EU GDPR 順守において Microsoft EMS でできること – パート 4

このポストは「How Microsoft EMS can support you in your journey to EU GDPR compliance – Part 4」の翻訳です。

クラウド アプリのデータに対して可視性と制御性を確保するには

執筆者: Rue Limones、クラウド アプリ セキュリティ エンジニアリング チーム、シニア プログラム マネージャー

GDPR への準拠に向けた取り組みの確認

ホワイトペーパー『一般データ保護規則(GDPR)への対応を開始する』では、GDPR への準拠に関する次の 5 つの主なユース ケース シナリオを紹介しており、これらのいずれにおいても、マイクロソフトの Enterprise Mobility + Security (EMS) テクノロジが重要なサポートを提供しています。

• オンプレミスとクラウドで一貫したデータ保護を提供する
• データへのアクセス権を付与および制限する
• クラウド アプリのデータに対して可視性と制御性を確保する
• モバイル デバイスとモバイル アプリケーションのデータを保護する
• 損害が発生する前にデータ侵害を検出する

今回で、これらのソリューションをご紹介するブログのシリーズも折り返し地点を迎えました。ちょうど良い機会ですので、これまでの内容を振り返って、どんな機能があったか、他に弊社と皆様が協力し合ってできることはないかを確認したいと思います。これまでの記事では、オンプレミスとクラウドで一貫したデータの保護を実現するための Azure Information Protection (AIP) の機能や、リスクベースの条件付きアクセス制御によってデータへのアクセス権の付与と制限を行うための役割と Azure Active Directory (Azure AD) についてご紹介しました。今回は、Microsoft Cloud App Security についてご説明し、過去の 2 つのユース ケースと皆様の GDPR への準拠に向けた取り組みにおいてどのような役割を果たすのかを確認します。Cloud App Security によって SaaS アプリ内のデータに対する優れた可視性と制御性を確保する方法をご理解いただけると共に、ユーザーや皆様の組織に損害が発生する前にデータ侵害を検出できるようにもなります。

 

Cloud App Security による可視性と制御性

ステップ 1: アプリの検出

クラウド アプリにおけるユーザーの動作やデータの移動を詳細に把握できる可視性を確保することは、データの保護とセキュリティに関する GDPR の要件を満たすうえで不可欠ですが、それは決して簡単なことではありません。そして、その第一歩となるのが、強固なクラウド アプリによる識別機能です。Cloud App Security では、サービス、コンプライアンス、およびセキュリティに関する 60 の項目と照らし合わせて、14,000 を超えるクラウド アプリの検出と評価を行えます。その分析の結果、アプリのリスク評価の合計スコアとレポート カードが提供されます。

各アプリの相対的なリスク評価を把握できたところで、Cloud App Security ポリシーを使用すれば、貴社のクラウド アプリにおいてユーザーが特定の行動をとるようにできます。アプリの検出ポリシーと異常検出ポリシーにより、組織内で新しいアプリが検出された場合や、アプリ内で異常な動作が検出された場合には、通知が送られます。たとえば、検出ポリシーを使用して、リスク評価スコアが "4" 以下の新しいアプリを使用する 20 人以上のユーザーが検出された場合に通知されるようにすることができます。これらのポリシーは、個人データや機密データを保護するための安全かつ承認されたアプリが使用されていることを把握し、徹底するうえで重要な役割を果たします。

ステップ 2: データの検出

おわかりかとは思いますが、クラウド アプリの使用状況を検出するだけでは必ずしも十分とはいえません。それらのアプリ内でのデータの移動に関して GDPR の対象となる場合、GDPR に準拠したポリシーと制御の下でアプリが管理される必要があるためです。データの検出に Cloud App Security を使用すると、ネイティブ DLP、Office DLP、またはサード パーティのソリューションによって、保護されていない個人データや機密データを特定したり、外部との共有やコラボレーションをファイル レベルで検出したりすることができます。パート 2 の記事でもご説明しましたが、Cloud App Security を AIP と統合すると、ファイルのラベルを読み取ることもできます。保存されている個人データや機密データを特定することが、GDPR への準拠の取り組みにおいて重要になります。

ステップ 3: データの制御

クラウド アプリのデータに対して可視性と制御性を確保するための最後のステップでは、データそのものに対する制御を確立します。Cloud App Security では、特定のファイル/ファイルの種類 (共有ファイルなど) またはデータ (個人を特定できる情報など) に対してスキャンを実行するためのファイル ポリシーを使用して、ガバナンス アクションを適用できます。

