Microsoft Information Protection による 実践的な情報漏えい対策 · Office 365 Advanced Data Governance データセンター、 ファイルサーバー Azure SaaS &

de:code 2019 SE04

企業情報保護のベストプラクティス！

Microsoft Information Protection による

実践的な情報漏えい対策

モダンワークプレイス統括本部

テクノロジー ソリューション プロフェッショナル

CISSP

山本 明広

Agenda

情報漏えいの主な原因人の行動がきっかけとなるインシデントが最も多い

参考：JNSA 2017年情報セキュリティインシデントに関する調査報告書

https://www.jnsa.org/result/incident/

・不正アクセス

・不正な情報持ち出し

・盗難

・内部犯行、内部不正

・バグ、セキュリティホール

・ワームウイルス

34.3 %故意によるもの

・誤操作

・紛失、置き忘れ

・管理ミス

・設定ミス

64.6 %うっかりミス

フィッシングメール 悪質な添付ファイル

フィッシングリンクをクリック

端末感染攻撃者サーバーとの

接続

ブルートフォース漏洩した資格情報

ユーザアカウントの乗っ取り

横方向移動特権アカウントの

乗っ取りドメイン乗っ取り

機密情報へのアクセス

データ摂取・改ざん

永続化

+

フィッシングサイト閲覧

マルウェア（プログラム）の振る舞い

＝ Intelligence

人（ID）の振る舞い

＝ Insight

攻撃の振る舞い

Phase 1 Phase 2

誰がどんな情報を漏えいさせるのか？

情報の分類 情報の保護 情報の可視化

情報漏えい対策の課題

対策に必要なプロセス

Microsoft Information Protection

PC、タブレット、モバイル

Office 365 DLP & Message EncryptionWindows Information Protection

Azure Information Protection

Exchange Online, SharePoint Online &

OneDrive for Business

法令準拠

Microsoft Cloud App Security

Office 365 Advanced Data Governance

データセンター、ファイル サーバー

Azure SaaS & ISVs

O f f i c e 3 6 5デバイス クラウド サービス、S a a S アプリ、およびオンプレミス

Intune MDM & MAM

Microsoft Information Protection を構成するサービス

Microsoft Information Protection の考え方

デバイス アプリケーション クラウド オンプレミス

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出

CLOUD & SaaS APPS

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出

CLOUD & SaaS APPS

情報の分類

ラベルの定義

Non-Business

基本的なラベルは5種類

分類の自動化

ラベル付けをどう徹底するのか？自動化により付け忘れを防止

自動

自動 推奨

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出

CLOUD & SaaS APPS

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出

Off

ice a

pp

s,

Win

do

ws

Info

rmati

on

P

rote

cti

on

CLOUD & SaaS APPS

新規作成ファイルのラベリング（ローカルPC）

新規作成ファイルのラベリングOffice apps

xAzure Information Protection

DEMO

新規作成ファイルの自動ラベリングAIP Client によりローカル PC 内で作成されるファイルの自動検出とラベリングを実施

Azure InformationProtection Client

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出 Off

ice 3

65

, M

icro

soft

Clo

ud

A

pp

Secu

rity

CLOUD & SaaS APPS

クラウド上のファイルのラベリング（SPO、EXO、OneDrive など）

クラウド上のファイルのラベリングMicrosoft Cloud App Security

ｘAzure Information Protection

DEMO

クラウドストレージ上のファイルの自動ラベリングMicrosoft Cloud App Security によるクラウド上に保存されている

ファイルの監査と自動ラベリング

MicrosoftCloud App Security

SharePoint Online

OneDrive for Business

• オンプレミス、クラウド

• PC、タブレット、スマートフォン

• クラウドストレージ

• SaaS アプリケーション

ラベル

検出

AIP

sc

an

ner

CLOUD & SaaS APPS

既存ファイルのラベリング（ファイルサーバー、SPS）

既存ファイルの自動ラベリングAIP Scanner によりオンプレミスのファイルサーバーや SharePoint Server 内に

作成されているファイルを自動検出しラベリング

Azure InformationProtection Scanner

SharePoint Server

(HTTP/HTTPS)

File Share (SMB)

