今回は実際に秘密度ラベルを設定してみます。実際には、秘密度ラベルをどんな構成にするのか、そもそも組織内にどんな機密情報が存在しているのか、といった前準備の方が重要で時間が掛かります。しかし、実際の構成や動作イメージを知った方が理解が早いと思うので、設定編から導入していきます。
操作には今月末(2024年7月末)に正式リリースが予定されている Microsoft Purview ポータルを使っていきます。
ラベルの構成について
まず前提として、ラベルを構成する際に大きく関わってくる概念が2つあります。それが、サブラベルと優先度です。
ラベルとサブラベル
1つ目のサブラベルですが、これは1つのラベルの下に複数のラベルをまとめてグループ化して扱える機能です。ただし、サブラベルを持てるのはラベルのみ(親ラベルとも表記されます)となっているため、最大でも2階層までの構成になります。つまり、サブラベルの下にさらにサブのサブラベルを…といった多重階層化はできないということです。
なお、サブラベルは必ずしも作る必要はありません。また、各サブラベルはラベルの下にそれぞれ独立して設定するため、ラベルAのサブラベルとラベルBのサブラベルをそれぞれ別の制御内容にすることもできます。
例えば、ラベルの階層では組織内のセキュリティポリシーで定義されている機密区分の定義をマッピングし、サブラベルでユースケースに応じたファイルへの制御をかけられる選択肢を複数用意しておく使い方が一般的です。
ラベルの優先度
ラベルには優先度 (Priority) が設定されます。一般的には、より重要度が高いラベル、および、よりアクセス制御が厳しいサブラベルの優先度を高くします。優先度という翻訳になっていますが、秘密度ラベルの場合は重要度や重み付けの解釈で数字が大きいものがより強いと認識すればあっています。
この優先度は機密情報の重要度をシステム的に定義できるほか、ファイルについているラベルを優先度が低いものに変えた操作を検知したり、操作時に理由を入力するポップアップを表示するために利用されます。これにより、重要な機密情報をラベルだけ付け替えて公開情報のように持ち出そうとする行為を検知できます。
ラベル構成の例
上記2つの要素を踏まえたラベル構成の一例を示します。親ラベルにサブラベルがついている場合、親ラベル自体をファイルにつけることはできなくなります。
| 優先度 | ラベル名 | 用途 |
|---|---|---|
| 0 | Non-Business | 業務データ以外のプライベートなデータ。アクセス保護は掛けず、誰でもファイルを開ける。 |
| 1 | Public | 外部に公開済み、もしくは公開しても損失のないデータ。アクセス保護は掛けず、誰でもファイルを開ける。 |
| 2 | Internal | 組織内での共有を目的とし、外部に公開されると小規模の損失が発生する可能性のあるデータ(親ラベルとして定義) |
| 3 | Internal \ No Protection | アクセス保護は掛けず、誰でもファイルを開ける。 |
| 4 | Internal \ Employees Only | アクセス保護が掛けられ、全ての社員(契約・委託社員を含む)がファイルを開ける。 |
| 5 | Internal \ FTE Only | アクセス保護が掛けられ、全ての正社員がファイルを開ける。 |
| 6 | Internal \ Specified Users Only | アクセス保護が掛けられ、ラベル設定時に指定されたユーザーのみがファイルを開ける。 |
| 7 | Confidential | 組織内での利用を目的とし、外部に公開されると中〜大規模の損失が発生し、業界内での競争力の低下を引き起こす可能性のあるデータ(親ラベルとして定義) |
| 8 | Confidential \ No Protection | アクセス保護は掛けず、誰でもファイルを開ける。 |
| 9 | Confidential \ Employees Only | アクセス保護が掛けられ、全ての社員(契約・委託社員を含む)がファイルを開ける。 |
| 10 | Confidential \ FTE Only | アクセス保護が掛けられ、全ての正社員がファイルを開ける。 |
| 11 | Confidential \ Specified Users Only | アクセス保護が掛けられ、ラベル設定時に指定されたユーザーのみがファイルを開ける。 |
| 12 | Highly Confidential | 特定の関係者間のみでの利用を目的とし、関係者間外部に公開されると大規模の損失が発生し、業界内での競争力の低下を引き起こす可能性のあるデータ(親ラベルとして定義) |
| 13 | Highly Confidential \ Employees Only | アクセス保護が掛けられ、全ての社員(契約・委託社員を含む)がファイルを開ける。 |
| 14 | Highly Confidential \ FTE Only | アクセス保護が掛けられ、全ての正社員がファイルを開ける。 |
| 15 | Highly Confidential \ Specified Users Only | アクセス保護が掛けられ、ラベル設定時に指定されたユーザーのみがファイルを開ける。 |
ラベルの作成手順
