Microsoft 365 Complianceで実現する情報基盤統制の構築と内部リスク対策

2021-03-29 14:00

【PR】ITを活用したリスク対策としては、サイバーセキュリティ対策だけでは無く、情報保護、プライバシー保護、内部リスク管理の徹底、ITの法統制などカバーすべき項目が多く、この領域でのリスクマネージメントは実施するのが非常に困難になってきています。

はじめに

 企業にはさまざまなリスクがあります。例えば、経営リスクや信用リスク、風評リスク、といったものがありますが、ITを活用したリスク対策としては、サイバーセキュリティ対策だけでは無く、情報保護、プライバシー保護、内部リスク管理の徹底、ITの法統制などカバーすべき項目が多く、この領域でのリスクマネージメントは実施するのが非常に困難になってきています。

 また、世界中でデータ管理への規制も2018年5月のGDPR(一般データ保護規則)の施行以降増え続けており、欧州以外でも中国や米国カリフォルニア州、アジア地域など、プライバシーやコンプライアンスに対する規制の強化が世界中で進んでいます。


※クリックすると拡大画像が見られます

 さらに、日本においては2020年6月に「パワハラ防止法(正式名称:労働施策の総合的な推進並びに労働者の雇用の安定及び職業生活の充実等に関する法律)」が施行され、上記の対応に加えてハラスメントについても対応する必要がでてきました。

 このような状況に加え、昨今ではリモートワークが進む中、そのような環境下における規制に対する対策が非常に難しくなってきています。リモートであるが故に、社員個々の行動は見えなくなってしまい、そこに不正な行為が発生しても気づきにくいため、新たなリスクマネージメント対策が必要となっています。

Microsoftのコンプライアンスソリューション

 マイクロソフトが提供するセキュリティとコンプライアンスソリューションは大きく分けて2つです。1つ目は外部リスク対策です。これは、主にサイバーセキュリティに関する対策で既に多くの企業が取り組んでおり、時間とコストをかけて整備できている分野だと思います。2つ目は内部リスク対策です。こちらは、主にコンプライアンスへの対応に加え内部不正に関する対策や人の行動に関する監査などが含まれます。この分野においては、企業における対策がいまだ不十分なケースも多く、昨今のリモートワーク環境におけるリスクの増加に対応するため本格的に対策の導入を検討している企業も増えてきました。

 今回は、2つ目の内部リスク対策に焦点をあて、マイクロソフトのコンプライアンスソリューションの紹介をしたいと思います。


※クリックすると拡大画像が見られます

 マイクロソフトのコンプライアンスソリューション群は4つの柱で構成されています。

 1つ目は、“Information Protection & Governance”です。これは、主にデータの識別、分類、保護、廃棄を行い、データを統合的に管理するためのソリューション群です。2つ目は、“Insider Risk Management”です。こちらは内部リスクにつながるような従業員の行動を分析し、内部者におけるリスクの検出と対策を実施するためのソリューション群です。3つ目は、“Discovery & Respond”です。これは、インシデントが発生した際に関連するデータを効率よく絞り込んだり、より詳細な監査ログを長期保管して高いパフォーマンスで検索を実行したりするためのソリューション群です。4つ目の“Compliance Management”は、年々増加する各国の法規制に対し、自社の環境がどの程度対策が実施できているのかを可視化しリスクを低減するための対策を簡易的に実施できるような管理機能を提供するソリューション群です。

 この後、各ソリューションについてもう少し詳しく説明します。


※クリックすると拡大画像が見られます

Information Protection & Governance

 まずはInformation Protection & Governanceです。これは作成されたデータの識別、保護、漏えい対策などを行い、データに対してガバナンスを効かせていくことができます。さらに、日々ビジネスにおいて取り扱うデータはさまざまな場所で作成され、そのデータの存在する場所も、端末やモバイル、マイクロソフトのクラウド、オンプレミスのサーバー、サードパーティーのクラウドストレージなどさまざまな場所に移動していきます。情報を保護し、制御し続けるには、どのような場所にデータが移動しても制御が外れないような管理を行うことが必要であるため、横断的なデータ管理と制御の仕組みを提供します。つまり、情報の生成から、機密データの検出、分類、保護、不正利用の検出、最終的にはデータの保持と廃棄までの情報ライフサイクル全体の統合的な管理を実現する必要があります。その中で特に重要になってくるのが、どのようにして情報を識別していくかですが、ここではDLP(Data Loss Prevention)の機能を中心となってきます。DLPにより識別や分類を実施することで情報保護のソリューションであるMIP(Microsoft Information Protection)を活用した情報のライフサイクル管理が実現できます。

 MIPではファイルの作成から分類、保護、可視化、さらには長期保管や廃棄といった情報が生み出されてから廃棄されるまでの全体を管理していくことができます。

 DLPが情報を識別することにより、その後のアクションである分類や保護を実施するため、データを保護するためにはまずは自組織にどのようなデータが存在するのかを把握する必要があります。まずは情報資産を把握し、その情報をどう取り扱うことが望ましいのか、既存のセキュリティポリシーとの整合性は取れるのか、取れない場合にどのように変更する必要があるのかなど、企業の情報セキュリティポリシーの在り方を見直すためのデータを取得します。


※クリックすると拡大画像が見られます

 Microsoft 365のDLPでは、情報を検出するためのテンプレートが標準で150種類以上提供されており、重要な情報の検出をすぐに始められるようになっています。さらに、それらの機能をExchange、SharePoint、Office Apps、Teams、Windows などさまざまな製品に対しエージェントやソフトウェアなどの追加がなく利用できるようビルトインによって実装されています。つまり、ポリシーを配布するだけですぐに機能を有効にでき、それらのポリシーもコンプライアンスセンターから一括管理が可能なためシンプルな運用が実現できます。

