Power BI の実装計画: 組織レベルの情報保護

  • [アーティクル]

注意

この記事は、Power BI 実装計画 シリーズの記事の一部です。 このシリーズでは、主に Microsoft Fabric 内での Power BI のエクスペリエンスに焦点を当てます。 シリーズの概要については、「Power BI 実装計画」を参照してください。

この記事では、Power BI での情報保護のための初期評価と準備アクティビティについて説明します。 対象ユーザーは次のとおりです。

  • Power BI 管理者: 組織の Power BI 監視を担当する管理者。 Power BI 管理者は、情報セキュリティやその他の関連チームと共同で作業する必要があります。
  • センター オブ エクセレンス、IT、BI チーム: 組織内の Power BI の監視を担当するチーム。 これらのチームは、Power BI 管理者、情報セキュリティ チーム、その他の関連チームと共同で作業することが必要な場合があります。

重要

情報保護とデータ損失防止 (DLP) は、組織規模で行う重要な作業です。 その範囲と影響は、Power BI だけに留まりません。 このような種類のイニシアティブには、資金、優先順位付け、計画が必要です。 計画、使用、監視の作業には、部門を超えた複数のチームが関与する必要があります。

現在の状態の評価

セットアップ アクティビティを開始する前に、組織内で現在起きていることを評価します。 情報保護が現在どの程度実装されているか (または計画されているか) を理解することが重要です。

一般に、秘密度ラベルの使用には 2 つのケースがあります。

  • 秘密度ラベルが現在使用されている: この場合、秘密度ラベルが設定され、Microsoft Office ファイルの分類に使用されます。 この状況では、Power BI に秘密度ラベルを使用するために必要な作業量は、大幅に少なくなります。 タイムラインは短くなり、設定が簡単になります。
  • 秘密度ラベルがまだ使用されていない: この場合、Microsoft Office ファイルには秘密度ラベルは使用されません。 この状況では、秘密度ラベルを実装するための組織全体のプロジェクトが必要になります。 一部の組織では、このプロジェクトは大量の作業とかなりの時間の投資が必要となる可能性があります。 これは、ラベルは (Power BI などの 1 つのアプリケーションではなく) さまざまなアプリケーションによって組織全体で使用されることが意図されているためです。

次の図は、組織全体で秘密度ラベルがどのように広く使用されるかを示しています。

秘密度ラベルの使用方法を示す図。図内の項目については、次の表を参照してください。

上の図は次の項目を示しています。

Item 説明
項目 1。 秘密度ラベルは、Microsoft Purview コンプライアンス ポータルで設定します。
項目 2。 秘密度ラベルは、Microsoft Office ファイル、Power BI サービス内のアイテム、Power BI Desktop ファイル、メールなど、さまざまな種類のアイテムやファイルに適用できます。
項目 3。 秘密度ラベルは、Teams サイト、SharePoint サイト、Microsoft 365 グループに適用できます。
項目 4。 秘密度ラベルは、Microsoft Purview データ マップに登録されているスキーマ化されたデータ資産に適用できます。

この図では、Power BI サービスおよび Power BI Desktop ファイル内の項目が、秘密度ラベルの割り当てが可能な多くのリソースの一部であることに注意してください。 秘密度ラベルは、Microsoft Purview 情報保護で一元的に定義されます。 定義されると、組織全体で、サポートされているすべてのアプリケーションに同じラベルが使用されます。 Power BI など、1 つのアプリケーションでのみ使用するラベルを定義することはできません。 このため、計画プロセスでは、複数のコンテキストで使用できるラベルを定義するために、より広範な一連の使用シナリオを検討する必要があります。 情報保護はアプリケーションとサービスにおいて一貫して使用されることが意図されているため、現在配置されている秘密度ラベルを評価するところから始めることが重要です。

秘密度ラベルを実装するためのアクティビティについては、Power BI での情報保護に関する記事を参照してください。

Note

秘密度ラベルは、情報保護を実装するための最初の構成要素です。 DLP は情報保護が設定された後に設定します。

チェックリスト - 組織内の情報保護と DLP の現在の状態を評価する際の主な決定事項とアクションは次のとおりです。

  • 情報保護が現在使用されているかどうかを判別する: 現在有効になっている機能、それらの使用方法、それを実行するアプリケーションとユーザーを確認します。
  • 情報保護を現在担当しているユーザーを特定する: 現在の機能を評価しながら、現在担当しているユーザーを判別します。 今後のすべてのアクティビティにそのチームを参加させます。
  • 情報保護プロジェクトを統合する: 該当する場合は、現在使用されている情報保護方法を組み合わせます。 可能であれば、効率をよくして一貫性を保つためにプロジェクトとチームを統合します。

チーム スタッフの編成

前述のように、設定される情報保護と DLP 機能の多くは、(Power BI をはるかに超えて) 組織全体に影響を与えます。 そのため、すべての関係者を含むチームを編成することが重要です。 このチームは、目標を定義し (次のセクションで説明します)、全体的な取り組みを導く上で重要になります。

チームの役割と責任を定義する際には、要件を変換し、利害関係者と適切にコミュニケーションを取ることができるユーザーを含めることをお勧めします。

チームには、関連する利害関係者が含まれ、組織内の次のようなさまざまな個人やグループが参加する必要があります。

  • 最高情報セキュリティ責任者/データ保護責任者
  • 情報セキュリティ/サイバー セキュリティ チーム
  • 法的情報
  • コンプライアンス
  • リスク管理
  • エンタープライズ データ ガバナンス委員会
  • 最高データ責任者/最高分析責任者
  • 内部監査チーム
  • 分析のセンター オブ エクセレンス (COE)
  • エンタープライズ分析/ビジネス インテリジェンス (BI) チーム
  • 主要な部署からのデータ スチュワードとドメイン データ所有者

