オーストラリア政府の機密情報の不適切な配布の防止

この記事の目的は、オーストラリア政府機関が情報セキュリティ体制を改善するのを支援することです。 この記事のガイダンスは、 保護セキュリティ ポリシー フレームワーク (PSPF) と 情報セキュリティ マニュアル (ISM) に記載されている要件に最も沿うように記述されています。

この記事では、Microsoft 365 サービスを介した 機密情報 の不適切な開示のリスクを軽減するための構成に関するオーストラリア政府機関向けのガイダンスを提供します。 この記事では、「 セキュリティの機密情報の不適切な配布の防止」で説明されている構成に加えて、実装する必要がある構成について説明します。

オーストラリア政府機関は、DLP 構成に次のものが含まれるようにする必要があります。

• Microsoft が提供する DLP ポリシー テンプレートを使用して、オーストラリアのデータ型に関連する機密情報を検出しました。
• 機密情報の種類 (SID) を使用して、保護マーキングによって分類される可能性のあるセキュリティ項目を検出します。
• オーストラリア政府のイニシアチブまたはサービスに関連する機密情報を検出するためのカスタム SID と分類子の使用。

コンテキスト (秘密度ラベル) とコンテンツに基づいて情報を保護する包括的な DLP 構成により、情報損失のリスクが大幅に軽減されます。 また、コンテンツ ベースの検出方法により、組織がデータ セキュリティ制御の唯一のアンカー ポイントとしてセキュリティ分類への依存を減らすこともできます。

(ラベルベースではなく) コンテンツベースのアプローチがこれに役立つ例としては、次のような状況があります。

• ユーザーは、アイテムに適用された秘密度ラベルを悪意を持ってダウングレードし ( 再分類の考慮事項で説明されているように)、そのラベルを取り消そうとします。
• ユーザーは、機密ドキュメントから機密情報をコピーし、電子メールまたは Teams チャットに貼り付けます。
• 侵害されたアカウントを介してアクセス権を持つ敵対者は、内部サービスから一括情報を提供し、電子メールで流出しようとします。

これらの各シナリオでは、アイテムに適用されるラベルではなく実際のコンテンツを評価するアプローチを使用して、データ侵害の防止と制限を行います。

知る必要がある点では、セキュリティの機密情報にアクセスするための外部organizationを承認しても、organization内のすべてのユーザーが機密情報にアクセスできる必要があるとは限りません。 政府機関は、秘密度ラベルや分類に焦点を当てたコントロールとは無関係に、機密情報の流れをきめ細かく可視化し、制御する構成を適用する必要があります。 これらの制御は、 保護セキュリティ ポリシー フレームワーク (PSPF) 要件 75 と一致します。

機密情報の電子メールの制御

Microsoft Purview DLP 構成には、次のポリシーが含まれている必要があります。

• 機密情報を含む電子メールを識別して保護する
• 対応するセキュリティ分類に沿って、保護マーキングを含む項目を識別して保護する
• コードワード、機密性の高い用語、またはorganizationに対して機密性が高いと見なされるコンテンツを含むアイテムを特定して保護する

機密情報の電子メールを制御するための DLP ポリシー テンプレートの利用

すべての組織は、機密情報のメジャーを保持します。 これは、ユーザー、顧客、または一般のメンバーに関する情報です。 Microsoft では、一般的に保護する必要がある情報の識別と保護を支援するために、事前構築済みの機密情報の種類 (SID) と DLP ポリシー テンプレートを提供しています。

正常性情報は、組織が保護する必要がある機密情報の例です。 オーストラリアでは、 私たちの健康記録法 には、ヒース情報を収集および使用する方法を指定するプライバシー フレームワークと、不適切な収集または開示に対する罰則が含まれています。

ヒート情報を正確に識別するために、「 名前付きエンティティの機密情報の種類」で説明されているアプローチを利用できます。

正常性情報には適切なラベルを付け、ラベルベースのコントロール ( セキュリティの機密情報の不適切な配布を防止するために 含まれるコントロールなど) を適用できます。 ただし、知る必要は引き続き適用されます。 外部組織は、機密情報へのアクセスが承認されているかどうかに関係なく、必要に応じてそのような情報を受信またはアクセスできないようにする必要があります。 さらに細分性は、知る必要に応えるために不可欠です。