 最近では、リモートワークによるTeamsや遠隔地の端末の制御にもDLPが導入増加しています。Teamsでは投稿されたメッセージを監査し、外部招待されたメンバーが参加しているチャネルには社内の機密情報の投稿をブロックするといった制御が可能です。また、端末上では機密情報に該当する情報が入ったファイルを自宅でUSBメモリーにコピーしたり、自宅の別のサーバーにネットワーク経由でコピーをしたり自宅のプリンターで印刷をするといった行為も抑制できるため、情報漏えい対策としても活用されています。

Insider Risk Management

 2つ目の柱は、Insider Risk Management(以下IRM)です。ここで注意していただきたいのは、このIRMについてはソリューション群としての名前と個別のソリューションの名前が同じです。本稿で説明するのは個別ソリューションとしてのIRMになります。これはユーザーが行っているさまざまなアクティビティーを分析し、その振る舞いに対してリスクのスコアを付けていきます。そして、そのスコアがあるしきい値を越えた際にそのユーザーのリスクが高いということを警告してくれる仕組みです。詳細については別の回で説明していますので割愛しますが、ユーザーの日々の行為の中には比較的リスクが高いものも含まれていますが、その行為が1回だけでは本当にリスクが高いかというとそうではありません。DLPでは基本的に1つの行為に対して1つのアクションやアラートを設定するため、運用によっては情報が膨大になりその中で本当にリスクのあるものを見つけ出すのが困難になる場合があります。そこでIRMではそういった行為の頻度や種類、相対的な量を分析しリスクを判断していくため、相関分析した結果として本当にリスクの高いユーザーを見つけ出すことができます。そのため本当にリスクの高いユーザーのみを識別し対処することができるので、リスクの早期発見と対応するための時間を大幅に短縮することが可能です。


※クリックすると拡大画像が見られます

Communication Compliance

 そして、IRMソリューション群の中のもう一つの代表的なソリューションがCommunication Complianceです。これはメッセージコンテンツにおける行動規範の違反を検出することができ、これまで難しかったハラスメント・過労・違法な業務命令・カルテル等の談合などの兆候を見つけて対処することが可能です。Communication Compliance はマイクロソフト製品である、ExchangeやTeams、Skype、Yammerと接続できるだけでなく、ZoomやSlackなどともデータコネクターを使用してメッセージを監査することが可能です。この記事を書いている2021年3月現在、Communication Compliance 用のサードパーティーのデータコネクターは、約27種類提供されており、今後も拡張されていく予定となっています。明らかな違法となるようなコミュニケーションの監査は重要ですが、リモート環境下では対面のコミュニケーションと比べ相手への伝え方や受け取り方によってはハラスメントと感じてしまうこともあるため、そういった行為を見つけ是正してくことも今後求められる対策の一つだと考えます。

Discover & Respond

 そして、3つ目の柱がDiscover & Respondです。このソリューション群の代表としてはAdvanced Auditがあります。まずAdvanced Auditの大きな特徴としてログの長期保管が可能になります。通常Microsoft 365内の規定の監査ログ保持ポリシーでは90日間のログの保管が可能ですが、このAdvanced Auditを活用することにより、Exchange、SharePoint、および Azure Active Directory の監査レコードを 1 年間保持することが可能となります。さらに、追加コストが必要ですが、ログの保管期間を最大10年まで延長することが可能です。また、フォレンジックやコンプライアンス調査のための重要なアクセスログも追加され、特に、Exchange OnlineやSharePoint Onlineではメールが読み取られたかどうかやユーザーがメールやファイルに対して何を検索していたのかを記録することで不正なアクティビティーの詳細を監査することが可能になります。そして、そのような膨大なログデータにアクセスする際のパフォーマンス向上のため通常の約2倍の帯域幅が割り当てられ監査作業の効率化を図ることが可能です。


※クリックすると拡大画像が見られます

Compliance Management

 最後の柱は、Compliance Managementです。このCompliance Managementで提供するソリューションはコンプライアンスマネージャーとMicrosoft 365 コンプライアンスセンターです。まずコンプライアンスマネージャーでは、世界中で増加し続けるデータ保護規制に対し、自社のテナントがそれらの規制をどの程度満たせているかを評価することができ、それぞれの規制に対してどこまで対策ができているのか、実施できていな対策が何かを提示しデータ保護やさまざまな規制に対するリスクの可視化と対策を直感的に管理することができます。評価はコンプライアンススコアとして提示され、どの対策を実施すればどれくらいスコアが向上するのかが分かります。例えば、「セルフサービスによるパスワードのリセットを有効にする」を実施することにより、「+27ポイント」加算され関連する規制のスコアに反映されます。現在提供可能な評価用テンプレートは150種類以上あり、GDPRやCCPAをはじめ日本における規制にも対応しています。また、各規制に対する評価はMicrosoft 365内のサービスの導入状況から自動的に算出されるため管理にかかる負荷も最小限に抑えられ、継続的な対応が可能となっています。


※クリックすると拡大画像が見られます

 そして、Microsoft 365 コンプライアンスセンターでは、自社テナントにおけるコンプライアンスのリスクの可視化、ダッシュボード、ポリシー、レポート、データ分類、監査、検索といった様々な機能およびソリューション群を一元管理することができる統合管理コンソールとなっています。コンプライアンスの対策には、多くのセンサーやポリシーの管理が必要となりますが、それらを一つのコンソールから実施することができるため効率的な運用な可能です。

まとめ

 今回はコンプライアンスソリューションの中でも代表的なものを概要レベルで紹介しましたが、それ以外のソリューションも数多く提供していますので機会があればまた紹介させていただきたいと思います。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]