この記事では、機密性の高いセキュリティ分類が低い感度環境で受信されないようにすることで、データ流出のリスクを軽減するための構成に関するオーストラリア政府機関向けのガイダンスを提供します。 その目的は、組織が情報セキュリティ体制を改善するのを支援することです。 この記事のガイダンスは、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件と一致することを目的としています。
データ流出の可能性と潜在的な損傷を減らすために、Microsoft 365 環境を次のように構成する必要があります。
- 受信アイテムの保護マーキングを評価し、必要に応じて受信をブロックします。
- 既に受け取ったアイテムの保護マーキングを評価し、必要に応じてそれ以上の開示を防ぎます。
- 適切なアラートとレポートをトリガーします。
- 環境内で許可されている分類よりも高い項目をチェックする方法を提供します。
保護マーキングの評価
機密ラベルの適用など、項目にセキュリティ分類を適用すると、保護マーキングも適用されます。 保護マーキングには、 秘密度ラベルのコンテンツ マーキングに使用されるヘッダーやフッターなどのコンテンツ マーキングが含まれます。 電子メールの場合、保護マーキングには 、x-protective-marking x-headers と 件名ベースのマーキングも含まれます。 可能な限り最適なカバレッジを提供するには、未送信の分類を識別する複数の方法を利用するアプローチを適用する必要があります。 セキュリティ分類を識別するためのアプローチには、次の評価が含まれている必要があります。
-
X-protective-marking x-headers 政府機関は、セキュリティ分類を識別する生成された電子メールに、x ヘッダーの形式で電子メール メタデータをスタンプする必要があります。
SEC=SECRETを含む x-protection マーキング x ヘッダーは、SECRET セキュリティ分類を持つアイテムを表します。 - 件名のマーキング 政府機関は通常、件名のマーキングをメールに適用します。 件名のマーキングは、エンド ユーザーがアクセス可能であるため改ざんの傾向が高くなりますが、セキュリティ分類を適切に示します。 [SEC=SECRET] を含むサブジェクト マーキングは、シークレット項目を表します。
-
機密情報の種類 (SIT)機密情報の種類 (SID) は、保護マーキングを含むアイテム内のコンテンツを検索するために使用できる、キーワード (keyword)またはパターン ベースの識別子です。 SIT は、電子メールまたはドキュメントのヘッダーまたはフッター内の
SECRETのコンテンツ マーキングを識別するように構成できます。SECRETのキーワード (keyword)は、SECRET CABINET Personal Privacyのキーワード (keyword)を誤検知する傾向があるため、この手法を使用して何らかの裁量が推奨されます。 - 秘密度ラベル ユーザーは、環境で許可されているセキュリティ分類を超えて秘密度ラベルを適用することはできません。 ただし、自動ラベル付け構成と組み合わせて使用する場合は、許可された分類よりも大きいラベルに対して 発行されていない ラベルを構成すると便利です。 たとえば、SECRET のマーキングを探し、SECRET ラベルを適用する自動ラベル付けポリシーでは、すべてのアラインメントアイテムを暗号化して、セキュリティ チームが介入している間にそれ以上の開示を防ぐことができます。 詳細については、 PROTECTED レベルを超える情報については、ラベルに関するページを参照してください。
この記事で使用されるアプローチでは、セキュリティ分類を識別するこれらの方法の 1 つ以上を利用します。
未送信の分類で電子メールの受信をブロックする
ISM-0565 は、受信した電子メールによるデータ流出から保護するための対策を定義します。
| 要件 | 詳細 |
|---|---|
| ISM-0565 (2025 年 3 月) | Emailサーバーは、不適切な保護マーキングを使用して電子メールをブロック、ログ、およびレポートするように構成されています。 |
この要件の中で、 不適切な保護マーキング という用語は、通常、環境で許可されている分類よりも高い分類を定義するために使用されます。 この要件を満たすには、データ損失防止 (DLP) ポリシーを構成して、非送信分類を持つアイテムの転送、受信、さらに配布を防ぐ必要があります。
DLP ルールの例: シークレットメールをブロックする
次の規則は、x ヘッダー、件名のマーキング、秘密度ラベルに基づいて電子メールを評価します。 誤検知のリスクがあるため、SID を評価する条件がこのルールに追加されていませんが、適切と見なされた場合はテスト後に追加される可能性があります。 このルールは EXO - Block SECRET email という名前で、 EXO - 非送信分類メールをブロックという名前のポリシーに追加できます。
| 条件 | アクション |
|---|---|