次の DLP ルールの例は、正常性レコードの外部配布を防ぐために使用されます。 このポリシー例では、事前構築されたポリシー テンプレート オーストラリア健康記録法 (HRIP Act) 拡張を使用します。受信者ベースの制限が適用されるように Exchange サービスにのみ適用されるように変更されています。

このポリシー テンプレートは、正常性情報を探すだけでなく、正常性情報と他の情報の種類の組み合わせを特定することを目的とします。 正常性レコードを示す可能性があるその他の種類の情報には、名前、住所、その他の個人識別子が含まれます。

Microsoft が提供するポリシー テンプレートを使用すると、少量および大量のポリシー アクションを定義できます。 既定では、低ボリュームは 1 から 9 回に構成され、大量は 10 回を超えて構成されます。 これらのしきい値をさらにカスタマイズできます。

情報を知る必要がある外部組織は、ルールの例外 NOT リストを使用して承認済みドメインの一覧に追加できます。

このような DLP ルールの大きな利点は、悪意のあるユーザーまたは侵害されたアカウントが、承認されていないメール ドメインに大量の正常性レコードを流出させようとすると、アクションがブロックされ、管理者に通知されるということです。 organizationでは、関連のないビジネス機能に従事する外部ユーザーがこの種類の正常性情報を受け取らないように、これらのコントロールを内部ユーザーに拡張できます。 私のorganization内の人々に同じコントロールを適用する他のルールを作成することもできます。 これらの規則では、外部ドメインの一覧ではなく、例外に対して内部グループを使用できます。

Microsoft は、実装のためにオーストラリア政府機関が考慮する必要がある事前構築済みの DLP ポリシー テンプレートを提供しました。

• オーストラリア プライバシー保護法 (拡張)
• オーストラリア健康記録法強化
• オーストラリアの金融データ
• PCI データ セキュリティ Standard - PCI DSS
• オーストラリアの個人情報 (PII) データ

マークされた情報の電子メールの制御

秘密度ラベルは、項目の機密性を示す重要な指標として使用する必要があります。 ほとんどの場合、適用されたラベルに基づいて情報を保護する方法は、 セキュリティの機密情報の不適切な配布の防止に関する記事で説明されているように、適切な保護を提供します。 ただし、次のような状況も考慮する必要があります。

• コンテンツは分類されたアイテムからコピーされます。
• 項目は外部政府機関から受け取られ、マークは付けられますが、まだラベル付けされていません。
• 秘密度ラベルの展開の前にアイテムが作成され、ラベルがまだ適用されていません。

項目のラベル付けがまだ行われていない状況では、 クライアント ベースの自動ラベル付 けと サービスベースの自動ラベル付けを 組み合わせて使用して、項目にラベルを適用できます。 クライアント ベースの推奨事項は、ユーザーがファイルを開くときに適用されます。 サービスベースの自動ラベル付けインデックスと、保存中またはメールの転送中のアイテムにラベルを付けます。

保護を改善するために、保護 マーキングを検出するための SIT 構文の例で示されているように、コンテンツ識別方法を使用して保護マーキングを見つけることができます。 識別されると、関連付けられているセキュリティ分類のマーキングに合わせた項目に保護を適用できます。 これにより、ユーザーがクライアント ラベルの推奨事項を無視したり、サービス ベースの自動ラベル付けがまだ処理されていない場合にアイテムを保護できます。

たとえば、次の DLP 規則は Exchange サービスにのみ適用されます。 このルールは、メールの PROTECTED マーキングを識別し、承認された組織以外のすべてのマーキングが受信されないようにします。

分類が下がったアイテムの保護

Microsoft の 信頼が、 セキュリティ分類に対するアプローチを確認することで、ユーザーはアイテムに適用される秘密度ラベルを変更できます。 これについては、 再分類に関する考慮事項で説明します。