情報の保護

情報流出の経路流出経路に応じた対策が必要

電子メールによる情報漏えい対策Exchange Online トランスポートルール

xAzure Information Protection

DEMO

シャドーIT による情報漏えい対策Windows Information Protection

xMicrosoft Defender ATP

xAzure Information Protection

DEMO

条件付きアクセスによる情報漏えい対策Azure Active Directory

xMicrosoft Cloud App Security

xAzure Information Protection

DEMO

ラベルと情報漏えい対策の対応表

流出経路 電子メールUSB

シャドーIT外部共有

悪意のある

ユーザー

AIP+EXOAIP+WIP

+WDATP

AIP

＋MCASAIP

Confidential（暗号化） ● ● ● ●Internal

（既定ラベル） ● ● ● -Public - -

対策ラベル

ログ

アーカイブ

ログ

DL禁止※

※条件付きアクセスが必要

暗号化については必須では無い

情報の可視化

包括的な情報の可視化Microsoft 365 Compliance Center

xAzure Information Protection

DEMO

Flow & Teams 連携による運用の効率化Microsoft Flow

xMicrosoft Teams

xMicrosoft Cloud App Security

DEMO

情報の分類 情報の保護 情報の可視化

自動検出による

漏れのないラベル適用AIP/MCAS/AIP Scanner

規定ラベルによる

うっかりミスの防止AIP/MCAS/WIP/MDATP

ラベリングされたファイルの

可視化とログの取得Microsoft 365

Compliance Center

Microsoft Flow

Microsoft Teams

OK

ラベルを付けましょう！

© 2018 Microsoft Corporation. All rights reserved.

本情報の内容（添付文書、リンク先などを含む）は、作成日時点でのものであり、予告なく変更される場合があります。

© 2019 Microsoft Corporation. All rights reserved.

本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。

本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。

Appendix

41

以下の項目を定義済みポリシーで検出

設定名 ポリシー名

DLPテスト① 銀行口座番号 Japan Bank Account Number

DLPテスト② 運転免許証番号 Japan Driver's License Number

DLPテスト③ 日本パスポート番号 Japan Passport Number

DLPテスト④ 住基ネットナンバー Japan Resident Registration Number

DLPテスト⑤ 社会保険番号 Japan Social Insurance Number

DLPテスト⑥ 在留カード番号 Japanese Residence Card Number

DLPテスト⑦ クレジットカード番号 Credit Card Number

DLPテスト⑧ IPアドレス IP Address

42

以下の項目をカスタムポリシーで検出

設定名 パターン 閾値

DLPテスト⑨ 電

話番号

(?:^|¥s)0(?:[1-9]{1}[-¥(]?[2-9]¥d{3}|[1-9]{2}[-¥(]?[2-9]¥d{2}|[1-9]{2}¥d{1}[-¥(]?[1-

9]¥d{1}|[1-9]{4}[-¥(]?[2-9]{1}|[5789]0[-¥(]?¥d{4})[-¥)]?¥d{4}(?:$|¥s)

25

DLPテスト⑩ 郵

便番号

(?:^|¥s)[¥d１２３４５６７８９０]{3}[-－ー―][¥d１２３４５６７８９０]{4}(?:$|¥s) 25

DLPテスト⑪ 住

所

(?:北海道|青森県|岩手県|宮城県|秋田県|山形県|福島県|茨城県|栃木県|群馬県|埼玉

県|千葉県|東京都|神奈川県|新潟県|富山県|石川県|福井県|山梨県|長野県|岐阜県|静

岡県|愛知県|三重県|滋賀県|京都府|大阪府|兵庫県|奈良県|和歌山県|鳥取県|島根県|

岡山県|広島県|山口県|徳島県|香川県|愛媛県|高知県|福岡県|佐賀県|長崎県|熊本県|

大分県|宮崎県|鹿児島県|沖縄県)[¥s ]{0,9}[^¥s¥w¥d ]{1,6}[市郡区町

村][¥s ]{0,9}[^¥s¥w¥d ]{1,9}

25

DLPテスト⑫ メー

ルアドレス

事前設定パターン「すべての国：メールアドレス」を利用 25

DLPテスト⑬

マイナンバー

(?:^|¥s)(?:[¥d１２３４５６７８９０]{4}[-－ー―][¥d１２３４５６７８９０]{4}[-－ー

―][¥d１２３４５６７８９０]{4}|[¥d１２３４５６７８９０]{6}[¥d１２３４５６７

８９０]{6})(?:$|¥s)

25

※ 本番導入前に必ず事前検証による動作確認を実施してください

43

設定名 パターン 閾値

DLPテスト⑬ 機密

情報

(?:機密|極秘|confidential) 1

DLPテスト⑭ 社内

限情報

(?:社外秘|internal) 1

DLPテスト⑮ 取扱

注意情報

(?:取り扱い注意|取扱い注意|取扱注意) 1

※ 本番導入前に必ず事前検証による動作確認を実施してください

※ Skype for Business については MAM により対応