S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days]
•
2 j'aime•757 vues
日本マイクロソフト株式会社 サイバー セキュリティ&コンプライアンス統括本部 コンプライアンス技術営業本部 本部長 一瀬 幹泰 COVID-19 により引き続きテレワークが推奨される中、内部不正の事例は増加の一途を辿っています。 そのような状況で、なぜ今コンプライアンスに取り組まなければいけないのか、コンプライアンスに取り組むメリットは何か、更にマイクロソフトがどのような解決策を提供できるかについて、Microsoft 365 E5 Compliance をベースに説明いたします。 本セッションを通じて、Microsoft 365 E5 Compliance の全体像を理解いただけるような内容となっております。 【Microsoft Japan Digital Daysについて】 Microsoft Japan Digital Days は、お客様が競争力を高め、市場の変化に迅速に対応し、より多くのことを達成することを目的とした、日本マイクロソフトがお届けする最大級のデジタル イベントです。4 日間にわたる本イベントでは、一人一人の生産性や想像力を高め、クラウド時代の組織をデザインするモダンワークの最新事例や、変化の波をうまく乗り切り、企業の持続的な発展に必要なビジネスレジリエンス経営を支えるテクノロジの最新機能および、企業の競争優位性に欠かせないクラウド戦略のビジョンなどデジタル時代に必要な情報をお届けいたしました。(2021年10月11日~14日開催)
Recommandé
Recommandé
Contenu connexe
Tendances
Tendances (20)
Similaire à S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days]
Similaire à S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days] (20)
Plus de 日本マイクロソフト株式会社
Plus de 日本マイクロソフト株式会社 (20)
Dernier
Dernier (7)
S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days]
- 1. Microsoft Japan Digital Days *本資料の内容 (添付文書、リンク先などを含む) は Microsoft Japan Digital Days における公開日時点のものであり、予告なく変更される場合があります。 #MSDD2021 経営層/ IT 部門が意識 すべきコンプライアンス対応 -Microsoft 365 E5 Compliance で実現するリスク対策- 日本マイクロソフト株式会社 サイバー セキュリティ & コンプライアンス統括本部 コンプライアンス技術営業本部 本部長 一瀬 幹泰 # S07 Microsoft 365 Certified: Enterprise Administrator Expert, CISSP 596997, IPA 情報処理安全確保支援士 No.527
- 2. Agenda 情報の扱いに関わるリスク Information Protection & Governance Insider Risk Management eDiscovery & Audit まとめ
- 3. マイクロソフトのコンプライアンスとは? データ セキュリティのリスクと具体的な対応方法 DDoS、マルウェア、脆弱性をつく 攻撃によるパスワードの盗難や データ漏えいなど 外部リスク 社員による意図的な会社資産の 悪用や持ち出し、 IT から許可されてい ないクラウド サービスの利用 内部リスク 規制対応 法規制、社会的責任(CSR)、 行動規約、リスク マネージメント一般、 業界別・地域別の規制など 内部不正対策 機密情報の保護 文書のガバナンス 証跡保全 Microsoft 365 E5 Compliance の守備範囲 監査記録
- 4. IPA 「情報セキュリティ 10 大脅威 2021」と実被害の動向 参考:https://www.ipa.go.jp/security/vuln/10threats2021.html 順位 「組織」の 10 大脅威 1 ランサムウェアによる被害 2 標的型攻撃による機密情報の窃取 3 テレワーク等のニュー ノーマルな働き方を狙った攻撃 4 サプライ チェーンの弱点を悪用した攻撃の高まり 5 ビジネス メール詐欺による金銭被害 6 内部不正による情報漏えい 7 予期せぬ IT 基盤の障害に伴う業務停止 8 インターネット上のサービスへの不正ログイン 9 不注意による情報漏えい等の被害 10 脆弱性対策情報の公開に伴う悪用増加 2021/1 元従業員による機密情報の不正持出 競合企業に転職した元技術職社員が 5G 無線基地局の配置情報等の機密 情報を、自身のメール アドレスに送信 2021/7 教育機関で職員の操作ミスにより 奨学金関連情報を誤送付 約 1 万人分の生徒個人情報に加え、 数百人分の奨学金月額や収入等の 機微情報が漏えい 関連する実被害・ニュース
- 5. Insider Risk Management Information Protection & Governance eDiscovery & Audit Microsoft 365 E5 Compliance 自動もしくは手動で 個人情報・機密情報の識別 ユーザーに見える形で 情報のラベル付け、保護、 取扱いに関する警告 分類に応じた 情報のライフサイクル管理 ユーザー操作を定量的に監視し、 機密情報・個人情報の 取扱いに関するリスク識別 社内外での不適切な コミュニケーションを検出 利益相反するユーザー間の コミュニケーションを制限 効率的なコンテンツ検索と、 機会学習ベースの検索結果の 絞り込みおよび抽出 長期のログ保存と、 インシデント時重要となる 追加ログの記録 Compliance Manager コンプライアス対応状況を各国規制に従って継続的に評価 機密情報保護への意識付け 悪質なケースで懲罰 訴訟に備え否認防止・証拠保存 対策不備を継続確認
