日本 - ソリューション・商品サイト
秘密度ラベルで“うっかり漏えい”をブロックしよう
はじめに
以前に比べて、組織でのセキュリティへの取り組みも、ユーザーの情報に対する意識も高まったとは言え、誤送信や共有設定ミスなどの"人のうっかり"が原因の情報漏えいリスクは、いまだ多くの組織にとって課題となっています。Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5に含まれる Microsoft Purview Information Protectionで、「秘密度ラベル」を使えば、ファイルやメールに対して、「開ける人」や「操作できる範囲」といったセキュリティ情報を埋め込み、たとえファイルが社外に流出しても内容を見られない状態で保護できます。
「ウイルス対策だけ」で十分ですか?
重要なファイルを添付したメールの宛先ミス、社外秘ファイルのリンクの公開など、シンプルなミスやセキュリティ意識の甘さによる情報漏えいは、どの組織でも起こり得る典型的な事故です。
昔ながらのパスワード付きZIP+パスワードの後送信(PPAP)を利用しているケースもあるかもしれませんが、パスワードが漏れればファイルの中身を見られてしまう上、一度、社外に流出してしまうと転送やコピーの制御もできないため、本質的に組織の情報を守れているとは言えません。
そこで注目を集めているのが、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5で利用可能な文書保護機能の「秘密度ラベル」です。
秘密度ラベルは、文書やメールに「社外秘」「トップシークレット」などのラベルを設定できる機能です。設定したラベルの権限に応じて閲覧できるユーザーを限定したり、印刷や転送の可否を設定したりできます。
この機能を活用することで、「つい、うっかり」「知らなかった」ことによる意図しない情報漏えい、もしくは内部からの悪意ある情報流出など、人の操作によって発生する可能性がある情報のトラブルを未然に防止することが期待できます。
秘密度ラベルを理解しよう
エンドポイントセキュリティソリューションとは、組織のデバイスとデータを統合的に保護するサービスです。従来のセキュリティ対策ソフトのようなデバイス上のマルウェア対策に加えて、デバイスの状況や動作をクラウド上で管理できるようにすることで、不審な行動を検知したり、ネットワークから切断して感染の拡大を防止したりできる機能です。
秘密度ラベルは、Microsoft 365 Business Premium、Microsoft 365 E3、Microsoft 365 E5の情報管理保護機能「Microsoft Purview」で提供されている機能です。
Microsoft Purviewは、データのセキュリティ、コンプライアンス、ガバナンスを制御するための統合環境で、Microsoft Purview Information Protection、インサイダーリスク管理、データ損失防止などの複数のソリューションが提供されています。
秘密度ラベルは、こうしたソリューションの中のMicrosoft Purview Information Protectionで提供されており、ファイルやメールなどの情報に対して、そのセキュリティレベルに応じた秘密度ラベルを設定できる機能です。
Microsoft Purview Information Protectionで利用できる秘密度ラベル
もちろん、ラベルといっても、情報を整理するための単なるタグ情報ではありません。秘密度ラベルでは、ファイルを暗号化するとともに、そのファイルにアクセスできるユーザーや許可された操作などの制御情報をコンテンツそのものに埋め込みます。
このため、秘密度ラベルが設定されていれば、仮にファイルが社外の第三者の手に渡ったとしても、そのファイルを開くことができない仕組みになっています。
なお、プランごとのMicrosoft Purview Information Protectionの機能の違いは以下のドキュメントを参照してください。基本的な機能は共通ですが、Microsoft 365 E3、Microsoft 365 E5ではオンプレミスのファイルサーバーのファイルへのラベル設定など、より高度な機能を利用可能です。
▼Microsoft Azure Information Protection サービスの説明
中小企業で秘密度ラベルを利用するメリット
秘密度ラベルを利用することで改善される具体的なシーンを見てみましょう。
Point1
間違って送ってしまった「後」でも保護できる
