Contoso Corporation の情報保護
Contoso は情報セキュリティに真剣に取り組む。 その製品設計と独自の製造技術を記述する知的財産の漏洩または破壊は、競争上の不利益になります。
機密性の高いデジタル資産をクラウドに移行する前に、Contoso はオンプレミスの情報の分類と保護の要件が、Microsoft 365 for enterprise のクラウドベースのサービスによってサポートされていることを確認しました。
Contoso データ セキュリティ分類
Contoso はデータの分析を実行し、次の分類レベルを決定しました。
| レベル 1: ベースライン | レベル 2: 機密 | レベル 3: 厳しく規制 |
|---|---|---|
| データは暗号化され、認証されたユーザーのみが使用できます。 オンプレミスおよびクラウドベースのストレージとワークロードに格納されているすべてのデータに対して提供されます。 データは、サービス内に存在している間、およびサービスとクライアント デバイス間の転送中は暗号化されます。 レベル 1 のデータの例には、通常のビジネス通信 (電子メール) や、管理、販売、およびサポート ワーカー用のファイルがあります。 |
レベル 1 以上の強力な認証とデータ損失保護。 強力な認証には、SMS 検証Microsoft Entra多要素認証 (MFA) が含まれます。 Microsoft Purview データ損失防止は、機密性の高い情報や重要な情報が Microsoft クラウドの外部に移動しないようにします。 レベル 2 のデータの例には、財務情報や法的情報、新製品の研究開発データがあります。 |
レベル 2 以上の最高レベルの暗号化、認証、監査。 保存データおよびクラウド内のデータに対する最高レベルの暗号化。地域の規制に準拠し、スマート カードや詳細な監査と警告を使用する MFA と組み合わされています。 レベル 3 のデータの例としては、顧客とパートナーの個人情報、製品エンジニアリング仕様、および独自の製造技術があります。 |
Contoso の情報ポリシー
次の表に、Contoso の情報ポリシーを示します。
| 値 | Access | データ保存期間 | 情報保護 |
|---|---|---|---|
| 低いビジネス価値 (レベル 1: ベースライン) | すべてのユーザーへのアクセスを許可します。 | 6 か月 | 暗号化を使用します。 |
| 中程度のビジネス価値 (レベル 2: 機密) | Contoso の従業員、下請け業者、パートナーへのアクセスを許可します。 MFA、トランスポート層セキュリティ (TLS)、およびモバイル アプリケーション管理 (MAM) を使用します。 |
2 年 | データ整合性のためにハッシュ値を使用します。 |
| 高度なビジネス価値 (レベル 3: 厳しく規制) | エグゼクティブ、およびエンジニアリングと製造の潜在顧客に対してアクセスを許可します。 管理されたネットワーク デバイスのみの Rights Management System (RMS) です。 |
7 年 | 否認防止のためにデジタル署名を使用します。 |
Microsoft 365 for enterprise での情報保護への Contoso パス
Contoso は、次の手順に従って、Microsoft 365 for enterprise の情報保護要件を準備しました。
保護する情報を特定する
Contoso は、オンプレミスの SharePoint サイトとファイル共有にある既存のデジタル資産の広範なレビューを行い、各資産を分類しました。
各データ レベルについてアクセス、保持、情報保護ポリシーを決定する
データ レベルに基づいて、Contoso 社は詳細なポリシー要件を決定しました。この要件は、クラウドへの移行時に既存のデジタル資産を保護するために使用されました。
さまざまなレベルの情報に対して秘密度ラベルとその設定を作成する
Contoso 社では、データのレベルに応じた機密ラベルを作成しました。「厳しく規制」のラベルで、暗号化、アクセス許可、透かしなどが含まれます。
オンプレミスの SharePoint サイトとファイル共有から新しい SharePoint サイトにデータを移動する
新しい SharePoint サイトに移行したファイルには、そのサイトに割り当てられた既定の保持ラベルを継承させました。
新しいドキュメントに秘密度ラベルを使用する方法、新しい SharePoint サイトを作成するときに Contoso IT と対話する方法、および常に SharePoint サイトにデジタル資産を格納する方法を従業員にトレーニングする
悪いワーカー情報ストレージの習慣を変更することは、多くの場合、クラウドの情報保護移行の最も困難な部分と考えられます。 Contoso の IT と管理では、従業員が常にデジタル資産にラベルを付けてクラウドに保存し、オンプレミスのファイル共有を使用しないようにし、サードパーティのクラウド ストレージ サービスや USB ドライブを使用しないようにする必要があります。
情報保護のための条件付きアクセス ポリシー
Exchange Onlineと SharePoint のロールアウトの一環として、Contoso は次の条件付きアクセス ポリシーのセットを構成し、適切なグループに適用しました。
情報保護のための Contoso ポリシーのセットを次に示します。
注:
Contoso 社は、ID とサインイン用に追加の条件付きアクセス ポリシーも構成しました。 「Contoso 社の ID」を参照してください。
これらのポリシーでは、次のことを確実にします。
- 許可されるアプリと、organizationのデータで実行できるアクションは、アプリ保護ポリシーによって定義されます。
- PC とモバイル デバイスが必ず準拠している。
- Exchange Onlineでは、Exchange Online Office 365メッセージ暗号化 (OME) が使用されます。
- SharePoint では、アプリによって適用される制限が使用されます。
- SharePoint は、ブラウザー専用のアクセスにアクセス制御ポリシーを使用して、管理されていないデバイスのアクセスはブロックする。
エンタープライズ機能の Microsoft 365 を Contoso データ レベルにマッピングする
次の表は、Contoso のデータ レベルを Microsoft 365 for enterprise の情報保護機能にマップします。
| レベル | Microsoft 365 クラウド サービス | Windows 10 および Microsoft 365 Apps for enterprise | セキュリティとコンプライアンス |
|---|---|---|---|
| レベル 1: ベースライン | SharePoint および Exchange Online の条件付きアクセス ポリシー SharePoint サイトのアクセス許可 |
機密ラベル BitLocker Windows 情報保護 |
デバイスの条件付きアクセス ポリシーとモバイル アプリケーション管理ポリシー |
| レベル 2: 機密 | レベル 1 プラス: 秘密度ラベル SharePoint サイトの Microsoft 365 保持ラベル SharePoint および Exchange Online 用のデータ損失防止 分離した SharePoint サイト |
レベル 1 プラス: デジタル資産の機密ラベル |
レベル 1 |
| レベル 3: 厳しく規制 | レベル 2 プラス: 企業秘密情報に対する独自のキー (BYOK) の暗号化と保護を持ち込む Microsoft 365 サービスと対話する基幹業務アプリケーション用の Azure Key Vault |
レベル 2 | レベル 1 |
結果として得られる Contoso の情報保護構成を次に示します。
次の手順
Contoso が Id とアクセスの管理、脅威の保護、情報保護、および セキュリティ管理のために Microsoft 365 for enterprise 全体のセキュリティ機能 を使用する方法について説明します。
関連項目
Microsoft Defender for Office 365