Microsoft Purview のインサイダー リスク管理について説明する

  • 6 分

Microsoft Purview のインサイダー リスク管理は、危険なアクティビティや悪意のあるアクティビティの検出と調査を行い、それらに対処できるようにして、組織が社内のリスクを最小限に抑えるために役立つソリューションです。

組織でのリスクの管理と最小化は、現代的の職場で検出されるリスクの種類を理解することから始まります。 一部のリスクは、外部のイベントや要因により発生し、組織が直接制御できるものではありません。 それ以外のリスクは、社内イベントや従業員のアクティビティによって発生するため、排除や回避が可能です。 次に例をいくつか示します。

  • 機密データの漏洩とデータ流出
  • 機密性違反
  • 知的財産 (IP) の盗難
  • 不正行為
  • インサイダー取引
  • 法令遵守の違反

インサイダー リスク管理の中心は、次の原則です。

  • 透明: プライバシーバイデザイン アーキテクチャによる、ユーザーのプライバシーと組織のリスクとのバランス。
  • 構成可能: 業界、地域、およびビジネスのグループに基づく構成可能なポリシー。
  • 統合: Microsoft Purview ソリューション全体にわたる統合ワークフロー。
  • 実用的: ユーザーへの通知、データの調査、およびユーザーの調査を可能にするための分析情報を提供。

インサイダー リスク管理のワークフロー

インサイダー リスク管理は、組織が社内のリスクを特定し、調査して、それに対処するために役立ちます。 集中型ポリシー テンプレート、Microsoft 365 全体の包括的なアクティビティ信号、および柔軟なワークフローにより、組織は実用的な分析情報を活用して、リスクの高い行動を迅速に識別し、解決することができます。 Microsoft Purview のインサイダー リスク管理で、内部のリスク アクティビティとコンプライアンスに関する問題を特定して解決するには、次のワークフローを使用します。

インサイダー リスク管理ワークフローの図。

  • ポリシー - インサイダー リスク管理ポリシーは、Microsoft 365 の機能領域で検証されるリスク インジケーターが事前に定義されたテンプレートとポリシー条件を使用して作成されます。 これらの条件には、インジケーターがアラートに使用される方法、ポリシーに含まれるユーザー、優先されるサービス、監視期間などが含まれます。

  • アラート - アラートは、ポリシー条件に一致するリスク インジケーターによって自動的に生成され、アラート ページに表示されます。アラート ページには、レビューが必要なすべてのアラート、時間の経過と共に発生するオープン アラート、組織のアラート統計情報に関するクイック分類が提供されます。 DLP アラートは、Microsoft Defender ポータルで表示することもできます。このアラートは自動的にインシデントに組み合わされ、潜在的なポリシー違反と、調査や修復のための高度なツールを包括的に確認できます。

  • トリアージ - 調査が必要なアクティビティが新しく発生すると、アラートが自動的に生成され、「レビューが必要」状態が割り当てられます。 組織のレビュー担当者は、これらのアラートをすばやく特定し、それぞれに目を通して評価し、トリアージを行うことができます。 アラートを解決するには、新しいケースを開くか、既存のケースにアラートを割り当てるか、アラートを無視します。 レビュー担当者は、トリアージ プロセスの一部として、アラートの詳細を表示してポリシーと照合したり、一致したアラートに関連付けられているユーザー アクティビティを表示したりできます。また、アラートの重要度を確認したり、ユーザープロファイル情報をレビューしたりできます。

  • 調査 - ポリシーとの一致に関連する詳細と状況をさらに詳しくレビューし、調査する必要があるアラートについては、ケースが作成されます。 ケース ページには、すべてのアクティブなケースの総計ビュー、時間の経過と共に発生する未解決のケース、組織のケース統計情報が表示されます。 ケースを選択すると、ケースが開き、調査とレビューを実行できます。 この領域には、リスク アクティビティ、ポリシー条件、アラートの詳細、およびユーザーの詳細がまとめられ、レビュー担当者向けの統合ビューに表示されます。 この領域の主な調査ツールは以下のとおりです。

    • ユーザー アクティビティ: ユーザー リスク アクティビティは、時間に対して、現在または過去のリスク アクティビティのリスク レベル別にアクティビティをプロットする対話型グラフに自動的に表示されます。 レビュー担当者は、ユーザーのリスク履歴全体をすばやくフィルター処理して表示し、特定のアクティビティを深掘りして詳細を確認できます。
    • コンテンツ エクスプローラー: アラート アクティビティに関連付けられているすべてのデータ ファイルとメール メッセージが自動的にキャプチャされ、コンテンツ エクスプローラーに表示されます。 レビュー担当者は、データ ソース、ファイルの種類、タグ、会話、その他の多くの属性によって、ファイルとメッセージをフィルター処理して表示できます。
    • ケース ノート: レビュー担当者は、[ケース ノート] セクションでケースのノートを提供できます。 このリストは、すべてのノートを中央ビューに統合し、レビュー担当者と提出日の情報を含みます。

  • アクション - ケースを調査した後、レビュー担当者はすばやく対処して、ケースを解決したり、組織内の他のリスク関係者と共同で作業したりできます。 アクションは、従業員が偶然に、または不注意によりポリシー条件に違反したときに通知を送信するなど、簡単である場合もあります。 より深刻なケースでは、レビュー担当者が、インサイダー リスク管理ケース情報を、組織内の他のレビュー担当者と共有することが必要になる場合があります。 調査のためにケースをエスカレートすると、そのケースのデータと管理を、Microsoft Purview の eDiscovery に転送できます。

インサイダー リスク管理は、いくつかの一般的なシナリオで検出、調査、対処を行って、組織内の内部リスクを軽減するために役立ちます。 これらのシナリオには、従業員によるデータの窃盗、意図的な、または不注意による機密情報漏洩、不快感を与える行為などが含まれます。

Microsoft Security Copilot との統合

Microsoft Purview インサイダー リスク管理は、スタンドアロンおよび埋め込みエクスペリエンスを通じて、Microsoft Security Copilot との統合をサポートしています。

Copilot の統合を体験するには、組織が Copilot にオンボードされ、Copilot による Microsoft 365 サービスからデータへのアクセスが可能である必要があり、ユーザーには適切なロールのアクセス許可が必要となります。

プロンプト アイコンを選択してすべての機能を選択することでスタンドアロン エクスペリエンスで表示できる Microsoft Purview 機能は、使用できる組み込みのプロンプトですが、サポートされている機能に基づいて独自のプロンプトを入力することもできます。

Microsoft Security Copilot で使用できる Microsoft Purview 機能のスクリーンショット。

埋め込みエクスペリエンスでは、Microsoft Purview インサイダー リスク管理の Copilot がアラートの要約をサポートしています。 Microsoft Purview インサイダー リスク管理内から Copilot にアクセスするには、アラート キューに移動して、確認するアラートを選択します。 アラートに関する情報と、アラートを要約するオプションが表示されます。 [要約] を選択して、Copilot にアラートの要約を生成させます。