オーストラリア政府が PSPF に準拠するための Microsoft 365 機能マッピングの要件
この記事は、オーストラリア政府Information Protectionガイドの重要なコンポーネントです。 保護セキュリティ ポリシー フレームワーク、情報セキュリティ マニュアル (ISM)、オーストラリア政府の記録メタデータ標準 (AGRkMS) の要件の一覧を示します。 また、Microsoft Purview とその他の Microsoft 365 機能が記載されている要件を満たす方法に関するアドバイスも提供し、これらの機能についてさらに説明するガイドの他のセクションへのリンクも提供します。 この記事では、ビクトリア 朝政府のビクトリア朝保護データ セキュリティ フレームワーク (VPDSF) などの州政府のフレームワークに関するガイダンスも提供します。
保護セキュリティ ポリシー フレームワーク
保護セキュリティ ポリシー フレームワーク (PSPF) は、人、情報、資産を保護するためにオーストラリア政府のエンティティをサポートするように設計された一連のポリシーです。 PSPFは、政府の望ましい保護セキュリティ成果を達成するためのエンティティの要件を概説しています。
PSPF の詳細については、「 保護セキュリティ ポリシー フレームワーク」を参照してください。
Microsoft Purview 情報保護構成に密接に関連する PSPF ポリシーは次のとおりです。
電子メール サービスへの PSPF アプリケーションを理解するための鍵は、PSPF Policy 8 Annex F: オーストラリア政府Email保護マーキング標準です。これは、このドキュメントで参照されています。
PSPF には、組織がさまざまな PSPF ポリシー全体で成熟度のレベルを報告できるレポート メカニズムが含まれています。 このガイドでは、満期日のレベルが低い組織が、PSPF ポリシー 8 とポリシー 9 の成熟度を、労力を減らして "管理" レベルまたは "埋め込み" レベルに改善することを目的としています。 PSPF の成熟度レベルの詳細については、「保護セキュリティ ポリシー フレームワーク評価レポート 2022-23」を参照してください。
PSPF ポリシー 8: 機密情報と機密情報
要件は、PSPF Policy 8 の要件 V2018.8 (2023 年 8 月 30 日更新) に基づいています。
PSPF ポリシー 8 では、エンティティが情報の機密性またはセキュリティ分類を正しく評価し、情報侵害から保護するマーキング、処理、ストレージ、および廃棄の取り決めを採用する方法について詳しく説明します。
このポリシーは、コア要件とサポート要件に分割されます。 要件と一致する Microsoft 365 機能に関するコメントと、このサイトの関連ガイダンスへのリンクを次の表に示します。 ポリシーは、 PSPF ポリシー 8: 機密情報と機密情報で完全に読み取ることもできます。
コア要件 A とサポート要件 1: 情報保有の識別
| ソリューション機能 | Section |
|---|---|
| ユーザーに秘密度ラベルを使用してアイテム (ファイルと電子メール) の機密性を識別するよう要求します。 |
クライアント エクスペリエンスのラベル付け 必須のラベル付け 秘密度ラベル付け PDF の統合 |
| 場所 (サイトと Teams) に保護マーキングを適用し、マークされた場所に保護を適用します。 | 秘密度ラベル グループとサイトの構成 |
| 会議の機密性を定義し、関連する運用コントロールを実装します。 | 予定表アイテムとチーム会議の秘密度ラベル付け |
| ユーザーに秘密度ラベルを使用して Power BI ワークスペースの機密性を識別するよう要求します。 | Power BI とデータ統合 |
| データベース システムに存在する機密情報にラベルを適用します。 | スキーマ化されたデータ資産 |
| 電子メール ヘッダーを適用します。これは、受信項目の機密性を識別し、適切なコントロールを適用するために使用できます。 | トランスポート中の電子メールのラベル付け |
コア要件 B とサポート要件 2: 機密情報とセキュリティの機密情報の評価
| ソリューション機能 | Section |
|---|---|
| ユーザーに、秘密度ラベルを選択するときに、項目の値、重要度、および機密性を評価する機会を提供します。 | 必須のラベル付け |
| ラベルの選択中に表示されるラベルの説明を含むラベル ポップアップ ダイアログ ボックスを使用して、アイテムの機密性の評価をユーザーにガイドします。 | ユーザー向けの説明を編集 |
| ラベル選択メニューからアクセスできる、organization固有の詳細情報リンクを構成する機能を提供し、情報の種類に対する適切なラベルに関する詳細なアドバイスをユーザーに提供できます。 | カスタム ヘルプ ページ |
| ユーザーが情報保有の評価に役立つ場合は、分類が不足している項目を検出し、必要に応じて再評価を推奨します。 | 機密性の高いコンテンツ検出に基づくラベルの推奨 |
| データベース アプリケーションまたは同様のプラットフォームから取得された、またはデータベース アプリケーション内に存在する機密データを特定することで、情報の評価を支援します。 | 正確なデータ一致の機密情報の種類 |
| 機械学習を利用して、通常は機密と見なされる項目を特定することで、情報の評価を支援します。 | トレーニング可能な分類子 |
| 外部組織によって適用されるマーキングと一致するラベルを推奨することで、ユーザーが情報保有の評価を支援します。 | 外部機関のマーキングに基づく推奨事項 |
| 履歴マーキングと一致するラベルを推奨することで、ユーザーが情報保持の評価を支援します。 |
履歴マーキングに基づく推奨事項 セキュリティ分類の履歴を含むアイテムの自動ラベル付け |
| Microsoft 以外の分類ソリューションによって適用されたマーキングと一致するラベルを推奨することで、ユーザーが情報保持の評価を支援します。 | Microsoft 以外のツールによって適用されるマーキングに基づく推奨事項 |
