de:code 2019 SE04 企業情報保護のベストプラクティス! Microsoft Information Protection による 実践的な情報漏えい対策 モダンワークプレイス統括本部 テクノロジー ソリューション プロフェッショナル CISSP 山本 明広
de:code 2019 SE04
企業情報保護のベストプラクティス!
Microsoft Information Protection による
実践的な情報漏えい対策
モダンワークプレイス統括本部
テクノロジー ソリューション プロフェッショナル
CISSP
山本 明広
Agenda
情報漏えいの主な原因人の行動がきっかけとなるインシデントが最も多い
参考:JNSA 2017年情報セキュリティインシデントに関する調査報告書
https://www.jnsa.org/result/incident/
・不正アクセス
・不正な情報持ち出し
・盗難
・内部犯行、内部不正
・バグ、セキュリティホール
・ワームウイルス
34.3 %故意によるもの
・誤操作
・紛失、置き忘れ
・管理ミス
・設定ミス
64.6 %うっかりミス
フィッシングメール 悪質な添付ファイル
フィッシングリンクをクリック
端末感染攻撃者サーバーとの
接続
ブルートフォース漏洩した資格情報
ユーザアカウントの乗っ取り
横方向移動特権アカウントの
乗っ取りドメイン乗っ取り
機密情報へのアクセス
データ摂取・改ざん
永続化
+
フィッシングサイト閲覧
マルウェア(プログラム)の振る舞い
= Intelligence
人(ID)の振る舞い
= Insight
攻撃の振る舞い
Phase 1 Phase 2
誰がどんな情報を漏えいさせるのか?
情報の分類 情報の保護 情報の可視化
情報漏えい対策の課題
対策に必要なプロセス
Microsoft Information Protection
PC、タブレット、モバイル
Office 365 DLP & Message EncryptionWindows Information Protection
Azure Information Protection
Exchange Online, SharePoint Online &
OneDrive for Business
法令準拠
Microsoft Cloud App Security
Office 365 Advanced Data Governance
データセンター、ファイル サーバー
Azure SaaS & ISVs
O f f i c e 3 6 5デバイス クラウド サービス、S a a S アプリ、およびオンプレミス
Intune MDM & MAM
Microsoft Information Protection を構成するサービス
Microsoft Information Protection の考え方
デバイス アプリケーション クラウド オンプレミス
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出
CLOUD & SaaS APPS
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出
CLOUD & SaaS APPS
情報の分類
ラベルの定義
Non-Business
基本的なラベルは5種類
分類の自動化
ラベル付けをどう徹底するのか?自動化により付け忘れを防止
自動
自動 推奨
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出
CLOUD & SaaS APPS
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出
Off
ice a
pp
s,
Win
do
ws
Info
rmati
on
P
rote
cti
on
CLOUD & SaaS APPS
新規作成ファイルのラベリング(ローカルPC)
新規作成ファイルのラベリングOffice apps
xAzure Information Protection
DEMO
新規作成ファイルの自動ラベリングAIP Client によりローカル PC 内で作成されるファイルの自動検出とラベリングを実施
Azure InformationProtection Client
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出 Off
ice 3
65
, M
icro
soft
Clo
ud
A
pp
Secu
rity
CLOUD & SaaS APPS
クラウド上のファイルのラベリング(SPO、EXO、OneDrive など)
クラウド上のファイルのラベリングMicrosoft Cloud App Security
xAzure Information Protection
DEMO
クラウドストレージ上のファイルの自動ラベリングMicrosoft Cloud App Security によるクラウド上に保存されている
ファイルの監査と自動ラベリング
MicrosoftCloud App Security
SharePoint Online
OneDrive for Business
• オンプレミス、クラウド
• PC、タブレット、スマートフォン
• クラウドストレージ
• SaaS アプリケーション
ラベル
検出
AIP
sc
an
ner
CLOUD & SaaS APPS
既存ファイルのラベリング(ファイルサーバー、SPS)
既存ファイルの自動ラベリングAIP Scanner によりオンプレミスのファイルサーバーや SharePoint Server 内に
作成されているファイルを自動検出しラベリング
Azure InformationProtection Scanner
SharePoint Server
(HTTP/HTTPS)
File Share (SMB)
情報の保護
情報流出の経路流出経路に応じた対策が必要
電子メールによる情報漏えい対策Exchange Online トランスポートルール
xAzure Information Protection
DEMO
シャドーIT による情報漏えい対策Windows Information Protection
xMicrosoft Defender ATP
xAzure Information Protection
DEMO
条件付きアクセスによる情報漏えい対策Azure Active Directory
xMicrosoft Cloud App Security
xAzure Information Protection
DEMO
ラベルと情報漏えい対策の対応表
流出経路 電子メールUSB
シャドーIT外部共有
悪意のある
ユーザー
AIP+EXOAIP+WIP
+WDATP
AIP
+MCASAIP
Confidential(暗号化) ● ● ● ●Internal
(既定ラベル) ● ● ● -Public - -
対策ラベル
ログ
アーカイブ
ログ
DL禁止※
※条件付きアクセスが必要
暗号化については必須では無い
情報の可視化
包括的な情報の可視化Microsoft 365 Compliance Center
xAzure Information Protection
DEMO
Flow & Teams 連携による運用の効率化Microsoft Flow
xMicrosoft Teams
xMicrosoft Cloud App Security
DEMO
情報の分類 情報の保護 情報の可視化
自動検出による
漏れのないラベル適用AIP/MCAS/AIP Scanner
規定ラベルによる
うっかりミスの防止AIP/MCAS/WIP/MDATP
ラベリングされたファイルの
可視化とログの取得Microsoft 365
Compliance Center
Microsoft Flow
Microsoft Teams
OK
ラベルを付けましょう!
