이 문서에서는 더 낮은 민감도 환경에서 높은 민감도 보안 분류가 수신되지 않도록 하여 데이터 유출 위험을 줄이기 위한 구성에 대한 호주 정부 조직에 대한 지침을 제공합니다. 그 목적은 조직이 정보 보안 태세를 개선할 수 있도록 돕는 것입니다. 이 문서의 지침은 PSPF(보호 보안 정책 프레임워크) 및 ISM(정보 보안 설명서)에 설명된 요구 사항에 부합하기 위한 것입니다.
데이터 유출의 가능성과 잠재적 손상을 줄이려면 Microsoft 365 환경을 다음으로 구성해야 합니다.
- 들어오는 품목에 대한 보호 표시를 평가하고 필요한 경우 영수증을 차단합니다.
- 이미 수신된 항목에 대한 보호 표시를 평가하고 필요한 경우 추가 공개를 방지합니다.
- 적절한 경고 및 보고를 트리거합니다.
- 환경 내에서 허용된 분류보다 높은 항목을 확인하는 방법을 제공합니다.
보호 표시 평가
민감도 레이블의 적용과 같은 항목에 보안 분류를 적용하면 보호 표시도 적용됩니다. 보호 표시에는 민감도 레이블 콘텐츠 표시에서 구분된 머리글 및 바닥글과 같은 콘텐츠 표시가 포함됩니다. 전자 메일의 경우 보호 표시에는 x 보호 표시 x 헤더 및 주체 기반 표시도 포함됩니다. 최상의 적용 범위를 제공하려면 사용되지 않는 분류를 식별하는 여러 방법을 활용하는 접근 방식을 적용해야 합니다. 보안 분류를 식별하는 방법에는 다음 평가가 포함되어야 합니다.
-
X 보호 표시 x 헤더 정부 조직은 보안 분류를 식별하는 생성된 전자 메일에 x-headers 형식의 이메일 메타데이터를 스탬프해야 합니다. 를 포함하는
SEC=SECRETx 보호 표시 x 헤더는 비밀 보안 분류가 있는 항목을 나타냅니다. - 주체 표시 정부 기관은 일반적으로 전자 메일에 제목 표시를 적용합니다. 주체 표시는 최종 사용자가 액세스할 수 있으므로 변조하는 경향이 있지만 여전히 보안 분류에 대한 좋은 표시를 제공합니다. [SEC=SECRET]을 포함한 제목 표시는 비밀 항목을 나타냅니다.
-
SIT(중요한 정보 유형) 중요한 정보 유형(SIT)은 보호 표시를 포함하여 항목 내에서 콘텐츠를 찾는 데 사용할 수 있는 키워드(keyword) 또는 패턴 기반 식별자입니다. SIT는 전자 메일 또는 문서의 머리글 또는 바닥글에서 의
SECRET콘텐츠 표시를 식별하도록 구성할 수 있습니다. 의SECRET키워드(keyword) 이 기술에 대한 일부 재량의 키워드(keyword)SECRET CABINET Personal Privacy권장되는 가양성 경향이 있습니다. - 민감도 레이블 사용자는 환경에 허용되는 보안 분류 이외의 민감도 레이블을 적용할 수 없어야 합니다. 그러나 허용된 것보다 높은 분류에 대해 게시되지 않은 레이블을 구성하는 것은 자동 레이블 지정 구성과 쌍을 이루면 유용할 수 있습니다. 예를 들어 비밀 표시를 찾고 SECRET 레이블을 적용하는 자동 레이블 지정 정책은 정렬 항목을 암호화하여 보안 팀이 개입하는 동안 추가 공개를 방지할 수 있습니다. 자세한 내용은 PROTECTED 수준을 초과하는 정보에 대한 레이블을 참조하세요.
이 문서에서 사용되는 접근 방식은 보안 분류를 식별하는 이러한 방법 중 하나 이상을 활용합니다.
