この記事では、クライアント ベースの秘密度自動ラベル付け機能に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、自動ラベル付けがデータセキュリティ体制の改善にどのように役立つかを示することです。 ガイダンスは、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に準拠することを目的としています。
自動ラベル付けの概要 では、最新の政府機関の作業環境で自動ラベル付けが適しており、セキュリティ リスクが軽減されます。
オーストラリア政府のコンテキストでは、クライアント ベースの自動ラベル付けは、次に基づいてラベルを推奨する場合に役立ちます。
- 機密性の高いコンテンツ検出
- 外部組織によって適用されるマーキング
- Microsoft 以外のツールによって適用されるマーキング
- 履歴マーキング
- 段落のマーキング
クライアント ベースの自動ラベル付けは、秘密度ラベルの構成内で直接構成されます。 この自動ラベル付け方法は、Office またはオンライン クライアントに適用され、機密性の高いコンテンツを対話形式で識別し、ユーザーに通知してから、次のいずれかを行います。
- アイテムで検出された最も機密性の高いコンテンツに関連する秘密度ラベルを自動的に適用します。又は
- ラベルを適用することをユーザーに推奨します。
PSPF 2024 要件 59 と ISM 0271 では、自動化されたサービスではなく、アイテムに分類を適用する責任をユーザーが負う必要があることを明確にします。 このため、クライアント ベースの自動ラベル付けは、ユーザーの推奨事項のみを提供するように構成する必要があります。
| 要件 | 詳細 |
|---|---|
| PSPF 2024 - 09。 分類 & 注意事項 - 要件 59 | 公式情報の価値、重要性、または機密性 (公式記録として使用することを目的とする) は、情報の機密性が侵害された場合に発生する政府、国益、組織、または個人への潜在的な損害を考慮することによって、発信者によって評価されます。 |
| ISM セキュリティ制御: 0271 (2025 年 3 月) | 保護マーキング ツールは、電子メールに保護マーキングを自動的に挿入しません。 |
次の例では、ユーザーは Project Budgerigar に関する記述を開始しました。 クライアント ベースの自動ラベル付けアクションによって、機密情報の種類 (SIT) の検出がトリガーされました。 その結果、電子メールの上部に表示されるクライアントベースの自動ラベル付けの推奨事項が表示されました。
クライアント ベースの自動ラベル付けアクションは、厳密なデータ一致の SID やトレーニング可能な分類子など、機密情報の種類 (SID) の検出に基づいてトリガーできます。 SID と分類子の組み合わせも使用できます。
オーストラリア政府と最も関連性の高い SID の詳細については、「 オーストラリア政府の機密情報とセキュリティの機密情報を特定する」を参照してください。これには、セキュリティ分類を検出するための SID の作成に関する情報が含まれています。
オーストラリア政府のクライアントベースの自動ラベル付けシナリオ
クライアント ベースの自動ラベル付けは、機密性の高い情報を保護するために役立ちます。これは、分類が不足している項目を識別します。 分類不足情報は、オーストラリア政府にとって重大なリスクを表します。 クライアント ベースの自動ラベル付けは、適切なラベル アプリケーションと、項目が適切にマークおよび保護されていることを確認するのに役立ちます。 正しいラベルを使用すると、コントロール、データ損失防止 (DLP)、および同様のコントロールがアイテムのラベルに基づいて適用されるため、情報の適切な配布のみが許可されます。
正確な分類は、知識が必要な原則が維持され、情報へのアクセスが制限されることを保証するのに役立ちます。 これらの概念は、PSPF 2024 要件 131 に関連しています。
| 要件 | 詳細 |
|---|---|
| PSPF 2024 - 17。 リソースへのアクセス - 要件 131 | セキュリティの機密情報またはリソースへのアクセスは、その情報を知る必要があるエンティティ担当者にのみ付与されます。 |
機密性の高いコンテンツ検出に基づくラベルの推奨
機密性の高いコンテンツを検出し、ユーザーが適切なラベルを適用することを推奨すると、情報を保護し、知る必要があることを確認するのに役立ちます。 また、クライアント ベースの自動ラベル付けに使用できる ラベル推奨 オプションを使用すると、自動化されたシステムではなく、ユーザーが分類の決定を確実に行うことができます。
クライアント ベースの自動ラベル付けを使用して、必要に応じて項目の機密性を高めます。 オーストラリア政府の場合、特に感度分類のハイエンドでメリットが見られます。 UNOFFICIAL から OFFICIAL への分類の増加を推奨することは、データセキュリティにはほとんど関係ない。 ただし、未分類の PROTECTED 項目を検出すると、データ侵害を防ぐことができます。
組織は、SID と分類子の一覧をコンパイルし、適切な秘密度ラベルに合わせる必要があります。 以下に例を示します。
| Label | SIT | 使用 |
