秘密度ラベル分類 & データ分類
機密データは、侵害によって盗まれたり、誤って共有されたり、公開されたりした場合、会社に重大なリスクを与える可能性があります。 リスク要因としては、評判の低下、経済的影響、競争上の優位性の喪失などがあります。 ビジネスが管理するデータと情報の保護は、organizationの最優先事項ですが、企業が保持するコンテンツの量を考えると、作業が本当に効果的かどうかを知るのは困難な場合があります。
ボリュームに加えて、コンテンツの重要性は、機密性が高く、影響が大きいものから、簡単で一時的なものまで多岐に及ぶ場合があります。 また、さまざまな規制コンプライアンス要件の下にもあります。 何に優先順位を付け、コントロールを適用する場所を知ることは困難な場合があります。 データ分類、コンテンツを盗難、妨害、不注意による破壊から保護するための重要なツール、および Microsoft 365 が情報セキュリティ目標の達成にどのように役立つかについて説明します。
データ分類とは
データ分類 は、サイバーセキュリティと情報ガバナンスの分野で使用される特殊な用語であり、その機密性または影響レベルに応じてコンテンツを識別、分類、保護するプロセスを記述します。 最も基本的な形式では、データ分類は、データの機密性または影響に基づいて、不正な開示、変更、または破棄からデータを保護する手段です。
データ分類フレームワークとは
多くの場合、正式な企業全体のポリシーで体系化されるデータ分類フレームワーク ("データ分類ポリシー" とも呼ばれます) は、通常、3 から 5 の分類レベルで構成されます。 これには通常、名前、説明、実際の例の 3 つの要素が含まれます。 Microsoft では、ユーザー インターフェイス (UI) を管理しやすい状態に保つために、5 つのサブラベル (合計 25) を持つ最上位レベルの親ラベルを 5 つ以下にすることをお勧めします。 通常、レベルは、パブリック、内部、機密、機密性の高いなど、最小限から最も機密性の高いレベルに配置されます。 その他のレベル名のバリエーションとして、 制限付き、 無制限、 コンシューマー保護などがあります。 Microsoft では、自己説明的で、相対的な秘密度を明確に強調するラベル名をお勧めします。 たとえば、 機密 と 制限付 きでは、どのラベルが適切かをユーザーが推測したままにする一方で、 機密 と 機密性の高い ラベルの方が明確になります。
次の表は、 機密性の高い データ分類フレームワーク レベルの例を示しています。
分類レベル | 説明 | 例 |
---|---|---|
非常に機密性の高い社外秘 | 機密性の高いデータは、企業によって保存または管理される最も機密性の高い種類のデータであり、侵害された場合、またはその他の方法で開示された場合に法的通知が必要になる場合があります。 制限付きデータには、最高レベルの制御とセキュリティが必要であり、アクセスは "知る必要がある" に制限する必要があります。 |
個人を特定できる機密情報 (機密性の高い PII) カード所有者データ 保護された正常性情報 (PHI) 銀行口座データ |
ヒント
Microsoft の企業データ分類フレームワークでは、もともとパイロット フェーズ中に "Internal" という名前のカテゴリとラベルが使用されていましたが、ドキュメントを外部で共有し、'General' を使用するように移行する正当な理由があることが判明しました。
データ分類フレームワークのもう 1 つの重要なコンポーネントは、各レベルに関連付けられているコントロールです。 データ分類レベル自体は、コンテンツの値または機密性を示す単なるラベル (またはタグ) です。 そのコンテンツを 保護 するために、データ分類フレームワークは、データ分類レベルごとに配置する必要があるコントロールを定義します。 これらのコントロールには、次に関連する要件が含まれる場合があります。
- ストレージの種類と場所
- 暗号化
- アクセス制御
- データの破棄
- データ損失防止
- 公開
- ログ記録と追跡アクセス
- 必要に応じて、その他の制御目標
セキュリティ制御はデータ分類レベルによって異なります。これにより、フレームワークで定義されている保護対策がコンテンツの機密性に見合って増加します。 たとえば、データ ストレージ制御の要件は、使用されているメディアと、特定のコンテンツに適用される分類レベルによって異なります。 次の表は、特定のストレージの種類のデータ分類コントロールの例を示しています。
ストレージの種類 | 社外秘 | 内部 | 無制限 |
---|---|---|---|
リムーバブル 記憶域 | 禁止 | 暗号化されていない限り禁止 | コントロールは必要ありません |
適切なレベルのデータ分類を正しく適用すると、実際の状況では複雑になり、エンド ユーザーが圧倒される場合があります。 必要なレベルのデータ分類を定義するポリシーまたは標準が作成されたら、このフレームワークを日常業務で実現する方法についてエンド ユーザーにガイドすることが重要です。 この領域では、データ分類処理ルールまたはガイドラインが適用されます。
データ分類処理ガイドラインは、ライフサイクルを通じて異なるストレージ メディアに対して、各レベルのデータを適切に処理する方法に関する特定のガイダンスをエンド ユーザーに提供します。 これらのガイドラインは、エンド ユーザーが、ドキュメントの共有、メールの送信、さまざまなプラットフォームや組織間での共同作業など、実際にルールを正しく適用するのに役立ちます。
Microsoft のお客様は、Information Protection プロジェクトの約 50% が技術的ではなくビジネスに重点を置いているため、エンド ユーザーのトレーニングとコミュニケーションが成功に不可欠であることを示しています。