| ヘッダーはパターンと一致します。 - ヘッダー名: x-protective-marking - ヘッダー正規表現: SEC=SECRET OR グループ サブジェクトはパターンと一致します。 -正規表現: \[SEC=SECRET OR グループ コンテンツに含まれるコンテンツには、秘密度ラベルが含まれています。 - 秘密 |
アクセスを制限するか、Microsoft 365 の場所のコンテンツを暗号化します。 - ユーザーがメールまたはアクセスを受信できないようにブロックする - すべてのユーザーをブロックする セキュリティ チームに通知されるようにアラートを構成して、ルールの重大度を 高く 構成する必要があります。 |
ヒント
この DLP ルール ロジックは、TOP SECRET メールに適用するように変更できます。 PROTECTED レベルより低いレベルで動作する環境では、保護されたメールの受信を防ぐために使用できます。
許可されていない分類を使用してアイテムの共有をブロックする
通常、情報を環境に移行するためのさまざまな手段があります。 Emailは、カバーすべき重要な手段の 1 つですが、ファイルを受け取るその他の多くの方法や、許可されていない分類を持つアイテムが既に環境内に存在する可能性があることも考慮する必要があります。
セキュリティ分類は、保護マーキングを検出するための例 SIT 構文で詳しく説明されているように、カスタムの機密情報の種類を使用して識別できます。
SID が構成されると、SharePoint は SIT アライメントのアクティブな項目のインデックスを作成します。 DLP ポリシーは、SIT と一致すると見なされる項目を保護するために作成できます。
注:
SIT 検出は、オンデマンド分類を使用して履歴アイテムに拡張できます。 オンデマンド分類の詳細については、「 オンデマンド分類 (プレビュー)」を参照してください。
次の一連の例の SID を作成して、SECRET マーキングの識別を試みることができました。 これらの SID の信頼度レベルは、マーキングがわかりやすくなればなればないほど、誤検知の可能性が高くなります。
| SIT 名 | 正規表現 | Confidence |
|---|---|---|
| SECRET Regex | SECRET(?!,\sACCESS=)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\ | \/\/\ | \s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\ | \/\/\ | \s\/\/\s)CABINET) |
低 |
| SECRET Personal Privacy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Personal[ -]Privacy |
中 |
| SECRET Legal Privilege Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legal[ -]Privilege |
中 |
| SECRET 立法の秘密の正規表現 | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legislative[ -]Secrecy |
中 |
| シークレットナショナルキャビネット正規表現 | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
中 |
| SECRET CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)CABINET |
中 |
DLP ルールの例: SECRET アイテムの共有をブロックする
次の DLP ルールには 、SPOD - Block SECRET sharing という名前を付け、 SPOD - 非許可分類共有をブロックという名前のポリシーに追加できます。
| 条件 | アクション |
|---|---|
| コンテンツには、機密情報の種類のいずれかが含まれます。 - SECRET Regex - SECRET Personal Privacy Regex - SECRET Legal Privilege Regex - SECRET 立法の秘密の正規表現 - シークレットナショナルキャビネット正規表現 - SECRET CABINET Regex OR グループ コンテンツには、秘密度ラベルのいずれかが含まれています。 秘密 |
アクセスを制限するか、Microsoft 365 の場所のコンテンツを暗号化します。 - ユーザーがメールまたはアクセスを受信できないようにブロックする - すべてのユーザーをブロックする セキュリティ チームに通知されるようにアラートを構成して、ルールの重大度を 高く 構成する必要があります。 |
重要
マーキングに基づいてドキュメントを識別する SID では、誤検知が発生する可能性があります。 たとえば、この記事には保護マーキングが散らばっており、最高のセキュリティ レベルでフラグが設定されます。 誤検知を特定するアプローチはバランスを取る必要があり、SIT の検出によってセキュリティ分類が保証されないと考える必要があります。 暗号化などのユーザーに影響を与える構成を実装する前に、アプローチを完全にテストする必要があります。
