この記事では、秘密度ラベル暗号化の使用に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、オーストラリア政府の組織がデータセキュリティへのアプローチを強化するのを支援することです。 このガイドの推奨事項は、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件と密接に一致します。
Microsoft Purview には、Azure Rights Management を介して適用された秘密度ラベルを使用してアイテムを暗号化するオプションが用意されています。 Azure Rights Management は、コンテンツへのアクセスに対するユーザー認証と承認の両方を確認するために使用されます。 ユーザーが暗号化されたアイテムにアクセスするには、Microsoft 365 サービスに対する認証を行い、そのアイテムにアクセスするためのアクセス許可を付与する必要があります。 Azure Rights Management は、アイテムに使用制限を適用するために使用されます。 これらの制限により、ユーザーがコンテンツの編集、アイテムの保存、印刷、コンテンツのコピー、または他のユーザーへの転送などのアクションを防ぐことができます。
ラベル暗号化に関連するシナリオ
政府機関は、アクセスに沿ったラベル暗号化と、 暗号化の概要に要約された転送要件を使用する必要があります。 これらの要件は、OFFICIAL の送信に暗号化が必要であることを示しています。パブリックネットワークまたは保護されていないネットワーク間での機密情報または保護された情報。 クライアントとサーバー間の通信に対する TLS 暗号化などの Microsoft 365 の本質的な機能は、これらの要件を満たすのに役立ちますが、Azure Rights Management 暗号化を使用すると保護が強化されるシナリオがいくつかあります。
ラベルベースの Azure Rights Management 暗号化を有効にすると制御が強化されるシナリオの例としては、セキュリティで分類された項目が次のような状況があります。
- USB ストレージにコピーされます。
- クラウド ストレージ サービスを含む Microsoft 以外のクラウド サービスにアップロードされます。
- 安全でない可能性のあるデバイス (BitLocker 暗号化のないデバイスなど) に保存されます。
- さらに情報を配布することで、知る必要に違反する可能性がある外部受信者に電子メールで送信されます。
オーストラリア政府機関は通常、これらのリスク ベクトルに対処するための追加の戦略とソリューションを実装します。 たとえば、暗号化された USB ドライブ、Cloud Access Security Broker (CASB) ソリューション、デバイス管理プラットフォームの使用などです。 ラベルベースの暗号化は、これらのソリューションを置き換えることを目的としたものではありません。 ただし、偶発的な誤用や悪意のある内部関係者からの余分な保護を提供することで、これらのソリューションを補完するために使用されます。
ラベル暗号化に関する考慮事項
Azure Rights Management の暗号化は、Microsoft Purview のデプロイや Microsoft 365 サービスでの情報の保護に対するハード要件ではありません。 ただし、ラベルベースの暗号化は、Microsoft 365 環境からのデータまたは Microsoft 365 環境に存在するデータが、特にorganizationを離れた後に、不正なアクセスから保護されるようにするための最も効果的な方法の 1 つと見なされます。
秘密度ラベル暗号化を有効にした場合の標準的な考慮事項と潜在的な影響については、 暗号化されたコンテンツに関する考慮事項に関するページを参照してください。
オーストラリア政府機関に固有のその他の考慮事項があります。 これには、ドキュメント メタデータの変更や、情報共有に関連する要件が含まれます。
暗号化された共同編集の変更
Microsoft 365 では、 暗号化されたドキュメントの共同編集がサポートされています。
暗号化された共同編集を有効にすると、秘密度ラベルメタデータを Office ドキュメントに適用する方法と、ドキュメント プロパティの使用MSIP_labels変更が導入されます。 暗号化された共同編集を有効にした後、暗号化されたアイテムのメタデータは、従来のドキュメント プロパティの場所からドキュメントの内部 xml に移動されます。 詳細については、「 秘密度ラベルのメタデータの変更」を参照してください。