ラベルの作成は Microsoft Purview ポータル から実施します。まず、トップ画面から [情報保護] のパネルをクリックします。
続いて、左メニューバーの [秘密度ラベル] をクリックします。
すると右側に現在の秘密度ラベルの一覧が表示されます。(以下のスクショは私の検証環境での一例です。)
新規にラベルを作成するときは、一覧の左上にある [ラベルの作成] をクリックします。
[ラベルの詳細] では、ラベルの基本的な情報を入力します。入力したら [次へ] をクリックします。
| 設定項目 | 説明 |
|---|---|
| [名前] | ラベルを識別するためのシステム的な名前。テナント内でラベルの名前は一意である必要があり、後から変更ができません。最大64文字で、次の文字は利用できません。 \ \\ < > * % & , : ; ? / + | |
| [表示名] | ユーザーの画面上に表示されるラベルの名前。親ラベルの場合、テナント内でラベルの名前は一意である必要があり、サブラベルの場合は親ラベルのグループ内で一意である必要があります。 表示名は後からでも変更ができます。最大64文字で、次の文字は利用できません。 \ \\ < > * % & , : ; ? / + | |
| [ラベルの優先度] | 既定では作成時に最高の優先度となるため、作成後に変更します。 |
| [ユーザ向けの説明] | ユーザーの画面上に表示されるラベルの説明文。ラベルの重要度やアクセス制御内容の説明を盛り込むと良いです。 |
| [管理者向けの説明] | Microsoft Purview ポータルや PowerShell など管理者向けの操作時に表示されるラベルの説明文。システム構成管理上の情報などを盛り込むと良いです。 |
| [ラベルの色] | 親ラベルにのみ設定可能で、ユーザー画面上でラベルの項目名に色付けして識別しやすくします。サブラベルの場合は、親ラベルと同じラベルの色を自動で継承し、個別の設定はできません。 |
例では一旦 [アイテム] のみを選択して進めます。
| 設定項目 | 設定項目 |
|---|---|
| [アイテム] | ファイルやメール、Teams 会議にラベル付けする場合に選択します。 |
| [ファイル] | Word, Excel, PowerPoint などのファイルにラベル付けする場合に選択します。 |
| [メール] | Outlook から送信するメールメッセージにラベル付けする場合に選択します。 |
| [会議] | Outlook か Teams でスケジュールされた予定表イベントと会議にラベル付けする場合に選択します。(親ラベルとして使うときは選択を外します) |
| [グループ & サイト] | SharePoint Online サイトや Teams グループにラベル付けする場合に選択します。 |
| [スキーマ化されたデータ アセット] | SQL Database, Azure Cosmos, Azure Synapse など、データベースに保管されているスキーマ化されたデータ資産にラベル付けする場合に選択します。 |
[アイテム] では、アイテム(ファイルやメールなど)にラベルを付けたときの制御内容を設定します。入力が完了したら [次へ] をクリックします。
例では何も選択せず、進めます。この場合はラベルの情報のみが付与され、ファイル中身やアクセス制御には一切変更が加わりません。
| 設定項目 | 設定項目 |
|---|---|
| [アクセスの制御] | ラベルをつけたとき、ファイルやメールを暗号化し、特定のユーザーのみアクセスできるよう保護する場合に選択します。 |
| [コンテンツ マーキングを適用する] | ラベルをつけたとき、ファイルやメールのヘッダー・フッター・透かしに文字列を自動で挿入する場合に選択します。 |
| [Teams の会議とチャットを保護する] | Teams 会議とチャットの保護に関する設定をする場合に選択します。 |
[ファイルとメールの自動ラベル付け] では、特定の条件に基づいてファイルに作成しているラベルをつけるルールを定義できます。入力が完了したら [次へ] をクリックします。例では何も選択せず、進めます。
[グループ & サイト] では、SPO サイトと Teams グループにラベル付けする時の制御を設定できます。入力が完了したら [次へ] をクリックします。例では何も選択せず、進めます。
[グループ & サイト] では、特定の条件に基づいてスキーマ化されたデータ資産に作成しているラベルをつけるルールを定義できます。入力が完了したら [次へ] をクリックします。例では何も選択せず、進めます。
最後に入力した内容を確認し、[ラベルを作成] をクリックしてラベルの作成操作を完了します。
ラベルが作成されると、一覧に最も高い優先度で新規に作成したラベルが表示されています。
サブラベルを作成する場合は、ラベルの名前の横にある […] > [サブラベルを発行する] をクリックします。その後の操作は基本的にラベル作成時の操作と一緒です。
このようにしてラベルを1つずつ作成していきます。なお、前述のように親ラベルはラベルとしてアイテムにつけることができなくなるので、基本的に暗号化やコンテンツマーキングを設定してもサブラベルの動作に影響を与えることはありません。
次回は特定のユーザーのみがファイルを開けるようにアクセス保護するラベルの作成方法をまとめていきます。
コメント