オーストラリア政府が PSPF に準拠するためのデータ損失防止 (DLP) シナリオ
この記事では、オーストラリア政府の情報のマーキングと保護のためのMicrosoft Purview データ損失防止 (DLP) の使用の概要について説明します。 その目的は、政府機関が 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に従いながら、セキュリティとコンプライアンスの成熟度を高めるのに役立ちます。
データ損失防止 (DLP) は、機密情報が環境から離れるのを防ぐのに役立つ情報リスクを軽減するために主に使用されるサービスです。 DLP ポリシーは、次に基づいて構成できます。
- 場所またはサービス: SharePoint や Exchange など。
- 条件または条件のセット: たとえば、ラベルや機密情報が含まれています。
- アクション: たとえば、アイテムの送信や共有をブロックします。
読者は、オーストラリア政府機関の構成に関連するここで提供されるアドバイスを調べるために、この情報を確認する必要があります。
政府の要件に関連する DLP ユース ケース
オーストラリア政府の要件に関連して、Microsoft Purview DLP サービスは次の目的で使用されます。
- 必要なメタデータを電子メールに適用するには (x-protective-marking x-headers)。
- 電子メールに件名のマーキングを適用するには。
- 不適切なラベル付けされたメールの送信をブロックする。
- セキュリティの機密情報の送信をブロックしたり、不適切な配布を防止したりするため。
- 知る必要のないユーザーへのメールの配布やアイテムの共有をブロックまたは警告する。
- 個人、organization、または政府に損害を与える可能性のある情報の損失を防ぐための運用制御を実装する。
DLP 戦略
保護セキュリティ ポリシー フレームワーク (PSPF) は、オーストラリア政府機関が人々、情報、資産を保護するためのフレームワークです。 DLP 構成に最も関連する PSPF ポリシーは、 PSPF ポリシー 8: 分類システム と PSPF ポリシー 9: 情報へのアクセスです。
DLP 戦略に影響を与えるオーストラリア政府の組織の違いは次のとおりです。
- 組織固有の立法上の手段。
- オーストラリア政府機関の種類と関連する立法要件。
- その他の頻繁に連絡を取る組織。
- organizationのテナントと各テナントのセキュリティの最大レベル。
- オーストラリア以外の公務員 (APS)、ゲスト、請負業者の要件。
次のセクションは、すべての DLP 統合サービスの DLP アプローチに関連します。 政府機関は、ユーザー フィードバックの戦略と DLP イベントの管理を決定する必要があります。 決定された戦略は、さらに以下で調べられる DLP 構成全体に適用できます。
DLP ポリシー違反に関するユーザー フィードバックに関する決定
組織がこのガイドで提供するアドバイスと一致するように指定すると、ユーザーが情報を送信しようとすると、DLP ポリシーがトリガーされる理由は 4 つあります。
- ユーザーの電子メールの受信者が間違っています (偶発的)。
- 構成が正しくなっており、別のドメインを例外リストに追加する必要があります。
- 問題の外部organizationは、情報を受信するのに適している可能性がありますが、正式な契約と関連する構成を確立するためのビジネス プロセスはまだ完了していません。
- ユーザーが機密情報 (悪意のある) を流出しようとしています。
最初の 3 つのシナリオのいずれかに合わせたアクションが原因で DLP ポリシーがトリガーされる場合、ユーザーへのフィードバックは重要です。 フィードバックを使用すると、ユーザーは間違い、organizationを修正して構成を修正したり、必要なビジネス プロセスを実行したりできます。 悪意のあるアクティビティが原因でポリシーがトリガーされた場合、ユーザー フィードバックは、ユーザーのアクションが気付かれたことをユーザーに警告します。 組織は、ユーザーフィードバックのリスクとメリットを考慮し、状況に最適なアプローチを決定する必要があります。
違反の前に DLP ポリシーのヒント
ユーザーからのフィードバックを提供することを選択した場合、ポリシー ヒントは、Outlook クライアントでユーザーが直接トリガーされる際に役立つ優れた方法です。 メールを送信してポリシー違反をトリガーする前に、ユーザーに問題を警告し、規範を回避したり、恥ずかしい状況を回避したりする可能性があります。 ポリシー ヒントは、DLP ルール構成の ポリシー ヒント オプションを使用して 構成されます。 電子メール シナリオに適用すると、この構成のエンド ユーザー エクスペリエンスは、下書き中の電子メールの上部に警告ヒントを受け取るということです。
