Change Country/Area 日本 - ソリューション・商品サイト

Microsoft Purview データ損失防止で「うっかり漏えい」を未然に防ごう

はじめに

メールの誤送信、意図しない外部共有リンク、USBメモリでの持ち出し——。内部からの「うっかり」や悪意による情報漏えいは、中小企業でも見過ごせないリスクになりつつあります。Microsoft 365のデータ保護機能Microsoft Purviewに含まれる「データ損失防止(DLP:Data Loss Prevention)※」は、組織内のデータの動きを監視・制御することで、送信・共有・持ち出しといった想定外の操作を防ぐソリューションです。本稿では、Microsoft Purview データ損失防止の全体像と主要機能、そして中小企業にとっての導入メリットをわかりやすく解説します。

  • 利用にはMicrosoft 365 E3、Microsoft 365 E5、Microsoft Business Premiumなどの特定プランが必要です。また、USBメモリへのコピーや印刷の制御などのエンドポイントDLP機能にはMicrosoft 365 E5が必要です。

「注意喚起だけ」で終わっていませんか?

「送信前に宛先を確認しましょう」「USBメモリへのコピーは禁止です」——。

社内研修や業務マニュアルなどで、よく見かける情報漏えいに関する注意喚起ですが、こうした言葉だけでは、人為的なミスをゼロにできません。実際、組織の情報が外部に流出するケースの多くは、内部不正よりも、誤送信や誤共有、情報保護に対する意識の低さなどが主な要因になっており、多くの組織がその対策に苦慮しています。

そこで注目されているのが、Microsoft 365のデータ保護機能Microsoft Purviewで提供されている「データ損失防止」です。データ損失防止は、情報の流れを監視し、あらかじめ指定されたポリシーに従って、自動的に情報漏えいを検知・制御する仕組みです。組織の重要な情報が社外へ出てしまいそうになった瞬間に検出し、通知をしたり、送信やコピーをブロックしたりすることで、事故を未然に防ぐことができます。

例えば、顧客リストをメールの添付ファイルとして社外に送ろうとした場合、データ損失防止によって、その操作がその場で判断され、検出と同時に送信をブロックできます。これにより、ユーザーの誤送信や情報に対する意識の甘さによる行為などから、機密データの流出を未然に防げます。

このように、データ損失防止は、財務データ、組織にとって価値のあるデータ、顧客のクレジットカード番号、社員のマイナンバーなど、組織が扱う機密情報を保護し、過剰に共有されるリスクを軽減することができるソリューションとなっています。

Microsoft Purview データ損失防止の主な機能

具体的に、データ損失防止で何ができるのか、どう使うのかを具体的に見てみましょう。

どんな情報を検知できるの?

データ損失防止では、 個人情報(氏名・住所・マイナンバーなど)やクレジットカード番号など、一定の形式に従ったデータを検知できます。「日本の財務データ」などのテンプレートを使うこともできますが、正規表現やキーワードリストなどを使って組織が所有するデータに合わせたパターンを指定することもできます。

財務データや個人情報などを保護できる

財務データや個人情報などを保護できる

どんな場所のデータを検知できるの?

Exchange Onlineでのメールの操作、Microsoft SharePointやMicrosoft TeamsなどのMicrosoft 365サービス内の場所にあるデータ、オンプレミスで共有されているファイル、Microsoft WordやMicrosoft ExcelなどのMicrosoft 365 アプリケーションで作成された文書、パソコン上でのコピー操作などが対象となります。ただし、Microsoft 365のプランによって適用できる場所に違いがあるので注意が必要です。

対象サービス 代表的なリスク/ユースケース
Exchange Online(メール) 顧客情報などの機密情報を含むメールの外部送信など 日本の個人情報(マイナンバー、住所など)を含むメールの社外ドメイン宛への送信を検出しブロック
Microsoft SharePoint、
OneDrive(ファイル共有)		 機密ファイルの外部共有リンクや匿名リンクによる広範囲の公開 個人を特定できる情報(PII)を含むファイルの外部共有・匿名リンク作成を検出しブロック
Microsoft Teams
(チャット/投稿)
※Microsoft 365 E5のみ		 外部ゲストを含むチャットでの機密情報の投稿 外部ドメインが参加しているチームで個人情報や社外秘ワードを含むメッセージを検出し、投稿を禁止
エンドポイント データ損失防止
(デバイス)
※Microsoft 365 E5のみ		 リムーバブルデバイスや紙による機密情報の流出 個人情報を含むファイルのリムーバブルデバイスへのコピー、印刷、クリップボードへのコピーを検出しブロック

どうやって設定するの?