| アイテムで機密情報が検出されたときに DLP ポリシー ヒント を使用してユーザーに視覚的な通知を提供することで、情報の評価を支援します。 | 違反の前に DLP ポリシーのヒント |
| データベース システム内に存在する機密情報を特定し、所定の場所に情報にラベルを付け、ダウンストリーム システムでラベルを継承できるようにします。 |
Power BI と Azure Purview Microsoft Purview データ マップ |
コア要件 C: 値、重要度、および機密性に比例して、これらの情報保持の運用制御を実装する
| ソリューション機能 | Section |
|---|---|
| 秘密度ラベルに基づくデータ損失防止 (DLP) ポリシーを使用して、セキュリティの機密情報の不適切な配布を防止します。 | 機密情報の保護 |
| 機密コンテンツを対象とするデータ損失防止 (DLP) ポリシーを使用して、機密情報の不適切な配布を防止します。 | 機密情報の保護 |
| アイテム内の情報に適用されるセキュリティ分類を反映する個々の項目に視覚的なマーキングを提供します。 | 秘密度ラベルのコンテンツ マーキング |
| 場所 (サイトまたはチーム) 内に存在する必要がある最高レベルの秘密度を反映する視覚的なマーキングを提供します。 | Sharepoint の場所とアイテムの秘密度 |
| 場所に適用される秘密度に基づいて、場所のプライバシー設定を構成します。 | ラベルのプライバシー設定 |
| 適用されたラベルに基づいて、場所と場所内のアイテムへのゲスト アクセスを有効または無効にします。 | ゲスト アクセスの構成 |
| 場所に適用されるラベルに応じて、SharePoint ベースの場所 (サイトまたはチーム) の Microsoft 365 共有構成を制御します。 | ラベル共有の構成 |
| 機密性の低い場所にある機密性の高いアイテムに対して、ユーザー通知とアラートを提供します。 | データが所定の位置から外れるアラート |
| 機密性の高い場所 (サイトまたは Teams) へのアクセスに関するその他の要件を構成します。 たとえば、アンマネージド デバイス、安全でないデバイス、不明な場所などです。 |
条件付きアクセス 認証コンテキスト 機密情報の保護 アダプティブ保護による共有の制御 |
| 機密性の高いアイテムを暗号化して、アイテムの場所に関係なく、承認されていないユーザーによるアクセスを防ぎます。 | 秘密度ラベルの暗号化 |
| 内部ユーザーまたはゲストのグループのアクセスと使用制限を構成します。 | ラベル暗号化アクセス許可の割り当て |
| セキュリティで分類されたアイテムとその含まれる情報の移動を、囲まれた情報へのアクセスまたはそれ以上の配布を制御できない場所に制限します。 |
セキュリティで分類されたアイテムのダウンロードまたは印刷の防止 セキュリティで分類されたアイテムが管理されていない場所にアップロードされないようにする |
サポート要件
要件 1: 保有情報の特定
コア要件を超える追加のサポート要件はありません。
要件 2: 機密情報とセキュリティの機密情報を評価する
コア要件を超える追加のサポート要件はありません。
要件 3: 分類解除
| ソリューション機能 | Section |
|---|---|
| 適用された秘密度ラベルの削除や下げなど、ラベル関連のすべてのアクティビティの監査可能な証跡を記録します。 変更を行ったユーザーとその正当な理由を含む、ラベル変更アクティビティを記録します。 |
ラベル変更の正当な理由 監査ログ |
| 内部またはゲストがアイテムを変更する機能を制限するアイテムに暗号化を適用し、アイテムを保持し、マーキング/分類を適用します。 | ラベル暗号化アクセス許可の割り当て |
| 適用された秘密度ラベルを変更する機能など、項目の変更を防ぐために項目を所定の位置にロックします。 | ラベル 'lock' アプローチ |
| ラベルのダウングレードや流出シーケンスなど、情報セキュリティに対して危険と見なされるアクティビティを行っているユーザーに関するレポート。 |
ユーザー リスク ベースのアプローチ インサイダーリスク管理による共有の監視 アダプティブ保護による共有の制御 |
| DLP ポリシーを実装して、現在適用されているラベルが識別されたマーキングよりも低い場合に、アイテム アラート内の保護マーキングを検出します。 | 悪意のあるラベルのダウングレードへの影響 |
要件 4: 情報のマーキング
| ソリューション機能 | Section |
|---|---|
| Office クライアントは、クライアント ベースのラベル マーキングを使用して、アイテムの秘密度を明確に識別します。 | クライアント エクスペリエンスのラベル付け |
| テキストベースの保護マーキングを適用して、機密情報とセキュリティの機密情報をマークします。 |
秘密度ラベルのコンテンツ マーキング 情報マーキング戦略 |
| 色分けされたマーキングを適用して、ユーザーの感度識別を支援します。 | ラベルの色 |
| 電子メール メタデータ (x ヘッダー) を使用して保護マーキングを適用します。 | DLP ポリシーを使用した x-保護マーキング ヘッダーの適用 |
| 電子メールの件名を使用して保護マーキングを適用します。 | 件名ベースのメール マーキングの適用 |
| サイトや Teams などの場所にマーキングを適用します。 これらのマーキングは、場所/コンテナーに存在する必要がある項目の最高レベルの機密性を識別します。 | データの配置外アラート |
| SharePoint ベースのディレクトリ (サイト、Teams、または OneDrive) で作業するときに、ユーザーに対する項目の機密性を明確に識別します。 | SharePoint の場所とアイテムの秘密度 |
要件 5: メタデータを使用して情報をマークする
