手順 3: SaaS アプリの情報保護をデプロイする

アプリへのアクセスやセッション アクティビティを保護することは重要ですが、SaaS アプリに含まれるデータは、保護すべき最も重要なリソースの 1 つである可能性があります。 SaaS アプリの情報保護をデプロイすることは、機密情報の不注意または悪意による漏えいを防ぐ上で重要な手順です。

Microsoft Purview Information Protection は、SharePoint、OneDrive、Teams、Exchange などの Microsoft 365 アプリとサービスにネイティブに統合されています。 その他の SaaS アプリの場合も、機密データがどこにあっても確実に保護されるようにするために、Microsoft Purview と統合することをお勧めします。 情報保護と使用する他のアプリを統合するには、さまざまな方法があります。 Microsoft Defender for Cloud Apps を使用してラベル付けをアプリと統合したり、アプリ開発者が SDK を使用して直接統合したりすることができます。 詳細については、「Microsoft Information Protection SDK について」を参照してください。

この手順は、ソリューション ガイダンス「Microsoft Purview を使用して情報保護ソリューションを展開する」に基づいており、Defender for Cloud Apps を使用して情報保護を SaaS アプリのデータに拡張する方法を示します。 全体的なワークフローをより深く理解するために、このガイダンスを確認することをお勧めします。

この記事では、SaaS アプリケーション内の Microsoft Office ファイル、PDF ファイル、ドキュメント リポジトリの保護に焦点を当てています。

情報保護に関する主な概念には、データの把握、データの保護、データ損失の防止が含まれます。 次の図は、Purview コンプライアンス ポータルと Defender for Cloud Apps ポータルでこれらの主要な機能を実行する方法を示しています。

この図の内容は次のとおりです。

• SaaS アプリのデータを保護するには、まず組織内の機密情報を特定する必要があります。 特定した後、決定された機密情報にマップされる機密情報の種類 (SIT) があるかどうかを調べます。 ニーズを満たす SIT がない場合、Microsoft Purview コンプライアンス ポータルで SIT を変更するか、カスタム SIT を作成できます。

• 定義された SIT を使用すると、SaaS アプリ内の機密データを含む項目を検出できます。

  ヒント

  Microsoft Purview 情報保護でサポートされているアプリの完全なリストについては、「情報保護」を参照してください

• 機密データを含む項目を検出したら、ラベルを SaaS アプリに拡張して適用できます。

• データ損失を防ぐために、データ損失防止 (DLP) ポリシーを定義して拡張できます。 DLP ポリシーを使用すると、サービス全体で機密アイテムの特定、監視、および自動的な保護を行うことができます。 DLP ポリシーの保護アクションの一例として、ユーザーが機密項目を不適切に共有しようとしたときに、ポップアップ ポリシー ヒントを表示します。 もう 1 つの例は、機密項目の共有をブロックすることです。

SaaS アプリに情報保護機能を適用するには、次の手順を使用します。

SaaS アプリで機密情報を検出する

SaaS アプリに含まれる機密情報を検出するには、次のことが必要です。

• Microsoft Purview Information Protection と Defender for Cloud Apps の統合を有効にする。
• ファイル内の機密情報を識別するためのポリシーを作成する。

Microsoft Purview 情報保護は、Defender for Cloud Apps を含むフレームワークです。 Microsoft Purview に Defender for Cloud Apps を統合すると、組織内の機密情報をより適切に保護できます。 詳細については、「Microsoft Purview Information Protection を Defender for Cloud Apps と統合する方法」を参照してください。

保護する情報の種類がわかったら、それらを検出するためのポリシーを作成します。 次のポリシーを作成できます。

• ファイル: ファイル ポリシーは、API を介して接続されているクラウド アプリに保存されているファイルの内容をスキャンして、サポートされているアプリを検出します。
• セッション: セッション ポリシーは、アクセス時にリアルタイムでファイルをスキャンして保護し、データ流出の防止、ダウンロード時のファイルの保護、ラベルのないファイルのアップロードの防止を行います。

詳細については、「Microsoft データ分類サービスの統合」を参照してください。

秘密度ラベルを適用してデータを保護する

機密情報を検出して並べ替えてから、秘密度ラベルを適用できます。 ドキュメントに秘密度ラベルが適用されると、そのラベルに構成されている保護設定がコンテンツに適用されます。 たとえば、"機密" というラベルが付いているファイルを暗号化し、アクセスを制限することができます。 アクセス制限には、個々のユーザー アカウントまたはグループを含めることができます。

Defender for Cloud Apps は Microsoft Purview Information Protection とネイティブに統合されており、両方のサービスで同じ秘密度の種類とラベルを使用できます。 機密情報を定義する場合、Microsoft Purview コンプライアンス ポータルを使用して機密情報を作成すると、Defender for Cloud Apps で使用できるようになります。

Defender for Cloud Apps を使用すると、Microsoft Purview 情報保護から自動的に秘密度ラベルを適用できます。 これらのラベルは、ファイル ポリシー のガバナンス アクションとしてファイルに適用され、ラベル構成に応じて、別の保護レイヤーの暗号化を適用できます。

詳細については、「Microsoft Purview 情報保護ラベルの自動適用」を参照してください。

SAAS アプリへの DLP ポリシーの拡張

環境内にある SaaS アプリに応じて、DLP ソリューションをデプロイするさまざまなオプションを選択できます。 次の表を意思決定プロセスのガイドとして使用してください。

ライセンスに関するガイダンスについては、「セキュリティとコンプライアンスのための Microsoft 365 ガイダンス」を参照してください。

データを監視する

ポリシーが設定されたので、Microsoft Defender ポータルを確認して、ポリシーの効果を監視し、インシデントを修復します。 Microsoft Defender XDR を使用すると、1 つのウィンドウで Microsoft Purview アプリと Defender for Cloud アプリからの DLP アラートとインシデントを可視化できます。

セキュリティ アナリストはアラートの優先順位を効果的に設定し、あらゆる範囲の侵害を可視化し、脅威を修復するための対応措置を講じることができます。

詳しくは、Microsoft Defender ポータル に関するページをご覧ください。