|---|---|---|
| 公式の機密性の高い個人のプライバシー | オーストラリアの健康記録法の強化。 この事前構築済みの SIT は、次の出現箇所を特定します。 - オーストラリア税務ファイル番号 (TFN) - マイ ヘルス レコード - すべてのフル ネーム - すべての医療契約条件 - オーストラリアの物理アドレス |
個人に関する健康情報は、プライバシー保護法の下で保護されており、"OFFICIAL Sensitive Personal Privacy"というラベル付けに適している可能性があります。 |
| OFFICIAL Sensitive Legislative Secrecy | 次のようなキーワードを含む '立法秘密キーワード' カスタム SIT。 - '立法の秘密の警告:' |
PSPF リリース 2024 ガイドラインで推奨されているように、立法情報に関連する項目の上部と下部にテキストベースの警告通知を配置する必要があります。 組織は、ドキュメント テンプレートまたは同様の方法でこれらの通知を適用する必要があります。 これらの警告通知は、アイテムを識別するために使用できます。項目は、"OFFICIAL Sensitive Legislative Secrecy" ラベルでマークする必要があります。 |
| 保護 | 情報を PROTECTED として分類する必要があるイニシアチブに関連付けられているコードワードまたはコードワードの一覧。 以下に例を示します。 - 'Project Budgerigar' 件名に関連するキーワードの一覧。機密性が高いと見なされ、情報の損失が政府に損害を与えたり、信頼を失ったりする可能性があります。 以下に例を示します。 - 'データ侵害' - "機密性の高い" - '法律に反する' - 'コード オブ プラクティス' - '信頼の侵害' |
キーワードの一覧を使用して、分類されたプロジェクト、イニシアチブ、システム、またはアプリケーションに関連する情報を含むアイテムを検出できます。 organizationに対して機密性が高いと見なされるキーワードの一覧を SIT に追加すると、Microsoft 365 は、キーワードが検出されたときにアイテムの機密性を高めるようユーザーに求めることができます。 これにより、ユーザーは知る必要があると考え、不適切な情報の配布 (DLP、暗号化、その他のコントロールなど) を防ぐために、アイテムに保護を適用できます。 |
前の表で説明した戦略は、次のような他の Microsoft 365 機能を使用して機密情報を見つけて対処するためにも使用できます。
外部機関のマーキングに基づく推奨事項
このドキュメントで説明するコントロールの多くは、項目に適用されるラベルに基づいて適用されます。 外部で生成された情報の多くはテキストベースの保護マーキングが設定されていますが、既定では、organizationに関連する秘密度ラベルは適用されません。 その結果、このような項目はラベルベースの DLP ポリシーから保護されません。 また、これらの項目が秘密度の低い場所に保存された場合も、アラートはトリガーされません。
このシナリオが発生する可能性がある状況は次のとおりです。
- PSPF に準拠する他の政府機関によって項目が作成された場合。 このような状況では、保護マーキングは設定されていますが、ラベルグローバル一意識別子 (GUID) などの秘密度ラベルメタデータは、独自の秘密度ラベルの構成と一致しません。 アイテムはセキュリティ分類でマークされますが、秘密度ラベルでラベル付けされません。
- PSPF フレームワーク (ニュー サウス ウェールズ (NSW) 政府機関など) と一致しない、または部分的にしか一致しない他の政府機関によって作成された項目。
- 外国政府によって作成および分類された項目がオーストラリア政府機関と共有される場合。
organizationが受け取り、カストディアンである情報を保護するために、クライアント ベースの自動ラベル付けを使用して、同等のラベルをアイテムに適用して保護することを推奨できます。
このような構成では、SID を使用して、外部に適用されるマーキングまたは分類を識別します。 これらの SID は、関連する秘密度ラベルの自動ラベル付け構成に追加する必要があります。
外部で適用されるマーキングに基づいてラベルを推奨するために SID を使用できる例を次に示します。
| Label | SIT | 使用 |
|---|---|---|
| OFFICIAL Sensitive | OFFICIAL Sensitive Regex SIT | OFFICIAL としてマークされたアイテムを識別するには : 機密 ですが、 OFFICIAL 機密ラベルが適用されていないアイテム (他の組織によって生成されたアイテムを含む)。 |
| 保護 | PROTECTED Regex SIT | PROTECTED としてマークされているが、PROTECTED ラベルが適用されていない項目を識別する。 |