사용되지 않는 분류를 사용하여 전자 메일 수신 차단
ISM-0565는 받은 이메일을 통해 데이터 유출로부터 보호하기 위한 조치를 정의합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0565(2025년 3월) | Email 서버는 부적절한 보호 표시를 사용하여 전자 메일을 차단, 로그 및 보고하도록 구성됩니다. |
이 요구 사항 내에서 부적절한 보호 표시 라는 용어는 일반적으로 환경에 대해 허용된 분류보다 높은 분류를 정의하는 데 사용됩니다. 이 요구 사항을 충족하려면 DLP(데이터 손실 방지) 정책을 구성하여 미지급 분류가 있는 항목의 전송, 수신 및 추가 배포를 방지해야 합니다.
예제 DLP 규칙: 비밀 메일 차단
다음 규칙은 x-header, 제목 표시 및 민감도 레이블을 기반으로 전자 메일을 평가합니다. 가양성의 위험으로 인해 SIT를 평가하는 조건이 이 규칙에 추가되지 않았지만, 적절하다고 판단되는 경우 테스트 후에 추가될 수 있습니다. 이 규칙은 EXO - 비밀 메일 차단 이라는 이름을 지정하고 EXO - 허용되지 않는 분류 메일 차단이라는 정책에 추가할 수 있습니다.
| 조건 | 작업 |
|---|---|
| 헤더는 패턴과 일치합니다. - 헤더 이름: x-보호 표시 - 헤더 정규식: SEC=SECRET OR 그룹 제목은 패턴과 일치합니다. -정규식: \[SEC=SECRET OR 그룹 콘텐츠에는 민감도 레이블이 포함되어 있습니다. - 비밀 |
Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다. - 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단 - 모든 사용자 차단 보안 팀에 알림을 받도록 경고가 구성된 상태에서 규칙 심각도를 높 음으로 구성해야 합니다. |
팁
이 DLP 규칙 논리는 TOP SECRET 메일에 적용되도록 수정할 수 있습니다. PROTECTED 수준보다 낮은 환경에서는 이를 사용하여 PROTECTED 전자 메일 수신을 방지할 수 있습니다.
허용되지 않는 분류를 사용하여 항목 공유 차단
일반적으로 정보로 환경으로 이동할 수 있는 다양한 방법이 있습니다. Email 중요한 방법 중 하나이지만 파일을 받을 수 있는 다른 여러 가지 방법과 허용되지 않는 분류가 있는 항목이 환경에 이미 존재할 수 있는 위험도 고려해야 합니다.
보안 분류는 보호 표시를 검색하는 예제 SIT 구문에 자세히 설명된 것과 같은 사용자 지정 중요한 정보 유형을 통해 식별할 수 있습니다.
SIT가 구성되면 SharePoint는 SIT 맞춤을 위해 활성 항목을 인덱싱합니다. SIT와 일치하는 것으로 간주되는 항목을 보호하기 위해 DLP 정책을 만들 수 있습니다.
참고
SIT 검색은 주문형 분류를 사용하여 기록 항목으로 확장할 수 있습니다. 주문형 분류에 대한 자세한 내용은 주문형 분류(미리 보기)를 참조하세요.
비밀 표시를 식별하기 위해 다음 예제 SID 집합을 만들 수 있습니다. 신뢰 수준은 표시가 더 간단할수록 가양성의 가능성이 높아짐에 따라 이러한 SID에 따라 달라집니다.
| SIT 이름 | 정규식 | 자신 |
|---|---|---|
| SECRET Regex | SECRET(?!,\sACCESS=)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Pp]ersonal[- ][Pp]rivacy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egislative[- ][Ss]ecrecy)(?!(?:\s\ | \/\/\ | \s\/\/\s)[Ll]egal[- ][Pp]rivilege)(?!(?:\s\ | \/\/\ | \s\/\/\s)NATIONAL[ -]CABINET)(?!(?:\s\ | \/\/\ | \s\/\/\s)CABINET) |
낮음 |
| SECRET Personal Privacy Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Personal[ -]Privacy |
보통 |
| SECRET Legal Privilege Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legal[ -]Privilege |
보통 |
| 비밀 입법 비밀 Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sACCESS=)Legislative[ -]Secrecy |
보통 |
| 비밀 국가 내각 Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)NATIONAL[ -]CABINET |
보통 |
| SECRET CABINET Regex | SECRET(?:\s\ | \/\/\ | \s\/\/\s\ | ,\sCAVEAT=SH:)CABINET |
보통 |
예제 DLP 규칙: 비밀 항목 공유 차단
다음 DLP 규칙은 SPOD - 블록 비밀 공유 라는 이름을 지정하고 SPOD - 허용되지 않는 분류 공유 차단이라는 정책에 추가할 수 있습니다.