ドキュメント プロパティを使用して添付ファイルの分類にチェックする電子メール ゲートウェイにルールを適用するオーストラリア政府機関は、構成が調整されるようにメタデータの変更を認識する必要があります。 Microsoft Exchange 管理者は、次の操作を行う必要があります。
- 2.6.3 LabelInfo とカスタム ドキュメント プロパティを読み、理解します。
- 潜在的な問題について、組織のデータ損失防止 (DLP)、メール フロー ルール、またはトランスポート ルール構文を Microsoft 以外の電子メール ゲートウェイで評価します。
これが重要な理由の一例は、ドキュメント プロパティ内のラベル GUID を使用して PROTECTED 添付ファイルをチェックするメール フローまたはトランスポート ルールです。ドキュメント メタデータがドキュメント プロパティから LabelInfo の場所に移動すると正しく機能しません。
ドキュメント プロパティ ベースのアプローチの代替手段として、次の手順を実行します。
-
ClassificationContentMarkingHeaderTextおよびClassificationContentMarkingFooterTextドキュメント プロパティが使用されます。 これらのプロパティは、暗号化された共同編集の有効化後に表示され、Office ドキュメントに適用される視覚的なマーキング テキストが設定されます。 - メール フロー メソッドは、DLP ポリシーの一部として秘密度ラベルをネイティブに照会できる、新しい DLP ベースのアプローチに移行されます。
暗号化されたアイテムへの外部ユーザー アクセス
オーストラリア政府内では、コラボレーションと情報配布の要件は、organizationの種類によって異なります。 組織によっては、主に分離して作業し、暗号化の構成を簡単にします。 機密情報を他の組織と継続的に共有するための要件があり、それに応じて計画する必要があります。
ラベルベースの暗号化を使用するオーストラリア政府機関は、PSPF 2024 要件 77 および 133 との整合性を確保するために、この機能を使用する必要があります。
| 要件 | 詳細 |
|---|---|
| PSPF 2024 - 12。 情報共有 - 要件 77 | 取り扱い要件や保護を確立する契約または取り決め (契約や契約など) は、セキュリティの機密情報またはリソースが公開または共有される前に、政府の外部で人やorganizationに適用されます。 |
| PSPF 2024 - 17。 リソースへのアクセス - 要件 133 | 警告された情報へのアクセスを必要とする担当者は、発信者によって課されるクリアランスと適合性の要件を満たし、権限の管理に注意してください。 |
承認された外部組織のユーザーのみが暗号化されたアイテムにアクセスできるようにするには、次の方法を使用できます。
- 承認された外部ドメインのListsは、承認されていない組織への機密情報の電子メール配布の防止に関する記事で説明されている DLP アプローチと同様に、Azure Rights Management のアクセス許可に追加できます。
- ゲスト アカウントを含むグループを使用して、承認された外部ドメインから承認されたユーザーのセットにのみアクセス許可を付与できます。 この方法は、承認されたゲストに機密情報の電子メール配布を許可することに似ています。
ヒント
DLP に対するorganizationのアプローチと、機密情報のラベル暗号化のアプローチを合わせることにより、管理が簡略化されます。 その結果、承認されたユーザーのみが機密情報を送信し、それにアクセスできる機密情報の処理に対する堅牢で一貫したアプローチが得られます。
ラベル暗号化の有効化
秘密度ラベルの暗号化を有効にするために必要な前提条件と手順については、「秘密度ラベルを使用してコンテンツへのアクセスを制限して暗号化を適用する」を参照してください。
次のラベル暗号化構成は、オーストラリア政府の要件と特別な関連性を持ち、詳細に説明されています。
アクセス許可を今すぐ割り当てる
[アクセス許可の割り当て] では 、環境全体でラベル付けされた項目へのアクセスを一貫して制御できます。 この構成を使用して、暗号化設定のラベルがアイテムに適用されると、コンテンツの暗号化が直ちにトリガーされます。
[アクセス許可の割り当て] オプションが選択されている場合、管理者はラベル付きアイテムに適用するアクセス許可を構成する必要があります。 利用可能なオプションは以下のとおりです。