データ損失防止で情報を保護するには、あらかじめポリシーを設定します。データの種類(例えばクレジットカード番号)、対象となるユーザーやグループ、適用先(Exchange OnlineやMicrosoft SharePointなどの場所)、検出するタイミング(組織外の連絡先と共有された場合など)、保護処理(ヒントの表示やアクセスのブロック)などを設定し、ポリシーを組織に配布します。

どのように保護されるの?

ポリシーに違反する操作が実行されそうになると、その直前に画面に通知を表示して、ユーザーに禁止された行為であることを知らせることができます。必要に応じて理由を入力して一時的に許可することもできます。これにより、柔軟な業務での運用とセキュリティを両立させることができます。

ポリシーに反した情報をメールなどで送ろうとすると警告が表示されたり、送信がブロックされたりする

ポリシーに反した情報をメールなどで送ろうとすると警告が表示されたり、送信がブロックされたりする

エンドポイント保護を利用可能な場合は、デバイス上のコピー操作なども保護される

エンドポイント保護を利用可能な場合は、デバイス上のコピー操作なども保護される

どうやって管理するの?

ポリシーの作成などの管理はMicrosoft Purviewの管理ポータルから実行できます。もちろん、ポリシーに反する行為が検知されるとアラートとして記録されるため、「誰が・いつ・何をしようとしたか」を後から確認できます。

「テンプレート+シミュレーション」で始めよう

データ損失防止を導入するための最初のステップはテンプレートとシミュレーションを活用することです。

はじめての場合、どのような情報を保護すべきかに迷うかもしれませんが、データ損失防止では、ポリシー作成時に「日本」を選択することで、日本向けのテンプレートを利用できます。「日本の財務データ(銀行口座番号など)」「PCI *データセキュリティ基準(クレジットカード番号など)」「日本の個人情報(PII)データ(パスポート番号など)」「日本の個人情報保護(マイナンバーなど)」を選択できます。こうした、テンプレートを使って、社内で扱っている個人情報を検知することから始めるといいでしょう。
(*PCI:Payment Card Industry)

また、ポリシーをいきなり有効にするのではなく、最初はシミュレーションモードで実行することをおすすめします。ポリシーによってどのようなデータが影響を受けるのかを事前に確認することができます。シミュレーション結果は、通常アラートとは別の専用画面で確認できるため、検証やテストが簡単にできます。

さらに段階的な導入を検討しましょう。例えば、重要な情報を扱うことが多い部署に先行導入し、検出結果や操作性の課題などを検証し、その後、組織全体に展開することで、過剰なブロックによる使いにくさなどを避けることができます。

専任のセキュリティ担当者がいないケースでも情報を保護できる

このように、データ損失防止は、組織内の重要な情報を簡単に保護できるソリューションとなっています。特に専任のセキュリティ担当者がいない中小企業では以下のような点でメリットを享受できます。

Point1
インシデントの未然防止

機密情報の送信・共有・持ち出しを、事前に止めることができるため、被害そのものの発生を防ぐことができます。

Point2
運用負荷の軽減

担当者によるチェックや手作業の監視が不要で、設定したポリシーに従って24時間自動的に情報を監視、保護できます。IT関連の人材が少ない組織でも現実的に運用できる仕組みを構築できます。

Point3
コンプライアンスと信頼性の向上

法令・規制に沿ったテンプレートを利用できるため、詳細な事前調査や設計なしですぐに運用を開始できます。取引先からセキュリティ強化を求められた際などの対策として利用できるうえ、組織としての競争力向上にも寄与します。

重要なのは、データ損失防止は“人に期待する”セキュリティ対策から、“仕組みで守る”セキュリティ対策へと変換できることです。テンプレートとシミュレーションで無理なく始め、Exchange OnlineやMicrosoft SharePoint、さらにはMicrosoft Teams(Microsoft 365 E5向け)やエンドポイント データ損失防止(Microsoft 365 E5向け)と段階的に適用範囲を拡げることができます。

ただし、データ損失防止は最小の手間で最大の抑止効果が期待できますが、ポリシーの設計が複雑になると、組織内でデータを扱いづらくなったり、意図せぬ動作でユーザーの作業が中断したりするリスクがあります。導入や運用を検討している場合は、専門家に相談することをおすすめします。リコージャパンでは社員の中から選抜されたMicrosoft製品のスペシャリスト「Microsoftソリューション エバンジェリスト」が課題解決や導入後のサポートを提供します。

構築はRICOH フルマネージドサービス for Microsoft 365にお任せ

Microsoft 365のゼロトラストセキュリティを実現するには、認証・デバイス・データの統合的な管理が欠かせません。
RICOH フルマネージドサービス for Microsoft 365では、これらのセキュリティ構成をワンストップで設計・導入・運用までサポートします。
安全で効率的なRICOH フルマネージドサービス for Microsoft 365にお任せください。

詳しくはこちら
PAGE TOP