【連載】甲田章子の Microsoft 365 セキュリティとコンプライアンス 第1回
近年、サイバー攻撃は増加傾向にあり、多くの組織がその被害を受けています。2020年、国内で最も多かった組織に対する脅威は標的型攻撃です。 (出典:情報セキュリティ10大脅威 2020)
標的型攻撃とは、特定の組織に対して情報の窃取などを行う攻撃のことです。このような攻撃から組織の情報や端末を保護するため、組織ではさまざまなセキュリティ対策が取られています。
一方で、最近増えているのが「内部」からの情報漏洩です。これを防ぐには内部のコンプライアンス対策が必須です。そこで連載第 1 回目の今回は、Microsoft 365 のコンプライアンス機能を取りあげて解説します。
記事の最後には、甲田講師のトレーニングテキストの内容のチラ見もご用意しています。
目 次
さて、前述の通り 2020 年に国内で最も多かった組織に対する脅威は標的型攻撃ですが、第 2 位は何かご存じでしょうか。実は、第2位はサイバー攻撃によるものではなく、「内部不正による情報漏洩」なんです。
つまり、在籍している従業員や元従業員、外部の業者などを含むビジネスパートナーなどの「内部の人」が引き起こした情報漏洩のことです。
この「内部の人」を「インサイダー」と呼び、インサイダーが起こす脅威のことを「インサイダーリスク」と呼んでいます。その動機は、上司から受けたパワーハラスメントや、待遇に対する不満、得た情報を転職先で活用するため、などさまざまです。
図1 インサイダーリスクが起こるきっかけ
インサイダーリスクが起こることは組織にとって脅威です。
たとえば、情報漏洩があったことが報道されることで組織の情報管理に対する信用が失われます。組織のブランドと信用を守るには、外部からの攻撃だけでなくインサイダーに対するリスク……つまりコンプライアンス対策も行っていかなくてはいけません。
コンプライアンスは「法令順守」と訳されますが、法令だけ守っていれば良いわけではありません。最近では、法律や条令だけでなく、社内規定、社会的倫理、企業倫理などもコンプライアンスと捉えられているため、コンプライアンスの範囲が拡大しています。
コンプライアンスとして捉えられる範囲が拡大する中で、組織はコンプライアンス対策をきちんとできているのでしょうか。
Insider Threat Report 2018によると、90%の企業がインサイダーリスクに脆弱であると感じています。(出典:Insider Threat Report 2018)
セキュリティ対策など、外部からの攻撃に対しては比較的対策や対処を行っていても、インサイダーリスクについては対策が不十分という組織が多いのが現状です。
図2 内部犯行に対する危機意識
まだまだ組織では万全な対応がとられていないコンプライアンス対策ですが、Microsoft 365 には、次のようなコンプライアンス対策が用意されています。
重要な内部リスクを検出し対策を講じます。
データのライフサイクルを通じてデータを保護し、データガバナンスを実施します。
訴訟などに備えて関連データの迅速な調査と対応を可能にします。
ここでは、Microsoft 365 のコンプライアンス対策のひとつ、Insider Risk Management(内部リスクの管理)について紹介します。
Microsoft 365 のインサイダーリスク対策には、次の2つのソリューションがあります。
図3 Microsoft 365 のインサイダーリスク対策
Insider Risk Management(内部リスクの管理)と Communication Compliance(コミュニケーションコンプライアンス)です。
Insider Risk Management は、ファイルのダウンロードや印刷、USB デバイスへのコピーなどのアクティビティを監視し、問題を検出します。
Communication Compliance は電子メールや Teams のチャネルやチャットのやり取り、Yammer の投稿などを監視し、パワハラなどの問題のあるコミュニケーションを検出します。
下図は、[Microsoft 365 コンプライアンスセンター]にある、[内部リスクの管理]ページです。このページを使用して、インサイダーリスクを検出するように設定を行い、検出されたリスクを確認することができます。
図4 問題のあるユーザーのアクティビティ
検出されたリスクについて、ユーザー名は匿名で表示されるため、調査する側も先入観を持つことなくアクティビティを確認できます。また、ファイルを外部アドレスに転送した場合、どのようなアドレスに転送したのか、どのようなファイルを転送したのかなどもわかるようになっています。
このような機能を利用することで、インサイダーが起こした脅威の証拠を収集し対応することができるわけです。
■ 研修テキスト サンプルダウンロード
Microsoft 365 Compliance や Insider Risk Management について、もう少し詳しく知りたい方は、研修テキストのサンプルをダウンロードしてみませんか。研修の内容がどんなものかご興味のある方も、ぜひお気軽にダウンロードしてのぞいてみてください。
エディフィストラーニングでは、Microsoft 365 のコンプライアンスが学べる研修コースをご用意しています。
コンプライアンス対策は、ユーザーの情報アクセスへのアクティビティを追跡するだけではありません。守るべき情報をきちんと保護する体制を整え、それらがどのように使われているかを監視し、適切な期間、保持しなければなりません。
本コースでは、Insider Risk Management、Information Protection & Governance、eDiscovery & Audit という Microsoft 365 が持つコンプライアンス対策を総合的に学習することができます。
現時点では開催日程を設定しておりませんが、一社様向けに実施しております。ぜひお問合せください。
お問合せはこちら
■コース情報
・コース名:「組織のブランドと信用を守る Microsoft 365 Compliance」
・期間:1日
■コースフロー
Office 365 + Microsoft 365 コースフロー
講師紹介 甲田章子
Microsoft 365 トレーニングの第一人者。マイクロソフト Windows Insider MVP アワード を 2021年まで6 年連続受賞。
マイクロソフト認定トレーナー(MCT)としてマイクロソフト認定コース(Microsoft University)の実施や、マイクロソフト社主催のパートナー向けトレーニング(mstep)では、Microsoft 365 のセキュリティやコンプライアンス関連、Azure Sentinel、Windows Virtual Desktop など数多くのセミナー用のコンテンツ開発および登壇をしている。開発した mstep コンテンツは概念や考え方、プロセスなどが多くの図を用いて表現されているため視覚的に分かりやすいと評価を得ている。
担当製品は、Microsoft 365、Microsoft Azure、Windows Server、Windows クライアントなど。
セミナーでは、解りやすい図で正しく機能を理解していただくことと、運用環境どう活用できるかを説明することを心がけている。
詳しいプロフィールはこちら
以下の記事も予定しています。ご期待ください。
・第1回 内部情報漏洩からブランドと信用を守る Microsoft 365 コンプライアンス(本記事)
・第2回 Microsoft 365 セキュリティ実践編 ―変化するサイバー攻撃。いま必要なセキュリティ対策とは
・第3回 Microsoft 365 Enterpriseセキュリティ基礎と応用 Win10編
クラウド技術者を育てたい企業様へ
エディフィストの実務に活かせるIT研修
