この記事では、秘密度ラベル付けやその他の Microsoft Purview 機能を最大限に活用するためにorganizationに展開する必要があるサービスとコンポーネントに関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、組織が保護セキュリティ ポリシー フレームワーク (PSPF) と情報セキュリティ マニュアル (ISM) に記載されている要件を満たすために、Microsoft Purview Information Protectionの展開の前提条件を理解するのに役立ちます。
このガイドで説明されている構成を最大限に活用するには、組織は次の Microsoft 365 サービスのコア セットを実装する必要があります。
- Exchange Online
- Microsoft Office Online または Microsoft 365 Apps Office クライアント
- SharePoint
- Microsoft Teams
このガイドで説明する構成は、PROTECTED までのマーキングと分類を参照します。組織は、このガイドの範囲外の PROTECTED 環境要件も使用する必要があります。
注:
PROTECTED ラベルを実装することは、環境が PROTECTED データを収容するのに適していることを自動的に意味するものではありません。 政府機関は、 情報セキュリティ マニュアル (ISM) と ASD のセキュア クラウドのブループリントに従って、基になる制御を実施する必要があります。
Microsoft Office クライアントのサポート
クライアントサポートは、Microsoft Purview Information Protection機能の実装を成功させるために重要です。 ユーザーが Office ファイル、電子メール、およびその他のサービスとやり取りするために使用するクライアントは、ラベル アプリケーションを容易にするためにラベル対応である必要があります。 このセクションでは、この統合が可能な Microsoft Office クライアント バージョンについて説明し、Purview 展開の前に必要な前提条件の作業を特定します。
Microsoft 365 Apps for Enterprise
Microsoft 365 Apps for Enterprise は Microsoft Office のバージョンであり、Microsoft 365 サービス スイートとの統合が可能です。 Microsoft 365 は継続的に進化しているクラウドベースのサービスであるため、Microsoft 365 Appsバージョンの Office クライアントは、クラウド プラットフォームに対応するために、高頻度の更新プログラムを受け取ります。 Office クライアントと Microsoft 365 クラウド サービスの統合により、スタンドアロンの Office クライアントを介して実現できる機能よりも広範な機能セットをユーザーが利用できるようになります。 従来のクライアントは静的機能セットを提供し、セキュリティ更新プログラムを受け取りますが、通常、新しくリリースされた機能やクラウド中心の機能へのアクセスは受け取りません。
Microsoft 365 アプリで使用できる更新プログラム チャネルの詳細については、「Microsoft 365 Appsの更新チャネルの概要」を参照してください。
Mac、iOS、Android クライアントのサポート
新しい Purview 機能は、通常、Windows ベースの Microsoft 365 Apps バージョンの Office で最初に、次に他の Office バージョンで使用できます。 クライアント バージョンの機能の状態については、 さまざまなクライアントの秘密度ラベルの最小バージョンに関するページを参照してください。 Microsoft 365 を展開する組織は、この情報を評価して、organizationで使用されているバージョンで必要なすべての機能を使用できることを確認する必要があります。
Microsoft 365 Web クライアント
Microsoft 365 Appsの秘密度ラベルの最小バージョンには、Microsoft 365 Web クライアントでサポートされている機能に関する情報も含まれています。 この情報は、organizationに必要なすべての秘密度ラベル機能を Web クライアントが使用できるように評価する必要があります。
また、Microsoft Edge Chromiumには Microsoft データ損失防止機能が含まれていることにも注目する必要があります。 このような機能は、拡張機能を介して Chrome や Firefox などの他のブラウザーに追加できます。 たとえば、 Chrome 用の Microsoft Purview 拡張機能 と Firefox 用の Microsoft Purview 拡張機能などです。 これらの DLP 機能は、分類されたセキュリティや機密性の高いアイテムの流出を防ぐのに役立ちます。そのため、展開を検討する必要があります。
クライアント要件の管理
アイテムにマーキングを適用するユーザーの要件を理解しているクライアント アプリケーションは、アイテムの作成時にユーザーにマーキングの適用を強制することで、要件を満たすのに役立ちます。 マークが付けられたら、アイテムの囲まれたコンテンツを保護するための操作コントロールを適用できます。 このような構成は、多くの場合、"必須ラベル付け" と呼ばれます。 Microsoft 365 内では、これは主にラベル ポリシー オプションを使用して実現されます。これは必須 のラベル付けで説明されています。 必須のラベル付けにより、リリース 2024 要件 59 を満たすことができます。
| 要件 | 詳細 |
|---|---|
| PSPF リリース 2024 要件 59 | 公式情報の価値、重要性、または機密性 (公式記録として使用することを目的とする) は、情報の機密性が侵害された場合に発生する政府、国益、組織、または個人への潜在的な損害を考慮することによって、発信者によって評価されます。 |
