DoD ゼロ トラスト戦略とロードマップでは、国防総省のコンポーネントと防衛産業基盤 (DIB) パートナーが、ゼロ トラストの原則に基づいて新しいサイバーセキュリティ フレームワークを採用するための道筋を概説しています。 ゼロ トラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト機能遂行ロードマップでの、152 種のゼロ トラスト アクティビティに関する推奨事項が記載されています。 各セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応します。
ガイドの各セクションに移動するには次のリンクを使用してください。
4 データ
このセクションでは、データの柱に含まれる DoD ゼロ トラスト アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。 詳しくは、「ゼロ トラストでデータを保護する」を参照してください。
4.1 データ カタログのリスク調整
Microsoft Purview ソリューションを使って、データが存在する場所でデータの検出、識別、ガバナンス、保護、管理を行います。 Microsoft Purview には、項目を識別するための 3 つの項目が用意されており、これに従って項目を分類できます。 項目はユーザーが手動で分類できます。これに機密情報の種類と同様に自動化されたパターン認識や機械学習を介在させることができます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.1.1 データ分析DoD 組織は、データ分類を使ってサービスとアプリケーション カタログを更新します。 また、各サービスとアプリケーションにデータ タグを追加します。 結果: - サービスのカタログは、各アプリケーションとサービスのデータの種類を使って、データ分類レベルに基づいて更新されます |
Microsoft Purview Microsoft Purview コンプライアンス ポータルで機密情報の種類を確認し、カスタムの機密情報の種類を定義します。 - Purview コンプライアンス ポータルのカスタムの機密情報の種類 Purview コンテンツ エクスプローラーまたはアクティビティ エクスプローラーを使って、ラベル付けされた Microsoft 365 コンテンツのスナップショットと関連するユーザー アクティビティを表示します。 - コンテンツ エクスプローラー - アクティビティ エクスプローラー Microsoft Defender for Cloud Apps Microsoft Purview Information Protection を統合して、ポリシーに一致するデータに秘密度ラベルを適用します。 クラウド アプリケーション全体で機密データ漏えいの可能性を調査します。 - Information Protection の統合 Microsoft Purview データ カタログ Purview データ カタログを参照して、自分のデータ資産に含まれるデータを探索します。 - Purview データ カタログ |
4.2 DoD エンタープライズのデータ ガバナンス
Microsoft Purview Information Protection では、秘密度ラベルが使用されます。 組織に関連する秘密度ラベルを作成し、どのラベルがユーザーに表示されるかを制御し、ラベル スコープを定義することができます。 ラベルのスコープは、ファイル、メール、会議、Microsoft Teams、SharePoint サイトなどに設定できます。 ラベルによって、暗号化によるコンテンツの保護、外部共有の制限、データ損失の防止を実現できます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.2.1 データのタグ付けの標準を定義するDoD エンタープライズは、各組織と連携して、業界のベスト プラクティスに基づいてデータのタグ付けと分類の標準を確立します。 分類は各プロセスの中で合意され、実装されます。 各タグは、将来のアクティビティのために手動または自動として識別されます。 結果: - エンタープライズのデータ分類とタグ付けの標準が開発されます - 組織はエンタープライズ標準に準拠して実装を開始します |
Microsoft Purview 定義したデータのタグ付けの標準に従い、Microsoft Purview で秘密度ラベルを作成して発行します。 - 秘密度ラベルとポリシー - Microsoft 365 の秘密度ラベル |
Target
4.2.2 相互運用性の標準各組織と共同作業する DoD エンタープライズは、必須の Data Rights Management (DRM) および保護のソリューションと、ZT のターゲット機能を実現するために必要なテクノロジを統合して、相互運用性の標準を開発します。 結果: - 適切なデータ標準のために、エンタープライズによって正式な標準が定められます |
Azure Rights Management Azure RMS を使って、Microsoft 365 サービスで共同作業を行う DoD エンティティ間で Data Rights Management (DRM) および保護の相互運用性を実現します。 - Azure RMS - 秘密度ラベルをサポートするアプリ |
Target
4.2.3 ソフトウェア定義ストレージ (SDS) ポリシーを開発する各組織と連携する DoD エンタープライズは、業界のベスト プラクティスに基づいてソフトウェア定義ストレージ (SDS) ポリシーと標準を確立します。 DoD 組織は、SDS の実装のために現在のデータ ストレージ戦略とテクノロジを評価します。 そこでは、SDS の実装に適したストレージ テクノロジが特定されます。 結果: - SDS ツールの実装の必要性を決定します - エンタープライズ レベルと組織レベルで SDS のポリシーが作成されます |
