Power BI の実装計画: 情報保護とデータ損失防止

この記事では、Power BI の情報保護とデータ損失防止 (DLP) に関する記事について説明します。 これらの記事はさまざまなユーザーを対象としています。

• Power BI 管理者: 組織の Power BI を監視する管理者。 Power BI 管理者は、情報セキュリティ チームやその他の関連チームと共同で作業する必要があります。
• センター オブ エクセレンス、IT、BI チーム: 組織内の Power BI の監視を担当するチーム。 これらのチームは、Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同で作業することが必要な場合があります。

通常、組織の Power BI を管理するユーザーが、情報保護と DLP のほとんどの側面に対して直接的な責任を担うことはありません。 これらの責任は、情報セキュリティ チームや他のシステム管理者が担っている可能性があります。

この一連の記事の焦点は次のとおりです。

• 理由: これらの機能がコンプライアンスと監査にとって重要である理由。
• 内容: エンド ツー エンド プロセスの内容の概要。
• 関係者: エンド ツー エンド プロセスに参加するチーム。
• 前提条件: Power BI に対して情報保護と DLP の機能を有効にする前に準備しておく必要があるもの。

組織のデータを保護する

データは、数多くのアプリケーションやサービスに存在し、 ソース データベースとファイルに格納され、 Power BI サービスに公開されます。 また、元のファイル、ダウンロードしたファイル、エクスポートされたデータとして、Power BI サービスの外部にも存在します。 データがよりアクセスしやすくなり、データにアクセスするリソースが増えると、データを保護する方法がますます重要になります。

簡単に言うと、データを保護するということは次のような作業になります。

• 組織のデータの安全性を確保する。
• 機密情報の無許可または意図しない共有のリスクを軽減する。
• 規制要件に対する準拠状態を強化する。

データの保護は、複雑な問題です。 大まかに言うと、Power BI に関連するトピックは次のとおりです。

• ユーザーの責任ある行動: 指導とトレーニングを受け、期待されていることを明確に理解しているユーザーは倫理的に行動できます。 このようなユーザーは、通常の作業の過程で、セキュリティ、プライバシー、コンプライアンスを重視する文化を実行に移すことができます。
• 適切な規模のユーザー セキュリティ権限: Power BI では、データとレポートのセキュリティ保護は、これらの記事で説明されている情報保護および DLP のアクティビティとは別個のものです。 Power BI のセキュリティ方法には、ワークスペース ロール、共有、アプリのアクセス許可、行レベルのセキュリティ (RLS) などの手法が含まれます。 ワークスペース ロール、アプリのアクセス許可、項目ごとの共有、RLS などのセキュリティ手法については、セキュリティ計画に関する記事を参照してください。
• データのライフサイクル管理: データを保護するには、バックアップやバージョン管理などのプロセスが重要です。 データ ストレージの暗号化キーと地理的な場所のセットアップも考慮事項になります。
• 情報保護: 秘密度ラベルを使用したコンテンツのラベル付けと分類は、コンテンツを保護するための最初のステップです。 情報保護については、このシリーズの記事で説明します。
• データ損失防止ポリシー: DLP とは、データ漏えいのリスクを軽減する制御とポリシーを指します。 データ損失防止については、このシリーズの記事で説明します。

情報保護と DLP に関するシリーズの記事では、最後の 2 つの箇条項目 (情報保護と DLP、具体的には Power BI との関係) を重点的に取り上げています。

完全な Microsoft Purview 情報保護フレームワーク (データの把握、データの保護、データ損失の防止、データの管理) についても理解することをお勧めします。

一般的なユース ケース

Power BI コンプライアンスの課題と規制レポートの要件は、多くの場合、情報保護と DLP の使用を開始するための推進要因になります。

このセクションには、組織が情報保護と DLP を実装せざるを得ない一般的なユース ケースが含まれています。 これらのユース ケースは主に Power BI に焦点を当てていますが、組織にとっての利点は、はるかに広範です。

データの分類とラベル付け

組織には、通常、コンテンツを分類およびラベル付けするための外部または内部の要件があります。 Power BI で (および組織のその他のアプリケーションやサービスでも) 秘密度ラベルを使用することは、コンプライアンス要件を満たす上で重要な要素です。

Power BI のコンテンツに秘密度ラベルを割り当てると、次に関する知識と分析情報を得ることができます。

• 機密データが Power BI ワークスペースに含まれているかどうか。
• セマンティック モデル (旧称はデータセット) などの特定の Power BI 項目が機密と見なされるかどうか。
• 機密であると見なされる Power BI 項目にアクセスできるユーザー。
• Power BI サービス内の機密データにアクセスしたユーザー。

エンドツーエンドの保護を使用すると、秘密度ラベルを (必要に応じて) データ ソースから自動的に継承できます。 ラベルの継承により、ラベルが付けられなかったためにユーザーが機密データにアクセスして、承認されていないユーザーと共有するリスクが軽減されます。

Power BI サービスからエクスポートする場合、サポートされているファイルの種類にコンテンツをエクスポートすると秘密度ラベルが保持されます。 コンテンツをエクスポートする際のラベルの保持は、データ漏えいを減らすもう 1 つの重要な要因です。