organization内のすべてのユーザーとグループ: このオプションは、ゲスト アカウントを除く環境内のすべてのユーザーに対するアクセス許可を追加します。 これは、ラベル付けされたアイテムへのアクセスを内部ユーザーのみに制限する組織にとって良い入門ポイントです。
これは、"OFFICIAL: Sensitive" 情報を暗号化し、organization全体で開くことができるようにしたい組織に適したオプションです。 暗号化は、知る必要があることを確認するために DLP で補完できる保護のレイヤーの 1 つだけであることに注意してください。
認証されたユーザー: このオプションでは、Microsoft 365 アカウント、フェデレーション ソーシャル プロバイダー、または Microsoft アカウント (MSA) として登録されている外部電子メール アドレスなどのアカウントを使用して、Microsoft 365 に対して認証されたユーザーにアクセスできます。 このオプションを使用すると、アイテムは暗号化された形式で送信および保存されますが、アイテムへのアクセスの観点では最もオープンです。 このオプションは、オーストラリア政府での知る必要と PSPF の整合を確保するという点では適していません。
重要
認証されたユーザー は、適用されたアクセス許可のオープンな性質のために、セキュリティで分類されたアイテムにアプリケーションを適用するためのオーストラリア政府機関にとって良い選択肢ではありません。
[ユーザーまたはグループの追加]: このオプションを使用すると、個々のユーザー (個々の組織のユーザーやゲストなど) を指定できます。 これにより、アクセス許可をグループに割り当てることができます。
政府機関には、このオプションのいくつかの用途があります。 例:
- このオプションは、ラベル付きコンテンツへのアクセスを要件を満たす内部ユーザーのサブセットに制限することで、知る必要があることを保証するために使用されます。 たとえば、ベースライン クリアランスを持つ承認されたユーザーは 、保護されたユーザー グループにグループ化され、PROTECTED コンテンツへのアクセス許可が付与されます。 グループ外のユーザーは、保護された項目にアクセスできなくなります。
- 外部コラボレーション制御が高い組織の場合 ( 高い外部コラボレーション制御で説明されているように)、すべてのゲスト アカウントを含む動的グループを作成できます。 このグループには、暗号化されたアイテムに対するアクセス許可を付与できます。これにより、アイテムを外部に配布することができ、グループ外のエンティティによるアクセスのリスクが軽減されます。 このような構成は、 承認されたゲストへの機密情報の電子メール配布を許可する方法で説明されている DLP コントロールと一致する必要もあります。
- 比較的低い外部コラボレーション制御 ( 低外部コラボレーション制御で説明されているように) を持つ組織の場合、暗号化されたコンテンツへのアクセスが承認されたゲストを含むセキュリティ グループを維持できます。
- ラベルのコンテンツをドメイン全体にアクセスできないようにコンテンツへのゲスト アクセスを提供する組織の場合は、動的グループを作成して、organizationからゲストへのアクセスを許可できます (例: "部署ゲスト")。 この方法については、承認されたゲストに機密情報の電子メール配布を許可する方法について説明します。
特定のメール アドレスまたはドメインを追加する このオプションを使用すると、ゲストである場合とそうでない外部ユーザーの個々のメール アドレスにアクセス許可を付与できます。 また、ドメイン全体にアクセス許可を付与するためにも使用できます。 たとえば、Contoso.com に移動します。 複雑な情報のコラボレーションと配布の要件がある組織、または OFFICIAL を配布する必要がある組織: 機密情報または保護された情報を他の政府機関に配布する必要がある組織は、そのような情報を配布するすべての組織のドメインの一覧を追加することを検討できます。 このようなリストは、PSPF Policy 2024 要件 77 で定義されているように、organizationが情報とリソースの共有に関して正式に契約しているドメインと一致する必要があります。
目的の結果を得るために、ラベルの構成に複数のアクセス許可セットを追加できます。 たとえば、すべてのユーザーとグループは、他の組織からのゲストを含む一連の動的グループと、organizationが定期的に共同作業を行う承認された部門ドメインの一覧と組み合わせて使用できます。