SharePoint Online 標準の相互運用可能なソフトウェア設計ストレージ (SDS) ソリューションとして、SharePoint Online と OneDrive for Business を使用します。 サイト アクセス制限ポリシーにより、機密性の高い SharePoint Online サイトおよびコンテンツへのアクセスを制限します。 データ損失防止 (DLP) ルールが適用されている間、ファイルへのゲスト アクセスを禁止します。 - サイトへのアクセスをグループ メンバーに制限する - DLP ルールによってファイルへのゲスト アクセスを禁止する - ゲスト共有をセキュリティで保護する Microsoft Defender for Cloud Apps Defender for Cloud Apps を使って、承認されていないクラウド ストレージ サービスへのアクセスをブロックします。 - 検出されたアプリを管理する |
4.3 データのラベル付けとタグ付け
Microsoft Purview Information Protection では、定義した機密情報の種類に基づいてデータが自動的に分類されます。 サービス側とクライアント側のラベル付けポリシーによって、ユーザーが作成した Microsoft 365 コンテンツのラベル付けと保護を確実に行います。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.3.1 データ タグ付けと分類ツールの実装DoD 組織は、エンタープライズの標準と要件を利用して、データのタグ付けと分類を行うソリューションを実装します。 組織は、DoD エンタープライズの要件を通じて、将来の ML と AI の統合がソリューションで確実にサポートされるようにします。 結果: - データの分類とタグ付けを行うツールの要件に、機械学習 (ML) の統合やサポートが必ず含まれています - 組織レベルとエンタープライズ レベルでデータの分類とタグ付けを行うツールが実装されます |
Microsoft Purview Information Protection Microsoft Purview Information Protection を使って、機密情報の種類と、機械学習 (ML) によってトレーニングされた分類器に基づいてデータを分類します。 - 機密データと Purview - ラベル ポリシー |
Target
4.3.2 データの手動タグ付け (パート 1)DoD エンタープライズのデータのタグ付けと分類に関するポリシーと標準を使用して、ZT のターゲット機能を満たすための基本的なデータ レベル属性を使った手動のタグ付けを開始します。 結果: - エンタープライズ レベルで基本的な属性を使ってデータの手動タグ付けを開始します。 |
Microsoft Purview 定義したデータのタグ付けの標準に従い、Microsoft Purview で秘密度ラベルを作成して発行します。 4.2.1 の Microsoft ガイダンスを参照してください。 ラベル付けポリシーを構成して、ユーザーがメールやドキュメントに秘密度ラベルを適用することを要求します。 - ユーザーがメールやドキュメントにラベルを適用する |
Advanced
4.3.3 データの手動タグ付け (パート 2)DoD 組織固有のデータ レベル属性を手動のデータ タグ付けプロセスに統合します。 DoD エンタープライズと各組織が協力して、ZTA の高度な機能を満たすために必要な属性を決定します。 ZTA の高度な機能を実現するためのデータ レベル属性をエンタープライズ全体で標準化し、導入します。 結果: - 特定の属性を使って、データの手動タグ付けをプログラム/組織レベルに拡大します |
Microsoft Purview Microsoft Purview コンプライアンス ポータルで機密情報の種類を確認します。 必要に応じてカスタムの機密情報の種類を定義します。 4.1.1 の Microsoft ガイダンスを参照してください。 |
Advanced
4.3.4 データの自動タグ付けとサポート (パート 1)DoD 組織は、データ損失防止、著作権管理、保護の各ソリューションを使ってデータ リポジトリのスキャンを実行します。 サポートされているデータ リポジトリとデータの種類に標準化されたタグを適用します。 サポートされていないデータ リポジトリとデータの種類を識別します。 結果: - データ リポジトリのスキャンとタグの適用によって、基本的な自動化を開始します。 |
Microsoft Purview Information Protection Microsoft Office アプリケーションで作成されたファイルとメールに対するクライアント側のラベル付けを構成します。 - Office アプリの自動ラベル付け Office 365 に保存されるコンテンツに対するサービス側のラベル付けを構成します。 - SharePoint、OneDrive、Exchange の自動ラベル付けポリシー コンテナー (Microsoft Teams サイト、Microsoft 365 グループ、SharePoint サイト) に秘密度ラベルを適用します。 - Teams、Microsoft 365、グループ、SharePoint サイトの秘密度ラベル 環境内にあるドキュメントやメールを見つけるために、定義された機密情報の種類の値に一致するデータがあるかスキャンします。 - 機密情報の種類のデータ一致 ドキュメント フィンガープリントを使って、ドキュメント テンプレートと標準形式に一致するコンテンツの検索とラベル付けを行います。 - ドキュメント フィンガープリント Microsoft Purview Microsoft Purview ガバナンス ポータルでデータ ソースを登録し、データのスキャン、インジェスト、分類を行います。 - Purview のデータ ソース - スキャンとインジェスト - データ分類 Microsoft Defender for Cloud Apps Purview Information Protection を Defender for Cloud Apps と統合して、秘密度ラベルを自動で適用し、暗号化ポリシーを適用し、データ損失を防ぎます。 - Information Protection の統合 - 秘密度ラベルの適用 - DLP コンテンツ検査 |
