オーストラリア政府が PSPF に準拠するためにMicrosoft Purview 情報保護を使用するためのテクノロジの前提条件
この記事では、秘密度ラベル付けやその他の Microsoft Purview 機能を最大限に活用するためにorganizationに展開する必要があるサービスとコンポーネントに関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、組織が保護セキュリティ ポリシー フレームワーク (PSPF) と情報セキュリティ マニュアル (ISM) に記載されている要件を満たすために、Microsoft Purview 情報保護の展開の前提条件を理解するのに役立ちます。
このガイドで説明されている構成を最大限に活用するには、組織は次の Microsoft 365 サービスのコア セットを実装する必要があります。
- Exchange Online
- Microsoft Office Online または Microsoft 365 Apps Office クライアント
- SharePoint Online
- Microsoft Teams
このガイドで説明する構成は、PROTECTED までのマーキングと分類を参照します。組織は、このガイドの範囲外の PROTECTED 環境要件も使用する必要があります。
注:
PROTECTED ラベルを実装することは、環境が PROTECTED データを収容するのに適していることを自動的に意味するものではありません。 政府機関は、 情報セキュリティ マニュアル (ISM) と ASD のセキュア クラウドのブループリントに従って、基になる制御を実施する必要があります。
Microsoft Office クライアントのサポート
クライアントサポートは、Microsoft Purview 情報保護機能の実装を成功させるために重要です。 ユーザーが Office ファイル、電子メール、およびその他のサービスとやり取りするために使用するクライアントは、ラベル アプリケーションを容易にするためにラベル対応である必要があります。 このセクションでは、この統合が可能な Microsoft Office クライアント バージョンについて説明し、Purview 展開の前に必要な前提条件の作業を特定します。
Microsoft 365 Apps for Enterprise
Microsoft 365 Apps for Enterprise は Microsoft Office のバージョンであり、Microsoft 365 サービス スイートとの統合が可能です。 Microsoft 365 は継続的に進化しているクラウドベースのサービスであるため、Microsoft 365 Appsバージョンの Office クライアントは、クラウド プラットフォームに対応するために、高頻度の更新プログラムを受け取ります。 Office クライアントと Microsoft 365 クラウド サービスの統合により、スタンドアロンの Office クライアントを介して実現できる機能よりも広範な機能セットをユーザーが利用できるようになります。 従来のクライアントは静的機能セットを提供し、セキュリティ更新プログラムを受け取りますが、通常、新しくリリースされた機能やクラウド中心の機能にはアクセスできません。
Microsoft 365 アプリで使用できる更新プログラム チャネルの詳細については、「Microsoft 365 Appsの更新チャネルの概要」を参照してください。
Microsoft Purview 情報保護 クライアント
以前は、従来の Office クライアントを実行している組織では、Azure Information Protection (AIP) 統合ラベル付けクライアントを使用して、Microsoft 365 Apps以外のクライアントでラベルの選択を有効にしました。 AIP は、ビルド内のMicrosoft 365 Appsクライアント機能に置き換えられました。
Microsoft Purview 情報保護 AIP から引き続き関連するクライアント機能は引き続きサポートされます。 これには、Windows シェル拡張機能、情報保護スキャナー、および情報保護ファイル ラベラーと情報保護ビューアーが含まれます。 これらの機能の詳細については、「 Windows での秘密度ラベル付けの拡張」を参照してください。
Mac、iOS、Android クライアントのサポート