チームには、次のシステム管理者も含める必要があります。

  • Microsoft Purview 管理者
  • Microsoft 365 管理者
  • Microsoft Entra ID (旧称: Azure Active Directory) 管理者
  • Defender for Cloud Apps 管理者
  • Power BI 管理者

ヒント

情報保護の計画と実装は、適切に行うのに時間がかかる共同作業であることを想定してください。

通常、情報保護の計画と実装のタスクは、ほとんどの人にとってパートタイムの責務です。 これは概して、多くの差し迫った優先事項の 1 つです。 このため、エグゼクティブ スポンサーを持つことは、優先順位を明確にして、期限を設定し、戦略的なガイダンスを提供するために役立ちます。

組織の境界を越えて機能する複数のチームでの作業時の誤解や遅延を回避するために、役割と責任を明確にすることが必要となります。

チェックリスト - 情報保護チームを編成する際の主な決定事項とアクションは次のとおりです。

  • チームを編成する: 関連するすべての技術的な利害関係者と技術的ではない利害関係者を参加させます。
  • エグゼクティブ スポンサーが誰であるかを決定する: 計画と実装の取り組みのリーダーが誰であるかを明確にします。 優先順位付け、資金調達、合意形成、意思決定にこの人 (またはグループ) を関与させます。
  • 役割と責任を明確にする: 関係するすべてのユーザーが自分の役割と責任を明確に理解するようにします。
  • コミュニケーション計画を作成する: 組織全体のユーザーとコミュニケーションを取る方法とタイミングを検討します。

目標と要件

情報保護と DLP を実装するための目標を検討することが重要です。 編成したチームのさまざまな利害関係者は、異なる視点と関心領域を持っている可能性があります。

この時点で、戦略的な目標に焦点を当てることをお勧めします。 実装レベルの詳細を定義することからチームを開始した場合は、一歩戻って戦略目標を定義することをお勧めします。 明確に定義された戦略的目標は、よりスムーズな実装を実現するのに役立ちます。

情報保護と DLP の要件には、次の目標が含まれる場合があります。

  • セルフサービス ユーザーの使用可能性: セルフサービス BI コンテンツ作成者と所有者が、ガバナンス チームによって確立されたガードレール内で、共同作業や共有を行い、可能な限り生産性を高めることができます。 目標は、セルフサービス BI と一元化された BI のバランスを取り、セルフサービス ユーザーが生産性に悪い影響を受けることなく、適切な操作を簡単に行えるようにすることです。
  • 信頼されたデータの保護を重視するデータ カルチャ: 軋轢が少なく、ユーザーの生産性を妨げない方法で、情報保護を実装します。 バランスの取れた方法で実装すると、ユーザーが対象システムの周辺ではなくシステム内で作業する可能性がはるかに高くなります。 ユーザーの教育とユーザー サポートが不可欠です。
  • リスクの軽減: リスクを減らすことで組織を保護します。 多くの場合、リスク軽減の目標には、組織外へのデータ漏えいの可能性を最小限に抑え、不正アクセスからデータを保護することが含まれます。
  • コンプライアンス: 業界、地域、政府の規制に対するコンプライアンスの取り組みをサポートします。 さらに、組織には、重要と見なされる内部ガバナンスとセキュリティの要件がある場合もあります。
  • 監査可能性と認識: 機密性の高いデータが組織全体のどこにあり、誰がそれを使用しているかを理解します。

情報保護を導入する取り組みは、セキュリティとプライバシーを含む他の関連するアプローチと補完的であることに注意してください。 情報保護の取り組みを、次のような他の取り組みと調整します。

  • Power BI コンテンツのアクセス ロール、アクセス許可、共有、行レベル セキュリティ (RLS)
  • データ所在地の要件
  • ネットワーク セキュリティの要件
  • データの暗号化の要件
  • データ カタログの取り組み

Power BI でのコンテンツのセキュリティ保護の詳細については、セキュリティ プランに関する記事を参照してください。

チェックリスト - 情報保護の目標を検討する際の主な決定事項とアクションは次のとおりです。

  • 該当するデータ プライバシー規制とリスクを識別する: 業界または地域によって組織に適用されるデータ プライバシー規制をチームが認識していることを確認します。 必要に応じて、データ プライバシー リスクの評価を実施します。
  • 目標について議論して明確にする: 関連する利害関係者や関心のある人と最初の議論を行います。 情報保護の戦略的目標が明確であることを確認します。 これらの目標をビジネス要件に変換できることを確認します。
  • 目標を承認、文書化、優先順位付けする: 戦略的目標が文書化されて、優先順位が付けられていることを確認します。 複雑な意思決定、優先順位付け、またはトレードオフを行う必要がある場合は、これらの目標を参照してください。
  • 規制要件とビジネス要件を確認して文書化する: データのプライバシーに関するすべての規制要件とビジネス要件が文書化されていることを確認します。 優先順位付けとコンプライアンスのニーズについては、それらを参照してください。
  • 計画の作成を開始する: 優先順位付けされた戦略的目標と文書化された要件を使用して、プロジェクト計画の作成を開始します。

関連するコンテンツ

このシリーズの次の記事では、Power BI で使用するデータ資産のラベル付けと分類について説明します。