Microsoft Purview データ セキュリティ調査は、organizationのサイバーセキュリティ チームが生成人工知能 (AI) を使用して、データ セキュリティ インシデント、危険なインサイダー、データ侵害を分析して対応するのに役立ちます。 調査を使用すると、機密データの公開からリスクをすばやく特定し、パートナー チームとより効果的に共同作業を行って問題を修復できます。 これにより、従来は時間がかかり複雑なタスクが簡略化されます。
organizationのアナリストは、データ セキュリティ調査機能を使用して次のことができます。
- 影響を受けたデータをすばやく効率的に検索、検出、特定します。
- ディープ コンテンツ AI 分析を使用して、データに隠されている正確なデータ リスクを検出します。
- データ セキュリティ インシデントの影響を軽減し、進行中のリスクを迅速に軽減するためのアクションを実行します。
- 調査の詳細について、社内外の関係者と共同作業を行います。
データ セキュリティ インシデントへの対応データ セキュリティ調査方法の詳細については、次のビデオを参照してください。
- Microsoft Purview のデータ セキュリティ調査
- Microsoft Purview を使用してデータ セキュリティ調査を強化する
- Microsoft Purview データ セキュリティ調査の概要
- Microsoft Purview を使用してデータ セキュリティ調査のパワーを引き出す
- Microsoft Purview データ セキュリティ調査何でも聞いてもらう
AI 統合
データ セキュリティ調査では、ジェネレーティブ AI を使用して詳細なコンテンツ分析を行い、調査に含まれるデータの重要なセキュリティと機密データ リスクを明らかにします。 AI は、アナリストが大量のデータをすばやく高精度で分析し、トリアージ、レビュー、軽減アクションの重要な時間を節約するのに役立ちます。
AI 関連の主な調査機能は 3 つあります。
- ベクター検索: ベクターベースのセマンティック検索を使用すると、類似性ベースの情報を取得し、リテラルワード以外のユーザーの意図を理解できます。 アナリストは、影響を受けたデータを照会して、キーワードが見つからない場合でも、特定の件名に関連するすべての資産を検索します。
- 分類: インシデントの重大度を最初に理解するために、アナリストは、Standardまたは高度な AI オプションを使用して影響を受けるデータを分類し、リスクの高い資産に焦点を絞ることができます。 データ セキュリティ調査は、データを既定、カスタム、または AI が推奨するカテゴリに自動的に並べ替えます。 分類された項目には、主題とリスク レベル別のグループ化も含まれます。
- 調査: データ セキュリティ調査を使用すると、アナリストは、影響を受けるデータ内に埋め込まれたセキュリティ リスクを見つけることで、ほとんどのデータ セキュリティ インシデントの最優先事項に簡単に対処できます。 セキュリティ リスクの影響を受けたデータを調査することで、アナリストは、セキュリティ インシデントに関連する侵害された資格情報、ネットワーク リスク、 個人データの漏洩、または脅威アクターのディスカッションの証拠を見つけることができます。
AI 統合とこれらのツールの詳細については、「データ セキュリティ調査での AI 分析について」を参照してください。
一般的なデータ侵害アクション
ほとんどの組織は、内部および外部のデータ セキュリティ侵害に関連するリスクと影響の増大に関心を持っています。 サイバーセキュリティ チームは、データ侵害シナリオ中に影響を受けるデータを特定し、データ侵害シナリオ内で公開される脆弱性に関連するリスクを軽減するために必要な時間を短縮する責任を負います。 データ侵害が発生した場合は、リスクを軽減し、機密情報を保護するために迅速かつ効果的に対応する必要があります。
サイバーセキュリティ チームは、次の作業を行う必要があります。
- データ侵害を評価する: アナリストは、データ侵害の範囲と影響を理解する必要があります。 この理解には、影響を受けるすべてのシステム、影響を受けるデータ、およびデータ侵害に関連する外部および内部ユーザーの特定が含まれます。
- 封じ込めとコミュニケーション: アナリストは、影響を受けるシステムを分離して、さらなる損傷を最小限に抑え、防止する必要があります。 さらに、organization (IT、法務、エグゼクティブ管理) の内部の利害関係者や部門には、通知とデータ侵害に関する詳細が必要です。
- フォレンジックと証拠の保存: アナリストは、データ フォレンジックの専門家と関わるときにサポートが必要になる場合があります。 潜在的な法的要件と規制要件のために、システムと状態の詳細 (ログ、システム スナップショット、ネットワーク トラフィック) を保持する必要があります。
- リスク評価と軽減: アナリストは潜在的なリスクを評価し、リスクの重大度に基づいて軽減アクションの優先順位を付ける必要があります。 この情報は、適用可能なセキュリティ パッチの実装など、構成とポリシーの更新プログラムの実装に役立ちます。