| 조건 | 작업 |
|---|---|
| 콘텐츠에는 중요한 정보 유형이 포함됩니다. - SECRET Regex - SECRET Personal Privacy Regex - SECRET Legal Privilege Regex - 비밀 입법 비밀 Regex - 비밀 국가 내각 Regex - SECRET CABINET Regex OR 그룹 콘텐츠에는 민감도 레이블이 포함됩니다. 비밀 |
Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다. - 사용자가 전자 메일을 받거나 액세스하지 못하도록 차단 - 모든 사용자 차단 보안 팀에 알림을 받도록 경고가 구성된 상태에서 규칙 심각도를 높 음으로 구성해야 합니다. |
중요
표시를 기반으로 문서를 식별하는 SID는 가양성일 수 있습니다. 예를 들어 이 문서에는 보호 표시가 산재해 있으며 가장 높은 보안 수준에서 플래그가 지정됩니다. 가양성 식별 방법은 균형을 유지해야 하며 SIT 검색이 보안 분류를 보장하지 않는다는 점을 고려해야 합니다. 암호화와 같은 구성에 영향을 미치는 사용자가 구현되기 전에 접근 방식을 완전히 테스트해야 합니다.
허용되지 않는 분류를 사용하여 항목의 자동 레이블 지정
위에서 설명한 DLP 정책은 콘텐츠 조건을 사용하며 민감도 레이블을 포함합니다. 이러한 조건을 활용하려면 허용되지 않는 분류가 의심되는 항목에 레이블을 지정하는 방법이 필요합니다. 이는 서비스 기반 자동 레이블 지정 정책을 사용하여 SIT 맞춤을 위해 SharePoint 위치에서 미사용 항목을 검사 통해 수행됩니다. 허용되지 않는 보안 분류를 포함하는 항목이 검색되면 항목에 레이블을 지정하고 보호할 수 있습니다. 이 구성을 사용하려면 레이블을 만들고 최종 사용자에게 직접 게시하지 않아도 됩니다. 대신, 자동 레이블 지정 서비스의 scope 내에서 가져오려면 서비스에 게시하거나 유리 계정을 중단해야 합니다. 레이블 분류를 허용되지 않는 분류로 확장하는 방법에 대한 자세한 내용은 LABELs에서 PROTECTED 수준 이상의 정보를 확인할 수 있습니다.
이를 달성하는 데 필요한 자동 레이블 지정 구성은 SharePoint 기반 정책 구성에 제공된 예제와 일치합니다. 또 다른 예제 구성은 다음과 같습니다. SPOD - 레이블 비밀 항목이라는 정책에 다음 규칙을 추가할 수 있습니다.
| 규칙 이름 | 서비스 | 적용할 레이블 | 조건 |
|---|---|---|---|
| SPO - 비밀 항목 레이블 지정 | SharePoint | 비밀 | 콘텐츠에는 중요한 정보 유형이 포함됩니다. - 모든 비밀 SID 선택 |
| OD - 비밀 항목 레이블 지정 | OneDrive | 비밀 | 콘텐츠에는 중요한 정보 유형이 포함됩니다. - 모든 비밀 SID 선택 |
자동 레이블 지정이 SIT 기반 검색 방법 외에 제공하는 장점은 레이블을 지정하면 데이터가 잘못된 위치 경고를 사용하도록 설정된다는 점입니다. 이 트리거는 더 높은 민감도 항목이 더 낮은 민감도 위치로 이동되고 위치 소유자에게 경고하고 사용자가 이동 작업을 완료할 때마다 트리거됩니다. 메일 흐름 규칙을 사용하여 다른 경고를 수행할 수 있습니다.