| ソリューション機能 | Section |
|---|---|
| SharePoint 検索を使用したインデックス セキュリティ分類 と セキュリティの注意事項 と 普及制限マーカー のプロパティ。AGRkMS の要件に合わせて調整されています。 | 分類と警告メタデータの管理 |
| PSPF ポリシー 8 Annex F に従って、電子メール メタデータの要件を満たすために X-保護マーキング x ヘッダーを適用します。 | DLP ポリシーを使用した x-保護マーキング ヘッダーの適用 |
| 接続されたデータベース システムの機密情報を含むデータベース列にメタデータを適用します。 | Power BI とデータ統合 |
要件 6: 注意事項と説明責任に関する資料
| ソリューション機能 | Section |
|---|---|
| 秘密度ラベル構造を使用して、警告された情報と関連する普及制限マーカー (DLM) または分類をマークします。 | 必須の秘密度ラベル分類 |
| テキストを使用して、関連付けられている項目に警告をマークします。 |
秘密度ラベルのコンテンツ マーキング サブジェクトベースのマーキング |
| すべての入庫および送信品目転送を記録します。 | 監査ログ |
| 警告の配布やアクセスの制限を適用します。 |
機密情報の配布を制限する 秘密度ラベルの暗号化 |
要件 7: 最小限の保護と処理要件
| ソリューション機能 | Section |
|---|---|
| Microsoft 365 データセンターに格納されている情報は、BitLocker 暗号化を使用して保存時に暗号化されます。 | 暗号化の概要 |
| 機密性の高いアイテムの電子メール ベースの転送に TLS 暗号化を要求し、パブリック ネットワーク経由で転送されるときに暗号化されるようにします。 | 機密性の高い電子メール転送に TLS 暗号化を要求する |
| マークされた場所 (サイトまたは Teams) へのきめ細かいアクセス制御を構成し、アクセス要件やクリアランスを満たしていないユーザー、デバイス、または場所をブロックします。 |
アンマネージド デバイスの制限 認証コンテキスト |
| 共有、ゲスト アクセスを制限し、マークされた場所のプライバシー構成を制御することで、知っておくべきことの原則を維持します。 | 秘密度ラベル グループとサイトの構成 |
| DLP ポリシーを適用して、知る必要があることを確認し、未承認または不明瞭な内部ユーザーや外部組織へのアイテムの配布を制限します。 | 機密情報の配布を制限する |
| 機密またはセキュリティで分類されたアイテムを暗号化し、アクセス制御を提供し、アイテムの場所に関係なく、承認されたユーザーのみが含まれる情報にアクセスできるようにします。 | 秘密度ラベルの暗号化 |
| 暗号化、共有、DLP 関連の制御などの保護を、ラベル付きソース システムから生成されたエクスポートまたは PDF に適用します。 | Power BI とデータ統合 |
| 履歴セキュリティ分類でマークされた項目を識別し、最新のマーキングで自動アライメントするか、必要なコントロールと共に履歴ラベルを維持します。 | 履歴マーキングに基づく推奨事項 |
要件 8: 破棄
| ソリューション機能 |
|---|
| アーカイブとレコードの要件をサポートするために、保持ポリシー、保持ラベル付け、データ ライフ サイクル、および処理レビューを含むレコード管理構成を実装します。 |
| 必要に応じて、セキュリティ マーキング、保持ラベル/ポリシー、および関連する処理を調整します (セキュリティとアーカイブが一致することはめったにありません)。 |
| アイテム保持要件が満たされたら情報を完全に削除するか、完全に削除する前にアイテムのスクリーニングを可能にする廃棄レビュー機能をレコード管理チームに提供するアイテム保持ポリシーを実装します。 |
これらの記事は、Microsoft Purview データ ライフサイクル管理Information Protectionに関連しており、このガイダンスの範囲外です。 Microsoft Purview データ ライフサイクル管理に関するガイダンスについては、「ライフサイクル管理」を参照してください。
要件 9: 機密性の高いセキュリティで分類されたディスカッション
| ソリューション機能 | Section |
|---|---|
| Teams 会議出席依頼と Outlook 予定表アイテムに保護マーキングを適用します。 会議の添付ファイルの暗号化など、予定表アイテムにコントロールを適用します。 |
予定表アイテムのラベル付け |
| Teams 会議に保護マーキングを適用し、高度な暗号化手法や会議の透かしなど、分類された会話を保護するための高度なコントロールを構成します。 Teams 会話のエンドツーエンドの暗号化により、機密性の高いディスカッションやセキュリティで分類されたディスカッションを傍受できないという保証をユーザーに提供します。 |
Teams Premium ラベルの構成 |
PSPF ポリシー 9: 情報へのアクセス
情報へのアクセスは、PSPF Policy 9 の要件 V2018.6 (2022 年 8 月 16 日更新) に基づいています。
PSPF ポリシー 9 は、公式情報へのタイムリーで信頼性の高い適切なアクセスに関する情報です。
ポリシー 8 と同様に、ポリシー 9 はコア要件とサポート要件に分割されます。
要件と一致する Microsoft 365 機能に関するコメントと、このドキュメントの関連セクションへのリンクを次の表に示します。
PSPF ポリシー ソースの詳細については、「 PSPF ポリシー 9: 情報へのアクセス」を参照してください。
コア要件 A: エンティティ内および他の関連する利害関係者と情報を共有するときに、適切なアクセスを有効にする
| ソリューション機能 | Section |
|---|---|
| チームまたは SharePoint の場所に適用される秘密度ラベルに基づいて、共有、プライバシー、ゲストアクセスを制限します。 | 秘密度ラベル グループとサイトの構成 |
