はじめに
近年、企業が扱うデータは急速に増加し、その管理や保護、法令遵守の重要性がますます高まっています。データの分散やクラウド利用の拡大により、情報漏洩や内部不正、コンプライアンス違反といったリスクも複雑化しています。
Microsoft Purview は、こうした課題に対応するために設計された、データガバナンス・セキュリティ・コンプライアンスを包括的に支援するプラットフォームです。オンプレミスからクラウドまで、あらゆるデータ資産を一元的に管理し、可視化と保護を実現します。
Microsoft Purview の概要
Microsoft Purview は、Microsoft が提供するデータ管理・保護・コンプライアンス対応の統合プラットフォームです。企業が保有するデータを一元的に管理し、可視化することで、セキュリティ強化や業務効率化を実現します。
主な目的は、機密情報の保護、内部不正のリスク低減、法令遵守の支援です。
Microsoft Purview の機能は以下の3つに分類されます:
- データガバナンス
- データセキュリティ
- リスクとコンプライアンス
1. データガバナンス
「データガバナンス」は、オンプレミス、マルチクラウド、 SaaSなどの社内に分散するデータ資産を一元管理し、可視化することで、データの可視性、信頼性、コンプライアンスを確保しながら、業務効率化やAI時代におけるデータ活用を最大化するための包括的なソリューションです。
1-1. データマップ
- Azure、AWS、GCPなどを含む複数環境のデータを自動スキャン
- メタデータを収集・可視化
1-2. 統合カタログ
- スキャンしたデータを検索可能なカタログとして提供
- 分類・タグ付け・アクセス権管理を実現
2. データセキュリティ
「データセキュリティ」は、組織のデータを保護し、情報漏洩や不正アクセスなどのリスクを最小限に抑えるための包括的なソリューションです。
「データセキュリティ」には、主に以下の機能があります
- 情報保護
- データ損失防止(DLP)
- インサイダーリスク管理
- 情報バリア
- 特権アクセス管理(Privileged Access Management:PAM)
- データセキュリティ体制管理
2-1. 情報保護
「情報保護」は、機密情報がどこに保存されていても、どこに移動されても、それらの情報の検出、分類、保護する機能です。
機密データの自動検出
あらかじめ定義されたテンプレート(例:マイナンバー、クレジットカード番号など)やカスタムルールを使って、組織内の機密データを自動で検出。
秘密度ラベルによるデータ保護
データに「一般」、「機密」、「社外秘」など、データの重要度に応じて秘密度ラベルを付与し、ラベルごとに暗号化・アクセス制御・透かし表示などの保護を自動/手動で適用。
※ Office アプリ(Word、Excel、Outlook など)や Teams、SharePoint、OneDrive に対応
2-2. データ損失防止(DLP)
「データ損失防止(DLP)」は、下記のような組織の機密情報が意図せず外部に漏洩するのを防ぐための機能です。
- 財務データ
- 財産的価値のあるデータ
- クレジットカード番号
- 医療記録
- 社会保障番号
DLP ポリシーを組むことで、あらかじめ設定したルールに基づいて機密情報を検出し、設定に応じたアクションを行うことで外部への漏洩を防ぎます。
DLPポリシー例:
- 機密データの外部共有をブロック
- ユーザーに警告を表示
- アクティビティを監査・記録
- 自動ラベル付けや暗号化の適用
「データ損失防止(DLP)」を効果的に運用するためには、「どのデータを」「どのように守るか」組織のセキュリティ要件に応じて、具体的なルールを定めて、DLPポリシーとして設定する必要があります。
2-3. インサイダーリスク管理
「インサイダーリスク管理」は、組織内の悪意ある、または不注意な行動による情報漏洩やセキュリティ違反を防ぐための高度なコンプライアンス機能です。
機密情報の持ち出し、不正アクセス、誤送信など、情報漏洩につながりかねないリスクの高い行動を自動で検知・可視化します。
リスク管理ポリシーとユーザー行動の分析・アラート
どのような行動をリスクとみなして検知・監視するか、顧客ニーズに応じたポリシーを設定することで、