© 2018 Microsoft Corporation. All rights reserved.
本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。
© 2019 Microsoft Corporation. All rights reserved.
本情報の内容 (添付文書、リンク先などを含む) は、de:code 2019 開催日 (2019年5月29~30日) 時点のものであり、予告なく変更される場合があります。
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。
Appendix
41
以下の項目を定義済みポリシーで検出
設定名 ポリシー名
DLPテスト① 銀行口座番号 Japan Bank Account Number
DLPテスト② 運転免許証番号 Japan Driver's License Number
DLPテスト③ 日本パスポート番号 Japan Passport Number
DLPテスト④ 住基ネットナンバー Japan Resident Registration Number
DLPテスト⑤ 社会保険番号 Japan Social Insurance Number
DLPテスト⑥ 在留カード番号 Japanese Residence Card Number
DLPテスト⑦ クレジットカード番号 Credit Card Number
DLPテスト⑧ IPアドレス IP Address
42
以下の項目をカスタムポリシーで検出
設定名 パターン 閾値
DLPテスト⑨ 電
話番号
(?:^|¥s)0(?:[1-9]{1}[-¥(]?[2-9]¥d{3}|[1-9]{2}[-¥(]?[2-9]¥d{2}|[1-9]{2}¥d{1}[-¥(]?[1-
9]¥d{1}|[1-9]{4}[-¥(]?[2-9]{1}|[5789]0[-¥(]?¥d{4})[-¥)]?¥d{4}(?:$|¥s)
25
DLPテスト⑩ 郵
便番号
(?:^|¥s)[¥d1234567890]{3}[--ー―][¥d1234567890]{4}(?:$|¥s) 25
DLPテスト⑪ 住
所
(?:北海道|青森県|岩手県|宮城県|秋田県|山形県|福島県|茨城県|栃木県|群馬県|埼玉
県|千葉県|東京都|神奈川県|新潟県|富山県|石川県|福井県|山梨県|長野県|岐阜県|静
岡県|愛知県|三重県|滋賀県|京都府|大阪府|兵庫県|奈良県|和歌山県|鳥取県|島根県|
岡山県|広島県|山口県|徳島県|香川県|愛媛県|高知県|福岡県|佐賀県|長崎県|熊本県|
大分県|宮崎県|鹿児島県|沖縄県)[¥s ]{0,9}[^¥s¥w¥d ]{1,6}[市郡区町
村][¥s ]{0,9}[^¥s¥w¥d ]{1,9}
25
DLPテスト⑫ メー
ルアドレス
事前設定パターン「すべての国:メールアドレス」を利用 25
DLPテスト⑬
マイナンバー
(?:^|¥s)(?:[¥d1234567890]{4}[--ー―][¥d1234567890]{4}[--ー
―][¥d1234567890]{4}|[¥d1234567890]{6}[¥d1234567
890]{6})(?:$|¥s)
25
※ 本番導入前に必ず事前検証による動作確認を実施してください
43
設定名 パターン 閾値
DLPテスト⑬ 機密
情報
(?:機密|極秘|confidential) 1
DLPテスト⑭ 社内
限情報
(?:社外秘|internal) 1
DLPテスト⑮ 取扱
注意情報
(?:取り扱い注意|取扱い注意|取扱注意) 1
※ 本番導入前に必ず事前検証による動作確認を実施してください
※ Skype for Business については MAM により対応