オーストラリア政府の代表が参加するEmailの会話には、保護的な作りが適用されています。 これらは、メールの x ヘッダーに存在しますが、会話履歴全体を通じて、件名のマーキングやテキスト ベースの視覚的マーキングにも存在します。

電子メールの会話に適用された分類が "PROTECTED Personal Privacy" から "UNOFFICIAL" にダウングレードされた場合、ラベル変更の正当な理由がトリガーされ、監査可能なイベントが生成され、さらに Insider Risk Management に組み込まれます。 この発生後、以前に適用された件名のマーキングとテキスト ベースの視覚的マーキングは、SIT を介した以前の返信の電子メールで識別できます。 たとえば、次の RegEx を持つ SIT は、件名マーキングで電子メール ヘッダーに 'PROTECTED // Personal Privacy' と [SEC=PROTECTED, Access=Personal-Privacy] を識別します。

PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy

前のセクションで提供された DLP 規則の例 (マークされた情報の電子メールの制御) では、保護マーキングを使用してアイテムを PROTECTED として識別し、適用された秘密度ラベルに関係なく流出をブロックします。 慎重な DLP ポリシーの順序付けと、適切なレポートアクションにより、ラベルがセキュリティ チームに優先度インシデントとしてフラグ付けされるのではなく、SIT が原因でメールがブロックされる状況も可能になります。

ダウングレードに対処する別の方法は、適用されたラベルを電子メールの本文で検出できるマーキングに対してチェックするポリシーを実装することです。 たとえば、 秘密度ラベル UNOFFICIAL、OFFICIAL、OFFICIAL: SensitiveとContains sensitive information type PROTECTED です。 このような増分ダウングレードの発生は、不適切なラベルのダウングレードを強く示し、さらなる調査を保証します。 このような条件付きを利用する DLP ポリシーは、ISM-1089 に準拠する方法も提供します。

分類が下がっている項目を識別して保護するように構成されたポリシーは、Insider Risk Management ポリシーとの整合に適しています。 ポリシーを統合して、ユーザーが DLP ポリシーをトリガーすると、Insider Risk Management のユーザー リスク スコアに組み込まれるようになり、リスクとしてフラグが設定され、そのアクションが Adaptive Protection を介して制限されるために、これらのアクティビティを完了するユーザーの好感度が高まります。

このシナリオの詳細については、「Insider Risk Management シナリオ 2: 悪意のあるラベルのダウングレード](pspf-insider-risk.md#Insider Risk Management-scenario-2-malicious-label-downgrade)」を参照してください。

カスタム SID の電子メールの制御

機密情報の識別に関するカスタム機密情報の種類やその他の機能などの情報識別方法は、個々のorganizationに関連する機密情報を検出する手段を提供します。 SIT とトレーニング可能な分類子は、特定のオーストラリア政府の情報保護要件に対処するために作成されます。 これらの SID は、識別された情報を含む項目の配布を制御する DLP ポリシーで使用されます。

オーストラリア政府機関全体で一般的な要件の例として、機密性の高いコードワードやイニシアチブに関連する情報など、責任ある資料を保護する必要があります。 これを実現するために、キーワードまたは用語のリストを含む SIT または SID のセットを作成できます。 その後、この SIT を DLP ポリシーで使用してユーザーに警告し、送信前にビジネス上の正当な理由を入力するか、通信を完全にブロックする必要がある可能性があります。

次の DLP ルールの例は、Exchange サービスに適用されます。 機密性の高いコードワードを含む電子メールが検出され、検出されると、ユーザーにポリシー ヒントが表示されます。 ユーザーは、メールを送信する前に、ビジネス上の正当な理由を提供し、警告を確認する必要があります。

機密性の高いコンテンツを含む外部チャットを制限する

DLP ポリシーは、Teams のチャットメッセージとチャネル メッセージに適用するように構成できます。 この構成は、外部ユーザーとチャットする機能など、柔軟なコラボレーション オプションを実装している組織に最も関連します。 このような組織は、コラボレーションによる生産性の向上を望みますが、Teams チャットやチャネル メッセージングなどのコラボレーション手段による機密情報の損失を懸念しています。

Teams の DLP アプローチでは、次の手順を実行する必要があります。

• Microsoft が提供する DLP ポリシー テンプレートを使用して、オーストラリアのデータ型に関連する機密情報を検出します。

  Microsoft では、 機密情報の電子メールを制御するために DLP ポリシー テンプレートを利用する際に示されているように、DLP ポリシー テンプレートを使用して、機密情報を識別し、Teams 経由で通信しないように保護する必要があります。

• 分類された項目から Teams アプリケーションに貼り付けた可能性がある保護マーキングを検出するための SID の使用を含めます。

  Teams チャットに保護マーキングが存在すると、不適切な開示が示されます。 マークされた情報の電子メールを制御する方法で示されたポリシーは、保護マーキングを介して機密情報を識別します。 同様のポリシー構成が Teams に適用された場合は、Teams チャットに貼り付けたマーキングを識別できます。 たとえば、このテキスト ベースのデータに存在する可能性があるヘッダー、フッター、件名のマーキングを介して識別される、分類されたメール ディスカッションのコンテンツなどです。

• カスタムの SID と分類子を使用して、オーストラリア政府のイニシアチブまたはサービスに関連する機密情報を検出します。

  カスタム SID は、Teams チャットまたはチャネル メッセージングで使用されている機密性の高いキーワードや用語を識別するために使用されます。 カスタム SID の電子メールの制御を提供する例は、Teams サービスに適用できます。

Teams チャットを使用して正常性情報を制限する DLP ポリシーの例

次の DLP ポリシーの例は、Teams サービスに適用され、オーストラリアの正常性レコード ポリシー テンプレートを利用します。 このポリシーは、ユーザーが Teams チャットを介して正常性情報を共有するときにトリガーされます。 受信者が承認された組織のリストの外にある場合は、ユーザーが情報を共有することを警告します。 ルールは、適切と見なされた場合にチャット メッセージをブロックするように変更できます。

コミュニケーション コンプライアンスを使用した外部チャットの監視

コミュニケーション コンプライアンス は、イベントが必ずしもブロックされるのではなく、ポリシー違反にレビューのフラグが設定されている DLP に対する代替アプローチを提供します。 管理者は、ポリシーの一致を表示して、状況の完全なコンテキストをよりよく理解し、組織のポリシーに従って妥当性を分析できます。

通信コンプライアンス ポリシーは、SID の組み合わせを含む送信チャットを確認するように構成できます。 これらのポリシーは、 機密情報の電子メールを制御するために DLP ポリシー テンプレートを使用する際に使用されるオーストラリアのデータ型に関連する SIT の組み合わせをレプリケートできます。

機密情報の共有の制御

秘密度ラベルは、機密情報を識別する主な方法です。 ラベルベースの DLP コントロールは、 セキュリティの機密情報の共有の防止に関する記事で説明されているように、アクティビティを共有するためのデータ損失防止の主要な方法と見なす必要があります。 Microsoft Purview の階層化されたアプローチでは、DLP ポリシーをさらに構成して、アイテム内の機密性の高いコンテンツを識別できます。 コンテンツが特定されたら、アイテムの秘密度ラベルとは別に共有制限を適用できます。 これにより、次のような状況に対処できます。

• 項目のラベルが正しく表示されていません。
• 項目は外部政府機関から受け取られ、マークされていますが、まだラベル付けされていません。
• 秘密度ラベルの展開前に作成され、ラベルがまだ適用されていない項目。

オーストラリア政府機関は、次のような SharePoint および OneDrive サービスに適用される DLP ポリシーを検討する必要があります。

• 保護マーキングを含む項目を検出するための SID の使用を含めます。

  保護マーキングは、項目の機密性を識別するためのバックアップ方法を提供します。 DLP ポリシーは、セキュリティ分類 (OFFICIAL: Sensitive and PROTECTED) と一致 する保護マーキングを検出するために、SIT 構文の例 で提供される SID を使用して構成されます。 これらのマーキングを含む項目には、共有の制限が適用されます。