Exchange、Teams、SharePoint、OneDrive などの操作ログをもとに、ユーザーの行動パターンを継続的に監視し、リスクの高い行動を検出すると自動でアラートが生成されます。
2-4. 情報バリア
「情報バリア」は、Microsoft Teams、SharePoint Online、OneDrive for Business において、組織内の特定のユーザーやグループ間での情報共有やコミュニケーションを制限するためのコンプライアンス機能です。
チャット、通話、メール、ファイル共有など、組織内の特定の部署やユーザー同士が情報のやり取りができないように制限することで、機密情報の保護を図ります。
例:
- 技術部門と営業部門間の機密情報のやり取りを防止
- 機密資料を扱うチームと他部署のメンバーのオンライン通話やチャットを防止
- 研究部門は開発部門とのみコミュニケーションを許可
2-5. 特権アクセス管理(PAM)
「特権アクセス管理(Privileged Access Management:PAM)」は、Microsoft 365 環境における特権操作を最小限かつ安全に制御するためのセキュリティ機能です。
管理者による機密データや重要な設定へのアクセスを制限・監視したり、操作ミスや悪意ある行動による情報漏洩リスクを低減することができます。
例:
- 必要なときだけ一時的にアクセスを許可(Just-In-Time アクセス)
- 特権操作を行う前に上長や管理者の承認を必要とする「承認フロー」の設定
- すべての特権操作を監査ログに記録
2-6. データセキュリティ体制の管理
「データセキュリティ体制の管理」は、組織全体のデータセキュリティ状況を可視化し、リスクのあるデータ資産やユーザー行動を特定・対処するための機能です。
Microsoft 365、SharePoint、OneDrive、Teams などの環境を対象に、機密データとユーザー行動を継続的にスキャンし、検出されたリスクに対して、DLPポリシーやインサイダーリスクポリシーの作成を提言します。
自動検出:
クラウド環境全体に存在する機密データを可視化し、どこに保存されているのか、誰がアクセスできるのかを把握します。
データ秘密度の設定:
Microsoft Purview内で定義した機密情報の種類・ラベルを使用して、データの機密性を評価します。
機密データ検出:
機密性の高いデータとそれに関連するリスクを自動で検出し、リスクの優先順位付けと修復をサポートします。
攻撃パスの分析:
攻撃者が悪用する可能性のある経路を特定し、セキュリティ上の問題を分析します。
3. リスクとコンプライアンス
「リスクとコンプライアンス」は、企業が抱える情報漏えい、内部不正、法令違反などのリスクを最小限に抑え、コンプライアンスの強化を支援するソリューションです。
「リスクとコンプライアンス」には、主に以下の機能があります。
- コミュニケーション コンプライアンス
- データライフサイクル
- レコード管理
- 監査
- 電子情報開示(eDiscovery)
3-1. コミュニケーション コンプライアンス
「コミュニケーション コンプライアンス」は、Teams やメールなどのコミュニケーションを監視し、不適切な発言や機密情報の共有などコンプライアンス違反の兆候を検出するための機能です。
これにより、ハラスメント、脅迫、規制違反などのリスクを軽減します。
ポリシー(定義済み/カスタム)の設定:
チームや部署、ユーザーグループごとに、柔軟に監視ルールを設定することができます。
自動検出:
ハラスメント、脅迫、差別的表現、機密情報の不適切な共有など、リスクの高い発言内容をAIが自動で検出します。
管理者へのアラート通知とユーザーへのフィードバック:
ポリシー違反が検出された場合に、管理者に自動でアラートを通知します。
さらに、ポリシーに違反したユーザーに対しては、注意喚起のメッセージを自動で送信することもできます。
3-2. データライフサイクル
「データライフサイクル管理」は、組織のデータを「必要なものは保持し、不要なものは削除する」ことで、コンプライアンス、セキュリティ、業務効率を向上させるための機能です。
企業にとって必要なデータを必要な期間だけ保持し、不要なデータは自動的に削除することで、コンプライアンス要件に基づくデータ管理ができ、攻撃対象領域を縮小させることが可能です。
アイテム保持ポリシー:
ドキュメントやメール、チャットなどのコンテンツを一定期間保持し、その後自動削除するといった設定が可能です。
例:
メールを3年間保持し、その後削除する。
保持ラベル
特定のドキュメントやメールなどアイテムレベルでラベルを付け、保持期間や削除ルールを制御することが可能です。
例:
ラベル付けした特定のメールは1年間保持し、その後削除する。
3-3. レコード管理
「レコード管理」は、組織が法令・規制・業務上の義務に従って、ドキュメントやメールなどの情報資産を体系的に保持・管理・廃棄するための機能です。
アイテム(メール、ドキュメントなど)に「レコード」または「規制レコード」として分類し、ラベルを付けることで、編集・削除などの操作を制限することができます。
また、保持ポリシーをレコードに対して適用することで、必要なデータの保持と不要なデータの削除を自動化し、法律によって保存期間が定められている書類などが適切な期間保存され、期間を過ぎた後は自動で削除されるよう管理することが可能です。
3-4. 監査
「監査」は、Microsoft 365 環境におけるユーザーや管理者の操作を詳細に記録・分析し、セキュリティ、コンプライアンス、フォレンジック調査を支援するための機能です。
主に、セキュリティインシデントの調査や内部不正の検出、内部/外部監査時の証跡提示用として活用できます。
監査には、「監査 (Premium) 」と「監査 (Standard)」が存在します。
監査 Premium:
- 最大1~10年間のログ保持 ※条件によって最大10年まで延長可
- ユーザー/管理者による基本的な操作ログに加えて、メール、検索、ダウンロード操作の記録が可能
- 高度な検索・分析
- Microsoft 365 E5 Compliance ライセンスが必要
監査 Standard:
- 最大180日間のログ保持 ※既定で有効
- 基本的な操作(ユーザー/管理者のログイン、ファイル操作など)の記録が可能。
- Microsoft 365 E3 以上で利用可能
3-5. 電子情報開示(eDiscovery)
訴訟、内部調査、規制当局からの要請などに対応するため、電子的証拠(メール、チャット、ファイルなど)を特定・保持・収集・分析・提出するプロセスを支援します。
※Exchange Online、SharePoint Online、OneDrive、Teams などの Microsoft 365 サービス全体からデータを検索可能。
法的ホールド(訴訟ホールド)
関連するユーザー(カストディアン)のデータを削除・変更されないように保持(ホールド)することで、証拠の改ざんや消失を防ぎます。
内部不正やコンプライアンス違反の調査
社内の不正行為(情報漏洩、ハラスメント、利益相反など)に関する調査します。
※Teams や Viva Engage などのコミュニケーションツールの内容も対象にすることが可能。
「電子情報開示(eDiscovery)」は、以下のようなシナリオで利用されます。
利用シナリオ例:
- 退職者のメール調査
- 社内通報に基づく調査
- 規制当局からの情報開示要求
- 知的財産の不正利用の調査
システム要件
- 対応環境:Microsoft 365、Azure、AWS、GCP、オンプレ(SQL、ファイルサーバーなど)
- ブラウザ:Edge、Chrome、Firefox、Safari
- ネットワーク:TLS 1.2以上、Microsoft Entra IDによる認証
ライセンス要件
- Microsoft 365 E5 / E5 Compliance:ほぼ全機能利用可能
- Microsoft 365 E3:一部機能制限あり(例:監査はStandardのみ、情報バリア不可)
※詳細は以下を参照
Microsoft ライセンス比較表
おわりに
データは企業にとって最も重要な資産の一つであり、その適切な管理と保護は、ビジネスの信頼性や競争力を左右します。
Microsoft Purview は、データガバナンス、セキュリティ、コンプライアンスを包括的にサポートし、複雑化するリスクに対応するための強力な基盤を提供します。
本記事が Microsoft Purview 導入の検討材料の一助になれば幸いです。
株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible