🙄
Purviewでの自動ラベル付けとSPOでの既定の秘密度ラベルの違い・使い分け
背景
- 秘密度ラベルを発行済みの状態で、SPOにファイルをアップロードした際に自動で既定の機密ラベルが付与される設定を検討したい。
- 実装方法が2つあるので、その使い分けを知りたい。
- 方法1:自動ラベル付けポリシー活用
- 方法2:SPOで既定の秘密度ラベルを設定
結論
- 使い分けはできるが、自動ラベル付けポリシーを活用したほうが抜け漏れはないのででこちらがよい。
- SPOで既定の秘密度ラベルを設定する場合は、サイトの編集権限を持つユーザーでラベル設定されていないライブラリを作られてしまうなどのリスクがある
実装方法1 Purview 自動ラベル付けポリシー
「自動ラベル付けポリシー」にて、特定のSPOサイトを対象として秘密度ラベルを自動的に適用する。
※下記のようにルールを作成して設定。
実装方法2 SPOでの既定の秘密度ラベル
「SPOサイト>ドキュメント>ライブラリの設定>既定の機密ラベル」にて、作成したラベルを選択。
使い分け
自動ラベル付けポリシーはポリシー作成時に適用範囲を [すべてのサイト] や [特定のサイト] に指定できるため、より広範なラベル付けに向いている。
SPOでの既定の機密ラベルは、ラベル付けの適用対象があくまでドキュメント ライブラリ単位となるため、当該既定のラベル設定をしていないライブラリにファイルをアップロードした場合にはラベルが適用されない動作となってしまう。SPOのサイトの編集権限を持つユーザーでは、自由にドキュメント ライブラリ作成ができるため、ラベルが設定されていないライブラリを作成することは可能な動作となり、ラベル付けの対象として抜け道ができるリスクがある。
なので結論としてはできる限り自動ラベル付けポリシーを利用したほうがガバナンスがきく。
補足
表記ゆれ
MS自体が"秘密度ラベル"と"機密ラベル"で表記が揺れているので、これはこれでややこしい。
MSドキュメントは秘密度ラベル表記だが、実際の設定個所は機密ラベルとなっているので要注意。
関連項目ラベル発行ポリシー
そもそもファイルを作ったときに特定の秘密度ラベルを適用するものとしてラベル発行ポリシーの既定のラベルがある。これも併用するとよい。
3つの使い分けは表でまとめる下記。ポイントは多層防御の考え方。なのですべてやることが望ましいと思われるが、ユーザーにはコントロールさせないほうが良いので、個人的には自動ラベル付けポリシーとラベル発行ポリシーでの既定ラベルでよいと思う。
SPOファイルへの秘密度ラベル適用方法の比較
| 項目 | 自動ラベル付けポリシー | SPOで既定の秘密度ラベルを設定 | ラベル発行ポリシーでの既定のラベル |
|---|---|---|---|
| 設定場所 | Microsoft Purview ポータル (自動ラベル付けポリシー) | SharePoint サイト (ドキュメントライブラリ設定) | Microsoft Purview ポータル (ラベル発行ポリシー) |
| 適用タイミング | アップロード/編集時、または静止データに対して非同期でスキャン実行時 | ライブラリへのアップロード時、またはライブラリ内での新規作成時 | Office アプリでファイルが新規作成または編集開始時 |
| 適用されるファイル | 未ラベルのファイル、または優先度の低い自動ラベルが適用されたファイル | 未ラベルのファイル | 未ラベルのドキュメント、メール |
| 適用ロジック | コンテンツベース:ファイル内の機密情報(SIT)の有無や量で判断 | 場所ベース:ファイルの保存場所(ライブラリ)で判断 | ユーザーベース:ユーザーが Office アプリを使用しているという事実で判断 |
| 適用対象 | テナント全体、または指定したサイト/OneDriveのファイル | 特定のドキュメントライブラリ内のファイルのみ | 特定のユーザーが Office アプリで作成するドキュメント全体 |
| 使い分け | 【コンテンツの保護】 ファイルの内容に基づいて強制的にラベルを適用し、機密情報を保護したい場合。 | 【場所の分類】 特定のプロジェクトや部署など、場所の役割でファイルを分類したい場合。 | 【操作の習慣付け】 ユーザーがラベルを付け忘れるのを防ぎ、ラベル付けを促す最初の一手として活用したい場合。 |
Discussion