重要
Microsoft Purview インサイダー リスク管理は、IP の盗難、データの漏洩、セキュリティ違反など、潜在的な悪意のある、または不注意なインサイダー リスクを特定するために、さまざまな信号を関連付けます。 Insider Risk Management を使用すると、お客様はセキュリティとコンプライアンスを管理するためのポリシーを作成できます。 プライバシー バイ デザインで構築されており、ユーザーは既定で仮名化され、ユーザー レベルのプライバシーを確保するのに役立つロールベースのアクセス制御と監査ログが用意されています。
organizationで Insider Risk Management を開始する前に、情報テクノロジとコンプライアンス管理チームとの重要な計画活動と考慮事項を確認してください。 次の領域でのデプロイの徹底的な理解と計画は、Insider Risk Management 機能の実装と使用がスムーズに進み、ベスト プラクティスと一致することを保証するのに役立ちます。
organizationの危険なアクティビティに対処するための計画プロセスの詳細と概要については、「Insider Risk Management プログラムの開始」を参照してください。
Insider Risk Management ワークフローを使用して、organizationの値、カルチャ、ユーザー エクスペリエンスを優先しながら、organizationでリスクを防止、検出、および含める方法を学習するには、次のビデオをご覧ください。
インサイダー リスク管理とコミュニケーション コンプライアンスが連携して、organizationのユーザーからのデータ リスクを最小限に抑える方法に関する Microsoft Mechanics ビデオをご覧ください。
organizationの関係者と連携する
インサイダー リスク管理のアラートとケースに対するアクションを実行するために共同作業を行うために、organizationの適切な利害関係者を特定します。 初期計画とエンドツーエンドの Insider Risk Management ワークフローに、organizationの次の領域を含めることを検討してください。
- 情報技術
- コンプライアンス
- プライバシー
- セキュリティ
- 人事管理
- 法務
地域のコンプライアンス要件を決定する
地理的および組織の異なる領域には、organizationの他の領域とは異なるコンプライアンスとプライバシーの要件がある場合があります。 これらの分野の利害関係者と協力して、Insider Risk Management のコンプライアンスとプライバシーの制御と、organizationのさまざまな領域で使用する方法を確実に理解します。 一部のシナリオでは、コンプライアンスとプライバシーの要件では、ユーザーの場合や地域の規制やポリシーの要件に基づいて、調査やケースから一部の利害関係者を指定または制限するポリシーが必要になる場合があります。
特定の地域、ロール、または部門のユーザーが関与するケース調査に関与する特定の利害関係者の要件がある場合は、異なるリージョンと母集団を対象とする個別の (同じ場合でも) Insider Risk Management ポリシー を実装することを検討してください。 この構成により、適切な利害関係者は、ロールとリージョンに関連するケースをトリアージして管理しやすくなります。 調査担当者とレビュー担当者がユーザーと同じ言語を話すリージョンのプロセスとポリシーを作成することを検討してください。 このアプローチは、Insider Risk Management のアラートとケースのエスカレーション プロセスを合理化するのに役立ちます。
レビューと調査ワークフローをサポートするためのアクセス許可を計画する
Insider Risk Management のポリシーとアラートを管理する方法に応じて、特定のロール グループにユーザーを割り当てて、さまざまな Insider Risk Management 機能のセットを管理します。 異なるコンプライアンス責任を持つユーザーを特定のロール グループに割り当てて、Insider Risk Management 機能のさまざまな領域を管理できます。 または、指定された管理者、アナリスト、調査担当者、閲覧者のすべてのユーザー アカウントを Insider Risk Management ロール グループに割り当てます。 詳細については、「 Insider Risk Management のアクセス許可を割り当てる」を参照してください。
要件と依存関係を理解する
Insider Risk Management ポリシーの実装方法に応じて、適切な Microsoft 365 ライセンス サブスクリプションが必要です。 また、ソリューションの前提条件についても理解し、計画する必要があります。
ライセンス: Microsoft では、Microsoft 365 ライセンス サブスクリプションの幅広い選択の一環として Insider Risk Management を提供しています。 詳細については、 Insider Risk Management の概要に関する記事を 参照してください。
重要
Microsoft は現在、Azure サービスの依存関係でサポートされている地理的な国/リージョンでホストされているテナントで Insider Risk Management を提供しています。 Microsoft がorganizationの Insider Risk Management をサポートしていることを確認するには、「国/リージョン別の Azure 依存関係の可用性」を参照してください。
