Trace Id is missing
Remote work image

Microsoft 365 E5 Security 最新情報

Microsoft Endpoint Data Loss Prevention のパブリック プレビューを発表

機密データを、危険または不適切な共有、転送、使用から確実に保護することは、組織にとって常に最優先の課題です。自宅などから無期限にリモート ワークを行う従業員が大幅に増えた現状を受け、毎日使用するエンドポイントを強力かつ一体的に保護することが、新たな常識として重視されるようになっています。そこで、お客様があらゆる環境で包括的な情報保護戦略をすばやく展開できるように、このたび Microsoft Endpoint Data Loss Prevention (DLP) のパブリック プレビューを発表いたします。

マイクロソフトは、お客様に最先端の情報保護ソリューションを提供できるよう、長きにわたって開発に取り組んでまいりました。Microsoft Information Protection (MIP) はインテリジェントで統合された拡張可能な組み込みのソリューションで、Microsoft 365 のアプリ (Word、PowerPoint、Excel、Outlook など) やサービス (Microsoft Teams、SharePoint、Exchange など)、サード パーティの SaaS アプリケーションなど、オンプレミスかクラウドかにかかわらずデータを理解して分類し、常に保護し、データ損失を防止します。Endpoint DLP では、MIP の分類機能と保護機能がデバイスにまで拡張されます。

Microsoft 365 のお客様は、Microsoft 365 コンプライアンス センターで一度 DLP ポリシーを作成するだけで、Exchange、Teams、SharePoint、OneDrive for Business、そしてエンドポイントにもポリシーを適用できます。必要な作業は、お客様の組織で確立されているデバイス管理のオンボーディング プロセスを使用して、エンドポイントを環境に追加することだけです。

図 1: Microsoft 365 コンプライアンス センターで DLP ポリシーの場所 (デバイスなど) を選択

図 1: Microsoft 365 コンプライアンス センターで DLP ポリシーの場所 (デバイスなど) を選択

Endpoint DLP はエンドポイントにある情報を特定、保護します。機密データが存在しない場合、アプリケーション、Web ブラウザー、その他のサービスの使用を制限することはありません。「ネイティブ保護」「シームレスな展開」「統合的なインサイト」という 3 つのコア機能を提供します。
 

ネイティブ保護

Endpoint DLP は Windows 10 と新しい Microsoft Edge ブラウザーにネイティブに対応しています。もう Windows 10 マシンに追加の DLP ソフトウェアをインストールしたり、別途管理したりする必要はありません。エンドポイントでネイティブに DLP エクスペリエンスが利用できることには多くのメリットがあります。

ユーザーが日常的に使用するアプリケーションやサービスの慣れ親しんだ外観と操作性はそのままに、Endpoint DLP は生産性を低下させることなく、エンド ユーザーのトレーニング時間削減、アラートによる混乱の抑制、所定のガイダンスと修復によるユーザーの安心感向上、ポリシー準拠の強化を実現します。

ユーザーが機密データに対して不適切な行為や危険性の高いアクションをした場合、自動的に警告が表示され、適切に是正できるよう有益なポリシー ヒントとガイダンスが提示されます。たとえば、図 2 はユーザーがエンジン チップの最新の設計に関する機密情報が含まれる Word 文書 (「Project Obsidian Spec.docx」) から機密データをコピーしようとした際の画面です。この例では、ポリシーは上書き不可の「Block (ブロック)」に設定されています。ユーザーがアクティビティを実行する (この場合は、機密データをコピーする) と、そのイベントが記録され、DLP ポリシーに従って、このデータのコピーは許可されていないためアクションがブロックされている旨がユーザーに通知されます。

図 2: Word 文書から機密データをコピーしないようユーザーに警告

図 2: Word 文書から機密データをコピーしないようユーザーに警告

サード パーティ製アプリケーションのユーザー エクスペリエンスも同様です。以下の図 3 は、ユーザーが機密データの含まれるドキュメント (「Project Obsidian.pdf」) を Microsoft Edge から個人の Dropbox アカウントにコピーしようとした場合です。この例では、DLP ポリシーは「Block with Override (解除可能ブロック)」に設定されています。特定のクラウド アプリケーションへのファイルのコピーは許可されていないため、このアクションがブロックされたことがユーザーに通知されます。またこのイベントは記録され、Microsoft 365 コンプライアンス センター コンソールで確認と分析に利用できます。

図 3: 機密データの含まれるファイルをクラウド ファイル サービスにコピーしないよう Microsoft Edge でユーザーに警告

図 3: 機密データの含まれるファイルをクラウド ファイル サービスにコピーしないよう Microsoft Edge でユーザーに警告
 

シームレスな展開

Endpoint DLP は、クラウドと Microsoft 365 コンプライアンス センターで管理され、追加のコンソール、イベント管理システム、データベース、ハードウェアをオンプレミスで展開、運用する必要はありません。MIP に不可欠である堅牢な分類システムを Endpoint DLP でも活用し、正確かつ一貫した方法で機密データを特定します。機密データの種類が 100 タイプ以上組み込まれており、40 を超える一般的な業界規制のテンプレートも用意されているため、データ保護を簡単に開始できます。MIP ポリシーは、追加で再構成しなくても Endpoint DLP に展開できます。MIP の直観的なインターフェイスを使用してカスタムの機密コンテンツ識別子とポリシーを作成しているお客様も、再構成することなく Endpoint DLP への展開が可能です。