| 許可されていない内部グループまたは外部グループとラベル付けされたコンテンツを共有しようとしたときに、共有を制限したり、ユーザーに注意を払ったりします。 |
セキュリティの機密情報の不適切な配布を防止する 機密情報の配布を制限する |
| 未承認の受信者へのラベル付きメールまたは電子メールの添付ファイルの配信を禁止します。 |
未承認の組織への機密情報の電子メール配布の防止 未承認のユーザーへの機密情報の電子メール配布の防止 |
| ラベル付きコンテンツのアップロードを、承認されていないクラウド サービスまたは未承認のユーザーがさらに配布またはアクセスできる場所に制限します。 | セキュリティで分類されたアイテムが管理されていない場所にアップロードされないようにする |
| 許可されていないユーザーが不適切に共有されている状況で、ラベル付けされたアイテム (ファイルまたはメール) へのアクセスを禁止します。 | 秘密度ラベルの暗号化 |
| ラベル付きアイテムが、承認されていないクラウド サービスにアップロードされないようにします。 印刷、USB へのコピー、Bluetoothまたは未適用のアプリ経由での転送を防ぎます。 |
セキュリティの機密情報の共有の防止 セキュリティで分類されたアイテムのダウンロードまたは印刷の防止 |
コア要件 B: 機密情報またはセキュリティの機密情報にアクセスする個人が適切なセキュリティ クリアランスを持ち、その情報を知る必要があることを確認する
| ソリューション機能 | セクション |
|---|---|
| 機密情報または機密情報を含む場所へのアクセスを、承認されたユーザーのみに制限します。 | 認証コンテキスト |
| 秘密度ラベル付けと DLP を統合します。 ポリシーは、承認されていないユーザーとの特定のマーキングを持つアイテムの共有 (電子メールまたは共有アクションを使用) を防ぐために構築できます。 |
未承認の組織への機密情報の電子メール配布の防止 未承認のユーザーへの機密情報の電子メール配布の防止 セキュリティの機密情報の共有の防止 |
| DLP ポリシーのヒントを提供します。これにより、ポリシー違反の前に情報を共有することをユーザーに警告し、ID の誤りなどの状況による情報漏えいの可能性を減らします。 | 違反の前に DLP ポリシーのヒント |
| 適切なセキュリティクリアランスを持たないユーザーにラベル付けされたアイテムを共有または電子メールで送信しようとする試みを監視、警告、ブロックします。 | DLP イベント管理 |
| 場所のマーキングに基づいて、サイトまたは Teams のプライバシー オプションを構成します。 これにより、知る必要のないユーザーの場所へのオープン アクセスを防ぎ、チームまたは場所の所有者がこれらの場所へのアクセスを制御できるようになります。 また、ステータス、ランク、利便性に基づいて自動的にアクセスを提供しないことで、サポート要件 2 を満たすのに役立ちます。 | ラベルのプライバシー設定 |
| サイトまたはチームの共有制限を構成します。これにより、マークされた場所のアイテムを内部ユーザーとのみ共有できます。 | ラベル共有の構成 |
| ラベル暗号化を使用してラベル付きコンテンツへのアクセスを制御し、承認されたユーザーのみがアクセスできるようにします。 | ラベル暗号化の有効化 |
| セキュリティで分類またはマークされた情報が、未承認のユーザーによってアクセスされやすい秘密度の低い場所に移動されることによるアラート。 | データの配置外アラート |
コア要件 C: ICT システム、ネットワーク、インフラストラクチャ、デバイス、アプリケーションをサポートするアクセス (リモート アクセスを含む) を制御する
| ソリューション機能 | セクション |
|---|---|
| 条件付きアクセス (CA) を使用して、適切な認証要件が満たされている場合にのみ、承認されたユーザー、デバイス、場所に Microsoft 365 アプリケーションへのアクセスを制限できます。 | 条件付きアクセス |
| 機密またはセキュリティで分類されたラベル付き場所にきめ細かいアクセス制御を提供します。 | 認証コンテキスト |
| 暗号化されたアイテム (ファイルまたは電子メール) へのアクセス時にユーザー認証と承認を評価します。 | 秘密度ラベルの暗号化 |
サポート要件
サポート要件 1: 情報とリソースを共有するための正式な契約
| ソリューション機能 | セクション |
|---|---|
| 条件付きアクセス ポリシーの一部として利用規約を構成して、ゲストがアイテムへのアクセスを許可する前に条項に同意する必要があります。 これにより、組織間の書面による契約が補完されます。 | Microsoft Entra Business to Business (B2B) の構成は、このガイド1 の範囲外です。 概念は、 条件付きアクセスで導入されます。 |
| セキュリティマークまたは機密情報だけでなく、他の種類の機密情報を外部組織と共有しないように制限を実装します。 これらのポリシーには例外を適用して、正式な契約が確立されている承認済みの組織の一覧への共有を許可することができます。 | 機密情報の配布を制限する |
| アクセス許可が構成されているユーザーまたは組織を除き、情報 (ファイルまたは電子メール) へのアクセスをゲストに制限するように暗号化を構成します。 | 秘密度ラベルの暗号化 |
| 正式な契約が存在する承認済みの組織とのコラボレーション アクティビティ (共有、共同編集、チャット、Teams メンバーシップを含む) を許可するようにゲスト アクセスを構成します。 | Microsoft Entra B2B の構成は、このガイド1 の範囲外です。 ラベル付き項目へのゲスト アクセスの概念または制限は、ゲスト アクセス構成で導入されています |
