Contenu connexe Similaire à S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days] (20) Plus de 日本マイクロソフト株式会社 (20) S07_経営層 / IT 部門が意識すべきコンプライアンス対応 - Microsoft 365 E5 Compliance で実現するリスク対策 - [Microsoft Japan Digital Days]1. Microsoft Japan Digital Days
*本資料の内容 (添付文書、リンク先などを含む) は Microsoft Japan Digital Days における公開日時点のものであり、予告なく変更される場合があります。
#MSDD2021
経営層/ IT 部門が意識
すべきコンプライアンス対応
-Microsoft 365 E5 Compliance で実現するリスク対策-
日本マイクロソフト株式会社
サイバー セキュリティ & コンプライアンス統括本部
コンプライアンス技術営業本部 本部長
一瀬 幹泰
# S07
Microsoft 365 Certified: Enterprise Administrator Expert,
CISSP 596997, IPA 情報処理安全確保支援士 No.527
2. Agenda 情報の扱いに関わるリスク
Information Protection & Governance
Insider Risk Management
eDiscovery & Audit
まとめ
4. IPA 「情報セキュリティ 10 大脅威 2021」と実被害の動向
参考:https://www.ipa.go.jp/security/vuln/10threats2021.html
順位 「組織」の 10 大脅威
1 ランサムウェアによる被害
2 標的型攻撃による機密情報の窃取
3 テレワーク等のニュー ノーマルな働き方を狙った攻撃
4 サプライ チェーンの弱点を悪用した攻撃の高まり
5 ビジネス メール詐欺による金銭被害
6 内部不正による情報漏えい
7 予期せぬ IT 基盤の障害に伴う業務停止
8 インターネット上のサービスへの不正ログイン
9 不注意による情報漏えい等の被害
10 脆弱性対策情報の公開に伴う悪用増加
2021/1
元従業員による機密情報の不正持出
競合企業に転職した元技術職社員が
5G 無線基地局の配置情報等の機密
情報を、自身のメール アドレスに送信
2021/7
教育機関で職員の操作ミスにより
奨学金関連情報を誤送付
約 1 万人分の生徒個人情報に加え、
数百人分の奨学金月額や収入等の
機微情報が漏えい
関連する実被害・ニュース
5. Insider Risk
Management
Information
Protection &
Governance
eDiscovery &
Audit
Microsoft 365 E5 Compliance
自動もしくは手動で
個人情報・機密情報の識別
ユーザーに見える形で
情報のラベル付け、保護、
取扱いに関する警告
分類に応じた
情報のライフサイクル管理
ユーザー操作を定量的に監視し、
機密情報・個人情報の
取扱いに関するリスク識別
社内外での不適切な
コミュニケーションを検出
利益相反するユーザー間の
コミュニケーションを制限
効率的なコンテンツ検索と、
機会学習ベースの検索結果の
絞り込みおよび抽出
長期のログ保存と、
インシデント時重要となる
追加ログの記録
Compliance Manager
コンプライアス対応状況を各国規制に従って継続的に評価
機密情報保護への意識付け 悪質なケースで懲罰 訴訟に備え否認防止・証拠保存
対策不備を継続確認
18. シナリオ例
• 金融業: 営業部門とファンド運用部門
• 金融業: 銀行部門と証券部門間
• 製造業: 防衛関連部門とそれ以外
• 製造業: 秘匿性の高い研究開発部門とそれ以外
• B2B ビジネス: 競合他社を担当する営業部門間
• 経営企画: M&A 等インサイダー情報を扱う部門とそれ以外
Information Barrier が評価されるトリガー
✓ チームへのメンバー追加
✓ 新しいチャット (1×1,Group) の開始
✓ 招待された会議への参加
✓ デスクトップの共有
✓ Teams の音声通話 (VoIP)
✓ SPO サイト/ファイル共有へのアクセス
部門 A 部門 B
部門 D
〇
部門 A 部門 B
部門 D
機密情報や部門外秘情報を扱うメンバーなどを中心に
コミュニケーション可能なグループを制限
情報バリア
〇
〇
20. 高度な電子情報開示 – Advanced eDiscovery
一定量のマシンラーニングへのインプットで、残るデータから、
関連するドキュメントと関連しないドキュメントを自動で識別
関連ドキュメントの特定と削減
クラスタリング技術でコンテキスト内のドキュメントを
確認し関係性を把握
データの関係性の特定
準重複検出によってデータを編成し、非構造化データから
メール スレッドを再構築、レビュー用のデータの量を削減
eDiscovery 対応時等に弁護士費用を大幅削減
レビュー前にデータを編成、削減
非構造化データのスマートな探索と分析により、関連データを迅速に特定
21. Office 365 標準
10 年
内部不正の監査においても、加工・抽出
しないのでログの真正性を維持
E5 Compliance + アドオンで監査ログの長期保存
*Microsoft 365 E5, Office 365 E5,
Discovery & Audit でも可
Microsoft 365 E5 Compliance*
1 年
2$ /ユーザー/月の
アドオン ライセンス
24. Compliance Manager 評価テンプレートとライセンス
標準組み込み
Data Protection Baseline
E5 に含まれるアセスメント
GDPR
NIST 800-53
ISO 27001
カスタム アセスメント
325 超のプレミアム アセスメント
個人情報の保護に関する法律
プライバシー マーク - JIS Q 15001 : 2017
NIST 800-173
ISO 27017:2015
ISO/IEC 27018 etc.
