次の方法で共有

コンプライアンス マネージャーでカスタム評価 (プレビュー) を構築する

  • [アーティクル]

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview 試用版ハブから開始します。 サインアップと試用期間の詳細については、こちらをご覧ください。

コンプライアンス マネージャーには、カスタム評価を構築するためのニーズに合わせてコントロールと改善アクションを追加することで、規制テンプレートを変更するオプションが用意されています。 最初に規制をコピーし、次にコントロールと改善アクションとサービスを追加してから、評価に使用を開始できるように公開します。 この記事では、カスタマイズされた評価を作成するために規制をコピーして変更する方法について説明します。

規制をカスタマイズする

既存の Microsoft 規制テンプレート を変更して、ニーズに合わせてカスタマイズできます。 規制をカスタマイズする場合:

  • これは、親規制のすべてのコントロールとアクションを継承します。
  • 変更したアクションを除き、Microsoft マネージド コントロールに自動更新が継承され、自動的にテストされたアクションが継承されます。
  • 他のコントロールに既に存在するコントロールに、さらにアクションを追加できます。
  • 独自のアクションとコントロールを作成できます。
  • サービスを追加できます。

注:

プレミアム規制をコピーすると、organizationの規制がアクティブ化され、ライセンスが使用されます。 ライセンスを使用すると、規制の複数のコピーを作成し、コピーした規制から複数の評価を作成できます。 規制ライセンスの詳細については、こちらをご覧ください。

Updatesとバージョン管理

規制をカスタマイズすると、すべての詳細、制御、およびアクションが親規制から継承されます。 カスタマイズされた規制は、関連する規制または製品に変更がある場合に Microsoft から 更新プログラムを受け取ります 。 ただし、自動的にテストされるアクションを変更した場合、organizationはテストと実装を引き継ぎ、そのアクションは Microsoft によって更新プログラムを受け取りません。

ヒント

udpate はバージョン管理履歴に反映されないため、コピーおよび発行された規制に変更を加えないことをお勧めします。 カスタマイズされた規制のすべての更新を反映したバージョン管理エクスペリエンスは、近い将来の製品ロードマップにあります。

規制をカスタマイズするための手順

  1. コンプライアンス マネージャーで、[ 規制 ] ページに移動します。

  2. カスタマイズする規制の名前の横にあるチェック ボックスをオンにします。

  3. 規制の一覧の上にある [ 規制のカスタマイズ ] を選択します。

  4. [コピー の作成... ] ダイアログで、[コピー] を選択 します

評価のコピーが作成され、評価の詳細ページが開きます。

規制の名前が自動的に作成され、"拡張機能" で始まり、その後に規制の名前が続き、次に "Copy 1" が続きます。たとえば、ISO 27005:2018 規則をコピーする場合、コピーされた規制の名前は "拡張 ISO 27005:2018 Copy 1" になります。

ヒント

規制を 発行 したら、 コピーした規制を編集 してタイトルを変更したり、説明を変更したりできます。

[ コントロール ] タブには、元の規制 (親) から継承されたすべてのコントロールが一覧表示されます。 サービスには、評価が適用されるサービスが一覧表示され、評価にさらにサービスを追加できる場所です。

コピーされた規制の状態は 下書き であり、 発行するまで評価の構築に使用できません。 [ 規制 ] ページで新しくコピーした規制を検索するには、[ 状態 ] フィルターを [下書き ] に設定して、コピーしたが発行されていないその他の規制を確認します。

コピーした規制は削除できません。

コントロールを追加する

コピーした規制の詳細ページの [ コントロール ] タブには、基になる規制のすべてのコントロールが一覧表示されます。 次の手順に従って、独自のコントロールを追加できます。

  1. 規制の [コントロール] タブで、[コントロールの作成] を選択します。 [ コントロールの作成 ] ポップアップ ウィンドウが表示されます。

  2. コントロールの タイトル を入力します。

  3. コントロール ID を入力します。 これは、最大 150 文字の一意の数値である必要があります。 ID は、この評価または他の規制の既存のコントロールに属することはできません。

  4. ドロップダウン メニューからコントロール ファミリを選択します。 目的のコントロール ファミリ名がオプションとして表示されない場合は、次のように新しいファミリ名を作成できます。

    • [コントロール ファミリ] ドロップダウン メニューから [新規作成] を選択します。
    • [コントロール ファミリ名]フィールドに、新しい ファミリの名前 を入力します。 コントロールを作成すると、このコントロール ファミリ名がドロップダウン オプションとして追加されます。

