マイクロソフト、Microsoft Purviewの情報漏えい対策向け新機能を紹介

日本マイクロソフトは9月28日、セキュリティ製品の最新情報に関する報道関係者向けのオンライン勉強会を開催した。同勉強会では法令違反、社内規定違反、ハラスメントなど、さまざまなコンプライアンスリスクに関する最新の動向や脅威とともに、同社のセキュリティソリューションである「Microsoft Purview」の新機能が紹介された。

Microsoft Purviewは、Azure PurviewとMicrosoft 365のコンプライアンスソリューションを統合したデータのガバナンス、リスクマネジメント、コンプライアンス対策のための製品スイートとなる。

日本マイクロソフトの情報漏えい対策

さまざまな内部不正リスクがある中で、今回は「企業内部からの情報漏えい」に焦点が当てられた。多くの場合、企業は就業規則や社内罰則規定を基に、情報漏えいを行った従業員に対して懲戒処分などを行うが、営業秘密の持ち出しでは不正競争防止法が適用されて刑事罰に問われる。最近では、名刺管理アプリで他人の名刺情報を外部に流出させたことにより、個人情報保護法違反で個人に刑事罰が課された。

日本マイクロソフト クラウド＆AIソリューション事業本部 セキュリティ統括本部 コンプライアンス技術営業本部 本部長の一瀬幹泰氏は、「企業に対して、情報管理・ハラスメント対策で求められることを厚生労働省が『モデル就業規則』にまとめている。そちらを参照しつつ、具体的な罰則や、企業が行使する調査権を社内規程に事前に組み込むのが近年のトレンドだ。営業秘密の持ち出しについては、秘密管理性を満たしていることが重要になる」と説明した。

秘密管理性では、企業が従業員に社外秘であることを周知し、適切な管理措置を実施していることが求められる。そして、企業は特定の情報を秘密管理する意思を、従業員が容易に認識できるような措置を講じなければならないという。

日本マイクロソフトでは、内部不正対策に対して、職場のセキュリティと監視についてのポリシーを公表している。そこでは自動ツールを用いてITおよびコミュニケーションシステムを監視している旨や、「機密情報や会社の資産を守るため」「不正違反や社内規定違反の可能性を調査するため」など監視の目的や監視対象を明確に記載している。

そのうえで、同社では自社ソリューションを用いて、5つの情報分類ラベルを定義して、機微な情報に対するファイル単位でのアクセス制御(暗号化)を実施している。保護されたデータが社内から外部のクラウドサービスにアップロードされたり、管理外のUSBにコピーされたりした場合、検知やアラートによって管理者に警告するほか、ユーザーの操作そのものを停止させることも可能だ。Microsoft Purviewを用いた対策では、重要度に応じて選択的にデータの保護・監視を実施しているそうだ。

「Information Protection」で機密情報を検出・分類・保護

今回は、Microsoft Purviewが提供する情報漏えい対策向けのソリューション群である「Data Security」の新機能が紹介された。

Data Securityは、機密情報の検出・分類と保護(暗号化)のための「Information Protection」と、機密情報の外部流出の検知・制御のための「Data Loss Prevention」、リスクを示唆する行動を検知するための「Insider Risk Management」の3つのソリューションで構成されている。

Information Protectionは、250種類以上の標準テンプレートや、キーワード、正規表現、辞書のインポートを用いることで機密情報をカスタム定義し、自動検出することができる。また、監視対象としたい実際のデータをCSVファイルで事前に取り込むことや、組織で利用される標準フォーム、定型フォーマットを利用するドキュメントを機密情報として定義することも可能だ。

勉強会では、新たに実装予定のOCR(光学式文字認識)機能がデモとともに紹介された。同機能では、画像コンテンツに含まれる文字をスキャンして、機密情報として検知することができる。

DLPと連携すれば、機密情報を含む画像ファイルを企業から外部へメール送信すると、そのアクションを検知してDLPでブロックし、システム管理者に外部流出を阻止した結果をメールで通知可能だという。