Advanced
4.3.5 データの自動タグ付けとサポート (パート 2)サポートされる残りのデータ リポジトリに、基本データ タグと拡張データ タグを付けます。それらは機械学習と人工知能を使って適用します。 既存のリポジトリに拡張データ タグを適用します。 サポートされないデータ リポジトリとデータの種類は、リスクベースの系統的アプローチを使って、使用停止について評価します。 承認された例外では、データの所有者や管理人とともにデータの手動タグ付けのアプローチを使用して、タグ付けを管理します。 結果: - データのタグ付けの完全な自動化が完成します - データのタグ付けの結果が ML アルゴリズムにフィードされます。 |
Microsoft Purview Information Protection Purview のトレーニング可能な分類器は、機械学習 (ML) を使ってコンテンツを認識するのに役立ちます。 分類器を作成し、人間が選択した正の一致があるサンプルを使ってトレーニングします。 - トレーニング可能な分類器 |
4.4 データの監視と検出
Microsoft Purview のデータ損失防止 (DLP) ポリシーを使って、データが組織から離れるのを防ぎます。 DLP ポリシーは、保存時、使用中、移動中の各データに適用できます。 DLP ポリシーは、クラウド サービス、オンプレミスのファイル共有、または Windows や macOS のデバイス上で、データが存在する場所に適用されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.4.1 DLP 適用ポイントのログと分析DoD 組織は、データ損失防止 (DLP) の適用ポイントを特定します (特定のサービスやユーザー エンドポイントなど)。 DoD 組織は、確立された DoD エンタープライズ サイバーセキュリティ インシデント対応標準を使用して、データに関する適切な詳細情報を確実に取得します。 さらに、保護、検出、対応の各ユース ケースを開発して、ソリューションの対応範囲をより明確にします。 結果: - 適用ポイントを特定します - エンタープライズ レベルと組織レベルで標準化されたログ スキーマを適用します |
Microsoft Purview データ損失防止 Purview コンプライアンスで DLP ポリシーを作成します。 Microsoft 365 アプリケーション、Windows と macOS のエンドポイント、また Microsoft 以外のクラウド アプリにも DLP を適用します。 - DLP の計画 - DLP ポリシーの設計 - 監査ログ アクティビティ - Office 365 管理アクティビティ API スキーマ Microsoft Defender for Cloud Apps Purview Information Protection を Defender for Cloud Apps と統合して、秘密度ラベルを自動で適用し、暗号化ポリシーを適用し、データ損失を防ぎます。 4.3.4 の Microsoft ガイダンスを参照してください。 |
Target
4.4.2 DRM 適用ポイントのログと分析DoD 組織は、Data Rights Management (DRM) の適用ポイントを特定します (特定のサービスやユーザー エンドポイントなど)。 DoD 組織は、確立された DoD エンタープライズ サイバーセキュリティ インシデント対応標準を使用して、データに関する適切な詳細情報を確実に取得します。 さらに、保護、検出、対応の各ユース ケースを開発して、ソリューションの対応範囲をより明確にします。 結果: - 適用ポイントを特定します - エンタープライズ レベルと組織レベルで標準化されたログ スキーマを適用します |
Microsoft Purview Information Protection Purview の Data Rights Management (DRM) の適用ポイントには、Microsoft Information Protection (MIP) SDK、オンライン アプリ、リッチ クライアントと統合された Microsoft 365 とサードパーティのアプリケーションおよびサービスが含まれます。 - 機密データの保護 - 秘密度ラベルでコンテンツ アクセスを制限する - MIP SDK - Microsoft 365 での暗号化 Microsoft Defender for Cloud Apps Purview Information Protection を Defender for Cloud Apps と統合して、秘密度ラベルを自動で適用し、暗号化ポリシーを適用し、データ損失を防ぎます。 4.3.4 の Microsoft ガイダンスを参照してください。 |
Target
4.4.3 ファイル アクティビティの監視 (パート 1)DoD 組織は、ファイル監視ツールを使って、アプリケーション、サービス、リポジトリの最も重要なデータ分類レベルを監視します。 監視から得られる分析を基本的なデータ属性とともに SIEM にフィードし、ZT のターゲット機能を実現します。 結果: - 重要として分類されるデータとファイルをアクティブに監視しています - SIEM などの監視システムとの基本的な統合を実施しています |