| ゲスト アクセスとメンバーシップを監査し、不要になったときにリソース所有者にゲストの削除を求め、リソースにアクセスされていない場合は削除を推奨します。 | Microsoft Entra B2B 構成は、このガイド1,2 の範囲外です。 |
注:
1 B2B 構成Microsoft Entra詳細については、「B2B コラボレーションの Microsoft Cloud Settings」を参照してください。
2 アクセス レビューの詳細については、「アクセス レビュー」を参照してください。
要件 2 のサポート: 機密情報と機密情報とリソースへのアクセスを制限する
コア要件 B を超える追加の要件はありません。
サポート要件 3: 継続的なアクセス セキュリティの機密情報とリソース
| ソリューション機能 | セクション |
|---|---|
| DLP ポリシーを構成して、適切なレベルにクリアされていないユーザーにセキュリティの機密情報が配布されないようにします。 | 未承認の組織への機密情報の電子メール配布の防止 |
| セキュリティの分類 (または警告) 情報を含む場所へのアクセスを、適切なレベルにクリアされた個人に制限します。 | 認証コンテキスト |
| セキュリティで分類またはマークされた情報が、承認されていないユーザーが簡単にアクセスできる低い秘密度の場所に移動されないようにします。 | データの配置外アラート |
| 暗号化を構成して、organizationを離れたユーザーが機密資料にアクセスできないようにします。 | 秘密度ラベルの暗号化 |
要件 4 のサポート: 機密情報とリソースへの一時的なアクセス
| ソリューション機能 | セクション |
|---|---|
| 機密性の高いアイテムへの一時的なアクセスを許可し、一定期間後にアクセス権を取り消し、受信者がアイテムを読み取れなくするようにラベル暗号化を構成します。 | コンテンツ アクセスの有効期限 |
サポート要件 5: 情報システムへのアクセスの管理
| ソリューション機能 | セクション |
|---|---|
| サービスへのアクセスを許可する前に、MFA、マネージド デバイス、既知の場所などの他の "先進認証" 要素を含む、ユーザー識別、認証を要求するように条件付きアクセス (CA) ポリシーを構成します。 | 条件付きアクセス |
| 特定のラベルでマークされている場所にアクセスするときに、他の条件付きアクセス要件をユーザーに適用します。 | 認証コンテキスト |
| 暗号化されたアイテムにユーザーがアクセスするたびに ID、認証、承認を確認するラベル暗号化を構成します。 | 秘密度ラベルの暗号化 |
情報セキュリティ マニュアル (ISM)
情報セキュリティ マニュアル (ISM) の目的は、組織がリスク管理フレームワークを使用して、情報とシステムを脅威から保護するために適用できるサイバー セキュリティ フレームワークの概要を説明することです。 このマニュアルには、オーストラリア連邦政府、州政府、地方自治体向けの PSPF の下で働く政府機関や他の組織が実装し、管理しているデータの分類に関連する適切なレベルで実施する必要があるコントロールが含まれています。
このMicrosoft Purview 情報保護 ガイドの目的は、組織が ISM との連携を評価するために行う必要がある詳細な作業を置き換えることではありません。 これは、ISM コントロールに合わせた Microsoft 365 構成に関する組織をガイドすることを目的としています。
適切な Microsoft 365 構成に関するより広範なガイダンスについては、 ASD の Secure Cloud 用ブループリントをお勧めします。
このセクションで説明する ISM 要件は、ISM バージョン - 2023 年 3 月を参照してください。
次の ISM 要件は、政府機関Microsoft Purview 情報保護構成に関連します。
ISM-0270: 保護マーキングが電子メールに適用され、件名、本文、添付ファイルの最高の感度または分類が反映されます
| ソリューション機能 | セクション |
|---|---|
| ラベルの継承により、アイテムまたは添付ファイルに適用される最高の秘密度に従ってメールがマークされます。 | ラベルの継承 |
| 機密情報を特定し、アイテムが分類されている場合は、より高い感度のマーキングを適用することをお勧めします。 |
クライアント ベースの自動ラベル付け 機密情報の識別 |
ISM-0271: 保護マーキング ツールが電子メールに保護マーキングを自動的に挿入しない
| ソリューション機能 | セクション |
|---|---|
| ユーザーが各項目 (ファイルまたは電子メール) に適切な秘密度ラベルを選択し、ラベルを適用していない場合はラベルを求める必要があります。 | 必須のラベル付け |
| ラベルの推奨事項を構成して、機密性の高いコンテンツの検出後にラベルが適用されることを提案し、ユーザーに決定を任せる。 | クライアント ベースの自動ラベル付けの推奨事項 |
ISM-0272: 保護マーキング ツールでは、システムが処理、保存、または通信を許可されていない保護マーキングをユーザーが選択することはできません
| ソリューション機能 | セクション |
|---|---|
| ユーザーは、ラベル付けポリシーを使用して公開されたアイテムにのみ秘密度ラベルを選択して適用できます。 |
秘密度ラベル ポリシー 保護レベルを超えた情報のラベル 非送信分類の送信をブロックする |
ISM-1089: 保護マーキング ツールでは、ユーザーがメールに返信したり転送したりして、以前に使用したよりも低い保護マーキングを選択することはできません
| ソリューション機能 | セクション |
|---|---|
| このコントロールと Microsoft 365 アプローチの違いに注意して、Purview は、秘密度ラベルを削除または低くするために、ビジネス上の正当な理由を必要とするように構成できます。 この情報は監査ログに保持され、データ分類ポータルを介して表示され、Sentinelなどのセキュリティ情報およびイベント管理 (SIEM) ソリューションを介してエクスポートできます。 また、この情報は Insider Risk Management (IRM) メトリックに組み込まれています。これは、危険なユーザーを特定し、悪質なアクティビティを行うのを防ぐために使用できます。 |