- データの消去と保護: アナリストは、不要なデータや侵害されたデータを削除し、冗長コピーを削除する必要がある場合があります。 データ セキュリティ調査では、データ ソースからアイテムを削除または完全に削除するための論理的な消去オプションとハード 消去オプションがサポートされています。 その他のタスクには、アクセス制御の強化、データ暗号化、監視などがあります。
- レポートとコンプライアンス: 関係するデータの性質と影響を受ける管轄区域によっては、アナリストは 違反通知の規制要件に準拠する必要がある場合があります。 これらの要件には、影響を受ける個人、規制機関、その他の利害関係者に、侵害の性質とそれに対処するための手順を通知することが含まれる場合があります。
一般的なシナリオ
データ侵害を調査する
データ セキュリティ インシデントの後、機密データの公開の影響を理解するのが難しい場合があります。 軽減戦略の一環として、侵害される可能性のある知的財産、 個人データ、財務情報を特定する必要があります。 さらに、一部の組織では、これらの問題を調査するためのカスタム ツールを構築および管理しています。
Microsoft Defender XDRを使用してデータ セキュリティ インシデントを調査すると、ファイルされていない特許を含むドキュメントが見つかることがあります。 データ セキュリティ調査のインシデントから調査を作成すると、ドキュメントをダウンロードしたユーザーと、危険な IP アドレスからアクセスされたユーザーが詳細に分析されます。 この情報により、organizationから機密性の高いドキュメントを保護または削除するなど、軽減策を実行するための重要なコンテキストが提供されます。
危険なインサイダーからの潜在的なデータ リークを調査する
Insider Risk Management を使用して、organizationの危険なユーザーのデータ リーク アラートを調査すると、ユーザーが電子メールとファイルを外部ストレージ ソリューションと共有していたことが分かることがあります。 組み込みの統合により、Insider Risk Management ケースのデータ セキュリティ調査で新しい調査を作成して、共有コンテンツに関する予備的な分析情報をすばやく確認できます。 追加のコンピューティング リソースまたは料金をコミットする前に、このコンテンツをさらに分析する必要があるかどうかを判断できます。
共有アイテムを調査の範囲に追加すると、処理が自動的に開始され、コンテンツの詳細をさらに詳しく調べることができます。 処理が完了すると、すべてのデータが分類され、リスクの重大度が評価されます。 アナリストは、重大度が最も高い項目をすばやく確認し、詳しく見る必要がある項目を特定できます。 ユーザー名、パスワード、ドキュメント コンテンツ、ソース コードに関する詳細はすべて、該当する場合に確認できます。 アナリストは、organization内の他の利害関係者と協力して、最も重要な項目に対してアクションを実行して、データ 漏洩による継続的なリスクを軽減できます。
機密データ 漏洩
機密、機密、または保護された情報が意図した環境外で意図的または意図せずに公開されるシナリオでは、データ セキュリティ調査を使用して、潜在的なデータ リークをさらに調査し、インシデントへの影響をより深く理解し、必要な次の手順を実行できます。
プロアクティブ なデータ セキュリティ評価
また、データ セキュリティ調査を使用して、データ資産のデータ リスクを事前に評価することもできます。 価値の高いデータ ソースとユーザーのサンプルでデータ リスクを分析したり、特定の価値の高いデータ ソースまたは広範なorganization範囲のプロアクティブ スキャンを実行したりできます。 この評価は、セキュリティ プラクティスを強化し、将来のデータ セキュリティ インシデントの影響を防止または軽減するために、ポリシーや組織の変更を改善する機会を特定するのに役立ちます。
データ セキュリティ態勢管理 (プレビュー) からプロアクティブな AI 分析情報を有効にすると、データ セキュリティ調査は、最近流出した機密データを 5 つのリスク カテゴリにまたがって自動的に分析し、手動で調査を作成することなく、データの公開を継続的に可視化します。
他の Microsoft プラットフォームとソリューションとの統合
データ セキュリティ調査は、他の Microsoft セキュリティ サービスと緊密に統合された、統合された専用のソリューションです。 セキュリティに対する Microsoft Graph 対応のアプローチと統合されたデータ セキュリティ調査は、影響を受けるデータ、ユーザー、アクティビティの間に相関関係を描画します。 この統合は、影響を受けるデータをすばやく特定し、生成 AI を使用してインシデントを調査し、セキュリティ チームの他のメンバーと安全に共同作業してリスクを軽減するのに役立ちます。
Microsoft Defender XDR
Microsoft Defender XDRは、エンドポイント、ID、電子メール、アプリケーション全体で検出、防止、調査、応答をネイティブに調整し、高度な攻撃に対する統合された保護を提供する、侵害前および侵害後の統合されたエンタープライズ防御スイートです。 データ セキュリティ調査との組み込みの統合により、脅威信号の分析を拡張し、攻撃やセキュリティ インシデントに関連するデータをさらに深く掘り下げます。