| OFFICIAL Sensitive | OFFICIAL Sensitive – NSW Government | OFFICIAL Sensitive - NSW Government でマークされ、連邦政府のorganizationによって受信された情報は、既定ではラベル付けされていないため、OFFICIAL 機密セキュリティ分類に合わせて構成された保護はありません。 ユーザーによって変更された場合に、これらの項目を OFFICIAL Sensitive としてマークすると、含まれる情報を保護するのに役立ちます。 NSW 政府機関によって適用された視覚的なマーキングは、アイテムに引き続き存在し、項目が他の場所1 で生成されたことが明らかになります。 |
| OFFICIAL Sensitive - 法的特権 | OFFICIAL Sensitive – Legal (NSW Gov) OFFICIAL Sensitive – 法執行機関 (NSW Gov) |
この構成により、NSW 州政府の法的関連のマーキングのいずれかでマークされた情報が、連邦政府環境内に存在する間、 OFFICIAL: Sensitive Legal Privilege と一緒に処理されます。 |
| 秘密 | CONFIDENTIEL UE |
CONFIDENTIEL UE は、欧州連合のメンバーによって使用される分類です。 外国政府分類のマッピングの例は、以前に PSPF Policy 7 で提供されていましたが、要件 82 に組み込まれています。 以前のガイダンスでは、CONFIDENTIEL UE を SECRET セキュリティ分類に合わせて調整しました。 CONFIDENTIAL UE のマーキングを検出し、SECRET ラベルを適用すると、Microsoft 365 に配置すべきではない情報のラベルに沿って、そのような情報を特定し、削除する可能性があることを確認するのに役立ちます |
注:
1 別の方法として、組織のラベル分類に OFFICIAL Sensitive – NSW Government ラベルを含めることができます。 このラベルは、管理アカウントにのみ発行できます。 これにより、自動ラベル付けサービスの範囲内に入りますが、ユーザーがアイテムに適用することはできません。 このアイデアは、ラベル分類が 異なる組織のラベルでさらに説明されています。
| 要件 | 詳細 |
|---|---|
| PSPF 2024 - 12。 情報共有 - 要件 82 | 国際協定または国際的な取り決めが行われる場合、セキュリティに分類された外国のエンティティの情報またはリソースは、契約または取り決めに定められた規定に従って保護されます。 |
Microsoft 以外のツールによって適用されるマーキングに基づく推奨事項
現在、または以前に多くの政府機関は、Microsoft 以外のツールを使用して、ファイルやメールにマーキングを適用しています。 これらのツールは、次の 1 つ以上を適用するように構成されています。
- X-Protective-Marking x-headers to email
- 電子メールとドキュメントへのテキスト ベースのヘッダーとフッター
- 件名ベースのメール マーキング
- ドキュメント プロパティを使用したファイル メタデータ
Microsoft 以外のツールからネイティブの Microsoft Purview 機能に移行している組織では、これらの既存のプロパティまたはマーキングを使用して、適用する必要がある秘密度ラベルを決定できます。
重要
クライアント ベースの自動ラベル付けは、サービス ベースの自動ラベル付けを補完し、両方を一緒に使用する必要があります。 たとえば、サービスベースの自動ラベル付けがまだ識別されておらず、保存中の機密性の高いアイテムにラベル付けされていない状況を考えてみましょう。 このような場合、クライアント ベースの自動ラベル付けでは、ユーザーがアイテムを開いたときにラベルを検出して推奨できます。
サービス ベースの自動ラベル付けでは、ユーザー メールボックス内に存在するコンテンツやラベル付けメールを検出できません。 従来のメールが確実に保護されるようにするために、クライアント ベースの自動ラベル付けを使用して、既存のアイテムに適用されたマーキングが、メールの転送時または返信時にラベルに変換されるようにします。 たとえば、既存の PROTECTED メールにテキスト ベースの PROTECTED マーキングが適用されているが、秘密度ラベルは適用されていないとします。 ユーザーが転送または返信しようとすると、クライアント ベースの自動ラベル付けによって、既存のマーキングに基づいて PROTECTED 項目が識別され、ユーザーが PROTECTED ラベルを項目に適用することをお勧めします。
次のクライアント ベースの自動ラベル付けの構成例では、既存のマーキングを含む項目に適切な秘密度ラベルが適用されていることを確認します。 これらの構成では、以前に Microsoft 以外の従来の分類ツールによって適用されたマーキングと、外部の PSPF 準拠組織によって生成された項目に対するマーキングも識別されます。
| Label | SIT 要件 | 正規表現 |
|---|---|---|
| OFFICIAL Sensitive | 次のマーキング構文を検出する SIT: - OFFICIAL Sensitive - OFFICIAL: Sensitive - OFFICIAL:Sensitive |
