーザーが選択した会議設定を事前に構成できる Teams 会議テンプレートが導入されています。 これらのテンプレートでは、次の設定を制御できます。
| 設定 | 説明 |
|---|---|
| チャット | 会議の前後でチャットを使用できるかどうかを含め、会議出席者のチャットを制御します。 また、チャット コンテンツのクリップボードへのコピーを制御することもできます。 |
| エンドツーエンドの暗号化 | 会議ビデオとオーディオのエンドツーエンドの暗号化を制御します。 |
| ロビー | ロビーをバイパスして会議に直接参加できるユーザーを制御します。 |
| 出席者に表示される内容を管理する | 他の会議参加者がコンテンツを表示する前に、会議の開催者が画面で共有されているコンテンツをプレビューおよび承認できるかどうかを制御します。 |
| 出席者向けのマイクとカメラ | 会議出席者のミュートとカメラの使用を制御します。 |
| 呼び出し元が参加して退出したときに通知する | 電話で通話しているユーザーが会議に参加または退出するときにサウンドを再生します。 |
| Q&A | 会議中の Q&A 機能の使用を制御します。 |
| リアクション | 会議での反応と手の上げの使用を制御します。 |
| 記録 | 記録できるユーザーと、会議が自動的に記録されるかどうかを制御します。 |
| 機密ラベル | 会議に使用する秘密度ラベルを指定します。 |
| 透かし | 会議で画面上で共有されるカメラ フィードとコンテンツに透かしを適用します。 |
これらのテンプレートは、特定のユーザー グループのテンプレートをターゲットにすることで、ユーザーが使用できます。
これらのテンプレートは、Teams 管理者構成を使用してユーザーを対象にすることも、ラベル構成に合わせて調整することもできます。これにより、会議の機密性に基づいて設定を制御できます。
これは、会議に適用されるラベルに基づいて、会議設定をきめ細かく制御する例です。
| 設定 | 公式 | OFFICIAL: Sensitive | 保護 |
|---|---|---|---|
| カメラを許可する | オン | オン | オン |
| マイクを許可する | オン | オン | オン |
| 透かしを適用する | オフ | オン | オン |
| エンドツーエンドの暗号化 | Off | オフ | オン |
| 会議チャット | オン | 会議中のみ | 会議中のみ |
これらの機能の詳細については、「 Microsoft Teamsのカスタム会議テンプレートの概要」を参照してください。
秘密度ラベルアプリケーションを会議に適用する
会議ラベル スコープ オプションを有効にし、Teams Premiumライセンスが環境に適用されると、Teams 会議スコープ オプションはラベル構成内で使用できるようになります。
ロビーやプレゼンテーションの設定などの一部のオプションは、Teams 管理センターなど、他の方法で構成できます。 ラベルごとにこれらのオプションを構成すると、項目の機密性に基づいてこれらの設定をきめ細かく制御できます。
Teams 会議のエンドツーエンド暗号化
エンド ツー エンドの会議暗号化 (E2EE) を Microsoft Teamsすると、Teams 会議の拡張暗号化が可能になります。 この機能が有効になっていないと、Teams データは引き続き暗号化されます。 ただし 、E2EE では、会議参加者 のみが会議データの暗号化を解除できるようにすることで、保護のレイヤーが追加されます。 これにより、指定されていないすべてのパーティがコンテンツにアクセスできなくなります。
Teams 会議が E2EE 経由で暗号化されると、Teams 通話画面の上部に南京錠アイコンが表示されます。 この南京錠アイコンは、ラベル暗号化された電子メールとドキュメントに表示されるアイコンのようなものです。
Teams 会議の暗号化制御は 、PSPF Policy 8 Annex A - 転送要件 (v2018.6) と一致します。
| セキュリティ分類 | 伝送要件 |
|---|---|
| OFFICIAL Sensitive | 公式を暗号化する: パブリック ネットワーク インフラストラクチャを介して、またはセキュリティで保護されていないスペース (ゾーン 1 のセキュリティ領域を含む) を介して転送された機密情報。ただし、そうしないという残りのセキュリティ リスクがエンティティによって認識され、受け入れられる場合を除きます。 |
| 保護 | PROTECTED ネットワーク (または上位分類のネットワーク) 経由ではない通信の PROTECTED 情報を暗号化します。 |
重要
E2EE を有効にすると、一部の Teams サービス機能が無効になります。 このような理由から、E2EE の影響を慎重に検討する必要があります。