対応ラインセンス
• Microsoft 365 F1/F3
• Microsoft 365 E1/E3
• Microsoft 365 Business
• Office 365 F3/E1/E3
対応ラインセンス
• Microsoft 365 E5
• Microsoft 365 E5 Compliance
• Office 365 E5
対応ラインセンス
• テンプレート毎に年額 $30,000 の
プレミアム評価アドオン ライセンス
26. Insider Risk
Management
Information
Protection &
Governance
eDiscovery &
Audit
Microsoft 365 E5 Compliance
自動もしくは手動で
個人情報・機密情報の識別
ユーザーに見える形で
情報のラベル付け、保護、
取扱いに関する警告
分類に応じた
情報のライフサイクル管理
ユーザー操作を定量的に監視し、
機密情報・個人情報の
取扱いに関するリスク識別
社内外での不適切な
コミュニケーションを検出
利益相反するユーザー間の
コミュニケーションを制限
効率的なコンテンツ検索と、
機会学習ベースの検索結果の
絞り込みおよび抽出
長期のログ保存と、
インシデント時重要となる
追加ログの記録
Compliance Manager
コンプライアス対応状況を各国規制に従って継続的に評価
機密情報保護への意識付け 悪質なケースで懲罰 訴訟に備え否認防止・証拠保存
対策不備を継続確認
27. Microsoft Japan Digital Days
ライセンス 機能 概要
Microsoft
365
E5
Compliance
Information
Protection &
Governance
トレーニング可能な分類器 マシン ラーニングで類似するドキュメントや表現をマッチング
完全なデータ一致 型ではなく顧客データベース等の実データの値を元にマッチング
Office 365 での自動ラベル付け
SharePoint Online / OneDrive for Business に
保存されたファイルや Office Online での自動分類
Endpoint DLP 端末上での機密情報の漏えいを監視・防止
オンプレミス スキャナー
AIP スキャナーの拡張で、ファイル サーバーや SharePoint Server に
保護すべきファイルが見つかればラベルを適用もしくは権限を変更
情報ガバナンス 削除からの保護と一定期間での削除
カスタマー キー テナントの暗号化キーをお客様が所持
高度なメッセージ暗号化
外部へ送信した暗号化メールをネイティブ対応していないメーラーで
受け取った際のメッセージのブランディングのカスタマイズと取り消し
Teams でのデータ損失防止 Teams チャット内で機密情報を検出し送信をブロック
ダブル キー暗号化 お客様側で個別に管理するサーバーも使ってファイルを暗号化
Insider Risk
Management
内部リスクの管理 機密情報の漏洩が疑われる操作をトラッキング
コミュニケーション コンプライアンス 不適切な単語の利用や不正が疑われるコミュニケーションを監査
情報バリア 特定組織のメンバーが Teams・SharePoint で情報を発信できる先を制限
カスタマー ロックボックス マイクロソフト運用担当者が生データにアクセスする際、お客様承認を必須に
特権アクセス管理 特権の利用を制限し統制
eDiscovery
& Audit
高度な監査 最大 1 年間の監査ログの保持と追加の操作記録
Advanced eDiscovery 検索で抽出したデータをマシン ラーニングで削減
Microsoft 365 E5 Compliance 主要機能
28. © 2021 Microsoft Corporation. All rights reserved.
本情報の内容 (添付文書、リンク先などを含む) は、公開日時点のものであり、予告なく変更される場合があります。
本コンテンツの著作権、および本コンテンツ中に出てくる商標権、団体名、ロゴ、製品、サービスなどはそれぞれ、各権利保有者に帰属します。