\bOFFICIAL( \ | :\ | : )Sensitive(?!(\s\ | \/\/\ | \/\/ \ | , )(\bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
| 保護 | 次のマーキング構文を検出する SIT: - 保護 |
\bPROTECTED(?!(\s\ | \/\/\ | \/\/ \ | , )(CABINET\b\ | \bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
注:
これらのレジストリ式は、セキュリティ分類に基づいて項目を識別することを目的としていますが、追加の情報管理マーカー (IM) または警告が適用されたマーキングを除外します。 これらの余分なマーキングを含む項目を識別するには、より多くの SID が必要です。 オーストラリア政府の SIT 構文の完全な一覧については、「 保護マーキングを検出するための SIT 構文の例」を参照してください。
履歴マーキングに基づく推奨事項
政府のマーキング要件は、2018 年 10 月にマーキング (CONFIDENTIAL や For Official Use Only (FOUO) など) がポリシーから削除されたときに発生したように、定期的に変更されます。 政府機関は、これらの履歴マーキングを適用して、システムに存在する大量の情報を持つ可能性があります。
これらの履歴マーキングの処理は、通常、新しい Microsoft Purview デプロイの範囲外です。 ただし、organizationが履歴マーキングをスコープに取り込みたい場合は、履歴マーキングを 2 つのカテゴリに分割できます。履歴マーキングには最新の同等物とそうでないマーキングがあります。 PSPF 2024ガイドライン は、現在の処理要件と共に、履歴分類とマーキングのリストを提供します。
最新の同等のマークと一致する履歴マーキングの簡単なオプションは、これらの項目を開くときに同等のラベルの適用を推奨するように自動ラベル付けを構成することです。 この構成では、ユーザー エクスペリエンスは次のようになります。
- ユーザーが 開 き、従来のメールの 返信 または 転送 を試みると、履歴マーキングが検出されます。 ラベルの推奨事項は、新しい電子メールのユーザーに提供されます。
- ユーザーがレガシ ファイルを 開き、変更し、 保存 すると、Office クライアントは以前のマーキングを検出し、保存する前に最新の同等のアイテムを適用するようにユーザーに求めます。
前のアクションは、履歴アイテムに適切なコントロールが確実に適用されるようにするのに役立ちます。
ヒント
オーストラリア政府レコード管理要件は、履歴マーキングを処理する場合に関連します。 レコード構成が有効になっている Microsoft 365 保持ラベルによってアイテムがレコードとして宣言されている場合は、ロックされ、それ以上編集できなくなります。 その結果、適用された秘密度ラベルは変更できません。アイテムの変更が必要なため、アイテムの保持期間に影響を与える可能性があります。 ただし、履歴マーキングを含む項目が新しい項目として保存されている場合 (テンプレートとして使用される場合など)、履歴マーキングに基づいてラベルを推奨すると便利です。
履歴マーキングに基づく SID を構成し、クライアント ベースの自動ラベル付けで使用して、履歴マーキングに基づいて新しいラベルを提案する方法の例を次に示します。
| Label | SIT | 使用 |
|---|---|---|
| OFFICIAL Sensitive | 公式使用の場合は、次のキーワードを含む SIT のみを使用します。 - 公式使用のみ - For-Official-Use-Only - FOUO 次のキーワードを含む X-IN-CONFIDENCE SIT: - X-IN-CONFIDENCE |
クライアント ベースの自動ラベル付けを使用して、これらの履歴マーキングが適用されたレガシ コンテンツを識別し、レガシ 項目に基づいて新しい項目または編集済みアイテムに最新の代替手段を提案できます。 |
SID と DLP ポリシーは、履歴マーキングをチェックし、関連するコントロールが確実に適用されるように構成する必要があります。 これらの構成により、メール経由で外部に送信された履歴マーキングを含むアイテムには、最新のラベルと関連するコントロールが適用されます。
段落のマーキングに基づくラベルの推奨
一部の政府機関では、ドキュメントで段落のマーキングを使用しています。 段落の推奨事項は、含まれている段落のマーキングに基づいて項目に適用できる秘密度を識別するのに役立つ一連の SID を使用して作成されます。 ただし、ドキュメント ラベルは最も高いマーキングに集約されます。
これを実現するには、次を使用できます。
-
OFFICIAL キーワード (keyword) SIT は、
(O)段落のマーキングを検出し、OFFICIAL ラベルが検出されたときに適用されることを推奨します。 -
OFFICIAL Sensitive キーワード (keyword) SIT は、
(O:S)段落のマーキングを検出し、OFFICIAL ラベルが検出されたときに適用されることを推奨します。 -
PROTECTED キーワード (keyword) SIT は、
(P)段落のマーキングを検出し、検出されたときに PROTECTED ラベルを適用することを推奨します。 -