DLP を使用してマークされた情報の電子メールを制御する 悪意のあるラベルのダウングレードへの影響 ラベル変更の正当な理由 監査ログ セキュリティの機密情報の共有の防止 |
| ラベルベースの暗号化と権限管理を構成して、十分なアクセス許可を持たないユーザーのラベル付きアイテムに対する変更を防ぎ、ラベルの変更を防ぎます。 | 秘密度ラベルの暗号化 |
ISM-0565: Email サーバーは、不適切な保護マーキングを使用して電子メールをブロック、ログ、およびレポートするように構成されています
| ソリューション機能 | セクション |
|---|---|
| DLP ポリシーを実装して、プラットフォームで許可されていない分類を含むアイテムの受信とそれ以上の配布を防ぎます。 | 非送信分類の送信をブロックする |
| DLP ポリシーまたは Exchange メール フロー ルールを構成して、マーキングが見つからないメールをブロック、ログ、レポートします。 |
必須のラベル付け ラベル付けされていないメールの送信をブロックする |
ISM-1023: ブロックされた受信メールの目的の受信者と、ブロックされた送信メールの送信者が通知されます
| ソリューション機能 | セクション |
|---|---|
| 受信者に基づいて異なる通知オプションを使用して、DLP ポリシーまたは Exchange メール フロー ルールを構成します。 | ラベル付けされていないメールの送信をブロックする |
ISM-0572: パブリック ネットワーク インフラストラクチャ経由で受信または送信メール接続を行う電子メール サーバーで、日和見 TLS 暗号化が有効になっている
| ソリューション機能 | セクション |
|---|---|
| Opportunistic Transport Layer Security (TLS) は、Exchange Onlineで既定で構成されます。 機密性の低いアイテムにこれらの要件を適用する必要なく、機密性の高い電子メールの送信に TLS 暗号化を必須として設定するように電子メール コネクタを構成します。 |
機密性の高い電子メール転送に TLS 暗号化を要求する |
ISM-1405: 一元化されたイベント ログ機能が実装され、各イベントが発生した後、できるだけ早くイベント ログを施設に保存するようにシステムが構成されます
| ソリューション機能 | セクション |
|---|---|
| 統合監査ログは、すべての Microsoft 365 サービスに対して一元的なイベント ログを提供します。 | 監査ログ |
ISM-0859: イベント ログ (ドメイン ネーム システム サービスと Web プロキシを除く) は、少なくとも 7 年間保持されます
| ソリューション機能 | セクション |
|---|---|
| 監査ログは、監査ログ保持ポリシーを使用して最大 10 年間保持できます。 この期間は、Microsoft 365 と SIEM ソリューション (Sentinel など) の統合によってさらに拡張できます。 | 監査ログ |
ISM-0585: ログに記録されるイベントごとに、イベントの日時、関連するユーザーまたはプロセス、関連するファイル名、イベントの説明、関連する ICT 機器が記録されます
| ソリューション機能 | セクション |
|---|---|
| Microsoft 365 監査ログは、ユーザーと管理イベントの詳細をキャプチャします。 アイテム、ユーザー、完了したアクティビティ、イベント時間などのイベント関連の詳細がすべて記録されます。 監査ログは、ラベル アプリケーションや変更などのラベル関連アクティビティのイベントをキャプチャします。 |
監査ログ |
ISM-0133: データスピルが発生すると、データ所有者に通知され、データへのアクセスが制限されます
| ソリューション機能 | セクション |
|---|---|
| データ スピルを検出し、検出時に適切な関係者に通知するように DLP ポリシーを構成します。 | 非送信分類の送信をブロックする |
オーストラリア政府記録メタデータ標準
このガイドで参照されている AGRkMS 要件のバージョンは 、AGRkMS V2.2 (2015 年 6 月) です。
オーストラリア政府記録メタデータ標準 (AGRkMS) と付随する AGRkMS ガイドは、オーストラリア政府機関がビジネス システムに含める必要があるメタデータの種類を設定し、最低限の必須要件を指定します。
これらの要件の中には、PSPF ポリシー 8 に沿った "セキュリティ分類" と "セキュリティに関する注意事項" のメタデータ プロパティがあります。
標準には、これらのメタデータ プロパティを含めるための目的のステートメントが含まれています。 前のセクションで説明した要件と同様に、これらの AGRkMS がこれらのプロパティをこの標準に含めることの意図は、Microsoft Purview 情報保護および関連する Microsoft 365 ツールによって提供される機能と一致します。
| 要件 | セクション |
|---|---|
| 1. 機関のスタッフまたは一般の人による、レコード、または特定のビジネス機能、活動、またはトランザクションへのアクセスを容易または制限するため (分類および警告)。 2. セキュリティアクセス許可が不十分なユーザーによるレコード、または特定のビジネス機能、アクティビティ、またはトランザクションへのアクセスを防ぐため (分類)。 3. セキュリティ アクセス許可が不十分なレコードによるレコードへのアクセス制限を有効にするには (注意)。 |
セキュリティの機密情報の不適切な配布を防止する ゲスト アクセス設定にラベルを付ける ラベル共有の構成 認証コンテキスト データが所定の位置から外れるアラート |
| 4. レコード、ビジネス機能、アクティビティ、またはトランザクション、およびセキュリティの機密性を持つ委任を適切に識別および管理できるようにするため (分類と警告)。 |
クライアント エクスペリエンスのラベル付け ラベルコンテンツマーキング SharePoint の場所とアイテムの秘密度 |
| 5. レコードと委任へのアクセスに関するセキュリティ制限をユーザーに警告する (分類と注意点)。 |
未承認の組織への機密情報の電子メール配布の防止 セキュリティの機密情報の共有の防止 |
| 6. 特定のセキュリティコンパートメントによってカバーされる情報または活動の性質の発見を防ぐために(分類および警告)。 | コンプライアンスの境界 |
これらのメタデータ要件は、高度なメタデータ操作を行わずに Microsoft 365 プラットフォームで満たすことができます。 ただし、インプレース レコード管理に Microsoft 365 を使用することを望み、AGRkMS 要件全体を満たす必要がある政府機関は、このガイドの 「分類の管理とメタデータの警告 」セクションで提供されるアドバイスを検討する必要があります。
州政府の要件
次のセクションでは、州政府の要件と、そのフレームワークが連邦政府とどのように異なるかについての概要ノートについて説明します。
オーストラリア首都特別地域
オーストラリア首都地域 (ACT) 政府は、ACT Government Protection Security Policy Framework (PSPF) を使用しています。これは、意図、必須ラベル、情報管理マーカー (IMM) の連邦政府標準に似ています。 したがって、このガイドのアドバイスは ACT Government に直接適用されます。
ニューサウスウェールズ州
ニューサウスウェールズ州 (NSW) 政府は 、NSW 政府の情報分類、ラベル付け、処理ガイドラインを使用しています。
これらの要件は、両方の要件セットが UNOFFICIAL から PROTECTED ラベルを使用するため、高レベルの連邦 PSPF 標準と一致します。 ただし、NSW 標準では、連邦ラベルと一致しない 異なる一連の普及制限マーカー (DLM) が 使用されます。
「公式: 機密ラベルは、オーストラリア政府や他の州や地域によって適用されます。NSW Government では、OFFICIAL: Sensitive プレフィックスを使用して NSW で使用される 6 つの DLM によって NSW で必要な特異性が可能になるため、このラベルは情報に適用されません。つまり、OFFICIAL: Sensitive というラベルが付いた情報は、NSW 政府の外部から発信されたものとみなされます。
つまり、機密性の高い NSW Government 情報は連邦ラベルでマークされるのではなく、個別に扱われます。 たとえば、"OFFICIAL Sensitive - NSW Government" のラベルには PSPF に相当するものがないため、PSPF ラベルへの変換は適切ではありません。
NSW 政府機関と協力する連邦政府機関は、MPIP 構成を設計するときに考慮する必要がある 3 つのオプションがあります。
- 管理者がユーザーに公開されていないが、自動ラベル付けサービスで使用できる一連のラベルを実装する非表示ラベルの使用。 非表示ラベルを使用すると、州政府機関によって生成された情報は、PSPF マーキングを使用して項目にラベルを付け直す必要なく、内部情報と同様の保護を受けられます。 詳細については、「 ラベル分類が異なる組織のラベル」を参照してください。
- 組織が NSW Government ラベルでマークされた情報を識別する一連の SID を実装する機密情報の種類 (SIT) の使用。 これらの SID は、情報が適切に処理されるように、DLP やその他のポリシーの種類で使用されます。 詳細については、「 カスタム機密情報の種類」を参照してください。
- NSW で調整されたラベルを使用 します。組織は、受信した情報にラベルを適用することを選択し、NSW Government のマーキングと最も密接に一致します。 これはユーザーが手動で操作できます。自動ラベル付けを使用して、最も適切な (OFFICIAL: ほとんどの場合は機密性の高い) を提案することができます。 この方法を使用すると、NSW ビジュアル マーキングは引き続きアイテムに適用され、返信メールで連邦政府の同等物と補完されます。 これにより、環境内に存在するテナント構成に沿って情報が確実に保護されます。 詳細については、「 外部機関のマーキングに基づく推奨事項」を参照してください。
これらのオプションは、連邦 PSPF マーキングまたは他の州政府によって適用されたマーキングで受け取られた情報を処理する最善の方法を検討している NSW 政府機関にも関連しています。
北方領土
北方領土 (NT) 政府は 、北方領土政府の公共部門組織 (NTG PSO): セキュリティ分類システムを利用しています。
このシステムは、UNCLASSIFIED ラベルと PROTECTED ラベルがフレームワークに存在するため、Federal PSPF と部分的に整合しています。 ただし、CONFIDENTIAL ラベルと PUBLIC ラベルも使用します。つまり、NT Government と協力している組織は、連邦政府の Microsoft 365 環境に存在する間に情報をセキュリティで保護するために、NSW 政府のセクションで前述した方法を使用して、NT Government CONFIDENTIAL 情報のラベル変換または識別の方法を検討する必要があります。
NT 政府機関は、このドキュメントのアドバイスを検討する必要がありますが、PUBLIC ラベルを追加し、OFFICIAL: Confidential ラベルの機密ラベルに置き換える必要があります。 他の管轄区域からの情報の保護に関する上記の点も関連しているため、NT は「NSW」セクションで説明されているように、機密情報の種類、発行されていないラベル、またはクライアントベースのラベル付けの推奨事項を実装する必要があります。
クイーンズランド
クイーンズランド州政府機関は、クイーンズランド州政府情報セキュリティ分類フレームワーク(QGISCF)に準拠する必要があります
NSWやNTと同様に、クイーンズランド州政府の要件はPSFとは異なりますが、QGISCFは公式、機密、保護されたラベルの同様のトポロジを利用しており、このドキュメントで提供されている情報が関連しています。
QGISCFは、オーストラリア政府保護セキュリティポリシーフレームワークおよびオーストラリア政府情報セキュリティマニュアルと互換性を持つものです。 このため、連邦政府機関は自動ラベル付けを使用して、クイーンズランド州政府機関から受け取った情報を同等の PSPF ラベル (SENSITIVE to OFFICIAL: Sensitive など) に変換して、そのような情報が連邦政府 Microsoft 365 環境に存在する間に DLP やその他の保護の範囲内にあることを確認する必要があります。 この逆は、連邦政府の情報を受け取るクイーンズランド州政府の組織に適用されます。
南オーストラリア州
南オーストラリア (SA) 保護セキュリティ フレームワーク (SAPSF) には、"INFOCEC1: 公式情報の保護" という名前のポリシーが含まれています。 このポリシーは、連邦標準と高いレベルで一致し、情報管理マーカーと注意事項 (SA CABINET や医療インコンフィデンスなど) に関するいくつかのバリエーションに注意してください。 この調整により、連邦政府機関は、機密性の高い SA Government 項目を特定して保護でき、構成に大きな変化を与える必要があります。 このドキュメントで提供されるアドバイスは、ローカル マーキングへの翻訳を大幅に必要とせずに SA Government に関連しています。
SA 政府機関から情報を受け取る連邦政府機関は、SA 政府機関の情報が環境内でどのように保護されるかを検討する必要があります。 SA 固有のマーキングと DLP ポリシーをキャプチャして適切な保護を適用する (ラベル分類が 異なる組織のラベルでカバーされている) ように、必要に応じて、SID または非公開の秘密度ラベルを確立します。
このガイドを使用する SA 政府機関は、SAPSF フレームワークで X-Headers などの電子メール メタデータ要件が指定されていないと考える必要があります。 これは仕様のないギャップです。SA 政府機関は、組織間で情報が渡されるときに分類と関連する保護を維持するのが難しい場合があります。 これに対する連邦 PSPF 標準の使用は、電子メール ラベルの翻訳 ( トランスポート中の電子メールのラベル付けの対象) を達成するために適しています。
PSPF X-Protection-マーキングヘッダーで使用されるアプローチは、SAキャビネットやメディカルインコンフィデンスなどのSA固有のラベルをカバーするように適応させることができます。 一部の SA 政府機関では、SAPSF に含まれていないことに関係なく、PSPF スタイルのメタデータが実装されています。 たとえば、"VER=2018.6, NS=sa.gov.au, SEC=OFFICIAL" の X-保護マーキング ヘッダーを設定します。 このアプローチは、SA 政府機関間で情報を共有し、他の州や連邦組織が囲まれた情報の必要な保護を決定するために使用できるマーキングを提供することに関連するリスクを軽減します。
タスマニア
タスマニア州 (TAS) 政府の 情報セキュリティ分類基準 はドラフトであり、審査中です。
TAS Government で現在使用されているマーキングの詳細については、「TAS 情報セキュリティ分類」を参照してください。
TAS Government から受け取った情報を確実に保護する連邦政府機関は、以前のバージョンの PSPF でレガシ情報を保護するために用意されているコントロールを利用する必要があります。 詳細については、「履歴マーキングに基づく推奨事項」を参照してください。
ビクトリア
ビクトリア州 (VIC) 州政府フレームワークは、 ビクトリア朝保護データ セキュリティ フレームワーク (VPDSF) は SA に似ていますが、連邦 PSPF と密接に一致しています。
ビクトリア州政府機関は、このガイドで提供されるアドバイスを、独自の環境に関連していると考える必要があります。
VIC フレームワークの場合、ドメインとバージョンの値に対して電子メール x ヘッダーを介して適用されるマーキングとの違い。 ビクトリア朝政府キャビネットのマーキングも連邦政府のマーキングとは異なるため、ビクトリア政府の組織は、'SH:CABINET-IN-CONFIDENCE' の特別な処理 x ヘッダーが 'SH:NATIONAL-CABINET' の代わりに必要であることに注意する必要があります。 特殊な処理の詳細については、 DLP ポリシーを使用した x 保護マーキング ヘッダーの適用に関するページを参照してください。
西オーストラリア州
西オーストラリア州 (WA) 政府は、情報分類ポリシーを持ち、UNOFFICIAL、OFFICIAL、OFFICIAL: 機密ラベルを使用しています。これは、連邦政府の PSPF 分類と密接に一致します。 ただし、アクセスとその他の要件は異なります。
ポリシーは、「コモンウェルスセキュリティ機密情報の保護のために、機関は関連する管轄間契約の規定に従う必要がある」と述べています。つまり、連邦政府の要件は WA 政府機関によって考慮される必要があります。
WA Government のお客様は、独自の構成との関連性について、このドキュメントに記載されているアドバイスを考慮する必要があります。
WA 政府機関から情報を受け取る連邦政府組織の場合、WA アプローチは連邦政府と一致するため、このガイドで取り上げた自動ラベル付けやその他の構成は、そのような情報が連邦 Microsoft 365 環境に存在する間に保護されるようにするのに役立ちます。