Microsoft Purview データ損失防止 DLP アラートが Microsoft Defender XDR に表示されます。 作成、ラベル付け、印刷、共有に関するファイル アクティビティは、統合監査ログと、Microsoft Purview コンプライアンス ポータルのアクティビティ エクスプローラーで確認できます。 - DLP アラート - アクティビティ エクスプローラー - 監査ログ レコードのエクスポート、構成、表示 Microsoft Defender XDR と Microsoft Sentinel Microsoft Defender XDR を Sentinel と統合して、エンタープライズのセキュリティ インシデントおよびイベント管理 (SIEM) システムにデータ損失防止 (DLP) アラートを表示して調査します。 - SIEM ツールの統合 - Sentinel 用 Information Protection コネクタ - Defender XDR データを Sentinel に接続する - DLP 調査 |
Target
4.4.4 ファイル アクティビティの監視 (パート 2)DoD 組織は、ファイル監視ツールを使って、アプリケーション、サービス、リポジトリの規制で保護されるすべてのデータ (CUI、PII、PHI など) を監視します。 拡張統合を使って、柱をまたぐ適切なソリューションまたは柱内の適切なソリューションにデータを送信します (データ損失防止、Data Rights Management/Protection、ユーザーとエンティティの行動分析など)。 結果: - 規制対象に分類されるすべてのデータとファイルをアクティブに監視します - 拡張統合を適切に実施して、リスクをさらに管理します |
Microsoft Sentinel 必要な秘密度ラベルを決定し、カスタムの Sentinel 分析ルールを構成します。 重大なファイル イベントに対して DLP アラートがトリガーされたときにインシデントを作成します。 重大なファイル イベントとしては、機密情報、ポリシー違反、その他の疑わしいアクティビティの検出などがあります。 - カスタム分析ルールで脅威を検出 - プレイブックによる脅威への対応 |
Advanced
4.4.5 データベース アクティビティの監視DoD 組織は、規制対象のデータの種類 (CUI、PII、PHI など) を含むすべてのデータベースを監視するために、データベース監視ソリューションの調達、実装、利用を行います。 データベース監視ソリューションから得られるログと分析を SIEM にフィードして、監視と対応を行います。 "エンタープライズ セキュリティ プロファイル" や "リアルタイム アクセス" などの柱をまたぐアクティビティに分析をフィードして、より適切な直接的意思決定を行います。 結果: - 適切なデータベースをアクティブに監視しています - SIEM、PDP、ダイナミック アクセス制御メカニズムなどのソリューションと監視テクノロジを統合します |
Microsoft Defender for SQL Defender for SQL によって、Azure やその他のクラウド内のデータベースを保護します。 - Defender for SQL - セキュリティ アラート Microsoft Sentinel Microsoft Defender for Cloud と Microsoft Defender XDR のデータ コネクタを Sentinel に接続します。 - Defender for Cloud アラートを Sentinel に接続する - Defender XDR を Sentinel に接続する 条件付きアクセス 機密性の高い SharePoint サイトの認証コンテキストを要求し、条件付きアクセスを使って Azure SQL Database のサインインを保護します。 - 秘密度ラベル - 認証コンテキスト - Azure SQL Database と Azure Synapse Analytics を使用した条件付きアクセス |
Advanced
4.4.6 包括的なデータ アクティビティの監視DoD 組織は、系統的なリスク アプローチに基づいて、データベースを含むデータ リポジトリの監視を適宜拡張します。 ZT の高度な機能を満たす追加のデータ属性を分析に組み込み、追加の統合を実現します。 結果: - データ アクティビティの監視メカニズムを統合し、データ リポジトリ全体を統一されたビューで監視します - SIEM や PDP などのソリューションとの適切な統合を実施します |
Microsoft Graph API Microsoft Graph サービスが受け取り、テナントが処理する要求の監査証跡として、Microsoft Graph アクティビティ ログを使います。 - アクティビティ ログ Microsoft Purview データ マップ Purview データ マップを構成して、組織のデータ資産内の機密ファイルをスキャンします。 - データ ソースの管理 Microsoft Sentinel セキュリティ情報イベント管理 (SIEM) システムと統合するために、Microsoft Defender for Cloud、Microsoft Defender XDR、Purview 用に各 Sentinel データ コネクタを構成します。 4.4.5 の Microsoft ガイダンスを参照してください。 条件付きアクセス Microsoft Defender XDR によって通常とは異なるファイル アクセスが検出されると、ユーザー リスク レベルが上がります。 ユーザー リスクは、Microsoft Entra ID のポリシー決定ポイント (PDP) である条件付きアクセスの 1 つの条件です。 リスクなしというユーザー リスク条件で条件付きアクセスの認証コンテキストを定義します。 ラベル付けされた SharePoint サイトを保護します。条件付きアクセスの認証コンテキストを要求します。 - リスク検出 - 通常とは異なるファイル アクセス - 認証コンテキストの例 |
