次の方法で共有

ネットワーク データ セキュリティを使用して、アンマネージド AI との機密情報の共有を防ぐ

注:

このシナリオで使用される機能はプレビュー段階です。

この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、GSA Internet Access などの統合された SASE ソリューションを使用して、ネットワーク データ セキュリティを通じてアンマネージド AI アプリと機密情報を共有できないようにする Microsoft Purview データ損失防止 (DLP) ポリシー Microsoft Entra作成する方法について説明します。 テスト環境でこのシナリオを実行して、ポリシー作成 UI について理解します。

重要

この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。

ポリシーをデプロイする方法は、ポリシー設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。

前提条件と前提事項

  • GSA インターネット アクセス アプリMicrosoft Entra場合、デバイスは Entra ID 参加済みである必要があります。
  • GSA Internet Access アプリMicrosoft Entraの場合は、GSA Internet Access でネットワーク コンテンツ フィルター処理用のファイル ポリシー Microsoft Entra構成しました。
  • サード パーティの SASE プロバイダーの場合は、プロバイダーのドキュメントに記載されている統合手順が完了していることを確認してください。
  • この手順では、架空の配布グループ、 Finance Team という名前の配布グループ、および セキュリティ チーム用の別のグループを使用します。 環境内でこれらのグループを作成するか、独自のグループに置き換える必要があります。

ポリシー意図ステートメントとマッピング

意図的または偶発的な露出から顧客と組織の機密データを保護しながら、organization内で責任ある AI の使用を受け入れたいと考えています。 財務部門は機密性の高い情報を定期的に処理するため、Finance ユーザーが承認されていない生成 AI アプリケーションと機密性の高いコンテンツを共有できないようにするポリシーを作成する必要があります。 多くのユーザーは、使用するブラウザーの柔軟性と、ローカルにインストールされた AI アプリと Office アドインを使用できるため、ネットワーク データ セキュリティ保護を通じて広範なエンドポイント カバレッジを確保する必要があります。 財務部門によるデータへのアクセスの機密性を考えると、財務データ、個人を特定できる情報 (PII)、または機密ドキュメントがテキスト プロンプトまたはアップロードされたファイルを介して共有されないようにする必要があります。 その後、効率的で迅速なインシデント管理を確保するには、アラートを生成し、ブロックが発生するたびにセキュリティ チームに電子メールで通知されるようにする必要があります。 最後に、このポリシーを直ちに有効にして、できるだけ早く会社のデータの保護を開始します。

Statement 構成に関する質問の回答と構成マッピング
財務部門は機密性の高い情報を定期的に処理するため、Finance ユーザーが承認されていない生成 AI アプリケーションと機密性の高いコンテンツを共有できないようにするポリシーを作成する必要があります。 ポリシーを適用するクラウド アプリを選択します。
- [+ クラウド アプリの追加] を選択します
- [アダプティブ アプリスコープ] タブを選択します
- [すべてのアンマネージド AI アプリ] を選択し
、[追加]、[スコープの編集] の順に選択
- [特定のみを含める] を選択します
- 財務部門グループを選択します。
多くのユーザーは、使用するブラウザーの柔軟性と、ローカルにインストールされた AI アプリと Office アドインを使用できるため、ネットワーク データ セキュリティ保護を通じて広範なエンドポイント カバレッジを確保する必要があります。 ポリシーを適用する場所を選択する:
- ネットワークを有効にする
財務部門によるデータへのアクセスの機密性を考えると、財務データ、個人を特定できる情報 (PII)、または機密ドキュメントを防ぐ必要があります。 高度な DLP ルールをカスタマイズする:
- [+ ルールの作成] を選択し
[ + 条件の追加] を選択し、[コンテンツに含まれるコンテンツ] を選択します
- [機密情報の種類追加と検索] を選択します
- ABA ルーティング番号米国銀行口座番号クレジット カード番号米国社会保障番号 (SSN) を選択し、[追加]
、[秘密度ラベル] の順に選択します
[追加] を選択し
- Group 演算子[次のいずれか] に設定されていることを確認します
...テキスト プロンプトまたはアップロードされたファイルを介して共有されないようにします。 Actions:
- [+ アクションの追加] を選択し、[ブラウザーとネットワークのアクティビティを制限する] を選択します
- クラウドまたは AI アプリに送信または共有されるテキストを選択し、クラウドまたは AI アプリにアップロードまたは共有されたファイルを選択します
- 両方の [ブロック] を選択します。
その後、効率的で迅速なインシデント管理を確保するには、アラートを生成し、ブロックが発生するたびにセキュリティ チームに電子メールで通知されるようにする必要があります。 インシデント レポート:
- 重大度レベルを [高] に設定します
-ルールの一致が発生したときに管理者にアラートを送信することを確認します。[オン] を選択します
- [+ ユーザーの追加または削除] を選択し、[SecurityOps] 配布グループを選択します
- アクティビティがルールに一致するたびにアラートを送信することを確認し、[ルールを保存する] を選択します。
最後に、このポリシーを直ちに有効にして、できるだけ早く会社のデータの保護を開始します。 ポリシー モード:
- [ポリシーをすぐに有効にする] を選択します