このほか、同ソリューションでは、組織内で利用される機密情報を組織の機密区分に応じて分類し、ラベル付けする「秘密度ラベル」という機能がある。同機能で特定のデータへのラベル適用とアクセス権を設定することで、個々のデータの暗号化も行える。

日本マイクロソフト クラウド＆AIソリューション事業本部 セキュリティ統括本部 コンプライアンス技術営業本部の橘浩平氏は、「新たに実装予定の『SPO(SharePoint Online)ドキュメントライブラリの既定の秘密度ラベル』機能では、SPOにラベルをあらかじめ適用させておくことで、ラベル未設定のファイルがSPOにアップロードするとラベルを自動適用することができる。同機能ではdocx、xlsx、pptx、PDFをサポートしている」と解説した。

「Data Loss Prevention」でデータの書き出し・持ち出し操作を制限

「Data Loss Prevention(DLP)」では、機密レベルに応じてデータの書き出し・持ち出しの監査と制限を実施できる。今回はデバイス向けの「Endpoint DLP」の機能が紹介された。

同機能では、デバイス上で利用される機密情報や秘密度ラベルを含むデータの書き出しや持ち出し操作を制限し、システム管理者はデバイス上でのファイル操作のログ取得が可能だ。

例えば、許可されていないUSBデバイスへのデータコピーや未許可のWebサービスへの重要ファイルのアップロードに制限をかけたりするほか、個人メール・SNS・ChatGPTなどコンシューマー向けサービスへのテキストデータのコピー&ペーストや、機密・個人情報を扱う社内Webサイトでのコピー・印刷・ページ保存も禁止したりできる。

勉強会では、実装予定の新機能「ファイルアクティビティの証拠収集(Evidence collection for file activities)」が紹介された。同機能では、Endpoint DLPで設定したポリシーに一致したコンテンツの複製をAzure Blobストレージに保存できる。

「従来では、インシデントが起きた際に、調査担当者や管理者はログ監査により漏えいしたファイル名ぐらいしかわからなかったので、発生したインシデントが企業にとってリスクのある行動だったのか判断が難しいというお客からよく聞く。また、ファイルの原本を手に入れるのに苦労することも多い。今回の新機能により、何かのファイルが持ち出された際に、その中身を管理者が確認することができる」と橘氏。

機械学習を利用した「Insider Risk Management」で高リスク行動を評価

Insider Risk Managementは、機会学習を利用してMicrosoft 365やデバイス上でのユーザーアクティビティを調査・分析して、企業内で起きているさまざまなアクションのリスクを評価できる。

リスク評価の対象としては、例えば退職予定者の過去のリスク行動を分析して、退職日前後での企業の秘密情報、個人情報への接近、入手、持ち出し、隠ぺい、削除行為や、通常業務では行わないような大量のデータのアップロードなどが挙げられる。

機会学習モデルでユーザーのリスクレベルを定義して、ユーザーごとにDLPポリシーを動的に適用する、DLPとの連携機能も実装予定だ。同機能により、リスクレベルを高く設定したユーザーによるファイルの印刷を禁止するといった制御が可能だ。

新機能の「フォレンジックエビデンス」では特定のユーザーの行動記録のキャプチャが可能だ。これにより、機密情報の流出行動を動画で記録として残せる。

他方で、情報漏えいはITツールの活用だけで完結するものではないという。費用対効果の高い対策を重ねつつ、リスク低減を図っていくことが現状の最適解になる。

「ユーザー任せの予防や一律なルール適用では、グレーゾーンの扱いが難しくなり生産性にも影響する。そのため、一定のグレーゾーンを残しつつ運用し、発見した内部不正の中から悪意の有無やリスクの高さなどを鑑みて対処し、ログからリスクの高いユーザーを発見してコンプライアンス担当者による調査・分析を行う必要がある。ITツールを用いた予防、防止、発見に加えて、看過できないケースの個別対処、懲罰事例の周知やヒヤリハットの共有などの教育という多段でのアプローチが重要となる」と一瀬氏は述べた。