4.5 データの暗号化と著作権管理
Microsoft 365 サービスでは、保存データと転送中のデータが暗号化されます。 Microsoft Purview により、秘密度ラベルの暗号化ポリシーに従ってコンテンツへのアクセスを制限します。 Purview は、メールとファイルに暗号化のレイヤーを追加してこの目標を達成します。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.5.1 DRM および保護ツールの実装 (パート 1)DoD 組織は、DoD エンタープライズの標準と要件に従い、必要に応じて DRM および保護ソリューションを調達して実装します。 新たに実装する DRM および保護ソリューションは、ZTA のターゲット レベルの保護を使って、リスクの高いデータ リポジトリで実装します。 結果: - 基本的な保護を使ってリスクの高いデータ リポジトリに対して DRM および保護ツールを有効にしています |
Microsoft 365 の暗号化 Microsoft 365 には、Windows のセキュリティ機能 BitLocker と分散キー マネージャー (DKM) を使用したベースラインのボリューム レベルの暗号化が備わっています。 - 暗号化について Microsoft Purviewラベル付けポリシーを使って、秘密度ラベルに基づいて Microsoft 365 のリスクの高いデータにさらなる暗号化を自動的に適用します。 - 秘密度ラベルでコンテンツ アクセスを制限する - Microsoft 365 のメール暗号化 Microsoft Defender for Cloud Apps Microsoft Purview Information Protection を Defender for Cloud Apps と統合して、秘密度ラベルを自動で適用し、暗号化ポリシーを適用し、データ損失を防ぎます。 4.3.4 の Microsoft ガイダンスを参照してください。 Azure Policy Azure Policy を使ってセキュリティで保護されたトランスポート層セキュリティ (TLS) バージョンを要求し、Transparent Data Encryption (TDE) を実装し、保存データを暗号化するカスタマー マネージド キーでそれを要求します。 - Azure SQL Database および SQL Managed Instance 用の Azure Policy 定義 |
Target
4.5.2 DRM および保護ツールの実装 (パート 2)DRM および保護の対象範囲を、スコープ内のすべてのデータ リポジトリに拡張します。 暗号化キーは、ベスト プラクティス (FIPS など) を満たすように自動的に管理されます。 環境の分類に基づいて拡張データ保護属性を実装します。 結果: - 考えられるすべてのリポジトリに対して DRM および保護ツールを有効にしています |
Azure Key Vault Azure Key Vault のマネージド ハードウェア セキュリティ モジュール (Azure Key Vault HSM) を使って、FIPS 140-2 レベル 3 認定のハードウェア セキュリティ モジュールでアプリケーション暗号化キーを保護します。 - Azure Key Vault マネージド HSM Microsoft Purview カスタマー キー Microsoft 365 では、カスタマー キーによるコンテンツの暗号化レイヤーが提供されます。 - サービス暗号化 Azure Information Protection テナント キー Azure Information Protection では、Microsoft によって生成されたテナント ルート キーと Bring Your Own Key (BYOK) がサポートされます。 - テナント キー - 二重キー暗号化 - BYOK |
Target
4.5.3 データ タグと分析による DRM の適用 (パート 1)DoD エンタープライズ標準で定義されている基本的なデータ タグにより、Data Rights Management (DRM) および保護のソリューションを統合します。 初期データ リポジトリを監視し、保護アクションと対応アクションを有効にします。 保存データをリポジトリで暗号化します。 結果: - データ タグを DRM と統合し、監視対象のリポジトリが拡大されます - データ タグに基づいて、保存データを暗号化します |
Microsoft Purview Information Protection ラベル付けポリシーを使って、秘密度ラベルに基づいて Microsoft 365 のリスクの高いデータにさらなる暗号化を自動的に適用します。 - 秘密度ラベルでコンテンツ アクセスを制限する Microsoft 365 の暗号化 Microsoft 365 には、BitLocker と分散キー マネージャー (DKM) を使用したベースラインのボリューム レベルの暗号化が備わっています。 4.5.1 の Microsoft ガイダンスを参照してください。 |
Advanced
