秘密度ラベルとはなんですか?Purviewってなんですか?よく伺うご質問のひとつです。
お客さんとお話ししても、先日開催されたMicrosoft Ignite 2024をはじめとするマイクロソフトのメッセージを聞いていても、秘密度ラベルの重要性は日に追うごとに増しているように感じるので、今日は秘密度ラベルとは?というテーマで少し書いてみたいと思います。
※この投稿はMicrosoft Security Advent Calendar 2024のDay4として書いています。
Microsoft Purview
秘密度ラベルはMicrosoft 365の中にあるMicrosoft Purviewというサービスの群の中にある、コンテンツの暗号化とアクセス制御を実現する機能です。ということで、秘密度ラベルの話をする前にMicrosoft Purviewとは?という話をさせてください。
Microsoft Purviewはデータ分野に関わるセキュリティ、ガバナンス、コンプライアンスを担保するための包括的なソリューションで、Microsoft 365 E5やE3のライセンスなどを通じて利用することができます。(以下のスライドはMicrosoft Ignite 2024 BRK317の資料より引用)
ちなみにPurviewという言葉には「範囲」とか「視野」という意味があり、Microsoft Purviewという文脈ではセキュリティ、ガバナンス、コンプライアンスという幅広い視野でソリューションを提供し、あらゆるデータの可視性を提供するソリューションという意味を持ち、Purviewという名称に包括的なデータ管理プラットフォームというビジョンを伝えようとしているのではないかと思います、、って生成AIが言っておりました。
話を戻します。
Microsoft Purviewのいろいろあるサービスの中でも最もポピュラーなサービスであるデータセキュリティ分野にフォーカスして、ここからは見ていこうと思います。
Microsoft Purviewのデータセキュリティ分野には主なサービスとして秘密度ラベル (Microsoft Purview Information Protection)、DLP、インサイダーリスク管理の3つがあります。
ざっくり言うと、秘密度ラベルはコンテンツの暗号化とアクセス制御の目的として、DLPは重要なコンテンツを自動的に見つけてそのコンテンツの利用を制限するため、そしてインサイダーリスク管理はコンテンツアクセスを監視し、内部不正にあたるアクセスを検出するためにそれぞれ使われます。このように暗号化する、操作を制限する、持ち出しを検知する、、いくつかのサービスを組み合わせることで情報漏えいのリスクを抑えようとしているのです。
Microsoft Purview Information Protection
Microsoft Purview Information Protection (MIP) はこれまでにも説明してきたようにファイルやメールに対するコンテンツの暗号化とアクセス制御を実現する機能です。ご覧のような画面でコンテンツを暗号化すると同時に誰に、どのようなアクセス許可を割り当てるかを設定できる仕組みになっています。
特に閲覧と変更という別々の権限を割り当てることができるため、ファイルにアクセスするユーザーに応じてアクセスできる範囲をかえることができます。ちなみにかつてはAzure Information Protection、もっと前はAzure RMSなどと呼ばれていました。
暗号化の仕組みなんか世の中いっぱいあるのにどうして必要なの?
一般的にファイルの暗号化というとパスワードを相手にお知らせして、正しいパスワードを入れればアクセスできるようになるというものでした。しかしこの方法の欠点はパスワードを何度でもトライできること、そして復号されたコンテンツはフルアクセスできてしまうことでした。これでは相手にファイルを渡したら、その先どうなるかは神頼みになってしまうのです。
だからこそMIPを利用してファイルそのものにアクセス権を設定し、ファイルを持ち出されても勝手にファイルにアクセスできないようにすることが重要なのです。
また、MIPでは認証にMicrosoft Entra IDを利用しているため、何度も認証に失敗すればログですぐに気づけることもメリットのひとつです。
秘密度ラベルの登場
良いことずくめのMIPに見えますが、よくよく考えてみると上の画面、本当にユーザーに使ってもらうことできると思います?本来、アクセス権設定というのは管理者が行うものであり、それをユーザーに強いるのはちょっと敷居が高いと思います。そこで、暗号化とアクセス制御の設定をラベルに埋め込み、ユーザーはそのラベルを選択するだけで自動的に設定ができようできる「秘密度ラベル」と呼ばれるものを用意しました。
(下の図では[機密情報]というラベルを選択すると、暗号化だったりViewerのアクセス許可だったりが自動的に設定される様子を表している)
秘密度ラベルは管理者が事前に作成しておくことで、ユーザーのOfficeアプリケーションの画面などで簡単に選択できるようになっています。
つまり秘密度ラベルは重要なファイルに設定するってこと?
いいえ、それは違います。会社で扱うコンテンツはすべてが資産です。
セキュリティの世界では会社のリスクを見極める前にそもそもどのような情報資産があるのか?を見極めることが必要で、それがメールやファイルだとしたら、それぞれのデータはどのくらい重要なのか?が簡単にわかるようになっていなければなりません。
昔であれば「社外秘」などと書いたフォルダーに保存してあるファイルが重要って分類だったかもしれないけど、時代はクラウド。ファイルサーバーにデータが一極集中する時代とは違います。そのため、ファイル自体に重要なものも、そうでないものもラベル付けして情報の分類を行っておくことが重要なのです。
重要なファイルには重要であることを表すラベルを、重要ではないファイルには重要ではないことを表すラベルを割り当てて情報の分類をすることで、はじめてセキュリティ対策の第一歩が踏み出せるのです。