  5. コントロールの 説明 (省略可能) を入力します。

  6. [作成] を選択します。

コントロールを作成すると、作成したコントロールの詳細ページに移動します。 次の手順では、改善アクションをコントロールにリンクします。

コントロールに改善アクションを追加する

コントロールの詳細ページの [ 改善アクション ] タブで、親規制からアクションをインポートするか、独自のアクションを作成できます。

インポート アクション

親規制内の他のコントロールに存在する他の改善アクションをコントロールにインポートできます。 [ インポート アクション] を選択します。 [インポート するアクションの選択 ] ポップアップ ウィンドウで、[改善アクション] 列ヘッダーの横にあるチェック ボックスをオンにして、すべての アクション を選択できます。 名前の横にあるチェック ボックスをオンにして、個々のアクションをチェックすることもできます。

目的のアクションを選択したら、[インポート] を選択 します

アクションの作成

次の手順に従って、コピーした規制に追加する独自の改善アクションを作成できます。

  1. 改善アクションの タイトル を入力します。

  2. ドロップダウン メニューから [スコア ] 値を選択します。 スコア値は、アクション完了に対して付与されるポイントの最大数を表します。 アクションが予防的、探偵的、または是正措置であるかどうか、およびそれらが必須か任意かに基づいて、値が割り当てられます。 どの種類のアクションに割り当てられている数値を確認するには、 スコア値 のこの説明を参照してください。

  3. [サービス] で、アクションが適用されるサービスをドロップダウン メニューから選択します。

  4. アクションが Microsoft 365 サービスに適用される場合は、[ ソリューション] でドロップダウン メニューから適切なソリューションを選択します。

  5. アクションの 説明 (省略可能) を入力します。

  6. [作成] を選択します。

アクションが作成されると、コントロールの詳細ページに戻り、先ほど作成した改善アクションが [ 改善アクション ] タブに一覧表示されます。

サービスの追加

[ サービス ] タブには、親規制に適用されるサービスが一覧表示されます。 [利用可能なサービスの追加] を選択し、1 つ以上のサービスを選択することで、その規制で 使用できるサービスを追加 できます。 サービスが一覧にない場合は、サービスを作成して規制に追加できます。

独自のサービスを作成するには、[ サービスの作成] を選択します。 ポップアップ ウィンドウで、サービスの名前と説明を入力し、[保存] を選択 します。 規制を発行した後、同じ規制のコピーをさらに作成した場合、追加されたサービスが利用可能なオプションになります。

発行して変更を確定する

コントロールを追加し、コピーした規制に改善アクションを接続した後、評価のための拡張規制の使用を開始するには、変更を公開する必要があります。

  1. 拡張規制の詳細ページに移動します。

  2. 右上隅にある [ テンプレートの発行] を選択します。

テンプレートを発行すると、[ 規制] ページに一覧表示され、評価の作成の準備が整います。 フィルター オプションである規制の状態が、[下書き] ではなく [準備完了] になりました。

[ 規制 ] ページでコピーした規制を検索する簡単な方法は次のとおりです。

  • [ 作成者 ] フィルターを自分の名前に設定します。
  • True 値で並べ替えるには、[カスタム コンテンツを含める] 列を選択します。 True は、規制がカスタマイズされたことを示します。

注:

[ テンプレートの発行] を選択して発行するまで、コピーした規制から評価を作成することはできません。

コピーした規制を編集する

コピーした規制を発行した後、その名前の変更、説明の変更、コントロールとアクションの追加と編集を続行できます。 規制を編集するには、[規制] ページの一覧から 規制 を選択します。 規制の詳細ページで、右上隅にある省略記号 (...) を選択し、[ 規制の編集] を選択します。

この時点で、発行されたコピーをオーバーライドせずに編集を行い、進行中の作業を保存できるように、規制の作業コピーが作成されます。 編集が完了したら、右上隅にある [テンプレートの発行] を選択して、もう一度 発行 する必要があります。 [ テンプレートの発行] を選択すると、[ レビューと発行 ] ポップアップ ウィンドウが表示され、変更を確認して発行ノートを追加できます。 ポップアップ ウィンドウで [ テンプレートの発行 ] を選択して変更を保存し、規制を再発行します。

同じ規制の複数のコピーを作成する

規制をさまざまな方法でカスタマイズできるように、規制の複数のコピーを作成できます。 異なる制御構成を作成する場合、または同じ規制に対して特定のサービスのみを含め、それらの拡張機能に基づいて評価を作成する場合は、複数のバージョンの規制が必要になる場合があります。

複数のコピーに名前が自動的に付けられ、名前に数字が付加されます。 たとえば、ISO 27005:2018 規則の 2 つのコピーを作成した場合、"拡張 ISO 27005:2018 Copy 1" と "Extension ISO 27005:2018 Copy 2" という名前になります。

拡張規制の説明を編集して、規制の違いや評価対象を明確に特定できるようにすることをお勧めします。 説明を編集するには:

  1. 規制の詳細ページに移動します。

  2. [ 概要 ] セクションの [ 詳細] で、[ 詳細の編集] を選択します。 [ テンプレートの詳細の編集] ポップアップ ウィンドウが表示されます。

  3. [ 説明 ] フィールドに、詳細な説明を入力します。

  4. [保存] を選択します。