Power BI コンテンツのラベル付けと分類の詳細については、「Power BI の情報保護」を参照してください。

ユーザーを教育する

前述のとおり、データ保護の 1 つの側面は、ユーザーの責任ある行動を必要とします。

秘密度ラベルはプレーン テキストで明確に表示されるため、ユーザーに役立つリマインダーとしての役目を果たします。 通常の作業の過程で、ラベルは、ユーザーが組織のガイドラインとポリシーに従ってデータをどのように操作する必要があるかについて認識を高めます。

たとえば、"機密性の高い" ラベルが表示されたら、ユーザーは、コンテンツのダウンロード、保存、または他のユーザーとの共有に関する決定に特に注意を払う必要があります。 このように、秘密度ラベルは、ユーザーが責任を持って機密データを処理し、承認されていないユーザーと誤ってデータを共有するリスクを軽減するのに役立ちます。

詳細については、「Power BI のデータ保護」を参照してください。

機密データを検出する

機密データが格納されている場所を検出する機能は、データ漏えいのもう 1 つの重要な側面です。

データセットが Power BI サービスに発行され、Premium ワークスペース内にある場合、Power BI 用 DLP を使用して、その中に特定の種類の機密情報が存在することを検出できます。 この機能は、Power BI セマンティック モデルに格納されている機密データ (財務データや個人データなど) を見つけるのに役立ちます。

Power BI 用のこの種類の DLP ポリシーを使用すると、セキュリティ管理者は、承認されていない機密データが Power BI サービスにアップロードされる場合を監視し、検出できます。 その場合、迅速に対処するために、アラートを利用できます。 また、ポリシー ヒントを使用して、機密データを適切に処理する方法についてコンテンツの作成者や所有者を指導することもできます。 Power BI の DLP の詳細については、「Power BI のデータ損失防止」を参照してください。

データ暗号化を使用する

秘密度ラベルで分類されたファイルには、(必要に応じて) 保護を含めることができます。 ファイルが暗号化で保護されると、データ漏えいや過剰共有のリスクが軽減されます。 暗号化設定は、デバイスやユーザーに関係なく、ファイルに従います。 (組織の内部および外部の) 承認されていないユーザー は、ファイルの内容を開いたり、暗号化解除したり、表示したりすることはできません。

データ漏えいを減らすために実装できるコントロールの種類の詳細については、「Defender for Cloud Apps for Power BI」を参照してください。

リアルタイムでアクティビティを制御する

既存の Power BI のセキュリティ設定を強化するために、リアルタイム制御を実装してデータ漏えいのリスクを軽減できます。

たとえば、ユーザーが機密性の高いデータやレポートを Power BI サービスからダウンロードすることを制限できます。 この種のリアルタイム制御は、ユーザーに対して、コンテンツを自分で表示することを許可しても、ダウンロードして他のユーザーに配布できないようにする必要がある場合に役立ちます。

実装できるコントロールの種類の詳細については、「Defender for Cloud Apps for Power BI」を参照してください。

情報保護と DLP サービス

情報保護と DLP に関連する機能とサービスの多くがブランド変更され、Microsoft Purview の一部になりました。 Microsoft 365 のセキュリティとコンプライアンス機能も Microsoft Purview の一部になっています。

このシリーズの記事に最も関連する機能とサービスは次のとおりです。

• Microsoft Purview Information Protection (旧称 Microsoft Information Protection): Microsoft Purview Information Protection には、データを検出、分類、保護するための機能が含まれています。 重要な原則は、データを分類するとその保護を強化できることです。 データを分類するための重要な構成要素は秘密度ラベルであり、これについては、記事「Power BI の情報保護」で説明されています。
• Microsoft Purview コンプライアンス ポータル (旧称 Microsoft 365 コンプライアンス センター): この ポータルでは、秘密度ラベルを設定します。 また、Power BI for DLP を設定する場所でもあります。これについては、記事「Power BI のデータ損失防止」で説明されています。
• Microsoft Purview Data Loss Prevention (旧称 Office 365 Data Loss Prevention): DLP アクティビティは、主にデータ漏えいの削減に重点を置いています。 秘密度ラベルまたは機密情報の種類を使用することで、Microsoft Purview Data Loss Prevention ポリシーは、組織が機密データを見つけて保護するのに役立ちます。 Power BI に関連する機能については、記事「Power BI のデータ損失防止」を参照してください。
• Microsoft Defender for Cloud Apps (旧称 Microsoft Cloud App Security): Microsoft Defender for Cloud Apps 内のポリシー (別のアプリケーションで定義) は、リアルタイム制御など、データの保護にも役立ちます。 Power BI に関連する機能については、記事「Defender for Cloud Apps for Power BI」を参照してください。

上記の一覧はすべてを網羅したものではありません。 Microsoft Purview には、このシリーズの記事の範囲をはるかに超える広範な機能セットが含まれています。 たとえば、Microsoft Purview のデータ カタログとガバナンス機能は重要ですが、このシリーズの記事の直接的な対象ではありません。

情報保護と DLP コンテンツに関する残りの情報は、次の記事に掲載されています。

• 組織レベルの情報保護
• Power BI の情報保護
• Power BI のデータ損失防止
• Defender for Cloud Apps for Power BI
• Power BI の情報保護とデータ損失防止の監査

関連するコンテンツ

このシリーズの次の記事では、Power BI の組織レベルの計画アクティビティによる情報保護の概要について説明します。