図 4: Microsoft 365 コンプライアンス センターで簡単に DLP ポリシーを構成

図 4: Microsoft 365 コンプライアンス センターで簡単に DLP ポリシーを構成

組織にポリシーを展開する際には、ユーザーの作業中断を最小限に抑え、ポリシーの効果を最大化するために、柔軟性も必要とされます。Microsoft DLP ソリューションには 3 つの異なるモードがあり、意図するコンプライアンス目標が確実に達成されるように、DLP ポリシーごとにアクティビティを監視、制限できます。

  • Audit (監査): ポリシー違反イベントを記録するのみ。エンド ユーザーのアクティビティには影響を及ぼさない
  • Block with Override (解除可能ブロック): アクティビティを記録しブロックするが、業務上の正当な必要性がある場合にはユーザーが無効化できる
  • Block (ブロック): アクティビティを記録しブロックする。無効化は不可

Endpoint DLP は、エンドポイントに特有の以下のような広範なアクティビティに対してポリシーを適用できます。

  • 機密ファイルを外部の USB メディア デバイスにコピーする
  • 機密ファイルをネットワーク共有にコピーする
  • 機密ファイルをクラウド サービスにアップロードする
  • 機密ファイルを印刷する
  • 機密コンテンツをクリップボードにコピーする
  • 許可されていないアプリから機密ファイルにアクセスする
図 5: DLP ポリシーの適用オプション

図 5: DLP ポリシーの適用オプション

Endpoint DLP のシームレスな展開により、エンドポイントを既存の DLP プログラムに組み込む負担が軽減されます。クラウドとネイティブを問わずワークロード全体のコンプライアンスの一貫性が高まるため、展開後すぐに価値を得られます。たとえば、デバイス テレメトリは、ポリシーを構成する必要なく Microsoft 365 コンプライアンス センターで利用できます。

図 6: デバイス テレメトリを含む、機密データに関するアクティビティを Microsoft 365 コンプライアンス センターで確認

図 6: デバイス テレメトリを含む、機密データに関するアクティビティを Microsoft 365 コンプライアンス センターで確認

Microsoft 365 コンプライアンス センターのアクティビティ エクスプローラーでは、イベントを絞り込んで、危険性の高いアクティビティを突き止めたり、特定のアクション、ユーザー、ファイルの詳細を確認したりできます。これにより、対応を効率化して、意図しないまたは意図的なデータ侵害の潜在的なリスクにすばやく対処できます。

図 7: デバイス テレメトリを含む、機密データに関するアクティビティをアクティビティ エクスプローラーで確認

図 7: デバイス テレメトリを含む、機密データに関するアクティビティをアクティビティ エクスプローラーで確認
 

統合的なインサイト

Microsoft Endpoint DLP は、Microsoft 365 の MIP、Microsoft Threat Protection、インサイダー リスク管理などの他のセキュリティおよびコンプライアンス ソリューションと統合されています。機密コンテンツに対するデバイス アクティビティについて正確なインサイトを提供し、他のソリューションを拡充します。これにより、規制やポリシーに準拠するうえで必要となる積極的なデータ保護体制、デバイス状態、ユーザー アクションを包括的に管理、可視化できます。

Microsoft Threat Protection は、巧妙な攻撃に対して総合的な保護機能を提供します。侵入前、侵入後の防御スイートを統合し、エンドポイント、ID、メール、アプリケーションの全体にわたって検出、防止、調査、対処をネイティブに連携させます。これにより、DLP の検出事項に加えて重要なインサイトを活用でき、DLP ポリシー違反の範疇を超えて考慮すべき追加の要素があるかどうか、より広範な是正措置を行う必要があるかどうかを迅速に評価できます。

Microsoft 365 のインサイダー リスク管理は、リスクの高い内部関係者のアクティビティについて検出、調査、対処する機能を提供します。組織は広範なユーザーとデバイスのアクティビティに対して許容できるしきい値範囲を定義できます。それを超えるとアラートが生成され、現在または過去のアクティビティのリスクとリスク レベルをインタラクティブなグラフで経時的に確認できます。この重要なインサイトは DLP のイベント情報と併せて活用でき、分析結果のコンテキストを充実させ、ポリシー違反の範囲を迅速に評価して、意図的または偶発的なポリシー違反のトリアージを容易にします。

Endpoint DLP を利用することで、プロバイダーが異なる連携のない個別のソリューションへの依存を減らし、ユーザー アクションの監視、ポリシー違反の是正を行えるほか、エンドポイント、オンプレミス、クラウドでの機密データの正しい取り扱いに関してユーザーの理解を高めることができます。
 

今すぐご利用ください

Endpoint DLP は、Microsoft 365 E5/A5、Microsoft 365 E5/A5 Compliance、Microsoft 365 E5/A5 Information Protection and Governance のお客様のテナントからロールアウトを開始します。Endpoint DLP に関する詳細は、こちらのドキュメントをご確認ください。Endpoint DLP は機密データを特定、保護、管理する広範で包括的な機能の一部です。Endpoint DLP が統合された Chromium 版 Edge の最新バージョンを入手するには、Microsoft Edge のページをご確認ください。情報保護とガバナンスのソリューションについては、ドキュメントのページをご確認ください。Microsoft 365 E5 の試用版にサインアップするか、Microsoft 365 コンプライアンス センターにアクセスしていただくと、今すぐ利用を開始できます。

ぜひご活用ください。
Maithili Dandige (Microsoft Information Protection & コンプライアンス エンジニアリング担当主任グループ プログラム マネージャー)
Eric Ouellet (Microsoft 365 Compliance 担当シニア プロダクト マーケティング マネージャー)

< New
トップに戻る