本シリーズではMicrosoft Purviewの秘密度ラベルを利用したドキュメントの保護方法について解説します。
今回はドキュメントに対して自動でラベル付けを行う設定について解説していきます。
前回までのおさらい
前回までは秘密度ラベルの作成方法や、秘密度ラベルの配布方法とラベル付けの動作感について解説しました。
- 【Microsoft Purview】秘密度ラベルを使ってドキュメントを保護する~事前準備~ - JBS Tech Blog
- 【Microsoft Purview】秘密度ラベルを使ってドキュメントの保護をする~秘密度ラベルポリシーの作成と適用~ - JBS Tech Blog
用語説明
- 秘密度ラベル
- ユーザーの作成したドキュメントの機密度によって、ドキュメントを保護し暗号化を行うことで、情報漏洩対策を行う機能です。
- Microsoft Purview
- Microsoftの提供するコンプライアンス対策製品です。
- 機密情報の種類
- Microsoftが作成した一般的な機密情報に関する規則です。
- 社会保障、信用カード、銀行口座番号など、企業独自のルールに基づいたカスタムの機密情報の種類を作成することも可能です。
事前準備
Microsoft Purviewの秘密度ラベルを利用する場合、利用したい機能によって必要なライセンスが異なります。
今回は[機密情報の種類]を利用した自動ラベル付けを行うために以下ライセンスが必要となります。
- Azure Information Protection Premium P1
- Azure Information Protection Premium P2
- [機密情報の種類]機能を利用する場合に必要なライセンスとなります
※ライセンス形態は変更される場合があるため最新の情報をご確認ください
基本的なラベルの作成方法等は前回までの記事をご覧ください。
自動ラベル付け設定
以下3つの方法でドキュメントへの自動ラベル付けが可能です。
- 既定のラベル設定
- 組み込みの機密情報の種類を利用した自動ラベリング設定
- カスタムの機密情報の種類を利用した自動ラベリング設定
既定のラベル設定
ユーザーが作成したドキュメントへ既定で付与される既定のラベル付け設定を行います。
ユーザーはドキュメントを作成、または保存した段階で自動的にラベルが適用されドキュメントが保護されます。
秘密度ラベルポリシーの編集
ラベルポリシーを利用して、既定のラベルを自動でファイルへ付与することが可能です。
ラベルポリシーの作成方法については前回の記事をご確認ください。
既に作成したラベルの一つを既定のラベルに設定していきます。Microsoft Purview に接続し、ラベルポリシーを編集していきます。
ラベルポリシーを選択し、編集します。
[ドキュメントに既定のラベルを適用する]>[既定のラベル]でラベルを選択し、ポリシーを保存します。
※ポリシーの対象になっているユーザーのドキュメントに、自動でラベルが付与されるため適用時は注意が必要
既定のラベル適用確認
実際にユーザーがドキュメントを作成し、保存しようとするとラベル付与が自動的に適用されます。
[保存]を押すと、ラベルの設定(ヘッダー,フッター,透かし等)もドキュメントへ反映されます。
機密情報の種類を利用した自動ラベリング設定
機密情報の種類
秘密度ラベルに利用可能な機密情報の種類を確認していきます。
Microsoft Purview に接続し、[データの分類]>[分類子]>[機密情報の種類]をクリックします。
利用可能な機密情報の種類の一覧が表示されます。
組み込みの機密情報の種類を利用したラベルの作成
機密情報の種類を利用したラベルを作成していきます。今回はクレジットカード情報か銀行口座番号を含んだファイルに対してラベルを付与します。
ラベル名,表示名は[個人情報]として作成します。
他ラベルの設定は任意の設定を行います。
[ファイルとメールの自動ラベル付け]をオンにし、[+条件の追加]>[コンテンツに含まれている場合]を選択します。
任意のグループ名を設定し、[条件の追加]>[機密情報の種類]を選択します。
今回は以下の2項目を設定します。
- Credit Card Number
- Japan Bank Account Number
信頼度レベルは低で設定します。
※信頼度レベルが低いほど一致するコンテンツを多く検知します。
コンテンツが一致するときの動作を選びます。
自動でラベル付けだけでなく、ラベル付けを推奨するだけの動作も設定可能ですが、
今回は自動で強制的にラベルを付与します。
なお、ラベル適用時のメッセージもカスタム可能です。今回はラベルが適用されたことをわかりやすくするために、設定を行います。
カスタムの機密情報の種類作成
組織特有の検出ワードを設定し、機密情報として登録を行います。今回は[TEST]というワードをカスタムの機密情報の種類として登録していきます。
[機密情報の種類を作成する]をクリックします。
任意の名前と説明を設定します。
[パターンを作成する]をクリックし、検出するワードを登録していきます。
任意の信頼度と、主要要素を登録します。
今回は[キーワード辞書]を設定します。
実際にファイル上で検知したいワードを[キーワード]に設定します。
キーワード辞書の設定が完了したら、パターンを作成します。
パターンの作成が完了したら次に進みます。
コンプライアンスポリシーに表示する推奨の信頼度は、今回はパターンが一つのため、信頼度レベルも[低]となります。
パターンを複数個作成する場合は、機密情報の種類の信頼度レベルがカスタマイズ可能となります。
設定内容を確認して、機密情報の種類の作成を完了します。
正常に作成されると、機密情報の一覧に表示されるようになります。
ラベルポリシーへ自動ラベル付け用のラベルを追加する
自動ラベリングの場合も、ラベルポリシーを作成してラベルの発行を行う必要があります。
今回は既存のラベルポリシーを編集します。
[発行する秘密度ラベル]から、自動ラベリング用のラベルを追加します。
他設定は変更せず、ポリシーの更新を行います。
機密情報を含んだファイルへの自動ラベリング適用確認
[個人情報]ラベルの適用を確認していきます。テスト用のクレジットカード番号は以下URLなどから取得可能です。
テスト環境で使えるクレジットカード番号 #ec - Qiita
ドキュメントを作成し、クレジットカード番号などを入力すると、ラベル付与が自動的に適用されます。また、ラベル適用時のユーザーへのメッセージも表示されています。
[TEST]ラベルの適用を確認していきます。ドキュメントを作成し、検出ワードを入力していくと、ラベル付与が自動的に適用されます。
こちらのラベルも、ラベル適用時のユーザーへのメッセージが表示されています。
最後に
自動でのラベル付けは、ユーザー操作が減る一方で影響範囲も大きい設定となります。設定を行う場合はしっかりと検出ワードの選択や影響の範囲を検討する必要がありそうです。
次回はスーパーユーザーの作成について解説していきます。