この記事は、オーストラリア政府Information Protectionガイドの一部として提供されており、組織がガイドで調べるシナリオと構成オプションの範囲をナビゲートするのに役立ちます。 このモデルに記載されているステージと機能は、基本的な (レベル 1) コンプライアンス構成の観点からベスト プラクティスを示し、レベル 2 と 3 の成熟度を高めるために利用できる機会を示しています。
このモデルの Microsoft Purview 構成は、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) の要件と可能な限り緊密に連携します。 組織が成熟度レベルを通過するにつれて、データを保護する能力が、これらのオーストラリア政府のフレームワークへの準拠と共に増加します。
成熟度レベル 1
成熟度レベル 1 は、秘密度ラベル付けとデータ損失防止 (DLP) の基本的な機能を確立しました。 これにより、項目が適切にマークされ、分類が他の政府機関によって適用されるものと一致するようにします。 これには、セキュリティを保護するための DLP コントロール、機密情報、および自動ラベル付け構成が含まれており、外部政府機関から受け取ったアイテムに対して配置された分類が関連するデータ セキュリティ制御と共に維持されるようにします。
レベル 1 - 秘密度ラベル
| 機能 | セクション |
|---|---|
| 必要なすべての分類 (UNOFFICIAL、OFFICIAL など) を含む秘密度ラベル分類 | 秘密度ラベル分類 |
| 秘密度ラベルのコンテンツ マーキング | 秘密度ラベルのコンテンツ マーキング |
| 必須のラベル付けとラベル変更の正当な理由を含む秘密度ラベル ポリシーの構成 | ラベル ポリシー設定 |
| 秘密度ラベルの詳細情報 URL は、学習とセルフヘルプの資料で公開されています | カスタム ヘルプ ページ |
レベル 1 - データ損失防止
| 機能 | セクション |
|---|---|
| 電子メールに保護マーキング (件名と x ヘッダー) を適用する DLP ポリシー | Emailマーキング戦略 |
| セキュリティで分類されたアイテムを保護する DLP ポリシー (OFFICIAL: 機密以上) | セキュリティの機密情報の不適切な配布を防止する |
| 機密情報 (正常性、個人データ、財務など) を保護する DLP ポリシー | 機密情報の不適切な配布を防止する |
| DLP Analytics の有効化 | DLP Analytics を使用した DLP ポリシーの継続的な改善 |
レベル 1 - 自動ラベル付け
| 機能 | セクション |
|---|---|
| PSPF マーキング (x ヘッダーと件名) に基づくトランスポート中の電子メールの自動ラベル付け | トランスポート中の電子メールのラベル付け |
| 保護マーキングが検出された場合のラベルの推奨事項 | 外部機関のマーキングに基づく推奨事項 |
レベル 1 - インサイダー リスク管理
| 機能 | セクション |
|---|---|
| Insider Risk Management Analytics の有効化 | [Insider Risk Management Analytics Insights](pspf-insider-risk.md#Insider Risk Management-analytics-insights) |
成熟度レベル 2
成熟度レベル 2 は、レベル 1 の機能に基づいています。 これにより、秘密度ラベル機能がサイト、チーム、会議に拡張されます。 レベル 2 では、DLP と自動ラベル付けに関する特定の考慮事項organization導入されるため、データ分類の観点からビジネス分析が必要です。 これには、データの流出を防ぐ DLP ポリシーと、危険なユーザー アクティビティを監視するための Insider Risk Management 構成が含まれています。
レベル 2 - 秘密度ラベル
| 機能 | セクション |
|---|---|
| 会議および予定表アイテムの秘密度ラベルのスコープ | 予定表アイテムと Teams 会議の秘密度ラベル付け |
| 構成されたグループとサイトのラベル設定 | 秘密度ラベル グループとサイトの構成 |
レベル 2 - データ分類
| 機能 | セクション |
|---|---|
| カスタムの機密情報の種類 (SID) を使用してorganization特定の機密情報を識別する | カスタムの機密情報の種類 |