新しい Purview 機能は、通常、Windows ベースの Microsoft 365 Apps バージョンの Office で最初に、次に他の Office バージョンで使用できます。 クライアント バージョンの機能の状態については、 さまざまなクライアントの秘密度ラベルの最小バージョンに関するページを参照してください。 Microsoft 365 を展開する組織は、この情報を評価して、organizationで使用されているバージョンで必要なすべての機能を使用できることを確認する必要があります。
Microsoft 365 Web クライアント
Microsoft 365 Apps テーブルの秘密度ラベルの最小バージョンでは、多くの Purview 機能が Web バージョンの Office クライアントに対して "はい – オプトイン" として表示されます。 この文言は、機能が使用可能であることを明確にすることを目的としていますが、特定のシナリオでは有効化が必要になります。 たとえば、ファイルまたはメールにラベルを適用する機能は、Web ベースの Office および Outlook クライアントに対して既定で有効になっていますが、ラベルを SharePoint サイトに適用する前に有効にする必要があります。 そのため、Web はこの機能の "オプトイン" として一覧表示されます。 "レビュー中" として一覧表示される機能は、通常は新しく、Web ベースのプラットフォーム向けにまだ開発中です。
また、Microsoft Edge Chromium、Chrome、Firefox などの一部の Web ブラウザーには、製品に組み込まれている機能やアドインを介して使用できるMicrosoft Purview データ損失防止機能があることにも注目してください。 これらの DLP 機能により、分類されたセキュリティやその他の機密性の高い項目が失われないようにするため、展開を検討する必要があります。
ヒント
DLP セットアップの一環として、組織は DLP 対応クライアントを使用する必要があります。 Essential 8 でこれをインラインで実装する方法については、「 条件付きアクセス 」を参照してください。
クライアント要件の管理
保護セキュリティ ポリシー フレームワーク (PSPF) ポリシー 8 の要件の大部分 (3 つの主要な要件を含む) は、機密情報の識別または最初に特定される機密情報に依存するコントロールに関係しています。 アイテムにマーキングを適用するユーザーの要件を理解しているクライアント アプリケーションは、アイテムの作成時にユーザーにマーキングの適用を強制することで、要件を満たすのに役立ちます。 マークが付けられたら、アイテムの囲まれたコンテンツを保護するための操作コントロールを適用できます。 この記事では、"必須ラベル付け" などの構成を参照します。 Microsoft 365 内では、これは主にラベル ポリシー オプションを使用して実現されます。これは必須 のラベル付けで説明されています。
必須のラベル付けの重要性の例として、最初に保護マーキングを適用せずに送信された電子メールを考えてみましょう。 これは、クライアントのサポートがないために発生する可能性があります。 このような状況では、(PSPF Policy 8 Core Requirement 2 に従って) 囲まれた情報の機密性を評価する機会がなかったと想定する必要があります。 項目はデータ侵害の点でリスクが高いため、ISM-0565 などの ISM コントロールを適用する必要があります。
| 要件 | 詳細 |
|---|---|
| ISM-0565 (2024 年 6 月) | Emailサーバーは、不適切な保護マーキングを使用して電子メールをブロック、ログ、およびレポートするように構成されています。 |
保護マーキング (秘密度ラベル) を適用すると、アイテムの機密性がコンテンツの所有者または作成者によって評価され、含まれている情報に対する適切な制御が可能であることを保証できます。
必須のラベル付けを適用するオプションは、organizationの Microsoft Purview ラベル付けポリシーを認識しているクライアントのみが適用できます。 そのため、Microsoft Purview ラベル付けポリシーをサポートするクライアント経由でのみ、ユーザーがアクセス サービスを持っていることを確認することを検討する必要があります。 これを実現するには、条件付きアクセス ポリシーを実装する必要があります。
Essential 8 で条件付きアクセスを適用する方法については、「 アプリケーションの制御 と 条件付きアクセス」を参照してください。