ユーザー、グループ、またはドメインにアクセス許可を割り当てる
アクセス権が付与されているユーザー、ユーザーまたはドメインのグループごとに、特定のアクセス許可も選択する必要があります。 これらのアクセス許可は、 共同所有者、 共同作成者 、 校閲者などの一般的なセットにグループ化されます。 カスタム のアクセス許可セットを定義することもできます。
暗号化のアクセス許可はきめ細かいため、組織は、最も有効なアプローチを決定するために、独自のビジネス分析とリスク評価を完了する必要があります。 アプローチの例を次に示します。
| ユーザー カテゴリ | Contains | アクセス許可 |
|---|---|---|
| すべてのユーザーとグループ | すべての内部ユーザー | Co-Owner (すべてのアクセス許可を付与) |
| コラボレーション要件を持つ他の部門からのゲスト | 動的Microsoft 365 グループ: - 部署 1 のゲスト - 部署 2 のゲスト - 第 3 学科のゲスト |
Co-Author (編集、コンテンツのエクスポート、アクセス許可の変更を制限します) |
| パートナー組織からのゲストのクリア | セキュリティ グループ: - パートナー 1 からのゲスト - パートナー 2 からのゲスト - パートナー 3 からのゲスト |
レビュー担当者 (印刷、コピー、抽出、コンテンツのエクスポート、アクセス許可の変更を制限します) |
ユーザーが決定できるようにする
暗号化のアプローチは、ユーザーがラベルを選択するときに適用するアクセス許可を選択できるようにすることです。
このメソッドを使用してラベル付けされた項目の動作は、アプリケーションによって異なります。 Outlook の場合、使用可能なオプションは次のとおりです。
- 転送しない: このオプションを選択すると、電子メールが暗号化されます。 暗号化では、受信者がメールに返信できるようにアクセス制限が適用されますが、情報の転送、印刷、またはコピーのオプションは使用できません。 Azure Rights Management のアクセス許可は、メールに添付されている保護されていない Office ドキュメントに適用されます。 このオプションは、メール受信者が元のメールで指定されていないユーザーにアイテムを転送できないようにすることで、知る必要があることを保証します。
- 暗号化のみ: このオプションは、アイテムを暗号化し、 名前を付けて保存、 エクスポート 、 フル コントロールを除くすべての使用権限を受信者に付与します。 これは、暗号化された転送要件を満たす場合に便利ですが、アクセス制限は適用されません (結果として、知る必要がある制御は適用されません)。
これらのオプションは、細分性を大幅に高くします。 ただし、アイテム レベルでアクセス許可が適用されるため、ユーザーによって選択されるオプションが異なるため、これらのオプションの構成に一貫性がない可能性があります。
サブラベルとしてユーザーにのみオプションを転送または暗号化しないを指定することで、organizationは、必要と判断された場合に通信を保護する方法をユーザーに提供できます。 例:
- 非公式の
- 公式
- OFFICIAL Sensitive (カテゴリ)
- OFFICIAL Sensitive
- OFFICIAL 機密受信者のみ
これらの構成が適用されたラベルは、そのような機能を必要とするユーザーにのみ発行する必要があります。
Microsoft Purview は、特定の組織の要件を満たすために、情報管理マーカー (IMM) と警告とサブラベルの追加を含める必要がある PSPF と連携できます。 たとえば、"OFFICIAL: Sensitive Personal Privacy" の情報を外部ユーザーと通信する必要があるユーザーのグループは、"OFFICIAL: Sensitive Personal Privacy ENCRYPT-ONLY" ラベルを発行できます。
コンテンツ アクセスの有効期限
コンテンツの有効期限オプションを使用すると、ラベルが適用された暗号化されたアイテムにアクセスするためのアクセス許可が、日付または一定期間後に拒否されます。 この機能は、アイテムが存在する場所や、それらに適用されているアクセス許可に関係なく、アイテムが一度にアクセスできないようにするために使用されます。
このオプションは、政府機関が情報またはリソースへの一時的なアクセスを提供する必要がある情報への期限付きアクセスの要件を達成するために役立ちます。 これらの状況については、PSPF 2024 セクション 17 で説明します。 リソースへのアクセス:
| 要件 | 詳細 |
|---|---|
| PSPF 2024 - 17。 リソースへのアクセス - 要件 122 | リスク評価は、セキュリティの機密情報またはリソースへの一時的なアクセスをユーザーに付与するかどうかを決定します。 |
この方法により、 一時的なアクセスを監督 する必要が確保され、一時ユーザーが許可された内容にのみアクセスでき、必要な時間だけアクセスできます。
ラベルを介して適用され、アクセスの有効期限が切れた構成で適用される Azure Rights Management 暗号化を使用すると、機密性の高いアイテムを完全なアカウントを作成する必要なく、個人または組織と共有できます。
その例として、Government organization には、Contoso という名前の架空の Government 契約organizationで使用できるようにする必要がある一連の設計ドキュメントがあります。 "OFFICIAL Sensitive – Contoso Temp Access" という名前のラベルが作成され、Contoso の電子メール アドレスの承認済みリストへのアクセスを許可するアクセス許可が付与されます。 その後、デザイン ドキュメントのコピーにこのラベルが適用され、30 日間のアクセス タイマーが開始されます。 その後、タイマーの有効期限が切れ、アイテムの場所に関係なくアクセスが取り消されるまで、独自のシステム上のアイテムにアクセスできる Contoso とドキュメントが共有されます。
コンテンツの有効期限がアクセス許可ではなくラベルに適用されるため、これを実現するには専用のラベルが必要です。 これは、その他のアクセス期限切れのシナリオではニッチであり、ほとんどの政府機関では適用されません。 この例では、このガイドで説明されているように、適用される基本的な PSPF Microsoft Purview Information Protection構成を基にして拡張します。
オフライン アクセス
オフライン アクセス オプションを使用すると、Azure Rights Management のアクセス許可を再認証または再認証することなく、ユーザーがアイテムにアクセスできる一定期間の構成が可能になります。 オフライン アクセスは、たとえば、ネットワークやサービスが停止した場合にオフライン ファイルにアクセスできるようにするために役立ちます。 このオプションを構成しても、アイテムは暗号化され、そのアクセス許可はクライアント デバイスにキャッシュされます。
暗号化を展開する政府機関は、一般に、ユーザーがオフラインで作業できるように、またディザスター 軽減策として、3 日から 7 日間のオフライン アクセス期間を選択します。
このアプローチを検討する際に、ユーザーが Government organization によるネットワーク アクセスなしで作業している場合の、アクセス権のないユーザービリティへの影響に対する、アイテムへのキャッシュされたアクセスのリスク評価を完了する必要があります。
ラベル暗号化構成の例
注:
これらの例は、PSPF 2024 要件 71 と一致する情報の値に比例した操作制御を使用したラベル暗号化の構成を示すことを目的としています。 政府機関は、そのような構成を有効にする前に、独自のビジネス分析、リスク評価、テストを完了する必要があります。
| 機密ラベル | 暗号化 | アクセス許可 |
|---|---|---|
| 非公式の | - | - |
| 公式 | - | - |
| OFFICIAL Sensitive (カテゴリ) | - | - |
| OFFICIAL Sensitive | 今すぐアクセス許可を割り当てる |
organization内のすべてのユーザーとグループ: Co-Owner 特定のメール アドレスまたはドメインを追加します。 アクセスが承認された外部ドメインの一覧 - 共同作成者 |
| PROTECTED (カテゴリ) | - | - |
| 保護 | 今すぐアクセス許可を割り当てる |
ユーザーまたはグループを追加する: 保護されたユーザー グループ - 共同所有者 保護されたゲスト グループ - 共同作成者 |
注:
SECURE Cloud の ASD のブループリントでは、同様のラベル暗号化構成が推奨されています。これは、PROTECTED ラベルのAccess Control構成で確認できます。 たとえば、 PROTECTED 秘密度ラベルです。