- 6. Microsoft Japan Digital Days Information Protection & Governance
- 7. 機密情報を識別してデータを保護・統制 クラウド ストレージ ファイルサーバー SharePoint Server Office 365 クラウド・ストレージ・アプリ Microsoft 365 Apps for Business 保護 SaaS × データ損失防止 データ ライフサイクル管理 マイナンバー クレジットカード番号 キーワード・正規表現 顧客 DB・ 既存ドキュメント
- 8. Microsoft Japan Digital Days デモ: Office for the web でマイナンバーを検知し暗号化の分類を推奨
- 10. デバイス、オンプレミス、クラウドに渡る全体的な 情報分類と情報漏えいの監視・ブロック デバイス • ファイルサーバー • SharePoint Server Office 365 SaaS (Box などの他社) デバイス オンプレミス クラウド Office 365 3rd Party Office Apps Endpoint DLP AIP Scanner 自動ラベル付けポリシー Office 365 DLP Microsoft Cloud App Security
- 11. Microsoft Japan Digital Days デモ: Endpoint DLP 管理外へのアップロード禁止
- 12. Microsoft Japan Digital Days デモ: Endpoint DLP 個人情報のコピーと印刷の禁止
- 13. Microsoft Japan Digital Days Insider Risk Management
- 15. 内部リスクの管理 15 従業員 B さん 〇月〇日にBさんが営業秘密情報を含むファイルのダウンロード後に USBメディアや個人利用のクラウドサービスに100個コピーした Office 365 営業秘密情報 ダウンロード Insider Risk Management 個人利用の クラウド ストレージ Copy Upload Risk Score 75 ×月×日にAさんが顧客情報を含むファイルを 個人メールアドレスに10回送信した 自宅 自宅 PC 会社PC 顧客情報の 添付 Insider Risk Management Risk Score 50 従業員 A さん リスクの高いユーザーの機密情報へのアクセス・入手・隠ぺい・流出の操作を Office 365 とデバイスのログから分析 頻度や量、機密情報の関与などをもとにリスク スコアを算出
- 16. Microsoft Japan Digital Days デモ: 内部リスクの管理 アラートと分析
- 17. コミュニケーション コンプライアンス 事前定義したキーワードや条件、機械学習を活用して、メッセージ コンテンツにおける行動規範の違反を検出 ハラスメント・過労・違法な業務命令・カルテル等の談合などの兆候を見つけて大きな問題になる前に対処 違反の疑いのある通信はコンプライアンス 担当者が内容を確認し、軽微なものは 本人に警告、重要なものはケース化して 管理可能 ※ 3rd Party アプリの監査には、取り込んだ容量に応じた課金 (500 GB 単位で月 $400) となり、種類によりパートナー提供のデータ コネクタも必要 Bloomberg メッセージ、Instant Bloomberg、 IceChat は Microsoft 純正コネクタあり ※ 2021 年 9 月時点で、 Teams での日本語検出は現状課題あり Webex WeChat
- 18. シナリオ例 • 金融業: 営業部門とファンド運用部門 • 金融業: 銀行部門と証券部門間 • 製造業: 防衛関連部門とそれ以外 • 製造業: 秘匿性の高い研究開発部門とそれ以外 • B2B ビジネス: 競合他社を担当する営業部門間 • 経営企画: M&A 等インサイダー情報を扱う部門とそれ以外 Information Barrier が評価されるトリガー ✓ チームへのメンバー追加 ✓ 新しいチャット (1×1,Group) の開始 ✓ 招待された会議への参加 ✓ デスクトップの共有 ✓ Teams の音声通話 (VoIP) ✓ SPO サイト/ファイル共有へのアクセス 部門 A 部門 B 部門 D 〇 部門 A 部門 B 部門 D 機密情報や部門外秘情報を扱うメンバーなどを中心に コミュニケーション可能なグループを制限 情報バリア 〇 〇
- 19. Microsoft Japan Digital Days eDiscovery & Audit
- 20. 高度な電子情報開示 – Advanced eDiscovery 一定量のマシンラーニングへのインプットで、残るデータから、 関連するドキュメントと関連しないドキュメントを自動で識別 関連ドキュメントの特定と削減 クラスタリング技術でコンテキスト内のドキュメントを 確認し関係性を把握 データの関係性の特定 準重複検出によってデータを編成し、非構造化データから メール スレッドを再構築、レビュー用のデータの量を削減 eDiscovery 対応時等に弁護士費用を大幅削減 レビュー前にデータを編成、削減 非構造化データのスマートな探索と分析により、関連データを迅速に特定
