マイクロソフト、Microsoft Purviewの情報漏えい対策向け新機能を紹介

日本マイクロソフトは9月28日、セキュリティ製品の最新情報に関する報道関係者向けのオンライン勉強会を開催した。同勉強会では法令違反、社内規定違反、ハラスメントなど、さまざまなコンプライアンスリスクに関する最新の動向や脅威とともに、同社のセキュリティソリューションである「Microsoft Purview」の新機能が紹介された。

Microsoft Purviewは、Azure PurviewとMicrosoft 365のコンプライアンスソリューションを統合したデータのガバナンス、リスクマネジメント、コンプライアンス対策のための製品スイートとなる。

• 「Microsoft Purview」の主要機能

日本マイクロソフトの情報漏えい対策

さまざまな内部不正リスクがある中で、今回は「企業内部からの情報漏えい」に焦点が当てられた。多くの場合、企業は就業規則や社内罰則規定を基に、情報漏えいを行った従業員に対して懲戒処分などを行うが、営業秘密の持ち出しでは不正競争防止法が適用されて刑事罰に問われる。最近では、名刺管理アプリで他人の名刺情報を外部に流出させたことにより、個人情報保護法違反で個人に刑事罰が課された。

日本マイクロソフト クラウド＆AIソリューション事業本部 セキュリティ統括本部 コンプライアンス技術営業本部 本部長の一瀬幹泰氏は、「企業に対して、情報管理・ハラスメント対策で求められることを厚生労働省が『モデル就業規則』にまとめている。そちらを参照しつつ、具体的な罰則や、企業が行使する調査権を社内規程に事前に組み込むのが近年のトレンドだ。営業秘密の持ち出しについては、秘密管理性を満たしていることが重要になる」と説明した。

• 日本マイクロソフト クラウド＆AIソリューション事業本部 セキュリティ統括本部 コンプライアンス技術営業本部 本部長 一瀬幹泰氏

秘密管理性では、企業が従業員に社外秘であることを周知し、適切な管理措置を実施していることが求められる。そして、企業は特定の情報を秘密管理する意思を、従業員が容易に認識できるような措置を講じなければならないという。

日本マイクロソフトでは、内部不正対策に対して、職場のセキュリティと監視についてのポリシーを公表している。そこでは自動ツールを用いてITおよびコミュニケーションシステムを監視している旨や、「機密情報や会社の資産を守るため」「不正違反や社内規定違反の可能性を調査するため」など監視の目的や監視対象を明確に記載している。

そのうえで、同社では自社ソリューションを用いて、5つの情報分類ラベルを定義して、機微な情報に対するファイル単位でのアクセス制御(暗号化)を実施している。保護されたデータが社内から外部のクラウドサービスにアップロードされたり、管理外のUSBにコピーされたりした場合、検知やアラートによって管理者に警告するほか、ユーザーの操作そのものを停止させることも可能だ。Microsoft Purviewを用いた対策では、重要度に応じて選択的にデータの保護・監視を実施しているそうだ。

• Microsoft Purviewを用いた日本マイクロソフトの情報漏えい対策

「Information Protection」で機密情報を検出・分類・保護

今回は、Microsoft Purviewが提供する情報漏えい対策向けのソリューション群である「Data Security」の新機能が紹介された。

Data Securityは、機密情報の検出・分類と保護(暗号化)のための「Information Protection」と、機密情報の外部流出の検知・制御のための「Data Loss Prevention」、リスクを示唆する行動を検知するための「Insider Risk Management」の3つのソリューションで構成されている。

• 「Data Security」を構成する3つのソリューション