Azure Managed Service Column <Azure運用コラム>

Azure Information Protectionとは?注目の情報漏洩ソリューションいついて解説します!

Category: 入門編

2023.01.16

Azure Information Protectionの概要、機能、メリット、ライセンスについて

近年、テレワークの普及に伴いデバイスの持ち運び機会が増えることで、情報漏洩対策に関するテクノロジが注目されています。情報漏洩は社会的信用を損ない、経営状況を著しく悪化、または最悪倒産のリスクにも繋がります。

情報漏洩の原因として最も多いとされているのが、情報端末の紛失、置き忘れ、操作ミスといったヒューマンエラーがほとんどと言われています。ではヒューマンエラーを防止するためにデバイスやデータの持ち出しを抑制することはできるでしょうか。働き方の多様化、生産性の向上、業務の効率化を損ねるような対策では意味がありません。

Azure Information Protection は、ヒューマンエラーや無自覚の情報漏洩を未然に防ぐことのできるサービスです。本記事では、情報保護を強化するソリューションであるAzure Information Protection の概要、機能、メリット、ライセンスについて解説します。

1.Azure Information Protectionとは

Azure Information Protectionの概要

Azure Information Protection とは、情報漏洩対策ソリューションサービスです。主に電子メール、機密文書の情報を保護し、クラウドサービスとして利用することが可能です。

機密度レベルを設定し Microsoft 365 で作成した電子メール、 Word 、 Excel 、 Power Point といった Office ファイルのデータを保護することができます。具体的には、ファイルに対する編集、印刷、転送などの操作権限や有効期限を設定しポリシーを機密度レベルに応じたラベル付けすることでデータ管理を行い、情報漏洩を事前に防ぐ仕組みです。

Azure Information Protectionの機能

Azure Information Protection には検出、分類、保護、監視という 4 つの機能が備わっています。

検出:ポリシーに基づき機密データをスキャンして検出する機能
分類:機密レベルに応じたラベル付けを行う機能
保護:データの暗号化やアクセス制限をかけることでデータを保護する機能
監視:保護対象のデータを追跡し、意図しないアクセスに対し権限をはく奪する機能

Azure Information Protection はこれらの機能を利用しラベルごとにアクセスポリシーを設定することで管理を行います。

Azure Information Protection 統合ラベル付けスキャナー

統合ラベル付けスキャナーでは、 Windows でインデックスを作成できるすべてのファイルを検査できます。このスキャナーでは、検出されたファイルにラベルを付けてその分類を適用し、必要に応じて保護を適用または削除することができます。

またファイルでラベル付けが必要かどうかを判断するために、スキャナーで Microsoft 365 に組み込まれたデータ損失防止( DLP )の機密情報の種類とパターン検出、または Microsoft 365 の正規表現パターンが使われます。このスキャナーでは Azure Information Protection クライアントが使用され、クライアントと同じファイルの種類を分類および保護できます。

Azure Information Protection オンプレミススキャナー

オンプレミススキャナー機能を使用することで、オンプレミス環境のファイルをスキャンし、ラベル付け、分類、保護する対象の機密コンテンツを検索することができます。

オンプレミススキャナー機能は、統合ラベル付けクライアントの一部として提供されている PowerShell コマンドレットを使用してインストールして利用する機能です。

Azure Information Protectionの管理、開発環境

Azure Information Protection は特別な設備投資は不要であり、これらの管理をすべてクラウド上で行うことができます。またオンプレミス環境、クラウド環境問わずデータ保護が可能です。

また Microsoft Information Protection SDK により、機密ラベルの対象をサードパーティのアプリおよびサービスまで拡張できます。

Azure Information Protectionとは

図版出典:Microsoft 公式サイト

2.Azure Information Protectionのメリット

従来の情報保護機能としてマイクロソフトでは Active Directory サーバーの機能として実装された Active Directory Rights Management サービスにより情報保護機能を提供していました。

Active Directory Rights Management サービス(通称 AD RMS )では、 Azure Information Protection 同様、作成したファイルに対し、閲覧、編集、印刷などの権限を設定することが可能です。ファイルを開くと、 AD RMS との間で認証を行い、権限を確認し付与する仕組みです。

現在では Active Directory Rights Management サービスは積極的な開発が行われなくなっており、マイクロソフト社も Azure Information Protection への移行を推奨しています。本章では従来の AD RMS 情報保護機能と比較したときの Azure Information Protection のメリットについて解説します。