非許可分類を使用した項目の自動ラベル付け
上記で示した DLP ポリシーでは、コンテンツの条件を使用して 秘密度ラベルが含まれています。 これらの条件を利用するには、非許可分類が疑われる項目にラベルを付ける方法が必要です。 これは、サービス ベースの自動ラベル付けポリシーを使用して、保存中のアイテムを SharePoint の場所で SIT アライメント用にチェックすることで実現されます。 非許可のセキュリティ分類を含むアイテムが検出された場合は、そのアイテムにラベルを付けて保護できます。 この構成では、ラベルを作成し、エンド ユーザーに直接発行する必要はありません。 代わりに、自動ラベル付けサービスのスコープ内に持ち込むには、サービスまたはブレーク グラス アカウントに発行する必要があります。 ラベル分類を非許可分類に拡張する方法の詳細については、 PROTECTED レベルを超える情報については、ラベルに関するページを参照してください。
これを実現するために必要な自動ラベル付け構成は、 SharePoint ベースのポリシー構成で提供されている例に沿っています。 別の構成例を次に示します。 SPOD - Label SECRET items という名前のポリシーには、次の規則を追加できます。
| ルール名 | サービス | 適用するラベル | 条件 |
|---|---|---|---|
| SPO - シークレットアイテムにラベルを付ける | SharePoint | 秘密 | コンテンツには、機密情報の種類のいずれかが含まれます。 - すべてのシークレット SID を選択する |
| OD - シークレット項目にラベルを付ける | OneDrive | 秘密 | コンテンツには、機密情報の種類のいずれかが含まれます。 - すべてのシークレット SID を選択する |
自動ラベル付けの利点は、SIT ベースの検出方法を超えて、ラベル付けによって データが所定の位置から外れるアラートを有効にするという点です。 これにより、機密性の高い項目が低い秘密度の場所に移動され、場所の所有者に警告し、ユーザーが移動アクティビティを完了するたびにトリガーされます。 その他のアラートは、メール フロー ルールを使用して実現できます。
許可されていない分類をキャッチして保護するために作成された秘密 度ラベルは、秘密度ラベルの暗号化を使用して構成することもできます。 これらの暗号化設定は、潜在的なデータスピルを調査するために必要なチームだけがラベル付きアイテムにアクセスできるように構成することができ、潜在的な流出の影響を大幅に軽減します。 このような構成は、組織が ISM-0133 データ制限要件を満たすのに役立ちます。
| 要件 | 詳細 |
|---|---|
| ISM-0133 (2025 年 3 月) | データスピルが発生すると、データ所有者に通知され、データへのアクセスが制限されます。 |
スピルされたデータの識別
コンテンツ エクスプローラーは、管理者が機密情報の種類、秘密度ラベル、トレーニング可能な分類子、または保持ラベルによって Microsoft 365 データ資産を閲覧できる Microsoft Purview 機能です。 割り当てられていない分類を識別する SID が作成された後、関連付けられた自動ラベル付けポリシーが展開された秘密度ラベルが作成されると、管理者は SharePoint、OneDrive、Exchange、Teams 間で項目の配置を参照できるようになります。
Microsoft Purview eDiscoveryは、許可されていない分類を持つ項目を検索するための別の方法を提供します。 電子情報開示ケースは、秘密度ラベルまたは SIT を検索する検索条件を使用して作成できます。 コンテンツを検索するために電子情報開示を使用する方法の詳細については、「 電子情報開示でのサイト内のコンテンツの検索」を参照してください。
ラベル付けされていない項目の保護
PSPF では、その開示によって引き起こされる可能性のあるリスクまたは損害について評価される情報が必要です。
| 要件 | 詳細 |
|---|---|
| PSPF リリース 2024 - セクション 9: 分類 & 注意事項 - 要件 59 | 公式情報の価値、重要性、または機密性 (公式記録として使用することを目的とする) は、情報の機密性が侵害された場合に発生する政府、国益、組織、または個人への潜在的な損害を考慮することによって、発信者によって評価されます。 |
情報が評価されると、そのリスクのレベルがセキュリティ分類の適用によって記録されます。 Microsoft 365 は、秘密度ラベル付けを使用してこれを提供します。 必須ラベル付けなどの構成では、ドキュメントやメールなどのすべてのアイテムにラベルが適用されます。
ユーザーがアイテムにセキュリティ分類を適用していない場合は、不適切な開示のリスクが考慮されていない可能性が高くなります。 その後、含まれる情報の配布はリスクと見なす必要があります。 このようなシナリオの戦略を検討し、組織の DLP 構成に組み込む必要があります。
また、多くのオーストラリア政府機関は、ISM-0565 に従ってラベル付けされていない項目が不適切であると考えます。
| 要件 | 詳細 |
|---|---|
| ISM-0565 (2025 年 3 月) | Emailサーバーは、不適切な保護マーキングを使用して電子メールをブロック、ログ、およびレポートするように構成されています。 |
ラベル付けされていないメールの送信をブロックする
ラベルなしメールの送信をブロックするには、カスタム ポリシー テンプレートに基づいて DLP ポリシーを構成し、Exchange サービスに適用します。
ラベル付けされていないメール ポリシーの送信をブロックするには、次の 2 つの規則が必要です。
- Microsoft 365 から共有されるコンテンツを介して送信アイテムを送信するための最初のルールで、organization条件外のユーザーと共有されます。
- Microsoft 365 から共有されているコンテンツに適用する 2 つ目のルール。organization内のユーザーのみ。
ルールには例外が必要です。これは、 NOT オペランドが有効になっている条件グループを介して適用されます。 条件グループには 、コンテンツに含まれる条件、 秘密度ラベル が含まれており、環境内で使用可能なすべてのラベルが選択されています。
電子メールを生成するアプリケーションとサービスは、Microsoft 365 Apps クライアントに適用される必須のラベル付け構成の外部にあります。 そのため、この DLP ポリシーは、ユーザーが生成していない電子メールが送信されるたびにトリガーされます。 Microsoft サービスによって生成されたセキュリティ アラート、スキャナーや多機能デバイス (MFD) からのメール、人事や給与システムなどのアプリケーションからの電子メールに対してトリガーされます。 ポリシーが重要なビジネス プロセスをブロックしないようにするには、 例外を NOT グループに含める必要があります。 例:
- OR送信者ドメインは、セキュリティと SharePoint アラートをキャプチャする microsoft.com です。
- または送信者は、この要件をバイパスする権限を持つアカウントを含むグループを持つグループのメンバーです。
- または送信者の IP アドレスは、Office MFD のアドレスと共にです。
この規則は、送信者が構成された例外の 1 つを介して除外されない限り、一覧表示されている秘密度ラベルの 1 つを含まない電子メールが送信されるたびにトリガーされます。
注:
共有予定表やデリゲートメールボックスアクセスを使用して予定表アイテムを作成する場合など、状況によっては秘密度ラベルが適用されない場合があります。 これにより、これらの予定表アイテムから生成された電子メールの招待にもラベルが適用されない可能性があります。 ラベル付けされていない予定表アイテムから生成されたEmailは、ヘッダーがパターンに一致する条件、x-ms-exchange-calendar-originator-id : (?:_?) の条件を探すことで、DLP ルールから識別および除外できます。
これらの DLP ルールには、すべてのユーザーを ブロック するアクションと、適切な重大度とレポートアクションが必要です。
次のアラート要件は、送信アイテムに適用される DLP ルールに関連します。
| 要件 | 詳細 |
|---|---|
| ISM-1023 (2024 年 6 月) | ブロックされた受信メールの目的の受信者と、ブロックされた送信メールの送信者が通知されます。 |
この要件を満たすために、送信アイテムに適用される DLP ルールは、アイテムの送信を試みたユーザーに通知するように構成されます。
ヒント
秘密度ラベル付けに移行する政府機関は、ブロックアクションやアラート アクションではなくポリシー ヒントを構成できます。 このようなポリシーは、ハード要件として構成せずにラベルの選択を提案するために使用できます。 これは ISM の要件を厳密に満たしていませんが、ユーザー向けの Microsoft Purview 機能をより適切に展開できます。
ラベル付けされていないメールをブロックする DLP ポリシーの例
次の DLP ポリシーは Exchange サービスに適用され、ラベル付けされていない電子メールによる情報の損失を防ぎます。
ポリシー名: EXO - ラベル付けされていないメールをブロックする
| Rule | 条件 | アクション |
|---|---|---|
| ラベル付けされていない送信メールをブロックする | コンテンツは Microsoft 365 から共有され、organization外のユーザーと共有されます AND 条件 グループ NOT コンテンツには秘密度ラベルが含まれています。 - すべてのラベルを選択する または 送信者ドメインは次のとおりです。 - microsoft.com - その他の例外を含める |
アクセスを制限するか、Microsoft 365 の場所のコンテンツを暗号化します。 - ユーザーがメールを受信できないようにブロックする - すべてのユーザーをブロックする |