ユーザーがポリシー ヒントを無視すると、ブロック アクションなどの他の DLP ポリシー アクションがトリガーされます。 メールがブロックされたことをユーザーに通知する、リアルタイムで表示される通知など、さまざまな通知オプションも利用できます。
DLP イベント ワークロードに対するポリシー ヒントの利点も考慮する必要があります。 DLP リスク イベントは、ブロック アクションと関連するアラートがトリガーされる前に、ポリシー ヒントを使用して削減されます。 利点は、セキュリティ チームが管理するインシデントが少ないことです。
DLP 通知とポリシーヒントの詳細については、「 電子メール通知を送信する」および「DLP ポリシーのポリシーヒントを表示する」を参照してください。
DLP イベント管理
DLP を実装する組織は、次のような DLP イベントの管理に対するアプローチを検討する必要があります。
- DLP イベントの管理に使用するツールは何ですか?
- 管理者のアクションを保証する DLP イベントの重大度と、解決に必要な時間は何ですか?
- DLP イベント (セキュリティ、データ、プライバシー チームなど) の管理を担当するチームはどれですか?
- どのようなリソースが必要ですか?
DLP イベントの監視と管理に役立つ 4 つの Microsoft ソリューションがあります。
- Microsoft Defender XDR
- DLP アラート ダッシュボード
- アクティビティ エクスプローラー
- Microsoft Sentinel
Microsoft Defender XDR
Microsoft Defender XDRは、エンドポイント、電子メール、ID、クラウド アプリ、インフラストラクチャ間でクロスドメインの脅威保護と応答を提供する包括的なセキュリティ ソリューションです。 セキュリティ チームに脅威状況の完全なビューを提供し、より効果的な調査と自動修復を可能にすることで、高度な攻撃に対する簡素化された効率的な防御を提供します。 Microsoft Defender XDRは、Microsoft 365 内の DLP インシデント管理に推奨される方法です。
Microsoft Defender XDRを使用した DLP インシデント管理の詳細については、「Microsoft Defender XDRを使用してデータ損失防止アラートを調査する」を参照してください。
DLP アラート ダッシュボード
Microsoft Purview アラート ダッシュボードは、Microsoft Purview コンプライアンス ポータル内から表示されます。 ダッシュボードを使用すると、管理者は DLP インシデントを可視化できます。 DLP ポリシーでアラートを構成し、DLP アラート管理ダッシュボードを使用する方法については、「 DLP アラート ダッシュボードの概要」を参照してください。
アクティビティ エクスプローラー
アクティビティ エクスプローラーは、Microsoft Purview コンプライアンス ポータル内から使用できるダッシュボードであり、DLP イベントに対する別のビューを提供します。 このツールは、イベントの管理ではなく、より深い分析情報と広範なフィルター、および縦方向の動作を管理者に提供することを目的としています。 アクティビティ エクスプローラーの詳細については、「アクティビティ エクスプローラー」を参照してください。
Microsoft Sentinel
Microsoft Sentinelは、SIEM とセキュリティ オーケストレーション、自動化、応答 (SOAR) 用のインテリジェントで包括的なソリューションを提供する、スケーラブルなクラウドネイティブのセキュリティ情報とイベント管理 (SIEM) です。 コネクタは、DLP インシデント情報をMicrosoft Defender XDRからMicrosoft Sentinelにインポートするように構成できます。 この接続を確立すると、DLP インシデント管理に、より高度なSentinelの調査と自動化機能を利用できるようになります。 DLP イベント管理にSentinelを使用する方法の詳細については、「Microsoft Sentinelを使用してデータ損失防止アラートを調査する」を参照してください。