4.5.4 データ タグと分析による DRM の適用 (パート 2)DRM および保護のソリューションで拡張データ リポジトリを保護します。 DoD 組織は、組織と委託されたエンタープライズに適用できる拡張データ タグを実装します。 追加のタグを使って拡張リポジトリでデータを暗号化します。 結果: - DRM を使って適用可能なすべてのデータ リポジトリを保護します - 組織レベルの拡張データ タグを使ってデータを暗号化します |
Azure の暗号化 Azure は、保存データと転送中のデータに対して暗号化を使用します。 - Azure の暗号化 Azure Policy Azure Policy を有効にして Azure SQL データベースをセキュリティで保護します このセクションの Microsoft ガイダンス 4.5.1 を参照してください。 条件付きアクセス Azure SQL に接続するユーザーに対して条件付きアクセス ポリシーを使います。 4.4.5 の Microsoft ガイダンスを参照してください。 |
Advanced
4.5.5 データ タグと分析による DRM の適用 (パート 3)DRM および保護のソリューションを AI および ML ツールと統合して、暗号化、著作権管理、保護の機能の実現します。 結果: - ML/AI からの分析を DRM と統合し、保護をさらに自動化します - 暗号化保護を AI/ML と統合し、必要に応じて更新された暗号化方法を使用します |
Microsoft Purview Information Protection Microsoft Purview Information Protection を使って、機密情報の種類と、機械学習 (ML) によってトレーニングされた分類器に基づいてデータを分類します。 4.3.5 の Microsoft ガイダンスを参照してください。 Azure Machine Learning Azure Machine Learning と Azure OpenAI Service は、データを暗号化する Azure Storage サービスと Azure Compute サービスを使用します。 - データの暗号化 - Azure OpenAI の保存データの暗号化 条件付きアクセス Identity Protection のリスク シグナルを使って認証コンテキストを定義します。 ラベル付けされた SharePoint サイトとカスタム アプリケーションに対して認証コンテキストを要求します。 - 認証コンテキスト 4.4.5 の Microsoft ガイダンスを参照してください。 |
4.6 データ損失防止 (DLP)
Microsoft Purview のデータ損失防止 (DLP) ポリシーを使って、データが組織から離れるのを防ぎます。 DLP ポリシーは、保存時、使用中、移動中の各データに適用できます。 DLP ポリシーは、クラウド サービス、オンプレミスのファイル共有、または Windows や macOS のデバイス上で、データが存在する場所に適用されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.6.1 適用ポイントの実装データ損失防止 (DLP) ソリューションをスコープ内の適用ポイントにデプロイします。 DLP ソリューションを "監視のみ" モードや "学習" モードに設定して、影響を制限します。 DLP ソリューションの結果を分析し、ポリシーを微調整して、リスクを許容できるレベルに管理します。 結果: - 特定した適用ポイントに DLP ツールをデプロイし、標準化されたログで監視モードに設定します |
Microsoft Purview データ損失防止 Microsoft 365 アプリケーションと Windows エンドポイントに DLP ポリシーを適用します。 DLP シミュレーション モードでポリシーを構成します。 - DLP の計画 - DLP シミュレーション モード DLP のポリシーを作成します。 ポリシーの状態をテストまたはポリシーのヒントとともにテストに設定します。 ポリシーのアクションを [監査のみ] または [Block with override] (オーバーライドでブロック) に設定します。 - DLP ポリシーのデプロイ Windows 10、11、および macOS のデバイスをエンドポイント データ損失防止 (エンドポイント DLP) にオンボードします - エンドポイント DLP Microsoft Purview Information Protection スキャナーをデプロイします。 オンプレミスの SQL データベース、ファイル共有、ネットワーク接続ストレージ (NAS)、SharePoint Server ドキュメント ライブラリ内のコンテンツに対してラベルを付けて DLP ポリシーを適用します。 - DLP オンプレミス リポジトリ - Information Protection スキャナー Microsoft Purview データ損失防止 Microsoft Purview Information Protection を Defender for Cloud Apps と統合して、秘密度ラベルを自動で適用し、暗号化ポリシーを適用し、データ損失を防ぎます。 4.3.4の Microsoft ガイダンスを参照してください。 条件付きアクセス Office 365 およびその他の Microsoft Entra 統合アプリケーションへのアクセスを制御します。 アクセスのブロック許可の制御によってポリシーを有効にする前に、レポート専用モードを使って結果を監視します。 - ポリシーの作成 - レポート専用モード - セッション ポリシー: すべてを監視する |
Target
4.6.2 データ タグと分析による DLP の適用 (パート 1)データ損失防止 (DLP) ソリューションを監視のみモードから防止モードに更新します。 DLP ソリューションで基本的なデータ タグを使用し、ログ スキーマを統合します。 結果: - 適用ポイントを防止モードに設定し、ログ スキーマと手動タグの環境分類を統合します。 |