鍵となるのは、これらのポリシーのカスタマイズです。それにより、GDPR に関する特定のニーズに合わせて検出方法を調整できるようになるからです。たとえば、個人データや機密データが外部と共有されたことを検出するためのファイル ポリシーを使用し、外部ユーザーを削除するためのガバナンス アクションを設定することができます。共有アクセス許可の変更、コラボレーターの削除、ユーザーの検疫といった機能によって、データに対するほぼリアルタイムの制御が可能になります。

ここまでで、皆様はクラウド アプリに対する可視性を得て、検出ポリシーとファイル ポリシーによる制御を構成できたことになります。しかしまだ、GDPR の規定に準拠した方法で、皆様の組織やユーザーを標的とする脅威を検出して対処するための手段が必要です。

強化された脅威検出と対処

検出ポリシーとファイル ポリシーが適用されていると、Cloud App Security では、行動分析と強固な異常検出エンジンを使用することにより、脅威を検出して対処するための機能が強化されます。これは、GDPR に関してはどのように当てはまるでしょうか。データの侵害を報告するために求められる GDPR のタイムラインと条件は厳しく、検出から対処までのサイクルでより適切な情報が得られるほど、それらの要件を満たすための態勢を整えられるようになります。ではここからは、Cloud App Security がもたらす主な利点を 1 つずつ見ていきましょう。

ユーザー中心の検出

各ユーザーがクラウド アプリを操作すると、Cloud App Security はユーザーの行動におけるリスクを評価します。ありえない移動、突然の予期しないデータのダウンロード (および取得の可能性)、自発的な管理アクティビティはすべて、データ侵害の兆候である可能性があります。Cloud App Security では、異常検出ポリシーによって、このようなイベントに対する行動分析を適用し、何らかの異常が見つかった場合はユーザーに通知します。さらに、検出は Cloud App Security のみによって実行されるわけではありません。EMS のすべてのサービスが連携することで、オンプレミスとクラウド全体での検出が強化されます。

アプリの API を利用したアクティビティ ポリシーも、特定のユーザー アクティビティの監視に使用されます。たとえば、個人データや機密データが含まれるファイルに「GDPR Sensitive」というラベルを付けた場合、アクティブ ポリシーを使用して、誰かが企業ネットワーク以外の IP アドレスからこれらのファイルにアクセスしているときに監視することができます。必要に応じて、貴社のセキュリティ運用担当者がそのアクティビティと異常を示す警告について確認し、より詳細な調査を行って、継続的にポリシーをカスタマイズできます。

インテリジェンスに基づく検出

Cloud App Security の脅威インテリジェンスおよび検出機能は、マイクロソフト インテリジェント セキュリティ グラフによって拡張されます。脅威インテリジェンスとセキュリティ調査データの膨大なリポジトリとしての役割を果たすインテリジェント セキュリティ グラフは、Cloud App Security だけでなくすべての EMS セキュリティ ソリューションに、強力ですぐに役立つ情報を提供します。

連携した対処

Cloud App Security では、ユーザーの停止、パスワードの取り消し、ユーザーがアクセスした機密ファイルの共有アクセス許可の削除といった、迅速な対処が可能です。同時に、すべての EMS ソリューションが連携して、補完的な対処方法を見つけます。前回の記事で説明したとおり、Azure AD はリスクベースの条件付きアクセスを提供します。異常なイベントが検出され、ユーザーのリスク レベルが高まると、アクセス ポリシーに基づいて対処します。高度な脅威が検出されたときには、要塞の門が自動的に下がるような、迅速で、即応性の高い、完全に統合されたソリューションが求められますが、まさにそれを実現できます。

</>

今後の予定

今回は、GDPR への準拠に向けた皆様の取り組みにおける、Cloud App Security と EMS によるサポートについてご説明しました。
今後のブログ記事では、本稿でご紹介した可視性、制御性、脅威検出、および対処機能が、マイクロソフトの他のセキュリティ機能によって拡張されるしくみについて説明します。
そして何よりも、皆様の組織における GDPR のニーズを満たすうえで役立つ、最適に統合された最も包括的なソリューションを EMS が提供できることをおわかりいただけるでしょう。

今回もぜひ以下の参考情報をご確認ください。

• 信頼できる技術文書で Cloud App Security の詳細をご覧ください。