既存の Microsoft 365 Enterprise E5 プランを持っていなくても、Insider Risk Management を試したい場合は、既存のサブスクリプションに Microsoft 365 を追加するか、E5 Microsoft 365 Enterprise試用版にサインアップできます。
ポリシー テンプレートの要件:選択したポリシー テンプレートに応じて、organizationで Insider Risk Management を構成する前に、次の要件を理解し、それに応じて計画します。
- [出発ユーザーによるデータの盗難] テンプレートの場合は、Microsoft 365 HR コネクタを構成して、organization内のユーザーの辞任と終了日の情報を定期的にインポートします。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポートに関する記事を 参照してください。
- [データ リーク] テンプレートでは、少なくとも 1 つのMicrosoft Purview データ損失防止 (DLP) ポリシーを構成して、organizationの機密情報を定義し、重大度の高い DLP ポリシー アラートに関するインサイダー リスク アラートを受け取ります。 DLP ポリシーを構成するための詳細なガイダンスについては、 データ損失防止ポリシーの作成と展開に関する記事を 参照してください。
- セキュリティ ポリシー違反テンプレートの場合は、Defender Security Center で Insider Risk Management 統合のMicrosoft Defender for Endpointを有効にして、セキュリティ違反アラートをインポートします。 Defender for Endpoint と Insider Risk Management の統合を有効にする詳細なガイダンスについては、「Microsoft Defender for Endpointで高度な機能を構成する」を参照してください。
- 危険なユーザー テンプレートの場合は、Organization内のユーザーのパフォーマンスまたは降格状態情報を定期的にインポートするように Microsoft 365 HR コネクタを構成します。 Microsoft 365 HR コネクタを構成するための詳細なガイダンスについては、 HR コネクタを使用したデータのインポートに関する記事を 参照してください。
運用環境の少数のユーザー グループでテストする
運用環境でこのソリューションを広く有効にする前に、少数の運用ユーザーでポリシーをテストして、organizationで必要なコンプライアンス、プライバシー、法的レビューを完了することを検討してください。 テスト環境で Insider Risk Management を評価するには、シミュレートされたユーザー アクションやその他のシグナルを生成して、トリアージと処理のためのケースのアラートを作成する必要があります。 このアプローチは多くの組織では実用的でない可能性があるため、運用環境の少数のユーザー グループで Insider Risk Management をテストすることをお勧めします。
ポリシー設定の匿名化機能を有効にして、このテスト中に Insider Risk Management コンソールでユーザーの表示名を匿名化し、ツール内でプライバシーを維持します。 この設定は、ポリシーが一致するユーザーのプライバシーを保護するのに役立ち、インサイダー リスク アラートのデータ調査と分析レビューの客観性を高めるのに役立ちます。
Insider Risk Management ポリシーを構成した直後にアラートが表示されない場合は、リスクの最小しきい値がまだ満たされていないことを意味する可能性があります。 [ ユーザー ] ページを確認して、ポリシーがトリガーされ、期待どおりに動作していることを確認し、ユーザーがポリシーのスコープ内にあるかどうかを確認します。
Microsoft 365 US Government Cloud と商用クラウド間の移行
Microsoft 365 US Government Cloud から世界中の商用クラウド、または世界中の商用クラウドから Government Cloud にorganizationを移行する場合、アクティブなケースとアラートは移行されません。 移行を開始する前に、アラートとケースを閉じます。
利害関係者向けのリソース
Insider Risk Management ドキュメントを、管理と修復のワークフローに含まれるorganizationの関係者と共有します。
- インサイダー リスク ポリシーを作成して管理する
- インサイダー リスク アクティビティを調査する
- インサイダー リスクのケースに対処する
- インサイダー リスク コンテンツ エクスプローラーでケース データを確認する
- インサイダー リスク通知のテンプレートを作成する
始める準備はいいですか。
organizationの Insider Risk Management を構成する準備はできましたか? 次の記事を確認することをお勧めします。
- Insider Risk Management の設定を使用 して、グローバル ポリシー設定を構成します。
- Insider Risk Management の使用を開始 して、前提条件の構成、ポリシーの作成、アラートの受信を開始します。
- Insider Risk Management フォレンジック 証拠の使用を開始して、organizationでフォレンジック証拠のキャプチャを構成するための詳細なガイダンスを確認します。