Microsoft Purview データ損失防止 テスト モードで DLP ポリシーを作成します。 状態を [オン] に変更して強制モードを有効にします。 ポリシー アクションを [ブロック] に設定すると、DLP をトリガーするユーザー アクティビティは、ポリシーによって阻止されます。 - DLP ポリシーのアクション Just-In-Time (JIT) 保護を有効にして、オフライン デバイスで作成されたファイルにエンドポイント DLP を適用します。 - オフライン デバイス Microsoft Defender for Cloud Apps Defender for Cloud Apps でコンテンツ検査を有効にします。 - DLP コンテンツ検査 条件付きアクセス テスト後に、セッション制御を適用する条件付きアクセス ポリシーを有効にするか、アクセスのブロック許可の制御を使用します。 テナントのロックアウトを回避するために、緊急アクセス アカウントを除外します。 - 緊急アクセス アカウント 4.6.1 の Microsoft ガイダンスを参照してください。 |
Advanced
4.6.3 データ タグと分析による DLP の適用 (パート 2)データ損失防止 (DLP) ソリューションを更新して、並行した自動化アクティビティに基づく拡張データ タグを含めます。 結果: - 適用ポイントに拡張データ タグ属性を適用して、追加の防止を実現します |
Microsoft Purview Information Protection カスタムの機密情報の種類を定義します。 ラベルとデータ損失防止ポリシーを作成します。 4.1.1 の Microsoft ガイダンスを参照してください。 |
Advanced
4.6.4 データ タグと分析による DLP の適用 (パート 3)データ損失防止 (DLP) ソリューションをデータの自動タグ付け手法と統合して、不足しているすべての適用ポイントとタグを含めます。 結果: - 自動タグ付け属性を DLP と統合し、生成されるメトリックを ML で使用します |
Microsoft Purview Information Protection Microsoft Purview Information Protection を使って、機密情報の種類と、機械学習 (ML) によってトレーニングされた分類器に基づいてデータを分類します。 4.3.5 の Microsoft ガイダンスを参照してください。 |
4.7 データのアクセスの制御
Microsoft 365 と Azure Storage のサービスは、ID ベースの認可のために Microsoft Entra ID と統合されています。 Microsoft Entra ID では、ロールベースのアクセス制御 (RBAC) と属性ベースのアクセス制御 (ABAC) がサポートされています。
Microsoft Entra のロールとセキュリティ グループにより、組織でロールベースのアクセス制御を実施できます。 動的なセキュリティ グループでは、ユーザー、グループ、デバイス オブジェクトに対して定義された属性を使い、豊富な式とルール セットに基づいてメンバーシップを定義できます。
Microsoft Entra ID の属性ベースのアクセス制御では、カスタム セキュリティ属性を利用します。これはビジネス固有の属性であり、定義して Microsoft Entra オブジェクトに割り当てることができます。 カスタム セキュリティ属性には機密情報が格納されます。 カスタム セキュリティ属性を表示または変更するアクセス権は、属性管理者ロールのみに制限されます。
| DoD アクティビティの説明と結果 | Microsoft ガイダンスと推奨事項 |
|---|---|
Target
4.7.1 DAAS アクセスと SDS ポリシーの統合 (パート 1)DoD エンタープライズの SDS ポリシーを利用し、意図する統合を念頭に置いて組織の DAAS ポリシーを開発します。 環境固有の性質により、DoD 組織が SDS 実装ガイドを開発します。 成果: - エンタープライズおよび組織レベルのサポートにより、属性ベースのきめ細かい DAAS ポリシーを開発します - DAAS ポリシーをサポートするために SDS 統合計画を策定します |
Microsoft Entra ID Microsoft Entra ID を使って属性ベースのデータ、資産、アプリケーション、サービス (DAAS) ポリシーを実装します。Azure 属性ベースのアクセス制御 (Azure ABAC)、アプリケーションのカスタム セキュリティ属性フィルター処理、動的セキュリティ グループなどのメカニズムを使います。 - 属性ベースの制御 カスタム セキュリティ属性 カスタム セキュリティ属性を定義し、ユーザーに値を割り当てます。 Azure ロールに対して、Azure ABAC のロールの割り当て条件を構成します。 現在、この機能は Azure ストレージ アカウントのアクセス許可ではプレビュー段階です。 - Azure ABAC - カスタム セキュリティ属性へのアクセスの管理 - 委任による属性の管理 カスタム セキュリティ属性を使って、きめ細かな動的アプリケーション認可を実現します。 カスタム セキュリティ属性を割り当てて、条件付きアクセス ポリシーでアプリケーションの属性フィルター (プレビュー) を使います。 - アプリのカスタム セキュリティ属性を管理する 動的セキュリティ グループ 動的セキュリティ グループを使って Microsoft Entra ID グループをサポートするリソースへのアクセス権を割り当て、アクセス許可を付与します。 これには、Microsoft 365 ロール グループ、Microsoft Entra ID アプリケーションのアプリ ロール、Azure ロール、アプリケーションの割り当てが含まれます。 条件付きアクセス ポリシーで動的グループを使用し、さまざまな属性値を使ってユーザーに認可レベルを適用します。 - 動的グループ メンバーシップ ルール - 条件から要求を出力する |