- 21. Office 365 標準 10 年 内部不正の監査においても、加工・抽出 しないのでログの真正性を維持 E5 Compliance + アドオンで監査ログの長期保存 *Microsoft 365 E5, Office 365 E5, Discovery & Audit でも可 Microsoft 365 E5 Compliance* 1 年 2$ /ユーザー/月の アドオン ライセンス
- 22. Microsoft Japan Digital Days Compliance Management
- 23. Compliance Manager コンプライアンス対応の簡素化とリスクの低減 ビルトインによる自動化 リスクを低減するための高度な自動化: コンプライアンス スコア、コントロール マッピング、 継続的なアセスメントを提供 直感的な管理 コンプライアンス管理のオンボーディングから 制御の実装までを直感的に実施 スケーラブルなアセスメント 多くのアセスメントを利用してすべての資産に対し 独自のコンプライアンス要件を適用可能
- 24. Compliance Manager 評価テンプレートとライセンス 標準組み込み Data Protection Baseline E5 に含まれるアセスメント GDPR NIST 800-53 ISO 27001 カスタム アセスメント 325 超のプレミアム アセスメント 個人情報の保護に関する法律 プライバシー マーク - JIS Q 15001 : 2017 NIST 800-173 ISO 27017:2015 ISO/IEC 27018 etc. 対応ラインセンス • Microsoft 365 F1/F3 • Microsoft 365 E1/E3 • Microsoft 365 Business • Office 365 F3/E1/E3 対応ラインセンス • Microsoft 365 E5 • Microsoft 365 E5 Compliance • Office 365 E5 対応ラインセンス • テンプレート毎に年額 $30,000 の プレミアム評価アドオン ライセンス
- 25. Microsoft Japan Digital Days まとめ
- 26. Insider Risk Management Information Protection & Governance eDiscovery & Audit Microsoft 365 E5 Compliance 自動もしくは手動で 個人情報・機密情報の識別 ユーザーに見える形で 情報のラベル付け、保護、 取扱いに関する警告 分類に応じた 情報のライフサイクル管理 ユーザー操作を定量的に監視し、 機密情報・個人情報の 取扱いに関するリスク識別 社内外での不適切な コミュニケーションを検出 利益相反するユーザー間の コミュニケーションを制限 効率的なコンテンツ検索と、 機会学習ベースの検索結果の 絞り込みおよび抽出 長期のログ保存と、 インシデント時重要となる 追加ログの記録 Compliance Manager コンプライアス対応状況を各国規制に従って継続的に評価 機密情報保護への意識付け 悪質なケースで懲罰 訴訟に備え否認防止・証拠保存 対策不備を継続確認
- 27. Microsoft Japan Digital Days ライセンス 機能 概要 Microsoft 365 E5 Compliance Information Protection & Governance トレーニング可能な分類器 マシン ラーニングで類似するドキュメントや表現をマッチング 完全なデータ一致 型ではなく顧客データベース等の実データの値を元にマッチング Office 365 での自動ラベル付け SharePoint Online / OneDrive for Business に 保存されたファイルや Office Online での自動分類 Endpoint DLP 端末上での機密情報の漏えいを監視・防止 オンプレミス スキャナー AIP スキャナーの拡張で、ファイル サーバーや SharePoint Server に 保護すべきファイルが見つかればラベルを適用もしくは権限を変更 情報ガバナンス 削除からの保護と一定期間での削除 カスタマー キー テナントの暗号化キーをお客様が所持 高度なメッセージ暗号化 外部へ送信した暗号化メールをネイティブ対応していないメーラーで 受け取った際のメッセージのブランディングのカスタマイズと取り消し Teams でのデータ損失防止 Teams チャット内で機密情報を検出し送信をブロック ダブル キー暗号化 お客様側で個別に管理するサーバーも使ってファイルを暗号化 Insider Risk Management 内部リスクの管理 機密情報の漏洩が疑われる操作をトラッキング コミュニケーション コンプライアンス 不適切な単語の利用や不正が疑われるコミュニケーションを監査 情報バリア 特定組織のメンバーが Teams・SharePoint で情報を発信できる先を制限 カスタマー ロックボックス マイクロソフト運用担当者が生データにアクセスする際、お客様承認を必須に 特権アクセス管理 特権の利用を制限し統制 eDiscovery & Audit 高度な監査 最大 1 年間の監査ログの保持と追加の操作記録 Advanced eDiscovery 検索で抽出したデータをマシン ラーニングで削減 Microsoft 365 E5 Compliance 主要機能
- 28. © 2021 Microsoft Corporation. All rights reserved. 本情報の内容 (添付文書、リンク先などを含む) は、公開日時点のものであり、予告なく変更される場合があります。 本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。