SECRET キーワード (keyword) SIT は、
(S)段落のマーキングを検出し、検出されたときに SECRET ラベルを適用することを推奨します。
SECRET マーキング SIT は、プラットフォーム内に格納すべきではない情報を識別するのに役立ちます。 このようなマーキングを含む項目を確認すると、流出したデータを特定し、さらなるデータ侵害を防ぐことができます。 詳細については、「 Microsoft 365 に配置すべきではない情報」のラベルを参照してください。
注:
段落マーキングのような単純なキーワード (keyword)の SID は、誤検知を生成する可能性があります。 たとえば、 (P) が段落のマーキングとして意図されずにドキュメントまたは電子メールに表示された場合、サービスは、ユーザーがアイテムを PROTECTED としてマークすることを推奨できます。 このため、誤検知の一致が発生する可能性があるかどうかを判断するには、実装の前に、段落のマーキングを識別する SID を慎重に検討する必要があります。
クライアント ベースの自動ラベル付け構成の例
これらの例は、保護マーキングや機密情報を識別するための SID と分類子の使用に基づいています。 識別されると、適切なラベルがユーザーに推奨されます。 これらの例は定型的なオーストラリア政府の例であり、組織は特定の情報organization識別するために独自の SID の開発に取り組む必要があります。
| Label | 推奨される SID |
|---|---|
| 非公式の |
UNOFFICIAL Regex SIT は、非公式のマーキングを検出することを目的としています。 非公式の段落マーキング SIT は、 (UO)を検出することを目的としています。 |
| 公式 |
OFFICIAL Regex SIT は、公式マーキングを検出することを目的としています 公式段落のマーキング SIT は、 (O)を検出することを目的としています。 |
| OFFICIAL Sensitive (カテゴリ) | 該当なし |
| OFFICIAL Sensitive |
OFFICIAL: 機密性の高い正規表現 SIT は、Information Management マーカー (IM) や警告を含めずに、OFFICIAL の機密マーキングのバリエーションを検出することを目的としています。 情報の開示によって損害が生じる可能性があるプロセスまたはシステムに関する情報に関する SID。 事前構築済みの SID: - すべての資格情報の種類 - クレジット カード番号 'OFFICIAL Sensitive Paragraph Marking' 検出を目的とした SIT (O:S) |
| 公式の機密性の高い個人のプライバシー |
公式:マーキング を検出することを意図した機密性の高い個人プライバシー正規表現。 事前構築済みの SID: - オーストラリアの銀行口座番号 - オーストラリア運転免許証 - オーストラリアの医療アカウント番号 - オーストラリアパスポート番号 - オーストラリアの税務ファイル番号 |
| OFFICIAL 機密の法的特権 |
OFFICIAL: 機密性の高い法的特権正規表現 SIT は、マーキングをデテキストすることを目的としています。 事前構築済みのトレーニング可能な分類子: -法務 |
| OFFICIAL Sensitive Legislative Secrecy | OFFICIAL: 機密の立法秘密正規表現 SIT は、マーキングを検出することを目的としています。 |
| 機密性の高い国家キャビネット | 公式: 機密性の高いナショナルキャビネット正規表現 SIT は、マーキングを検出することを目的としています。 |
| PROTECTED (カテゴリ) | 該当なし |
| 保護 |
保護された正規表現 SIT は、マーキングを検出することを目的としています。 保護された段落のマーキング SIT は、 (P)を検出することを目的としています。その他のキーワード (keyword)情報の開示によって損害が生じる可能性のあるプロセスまたはシステムに関連する SID。 |
| 保護された個人のプライバシー | PROTECTED Personal Privacy Regex SIT は、マーキングを検出することを目的としています。 |
| PROTECTED 法的特権 | PROTECTED Legal Privilege Regex SIT は、マーキングを検出することを目的としています。 |
| PROTECTED 立法の秘密 | PROTECTED 立法の秘密正規表現 SIT は、マーキングを検出することを目的としています。 |
| 保護された国家キャビネット | 保護された国民キャビネットの正規表現 SIT は、マーキングを検出することを目的としています。 |
| 保護キャビネット | PROTECTED CABINET Regex SIT は、マーキングを検出することを目的としています。 |
注:
セキュリティ分類を識別するために SID で使用するレジストリ式 (RegEx) の一覧については、「Secure Cloud 用ブループリントでのオーストラリア政府または ASD の例に関する機密およびセキュリティの機密情報の識別」を参照してください。