Advanced
4.7.2 DAAS アクセスと SDS ポリシーの統合 (パート 2)DoD 組織は、自動化された方法で DAAS ポリシーを実装します。 結果: - 属性ベースのきめ細かい DAAS ポリシーを自動化された方法で実装します |
Microsoft Graph API Microsoft Graph API を使用して、条件付きアクセス ポリシー、カスタム セキュリティ属性、動的セキュリティ グループ、およびその他の Microsoft Entra ID 機能の構成を自動化します。 |
Advanced
4.7.3 DAAS アクセスと SDS ポリシーの統合 (パート 3)新しく実装する SDS テクノロジや機能を、リスクベースの方法で DAAS ポリシーと統合します。 実装時に段階的なアプローチを取り、結果を測定してそれに応じて調整する必要があります。 結果: - SDS を DAAS ポリシー機能と統合します - すべてのアプリケーションのすべてのデータを、属性ベースのきめ細かい DAAS ポリシーで保護します。 |
Microsoft Defender for Cloud Apps Microsoft Purview と Defender for Cloud Apps を統合します。 ファイル ポリシーを作成し、クラウド プロバイダー API を使って自動化されたプロセスを適用します。 - Information Protection の統合 - ファイル ポリシー |
Target
4.7.4 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 1)DoD 組織は、SDS ポリシーとテクノロジ/機能を使ったエンタープライズ ID プロバイダー (IdP) ソリューションとの統合計画を策定します。 結果: - 既存の DAAS アクセスをサポートするために、SDS と信頼できる ID プロバイダー間の統合計画が策定されます |
Microsoft Entra ID SharePoint Online や OneDrive for Business などの Microsoft 365 ストレージ サービスを Microsoft Entra ID と統合します。 Microsoft Entra ID との統合のために Azure Storage サービスを構成し、BLOB、File、Queue、Table サービスに対する要求の ID ベースの認可を実現します。 - Microsoft Entra ID - Azure Storage の認可 アプリケーション ギャラリーで、追加のソフトウェア定義ストレージ (SDS) ソリューションを Microsoft Entra ID と統合します。 - アプリケーション ギャラリー |
Advanced
4.7.5 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 2)新しく実装する SDS テクノロジや機能を、統合計画に従ってエンタープライズ ID プロバイダー (IdP) と統合します。 ZT のターゲット機能を満たすために必要な ID 属性が統合に必要です。 結果: - エンタープライズ IDP および SDS ツールとの統合を完了し、すべての属性ベースのきめ細かい DAAS アクセスをサポートします |
アクティビティ 4.7.1 と 4.7.4 を完了します。 |
Advanced
4.7.6 SDS ツールの実装/DRM ツールとの統合 (パート 1)ソフトウェア定義ストレージ ツールの必要性に応じて、新しいソリューションを実装するか、DLP、DRM/保護、ML ソリューションと統合する機能要件を満たす既存のソリューションを特定します。 結果: - ツールが必要な場合は、DLP、DRM、ML ツールとの統合がサポートされていることを確認します |
Microsoft Purview Microsoft Purview Information Protection デジタル著作権管理 (DRM) 機能と Microsoft Purview データ損失防止 (DLP) 機能は、Office クライアントおよび Microsoft 365 サービスとネイティブに統合されます。 統合は組み込まれているため、追加のデプロイは不要です。 - Purview の概要 Microsoft Information Protection SDK (MIP SDK) を使ってカスタム ツールを構築し、ファイルにラベルと保護を適用します。 4.4.2 の Microsoft ガイダンスを参照してください。 |
Advanced
4.7.7 SDS ツールの実装/DRM ツールとの統合 (パート 2)DoD 組織は、基になる DLP および DRM/保護インフラストラクチャと適切に統合されるように SDS 機能やソリューションを構成します。 下位レベルの統合により、より効果的な保護と対応が可能になります。 結果: - SDS インフラストラクチャを既存の DLP および DRM インフラストラクチャと統合します |
Microsoft 365 と Microsoft Purview Microsoft Purview は、データ損失防止 (DLP) と Data Rights Management (DRM) で Microsoft 365 コンテンツを保護します。追加のインフラストラクチャは不要です。 - 機密データの保護 |
次のステップ
DoD ゼロ トラスト戦略用に Microsoft クラウド サービスを構成します。