처리되지 않은 분류를 catch하고 보호하기 위해 만든 민감도 레이블은 민감도 레이블 암호화를 사용하여 구성할 수도 있습니다. 이러한 암호화 설정은 잠재적인 데이터 유출을 조사하는 데 필요한 팀만 레이블이 지정된 항목에 액세스할 수 있는 방식으로 구성되어 잠재적인 유출의 영향을 크게 줄일 수 있습니다. 이러한 구성은 조직이 ISM-0133 데이터 제한 요구 사항을 충족하는 데 도움이 됩니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0133(2025년 3월) | 데이터 유출이 발생하면 데이터 소유자에게 권장되며 데이터에 대한 액세스가 제한됩니다. |
유출된 데이터 식별
콘텐츠 Explorer 관리자는 중요한 정보 유형, 민감도 레이블, 학습 가능한 분류자 또는 보존 레이블별로 조직 Microsoft 365 데이터 자산을 검색할 수 있는 Microsoft Purview 기능입니다. 관리되지 않는 분류를 식별하는 SIT 및/또는 관련 자동 레이블 지정 정책이 배포된 민감도 레이블을 만든 후 관리자는 SharePoint, OneDrive, Exchange 및 Teams에서 항목 정렬을 검색할 수 있습니다.
Microsoft Purview eDiscovery 허용되지 않는 분류가 있는 항목을 검색하는 대체 방법을 제공합니다. 민감도 레이블 또는 SIT를 찾는 검색 조건으로 eDiscovery 사례를 만들 수 있습니다. eDiscovery를 사용하여 콘텐츠를 찾는 방법에 대한 자세한 내용은 eDiscovery에서 사이트에서 콘텐츠 찾기를 참조하세요.
레이블이 지정되지 않은 항목 보호
PSPF는 정보가 공개로 인해 발생할 수 있는 잠재적 위험 또는 손상에 대해 평가되어야 합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| PSPF 릴리스 2024 - 섹션 9: 분류 & 주의 사항 - 요구 사항 59 | 공식 정보의 가치, 중요성 또는 민감도(공식 기록으로 사용하기 위한 것)는 정보의 기밀성이 손상될 경우 발생할 수 있는 정부, 국익, 조직 또는 개인에 대한 잠재적 피해를 고려하여 작성자가 평가합니다. |
정보가 평가되면 보안 분류를 적용하여 해당 위험 수준이 기록됩니다. Microsoft 365는 민감도 레이블 지정을 통해 이를 제공합니다. 필수 레이블 지정과 같은 구성은 문서 또는 전자 메일과 같은 모든 항목에 레이블이 적용되었는지 확인합니다.
사용자가 항목에 보안 분류를 적용하지 않은 경우 부적절한 공개 위험이 고려되지 않았을 가능성이 있습니다. 포함된 정보의 배포는 위험으로 간주되어야 합니다. 이러한 시나리오에 대한 전략을 고려하고 조직 DLP 구성에 통합해야 합니다.
많은 호주 정부 조직은 또한 ISM-0565에 따라 레이블이 지정되지 않은 항목이 부적절하다고 간주합니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-0565(2025년 3월) | Email 서버는 부적절한 보호 표시를 사용하여 전자 메일을 차단, 로그 및 보고하도록 구성됩니다. |
레이블이 지정되지 않은 전자 메일의 전송 차단
레이블이 지정되지 않은 전자 메일의 전송을 차단하기 위해 사용자 지정 정책 템플릿에 따라 DLP 정책을 구성하고 Exchange 서비스에 적용할 수 있습니다.
레이블이 지정되지 않은 전자 메일 정책의 전송을 차단하려면 다음 두 가지 규칙이 필요합니다.
- Microsoft 365에서 공유되는 콘텐츠를 통해 나가는 항목에 대한 첫 번째 규칙이며, 내 organization 조건 이외의 사용자와 함께 적용됩니다.
- Microsoft 365에서 공유되는 콘텐츠에 적용되는 두 번째 규칙은 organization 내 내부 사용자와만 적용됩니다.
규칙에는 NOT 피연산자를 사용하도록 설정된 조건 그룹을 통해 적용되는 예외가 필요합니다. 조건 그룹에는 콘텐츠 포함 조건, 민감도 레이블이 포함되며 환경에서 사용할 수 있는 모든 레이블이 선택되어 있습니다.