| 特定の情報の照合における既存の分類子の成功organization調査 | トレーニング可能な分類子 |
レベル 2 - データ損失防止
| 機能 | セクション |
|---|---|
| データの流出を防止する DLP ポリシー (許可された分類より大きい) | 非送信分類の送信をブロックする |
| 特定の機密情報organization保護する DLP ポリシー | DLP を使用した機密情報の共有の制御 |
| DLP ポリシー条件に高度な分類子を組み込み、誤検知を減らす |
機密情報の電子メールを制御するための DLP ポリシー テンプレートの利用 名前付きエンティティの機密情報の種類 |
レベル 2 - 自動ラベル付け
| 機能 | セクション |
|---|---|
| 機密情報が検出されたときにユーザーに提供されるラベルの推奨事項 | 機密性の高いコンテンツ検出に基づくラベルの推奨 |
| SharePoint と OneDrive の場所で保存されているファイルの自動ラベル付け | 保存中の既存のアイテムにラベルを付ける |
レベル 2 - インサイダー リスク管理
| 機能 | セクション |
|---|---|
| 優先度 DLP に合わせたポリシーの有効化 (セキュリティで分類された項目の流出など) | [インサイダー リスク管理シナリオ 1: 流出の試行](pspf-insider-risk.md#Insider Risk Management-scenario-1-attempted-exfiltration) |
| 分類項目の優先順位付けポリシーの有効化 | [Insider Risk Management シナリオ 2: 悪意のあるラベルのダウングレード](pspf-insider-risk.md#Insider Risk Management-scenario-2-malicious-label-ダウングレード) |
成熟度レベル 3
レベル 3 では、従来の項目への秘密度ラベル付けのカバレッジが拡張され、ラベルベースの暗号化が導入され、データ保護が強化されます。 また、いくつかのより高度なデータ分類手法を導入し、データ資産全体へのセキュリティ分類の適用に向けて取り組みます。 これには、Adaptive Protection を介した悪意のあるインサイダー アクティビティの自動軽減が含まれます。
レベル 3 - 秘密度ラベル
| 機能 | セクション |
|---|---|
| 従来の場所へのラベルの適用 | SharePoint 管理センターで秘密度ラベルを表示し管理する |
| 分類されたアイテムへの不正アクセスを保護するためのアイテム暗号化の有効化 | オーストラリア政府向けの秘密度ラベルの暗号化 |
レベル 3 - データ分類
| 機能 | セクション |
|---|---|
| 正確なデータ一致やドキュメントフィンガープリントの有効化 |
正確なデータ一致の機密情報の種類 ドキュメントのフィンガープリント |
| 画像とスキャンされたアイテムに対して DLP を有効にする OCR 機能の有効化 | 光学式文字認識 |
レベル 3 - データ損失防止
| 機能 | セクション |
|---|---|
| 分類を減らした電子メールを識別して保護するための DLP ポリシー | 分類が下がったアイテムの保護 |
| クラウド アプリの EndPoint と Defender への DLP 機能の拡張 |
セキュリティで分類されたアイテムが管理されていない場所にアップロードされないようにする セキュリティで分類されたアイテムのコピーまたは印刷を防止する |
レベル 3 - 自動ラベル付け
| 機能 | セクション |
|---|---|
| 従来の分類を使用した項目の自動ラベル付け |
履歴マーキングに基づく推奨事項 履歴分類を使用したアイテムの自動ラベル付け |
| ドキュメント プロパティを使用してマークされたアイテムの自動ラベル付け | ドキュメント プロパティを使用した機密情報の識別 |
| コールド データの自動ラベル付け | オンデマンド分類 (プレビュー) |
| 段落のマーキングを使用して予定表アイテムを介して生成された電子メールの自動ラベル付け | 段落のマーキングに基づくラベルの推奨 |
レベル 3 - インサイダー リスク管理
| 機能 | セクション |
|---|---|
| リスクの高いユーザーを自動的に制限するためのアダプティブ保護の構成 | Adaptive Protection |