Microsoft Defender ポータルを使用すると、アラートを評価し、データ セキュリティ調査で調査をすばやく開き、インシデントに関連付けられているデータとユーザーに関するより深い分析情報を得ることができます。 調査は、アラートの詳細を分析し、その意味を理解し、より深いレビューと軽減作業のためにデータを収集して調査するのに役立ちます。
Microsoft Defender XDR機能の詳細については、「Microsoft Defender XDRの概要」を参照してください。
Microsoft Purview インサイダー リスク管理
データ セキュリティ調査の統合と調査機能とMicrosoft Purview インサイダー リスク管理のプロアクティブなリスク管理機能を組み合わせることで、organizationは潜在的なリスクの包括的なビューと、機密データを保護するためのタイムリーなアクションを実行する能力を備えています。 Insider Risk Management 調査担当者は、危険なアラートに関連付けられているファイルに含まれるコンテンツに関する重要な分析情報を持っていない可能性があります。 このギャップは、アラートの誤った処理につながる可能性があり、最終的にはインサイダーの脅威を軽減する効果を妨げる可能性があります。
データ セキュリティ調査と Insider Risk Management の統合により、サイバーセキュリティチームとリスク管理チーム間のシームレスなコラボレーションが可能になります。 このコラボレーションにより、より効率的な識別とインサイダー脅威の迅速な軽減が可能になります。 Insider Risk Management 機能の詳細については、次の記事を参照してください。
- Insider Risk Management の概要
- Insider Risk Management ポリシーを作成および管理する
- インサイダー リスク アクティビティを調査する
- インサイダー リスクのケースに対処する
Microsoft Purview データ セキュリティ態勢管理
Microsoft Purview データ セキュリティ態勢管理 (DSPM) を使用している場合は、潜在的なデータ流出の結果をデータ セキュリティ調査にエスカレートして、より深い AI を活用したコンテンツ分析を行うことができます。 DSPM (プレビュー) 分析情報から手動で調査を作成することも、24 時間ごとにテナントの調査を自動的に作成および更新するプロアクティブ AI 分析情報を有効にすることもできます。 DSPMから作成された調査は、最近organizationから流出したすべての機密データに自動的にスコープが設定されるため、チームは公開された内容をすばやく把握し、その機密性を評価し、情報に基づいた修復アクションを実行できます。
統合監査ログ
Microsoft Purview 監査ソリューション は、組織がセキュリティ イベント、フォレンジック調査、内部調査、コンプライアンス義務に効果的に対応するのに役立つ統合ソリューションを提供します。 organizationの統合監査ログは、数十の Microsoft サービスとソリューションで実行された何千ものユーザーと管理者の操作をキャプチャ、記録、保持します。
データ セキュリティ調査は、次の 2 つの方法で統合された監査ログと統合されます。
- 監査検索: 監査検索 を使用して、統合監査ログに記録されたユーザー アクティビティに基づいてコンテンツを特定して収集します。 監査検索では、統合監査ログに対して、ファイル アクセス、ダウンロード、秘密度ラベルの変更などのコンテンツ関連アクティビティが照会され、関連するコンテンツが調査スコープに直接追加されます。
- アクティビティ ログ: データ セキュリティ調査は、ソリューションの安全で承認された使用を確保するために実行されたアクティビティを監査する機能を必要とする可能性がある強力な調査ツールを提供します。 これらの要件を満たすために、データ セキュリティ調査アクティビティは統合監査ログに自動的に記録されます。
これらのアクティビティの詳細については、監査ログ アクティビティに関する記事の「データ セキュリティ調査 アクティビティ」セクションを参照してください。
課金モデル
データ セキュリティ調査は、大きな言語モデル (LLM) とセキュリティのMicrosoft Copilotを使用して、侵害されたコンテンツのデータ リスクを特定するのに役立ちます。 データ セキュリティ調査はオンデマンドの AI 分析を提供し、他の Microsoft Purview ソリューションと統合するため、従量課金制と容量課金モデルを使用します。 この課金構造は、ソリューションで使用するストレージと AI 容量の機能に対して料金を支払うことを意味します。 ただし、データ セキュリティ調査を使用するために専用のエンタープライズ プランやライセンスは必要ありません。
DSPMからプロアクティブな AI 分析情報を有効にすると、自動作成された調査が 24 時間ごとに更新されるため、トグルが有効なまま、ストレージと AI の容量コストが継続的に発生します。
課金の詳細については、「データ セキュリティ調査の課金モデル」を参照してください。