必須のラベル付けにより、ラベル付けされていない電子メールを送信するユーザーの機能が発生しないようにします。 ただし、アプリケーションや多機能デバイスやスキャナーによって生成されるなど、ラベルなしの電子メールがorganizationによって生成されるシナリオは引き続き存在します。 すべてのメールにラベルを付ける必要がある構成を適用するために、組織はコントロールを実装できます。これにより、適切なマーキングが設定されていないユーザー生成メールの送信がブロックされます。 これらのコントロールの実装については、「 ラベルなしメールの送信をブロックする」を参照してください。
PDF 統合
Windows ベースのMicrosoft 365 Apps クライアントには、Office ドキュメントが PDF ファイルとしてエクスポートまたは保存されるときに適用されるラベルを維持する機能が含まれています。 これらの PDF は、暗号化を含むソース Office ファイルに対する保護設定を維持します。
保護された PDF ドキュメントは、Microsoft Edge、Chrome、Foxit Reader、Adobe Reader などのラベル対応 PDF リーダーで読み取ることができます (Acrobat および Acrobat Reader プラグイン用のInformation Protection プラグインがインストールされています)。
政府機関は、ラベル対応 PDF クライアントまたはクライアント プラグインを展開して使用する必要があります。 このようなクライアントは、機密情報の明確な識別と、項目が PDF にエクスポートされる場合の制御の適用を維持するのに役立ちます。
これらの機能の詳細については、次のリンクを参照してください。
必須ライセンス
Purview Information Protection機能の基本的な使用には、少なくとも E3 ライセンスが必要です。 ただし、ほとんどの政府機関は、Purview 機能を成熟して使用するために、Microsoft 365 E5 (または同等の E5 コンプライアンス アドオン) を使用する必要があります。
次の表に、一般的な政府機関のユース ケースのサブセットと、そのユース ケースを実行するために最低限必要なライセンスを示します。
| 使用例 | ライセンス |
|---|---|
| 項目に秘密度ラベルを手動で適用します。 | E3 |
| 未承認のユーザーへのラベル付きアイテムの配布を禁止します。 | E3 |
| ラベル付けされた項目に件名のマーキングを適用して、項目の機密性を示します。 | E3 |
| 他の組織によって適用されたマーキングに基づいて、秘密度ラベルを自動的に適用します。 | E5 |
| 環境全体のラベルの使用状況を監視してレポートします。 | E5 |
| 会議や予定表アイテムにラベルを適用します。 | E5 |
| 機密性の高いコンテンツの検出に基づいて、秘密度ラベルの適用を推奨します。 | E5 |
| デバイスでのラベル付きアイテムの使用を監視および制御します。 | E5 |
| ラベル付けされたアイテムまたはその他の機密性の高いアイテムを含むアクティビティに基づいて悪意のあるユーザーを識別します。 | E5 |
| 機密性の高いコンテンツを検出し、Teams チャットを介してその配布を制御します。 | E5 |
| ラベル付けされたコンテンツや機密性の高いコンテンツが環境全体に存在する場所を参照します。 | E5 |
上記の表からわかるように、E3 ライセンスを持つ政府機関は、Purview を基本レベルで実装し、PSPF 成熟度モデルの アドホック レベルまたは 開発 レベルを達成できます。 ただし、アイテムが秘密度に関連するコントロールによって保護されるようにするには、E5 または同等のライセンスに含まれる機能が必要です。 組織は、E5 を使用して PSPF 成熟度の管理または 埋め込み レベルを達成できます。
コンプライアンスの成熟度を高める重要な要素は、 秘密度自動ラベル付けの使用です。 自動ラベル付けにより、政府機関は外部に適用された分類を受け入れられます。 電子メールが 1 つのエンティティによって分類され、マークされている場合、2 つ目のエンティティに送信されるときに、アイテムはマークされたままですが、既定ではラベル付けされません。 ラベルがないため、データ損失防止 (DLP) ポリシーなど、ラベルベースのデータ セキュリティ制御の範囲外です。 自動ラベル付けにより、保護マーキング (PSPF ポリシー 8 Annex F: オーストラリア政府Email保護マーキング標準で定義されている) を、受信時に電子メールで解釈できます。 解釈されると、一致するラベルが転送中に適用され、関連するすべてのコントロールが、ユーザーが受信したときに囲まれた情報に適用されます。