SASE プロバイダーの ingtegration

重要

ネットワーク経由で共有されるコンテンツの検出と保護を開始するには、Purview と統合された SASE プロバイダーが必要です。

  1. [Microsoft Purview ポータル] にサインインします。
  2. [ 設定] を開く (右上隅) >データ損失防止>Integrations
  3. Microsoft グローバル セキュリティ で保護されたアクセス (プレビュー) の [はじめに] を選択します。
  4. 統合ウィザードに記載されている手順を完了します。

ポリシーを作成する手順

  1. [Microsoft Purview ポータル] にサインインします。
  2. [データ損失防止]>[ポリシー]>+ [ポリシーの作成] を選択します。
  3. [ インライン Web トラフィック] を選択します。
  4. [カテゴリ] ボックスの一覧から [カスタム] を選択し、[規制] の一覧から [カスタム ポリシー] を選択します。
  5. [次へ]を選択します。
  6. ポリシー名を入力し、省略可能な説明を指定します。 ここでポリシー インテント ステートメントを使用できます。
  7. [次へ]を選択します。
  8. [ + クラウド アプリの追加] を選択します
  9. [ アダプティブ アプリ スコープ ] タブを選択し、[ すべてのアンマネージド AI アプリ ] を選択し、[ 追加] (1) を選択します。
  10. [すべてのアンマネージド AI アプリ] で [スコープの編集] を選択します。
  11. [Add or edit the scope for All Unmanaged AI Apps]\(すべてのアンマネージド AI アプリのスコープを追加または編集する\) で [特定ののみ含める] オプションを選択します。
  12. [ + 包含の追加] を選択します
  13. [ 特定のユーザーとグループ] を選択します
  14. [財務部門] グループを検索して選択し、[追加] を選択します。
  15. [ 保存して閉じる] を選択します
  16. [次へ]を選択します。
  17. [ ポリシーを適用する場所の選択] ページで、[ ネットワーク ] が [オン] になっていることを確認し、[ 次へ] を選択します。

注:

ネットワークを選択できるのは、従量課金制の課金が設定されている場合のみです。 従量課金制の詳細については、こちらをご覧ください

  1. [ ポリシー設定の定義 ] ページで、[ 高度な DLP ルールの作成またはカスタマイズ ] が選択されていることを確認し、[ 次へ] を選択します。
  2. [高度な DLP ルールのカスタマイズ] ページで、+ [ルールの作成] を選択します。
  3. ルールに一意の 名前 と説明 (省略可能) を指定します。
  4. 条件 の下
    1. [ + 条件の追加] を選択し、[ コンテンツに含まれる] を選択します。
    2. [ 追加] を選択し、[ 機密情報の種類] を選択します。
    3. ABA ルーティング番号米国銀行口座番号クレジット カード番号米国社会保障番号 (SSN) を選択し、[追加] を選択します。
    4. [追加] を選択し、[秘密度ラベル] を選択します
    5. [ 機密] を選択し、[追加] を選択 します
    6. [Content contains group]\(コンテンツに含まれるグループ\) の [グループ] 演算子[次のいずれか] に設定されていることを確認します。
  5. [アクション] の
    1. [ + アクションの追加] を 選択し、[ ブラウザーとネットワーク アクティビティの制限] を選択します。
    2. [ クラウドまたは AI アプリに送信または共有されるテキスト] と [クラウドまたは AI アプリ にアップロードまたは共有されたファイル] を選択します。
    3. 両方に [ ブロック] を選択します。

重要

MICROSOFT ENTRA GSA Internet Access では、ファイル アクティビティのみがサポートされます

  1. [インシデント レポート] の下
    1. 管理者のアラートとレポートの重大度レベルを[高] に設定します
    2. ルールの一致が発生したときに管理者にアラートを送信するが [オン] であることを確認します
    3. [+ ユーザーの追加または削除] を選択し、SecurityOps 配布グループを選択します
    4. アクティビティがルールと一致するたびにアラートを送信するが選択されていることを確認する
  2. [保存] を選択します。
  3. ルールの構成を確認し、状態が [オン] になっていることを確認し、[ 次へ] を選択します。
  4. [ ポリシー モード ] ページ で、[ポリシーをすぐにオンにする ] を選択し、[ 次へ] を選択します。
  5. ポリシー情報を確認し、[ 送信] を選択してポリシーを作成します。
  • Last updated on