メリット1:ラベル付けによるデータ保護

Azure Information Protection はラベル付けによるデータ分類が大きな特徴です。これは AD RMS にはない機能です。ラベル分類と保護の機能は Microsoft 365 や一般的なアプリケーションも保護でき、簡単な操作でデータを保護できます。

AD RMS ではモバイルデバイスを使う場合には、モバイルデバイス拡張機能のインストールが必要でした。 Azure Information Protection のラベル機能は Windows OS のほかにも MacOS 、 iOS 、 Android などモバイル OS でもラベルをつけることが可能です。

またあらゆるデータにラベル付けすることができます。ヘッダー、フッター、透かしなどの視覚的なマーキング、クリアテキストでファイルと電子メールヘッダーに追加されるメタデータなどが可能です。

メリット2:柔軟性の高い展開が可能

AD RMS では、追加サーバーとPKI 証明書が必要でしたが Azure Information Protection はクラウド上で管理が可能であり追加の設備投資は不要です。クラウド環境、オンプレミス環境問わずあらゆる保存場所にあるデータを保護することが可能です。

また Azure Information Protection ではデータの監視、分析、判断、追跡機能に優れ、必要に応じてデータを追跡しアクセス権限を取り消すこともできます。

メリット3:テンプレート機能による管理の効率化

Azure Information Protection では社内だけがコンテンツにアクセスできるように制限する既定のテンプレートが自動的に作成され、テンプレートを使用して機密データの保護を簡単に実装できます。

またユーザー側でも適切なポリシーを簡単に選択してカスタマイズすることも可能です。このような規定のテンプレート機能は AD RMS には存在ません。

メリット4:強度な暗号化

AD RMS は、 RSA 1024 および RSA 2048 をサポートし、署名操作用に SHA 1 または SHA 256 をサポートしているのに対し Azure Information Protection はすべての公開キーの暗号化に RSA 2048 を使用し、署名操作に SHA 256 を使用しています。

Azure Information Protection は、 FIPS ( Federal Information Processing Standard :米国連邦情報処理規格) 140-2 と呼ばれる暗号化ハードウェアの有効性を検証するためのベンチマークに準拠しています。

3.Azure Information Protectionのライセンス

Azure Information Protection は、以下のいずれかの Microsoft ライセンススイートを通じて購入が可能です。

  • Office 365 Enterprise E3
  • Office 365 Enterprise E5
  • Microsoft 365 E3
  • Microsoft 365 E5
  • Microsoft 365 E5 コンプライアンス プラン
  • Enterprise Mobility + Securityプラン E3
  • Enterprise Mobility + Securityプラン E5
  • Microsoft 365 F1
  • Microsoft 365 F3
  • Microsoft 365 F5 コンプライアンス プラン
  • Enterprise Mobility + Securityプラン F5

Azure Information Protection には以下の 3 つのライセンスがあります。 Azure Information Protection Premium Plan1 ではデータの暗号化、追跡、流出後に無効化が可能となります。さらに Azure Information Protection Premium Plan2 ではデータを自動的に分類しての暗号化が可能です。

各機能のプランの違いについては公式サイトを参照ください。

Azure Information Protectionのライセンス

4.まとめ

情報漏洩はヒューマンエラーが原因となることが多いと言われています。情報漏洩を防ぐためにコンプライアンスの徹底、人材教育によるリテラシーの向上を行うことも有効な対策の一つです。しかしそれだけでは不十分であると言えるでしょう。

Azure Information Protection の各機能を活用し、自動的にラベル付けをすることによって閲覧やアクセスを制限することは、ヒューマンエラーの防止に大変効果的です。 Azure Information Protection は機密情報を保護するために有効なソリューションであり、導入を推奨します。

自社での活用が難しく感じる場合、詳細の導入に当たっては専門家への相談をお勧めします。

Azure の導入を相談したい

Azure導入支援サービス

Azure 導入支援サービス

Microsoft Azure 導入の具体的な方法の検討や技術検証を専門家にサポートいたします。

Free

資料ダウンロード

課題解決に役立つ詳しいサービス資料はこちら

資料ダウンロード
  • Azure導入支援・構築・運用サービス総合カタログ

    Microsoft Azure サービスの導入検討・PoC、設計、構築、運用までを一貫してご支援いたします。
    Azure導入・運用時のよくあるお悩み、お悩みを解決するためのアールワークスのご支援内容・方法、ご支援例などをご確認いただけます。

Microsoft Azureを利用したシステムの設計・構築を代行します。お客様のご要件を実現する構成をご提案・実装いたします。

Azure導入個別相談会(無料)

Tag: Azure Information Protection

Contactお問い合わせ

お見積もり・ご相談など、お気軽にお問い合わせください。

single.php