必須のラベル付けの重要性を示すために、最初に保護マーキングを適用せずに送信された電子メールを検討してください。これは、クライアントのサポートがないために発生する可能性があります。 このような状況では、ユーザーが囲まれた情報の機密性を評価する機会がなかったと仮定する必要があります。 したがって、項目の分布が高リスクであると仮定する必要があります。 必須のラベル付けを適用するオプションは、organizationの Microsoft Purview 構成を認識しているクライアントのみが適用できます。 そのため、組織は、ユーザーがこのような Microsoft Purview 統合をサポートするクライアント経由でのみ Microsoft 365 サービスにアクセスできることを確認することを検討する必要があります。これは、条件付きアクセス ポリシーを使用して実現できます。
Essential 8 で条件付きアクセスを適用する方法については、「 アプリケーションの制御 と 条件付きアクセス」を参照してください。
PDF 統合
Windows ベースのMicrosoft 365 Apps クライアントには、Office ドキュメントが PDF ファイルとしてエクスポートまたは保存されるときに適用されるラベルを維持する機能が含まれています。 これらの PDF は、暗号化を含むソース Office ファイルに対する保護設定を維持します。
保護された PDF ドキュメントは、Microsoft Edge、Chrome、Foxit Reader、Adobe Reader などのラベル対応 PDF リーダーで読み取ることができます (Acrobat および Acrobat Reader プラグイン用のInformation Protection プラグインがインストールされています)。
政府機関は、ラベル対応 PDF クライアントまたはクライアント プラグインを展開して使用する必要があります。 このようなクライアントは、機密情報の明確な識別と、項目が PDF にエクスポートされる場合の制御の適用を維持するのに役立ちます。
これらの機能の詳細については、次のリンクを参照してください。
- Office アプリで作成された PDF に秘密度ラベルを適用する
- Adobe Acrobat Reader と Microsoft Purview Information Protection の統合の一般提供
注:
光学式文字認識 (OCR) を使用して、画像や画像ベースの PDF の内容をスキャンできます。 スキャンすると、データ損失防止 (DLP) などの Microsoft Purview 機能を適用できます。 オーストラリア政府機関は、データ セキュリティ要件をより適切にサポートするために、OCR の有効化を検討する必要がある場合があります。 詳細については、「 Microsoft Purview での光学式文字認識について」を参照してください。
必須ライセンス
Purview Information Protection機能のエントリ レベルの使用には、E3 ライセンスが必要です。 ただし、ほとんどの政府機関は、Microsoft 365 E5 (または同等のMicrosoft Purview スイート (旧称Microsoft 365 E5 Compliance) アドオン) を使用して、データ セキュリティ要件をより適切に提供することを検討する必要があります。
次の表に、一般的な政府機関のユース ケースのサブセットと、そのユース ケースを実行するために最低限必要なライセンスを示します。
| 使用例 | ライセンス |
|---|---|
| 項目に秘密度ラベルを手動で適用します。 | E3 |
| 未承認のユーザーへのラベル付きアイテムの配布を禁止します。 | E3 |
| ラベル付けされた項目に件名のマーキングを適用して、項目の機密性を示します。 | E3 |
| 他の組織によって適用されたマーキングに基づいて、秘密度ラベルを自動的に適用します。 | E5 |
| 環境全体のラベルの使用状況を監視してレポートします。 | E5 |
| 会議や予定表アイテムにラベルを適用します。 | E5 |
| 機密性の高いコンテンツの検出に基づいて、秘密度ラベルの適用を推奨します。 | E5 |
| デバイスでのラベル付きアイテムの使用を監視および制御します。 | E5 |
| ラベル付けされたアイテムまたはその他の機密性の高いアイテムを含むアクティビティに基づいて悪意のあるユーザーを識別します。 | E5 |
| 機密性の高いコンテンツを検出し、Teams チャットを介してその配布を制御します。 | E5 |
| ラベル付けされたコンテンツや機密性の高いコンテンツが環境全体に存在する場所を参照します。 | E5 |
E3 ライセンスを持つ政府機関は、Purview を基本レベルで実装し、PSPF 成熟度モデル (保護セキュリティ ポリシー フレームワーク (PSPF) 評価レポートに含まれる) のアドホックレベルまたは開発レベルを達成できます。 ただし、アイテムが秘密度に関連するコントロールによって保護されるようにするには、E5 または同等のライセンスに含まれる機能が必要です。 E5 ライセンスを利用すると、組織は PSPF 成熟度の 管理 レベルまたは 埋め込み レベルを達成できます。
コンプライアンスの成熟度を高める重要な要素は、 秘密度自動ラベル付けの使用です。 自動ラベル付けにより、政府機関は外部に適用された分類を受け入れられます。 メールが 1 つのエンティティによって分類され、マークされている場合、2 つ目のエンティティに送信された場合、アイテムはマークされたままですが、既定ではラベル付けされません。 ラベルがないため、DLP ポリシーなど、ラベルベースのデータ セキュリティコントロールの範囲外です。 自動ラベル付けにより、保護マーキング (オーストラリア政府Email保護マーキングStandardで定義されている) を、受信時に電子メールで解釈できます。 解釈されると、転送中に一致するラベルが適用され、ユーザーが受信したときに、関連するすべてのコントロールが囲まれた情報に適用されます。