• Microsoft が提供する DLP ポリシー テンプレートを使用して、オーストラリアのデータ型に関連する機密情報を検出します。

  Microsoft では、 機密情報の電子メールを制御するための DLP ポリシー テンプレートの使用で示されているように、DLP ポリシー テンプレートを提供し、SharePoint または OneDrive の場所から共有される機密情報を識別して保護しました。 オーストラリア政府に関連するポリシー テンプレートは次のとおりです。

  • オーストラリア プライバシー保護法 (拡張)
  • オーストラリア健康記録法強化
  • オーストラリアの金融データ
  • PCI データ セキュリティ Standard - PCI DSS
  • オーストラリアの個人情報 (PII) データ

• カスタムの SID と分類子を使用して、オーストラリア政府のイニシアチブまたはサービスに関連する機密情報を検出します。

  カスタム SID は、SharePoint または OneDrive 経由で共有されているアイテムに含まれる機密性の高いキーワードまたは用語を識別するために使用されます。 DLP を使用してカスタム SID の電子メールを制御する例を SharePoint および OneDrive サービスに適用できます。

DLP Analytics を使用した DLP ポリシーの継続的な改善

DLP Analytics は、次のことが可能なソリューションです。

• organizationの情報共有アクティビティを分析し、
• organizationの最も高い共有リスクを特定し、
• リスクを軽減するために、既存のポリシーに対して新しい DLP ポリシーまたは更新プログラムを生成します。

有効にすると、DLP Analytics によって DLP 構成が検証され、ポリシーの改善方法に関する提案が提供されます。 オーストラリア政府機関の場合、セキュリティ分類およびラベル付けされた項目の DLP 構成は、かなり固定されていると見なすことができます。 ただし、機密情報を確認するポリシーは、時間の経過に伴う改善の恩恵を受けます。

DLP Analytics が提供する可能性がある推奨事項の例として、個人情報を保護するポリシーにトレーニング可能な分類子を追加する方法があります。 分析では、ポリシーで生成される誤検知が多すぎることが判断される可能性があるため、分類子をポリシー条件の例外として追加することが示唆される可能性があります。 この方法では、DLP Analytics は DLP 構成の改善を継続的に検証および提案できます。

DLP Analytics の詳細については、「 データ損失防止分析の概要」を参照してください。

Defender for Cloud Appsを使用して機密情報の共有を監視する

Microsoft Defender for Cloud Appsは、オンライン アプリケーションやオンライン ストレージ サービスなど、サービスとしてのソフトウェア (SaaS) アプリケーションの保護を提供します。

SharePoint 共有構成 を使用すると、共有リンクの受信が承認され、PSPF 要件 77 に合わせて構成されているドメインの一覧を構成できます。

Defender for Cloud Appsを使用すると、DLP 監視機能を拡張できます。 たとえば、SID と匿名メール アドレスの組み合わせを含むアイテムの共有をチェックするポリシーが作成されます。 管理者は、外部ユーザーの共有アクセス許可を削除し、さまざまなレポートアクションを完了できます。

また、Defender for Cloud Appsでは、いくつかの集約されたレポートが提供され、管理者チームに異常に高いポリシー違反が発生したユーザーにアラートが表示されます。

共有アクティビティを監視または制御するためのDefender for Cloud Appsの使用の詳細については、Microsoft Defender for Cloud Appsのファイル ポリシーに関するページを参照してください。

Insider Risk Management を使用した機密情報の監視

Insider Risk Management は、DLP ポリシーシグナルを利用してユーザー リスクを判断する方法を提供します。 Insider Risk Management は、悪意のある可能性のあるユーザーに関するレポートを提供し、Adaptive Protection を介して自動化された軽減策を提供します。

機密情報を保護する DLP ポリシーは、適切な Insider Risk Management 構成に合わせる必要があります。 これらの概念については、「 インサイダー リスクの管理」を参照してください。