組織にとっての宝物はデータであることが多く、保護の第一歩は、最も重要な情報がどこにあるのかを突き止めることです。しかし、機密データの完全なインベントリを維持することは、見た目以上に難しく、一般的にセキュリティチームにとっては大きな負担となります。データセキュリティの問題を克服するために、Microsoftは顧客にデータの分類と保護ツールを提供しています。Microsoft Purview Information Protectionで利用できる秘密度ラベルは、人気のあるオプションの1つです。しかし、顧客は、機密データがマイクロソフトの可視性を超えて移動しても、その移動を追跡する機能を必要としています。
本日、Cloudflare Oneで、Microsoft Purview Information ProtectionラベルのData Loss Prevention(DLP)検出が可能になったことを発表します。Microsoftアカウントと統合し、ラベルを取得し、ラベル付きデータの移動を誘導するルールを構築するだけです。これにより、数回のクリックで、Microsoftのラベル機能を企業内のあらゆるトラフィックに拡張することができます。
Microsoftラベルによるデータ分類
ドキュメントのような一般に公開されているデータから、新製品の発売日のような内部データまで、あらゆる組織が管理すべきデータを豊富に抱えています。そしてもちろん、お客様の個人特定可能情報(PII)など、最高レベルの保護が必要なデータもあります。組織は、データを適切な場所に閉じ込めながら、アクセシビリティと生産性をサポートする責任を負っており、それは決して容易なことではありません。
Microsoft Purview Information Protectionは、秘密度ラベルを提供し、組織のデータを分類することができます。これらのラベルにより、Microsoftは、生産性を確保し、コラボレーションを可能にしながら、機密データを保護する機能を提供します。秘密度ラベルは、Microsoft Office文書にラベルを適用する機能を含む、多くのMicrosoftアプリケーションで使用することができます。ラベルは、ファイル内のデータの機密性に対応しており、「公開」、「機密」、「高機密」の3種類があります。
ラベルは文書のメタデータに埋め込まれ、OneDriveからのダウンロードなど、Microsoftの環境を離れても保存されます。
Cloudflare OneとMicrosoft Information Protectionを同期させる
Cloudflare Oneは、Zero Trustセキュリティをネイティブに組み込んだサービスとしてのネットワーク(NaaS)を提供する当社のSASEプラットフォームで、ユーザーを企業リソースに接続し、Microsoft Productivity Suiteで動くデータの検査など、企業のトラフィックを保護する様々な機会を提供します。私たちは、Cloudflare Oneがお客様の組織のための1枚のガラスとして機能するように設計しました。つまり、Zero TrustネットワークアクセスやSecure Web Gatewayなど、当社のZero Trustサービスを導入した後は、Data Loss Prevention、クラウドアクセスセキュリティブローカー、メールセキュリティ、ブラウザ分離を導入して、Microsoftのセキュリティとデータ保護全体を強化すれば、数か月ではなく、数回のクリックで導入を完了できます。
具体的には、CloudflareのAPI駆動型クラウドアクセスセキュリティブローカー(CASB)は、Microsoft 365などのSaaSアプリケーションをスキャンして、設定ミス、不正なユーザー活動、シャドーITなど、ユーザーが正常にログインした後に発生するデータセキュリティ上の問題を検出することができます。
今回の統合により、CASBはMicrosoftアカウントから情報保護ラベルを取得することもできるようになりました。ラベルを設定している場合、統合時にCASBは自動的にラベルをData Loss Prevention(DLP)プロファイルに入力します。
DLPプロファイルは、DLPスキャンを適用するためのビルディングブロックです。これは、Microsoftのラベル付きデータ、クレジットカード番号、カスタムキーワードなど、保護したい機密データを特定する場所です。ラベルは、Microsoft Purviewの情報保護の秘密度ラベルにおけるプロファイル内のエントリとして、CASB統合の名前を使用して保存されます。また、カスタムDLPプロファイルにラベルを追加することで、より柔軟な検出が可能です。
DLPルールの構築
Microsoftのラベルの力を拡張して、他のプラットフォームに移行する際にデータを保護することができるようになりました。DLPルールを構築することで、ラベル付きデータが企業ネットワークの内外をどのように移動できるかを決定します。「高機密」のラベルをOneDriveアカウントからダウンロードさせたくない、あるいは「機密」よりも機密性の高いデータを使用していないファイル共有サイトにアップロードさせたくない、といった要望があるかもしれません。これらはすべて、DLPとCloudflare Gatewayを使って実装することができます。
Gatewayのファイアウォールポリシーに移動し、DLPプロファイルを使用したルール構築を開始するだけで実装は完了です。
使用開始手順
DLPにアクセスするには、コンサルタントを利用するか、アカウントマネージャーまでお問合せください。