社外秘の営業資料に「社外秘(社内メンバーのみ閲覧可)」のラベルを付けておけば、仮に取引先へ誤送信しても受信者は開封できません(認証しない限り開けない)。つまり、送ってしまった後に、誤送信に気づいた場合でも、情報を保護できます。
Point2
安全な社外との情報共有ができる
プロジェクトなどで、取引先やパートナー企業と機密情報を共有する場合は、社外共有を禁止したり(指定ドメインのみ閲覧可)、印刷や転送を禁止したりする秘密度ラベルを設定するといいでしょう。必要最小限の相手とだけの共有にとどめ、関係者以外への漏えいを防止できます。また、印刷や転送を禁止することで、紙媒体など別経路での情報漏えいも防止できます。
Point3
内部からの不正な持ち出しを抑止できる
秘密度ラベルを利用すれば、重要な情報を扱える立場の人が、退職したり、転職したりした場合に情報へのアクセスを遮断できます。「社外秘」などのラベルが設定された文書は、組織のアカウントでサインインできなくなると同時に、開けなくなります。
Point4
追跡と事後対処ができる
秘密度ラベル付きファイルは、誰が、いつ開いたのか、といったアクティビティを追跡できます。必要に応じて後からアクセスを無効化する対応も可能で、情報漏えい時のスピーディな状況把握と拡大防止に役立ちます。
秘密度ラベルの使い方
秘密度ラベルは、Microsoft Purviewの管理センターから、「Microsoft Purview Information Protection」のソリューションを選択することで設定できます。
最初に必要なのは秘密度ラベルの用意です。実際は組織の情報ポリシーに従って作成する必要がありますが、一例としては、次のような秘密度ラベルを用意します。
| アクセス制御 | コンテンツマーキング | |
|---|---|---|
| 個人用文書 | アクセス制御なし | なし |
| 公開用文書 | アクセス制御なし | フッターに組織名を入力 |
| 社内利用文書 | 組織のユーザーに限定、オフラインアクセスは許可 | フッターに組織名を入力 |
| 機密文書 | 組織のユーザーに限定、オフラインアクセスは許可 | フッターに組織名を入力、「社外秘」のすかし |
秘密度ラベルを設定したら、この秘密度ラベルをユーザーが使えるようにするためのポリシーを設定します。配布したいポリシーを選択し、配布先となるユーザー、許可する操作(編集や保存、印刷、転送など)を選択します。配布先は、全員を選択することもできますが、特定のユーザーやグループに配布することもできます。例えば、経理データ用の秘密度ラベルは経理部のみに配布するといった使い方ができます。
ポリシーで選択した秘密度ラベルをユーザーに発行する
また、ポリシーで、秘密度ラベルを変更するときの動作も設定できます。例えば、ユーザーがラベルを削除したり、下位の分類に変更したりする場合に理由を示すように設定することができます。これにより、機密情報が個人用文書などに安易に変更されないようにできます。
秘密度ラベルが配布されるまで時間がかかりますが、利用できるようになると組織のユーザーのMicrosoft 365 アプリケーションのリボンに「秘密度」というボタンが追加されます。ユーザーは、作成する文書に応じて、ここからラベルを設定することになります。
なお、ポリシーで、規定のラベルも選択できます。ユーザーが何も選択しなかった場合は「個人用文書」を自動的に設定するといったように、ラベルのつけ忘れを防止できます。
Microsoft 365 アプリケーションで選択するだけで簡単に設定できる
開く際に認証が必要になる。許可のないユーザーは開けない
運用のコツはあまり複雑にしすぎないこと
秘密度ラベルを利用する際は、ルールをあまり複雑にしすぎないことが重要です。似たようなラベルがたくさんあって区別できなくなると意味がありません。場合によっては、管理担当の負荷が増えたり、設定漏れや意図しない動作をしたりする可能性があります。
また、制限を厳しくしすぎて社内でも文書を扱いにくくなったり、すかしなどの情報が多すぎて文書が見にくくなったりすることもあります。
前述したような4~5個前後のシンプルな秘密度ラベルを用意し、全社員に適用することから始めるといいでしょう。
このように、秘密度ラベルは、最小限の設定で、うっかり漏えいを減らすことができる実用性の高い機能となっています。中小企業でもの情報保護レベルを着実に底上げできるので、ぜひ活用してみましょう。なお、秘密度ラベルの導入や運用方法に迷ったときは、以下の窓口にご相談ください。リコージャパンでは社員の中から選抜されたMicrosoft製品のスペシャリスト「Microsoftソリューション エバンジェリスト」が課題解決や導入後のサポートを提供します。