전자 메일을 생성하는 애플리케이션 및 서비스는 Microsoft 365 앱 클라이언트에 적용되는 필수 레이블 지정 구성을 벗어났습니다. 따라서 이 DLP 정책은 비사용자 생성 전자 메일이 전송될 때마다 트리거됩니다. Microsoft 서비스에서 생성된 보안 경고, 스캐너 및 MFD(다기능 디바이스)의 이메일 및 인적 자원 또는 급여 시스템과 같은 애플리케이션의 전자 메일에 대해 트리거됩니다. 정책이 필수 비즈니스 프로세스를 차단하지 않도록 하려면 예외를 NOT 그룹에 포함해야 합니다. 예시:
- 또는보낸 사람 도메인은보안 및 SharePoint 경고를 캡처하는 microsoft.com.
- OR발신자는 그룹의 구성원이며 이 요구 사항을 무시할 권한이 있는 계정이 포함된 그룹입니다.
- 또는보낸 사람 IP 주소는 사무실 MFD의 주소와 함께 입니다.
규칙은 보낸 사람이 구성된 예외 중 하나를 통해 제외되지 않는 한 나열된 민감도 레이블 중 하나를 포함하지 않는 전자 메일이 전송될 때마다 트리거됩니다.
참고
공유 일정 또는 구분된 사서함 액세스를 통해 일정 항목을 만드는 경우와 같은 경우에 민감도 레이블이 적용되지 않을 수 있습니다. 이렇게 하면 이러한 일정 항목에서 생성된 전자 메일 초대에도 적용된 레이블이 없을 수 있습니다. 레이블이 지정되지 않은 일정 항목에서 생성된 Email 헤더 일치 패턴,x-ms-exchange-calendar-originator-id: (?:_?) 조건을 찾아 DLP 규칙에서 식별하고 제외할 수 있습니다.
이러한 DLP 규칙에는 적절한 심각도 및 보고 작업과 함께 모든 사람을 차단하는 작업이 있어야 합니다.
다음 경고 요구 사항은 나가는 항목에 적용되는 DLP 규칙과 관련이 있습니다.
| 요구 사항 | 자세한 정보 |
|---|---|
| ISM-1023(2024년 6월) | 차단된 인바운드 전자 메일의 의도된 수신자와 차단된 아웃바운드 전자 메일의 보낸 사람에게 알림이 전송됩니다. |
이 요구 사항을 충족하기 위해 나가는 항목에 적용되는 DLP 규칙은 항목을 보내려고 시도한 사용자에게 알리도록 구성됩니다.
팁
민감도 레이블 지정으로 전환하는 정부 조직은 차단 또는 경고 작업 대신 정책 팁을 구성하도록 선택할 수 있습니다. 이러한 정책은 하드 요구 사항으로 구성하지 않고 레이블 선택을 제안하는 데 사용할 수 있습니다. 이는 ISM의 요구 사항을 엄격하게 충족하지는 않지만 사용자를 위한 Microsoft Purview 기능을 보다 정상적으로 배포할 수 있습니다.
레이블이 지정되지 않은 전자 메일을 차단하는 DLP 정책 예제
다음 DLP 정책은 Exchange 서비스에 적용되며 레이블이 지정되지 않은 전자 메일을 통해 정보 손실을 방지합니다.
정책 이름: EXO - 레이블이 지정되지 않은 전자 메일 차단
| 규칙 | 조건 | 작업 |
|---|---|---|
| 레이블이 지정되지 않은 발신 메일 차단 | 콘텐츠는 Microsoft 365에서 공유되며, 내 organization 외부 사용자와 공유됩니다. AND 조건 그룹 NOT 콘텐츠에는 민감도 레이블이 포함되어 있습니다. - 모든 레이블 선택 OR 보낸 사람 도메인은 다음과 같습니다. - microsoft.com - 다른 예외 포함 |
Microsoft 365 위치에서 액세스를 제한하거나 콘텐츠를 암호화합니다. - 사용자가 전자 메일을 받지 못하도록 차단 - 모든 사용자 차단 |