データ支柱に対する DoD ゼロトラスト戦略

DoD Zero Trust戦略とロードマップでは、国防総省のコンポーネントと防衛産業基盤 (DIB) パートナーがZero Trust原則に基づいて新しいサイバーセキュリティフレームワークを採用するための道筋が示されています。 Zero Trustは、従来の境界と信頼の前提を排除し、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンスを強化する、より効率的なアーキテクチャを実現します。

このガイドには、DoD Zero Trust Capability Execution ロードマップの 152 Zero Trust アクティビティに関する推奨事項があります。セクションは、DoD Zero Trust モデルの 7 つの柱に対応しています。

ガイドの各セクションに移動するには次のリンクを使用してください。

4 データ

このセクションでは、データの柱における DoD Zero Trust アクティビティに関する Microsoft のガイダンスと推奨事項について説明します。詳細については、「secure data with Zero Trust」を参照してください。

4.1 データカタログのリスクアラインメント

Microsoft Purview ソリューションは、データが存在する場所の検出、識別、管理、保護、管理に役立ちます。 Microsoft Purviewには、分類できるように項目を識別するための 3 つの項目が用意されています。項目はユーザーが手動で分類できます。これに機密情報の種類と同様に自動化されたパターン認識や機械学習を介在させることができます。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項

Target 4.1.1 データ分析
DoD 組織は、データ分類を使ってサービスとアプリケーションカタログを更新します。また、各サービスとアプリケーションにデータタグを追加します。

結果:
- サービスのカタログは、各アプリケーションとサービスのデータの種類を使って、データ分類レベルに基づいて更新されます Microsoft Purview
Microsoft Purview コンプライアンスポータルで機密情報の種類を確認し、カスタムの機密情報の種類を定義します。
- Purview コンプライアンスポータルでのカスタム機密情報タイプ

Purview コンテンツエクスプローラーまたはアクティビティエクスプローラーを使用して、Microsoft 365 のラベル付きコンテンツのスナップショットと、それに関連するユーザーのアクティビティを表示します。
- コンテンツエクスプローラー
- アクティビティエクスプローラー

Microsoft Defender for Cloud Apps
Microsoft Purview Information Protection を統合して、ポリシーに一致するデータに秘密度ラベルを適用します。クラウドアプリケーション間で潜在的な機密データの公開を調査します。
- 情報保護を統合します

Microsoft Purview データカタログ
Purview データカタログを閲覧して、データ資産にあるデータを探索します。
- Purview データカタログ

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.1.1 データ分析 DoD 組織は、データ分類を使ってサービスとアプリケーションカタログを更新します。また、各サービスとアプリケーションにデータタグを追加します。結果: - サービスのカタログは、各アプリケーションとサービスのデータの種類を使って、データ分類レベルに基づいて更新されます	Microsoft Purview Microsoft Purview コンプライアンスポータルで機密情報の種類を確認し、カスタムの機密情報の種類を定義します。 - Purview コンプライアンスポータルでのカスタム機密情報タイプ Purview コンテンツエクスプローラーまたはアクティビティエクスプローラーを使用して、Microsoft 365 のラベル付きコンテンツのスナップショットと、それに関連するユーザーのアクティビティを表示します。 - コンテンツエクスプローラー - アクティビティエクスプローラー Microsoft Defender for Cloud Apps Microsoft Purview Information Protection を統合して、ポリシーに一致するデータに秘密度ラベルを適用します。クラウドアプリケーション間で潜在的な機密データの公開を調査します。 - 情報保護を統合します Microsoft Purview データカタログ Purview データカタログを閲覧して、データ資産にあるデータを探索します。 - Purview データカタログ

4.2 DoD エンタープライズのデータガバナンス

Microsoft Purview Information Protectionでは秘密度ラベルが使用されます。組織に関連する秘密度ラベルを作成し、どのラベルがユーザーに表示されるかを制御し、ラベルスコープを定義することができます。ファイル、メール、会議、Microsoft Teams、SharePoint サイトなどを対象にラベルの範囲を設定します。ラベルによって、暗号化によるコンテンツの保護、外部共有の制限、データ損失の防止を実現できます。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.2.1 データのタグ付けの標準を定義する DoD エンタープライズは、各組織と連携して、業界のベストプラクティスに基づいてデータのタグ付けと分類の標準を確立します。分類は各プロセスの中で合意され、実装されます。各タグは、将来のアクティビティのために手動または自動として識別されます。結果: - エンタープライズのデータ分類とタグ付けの標準が開発されます - 組織はエンタープライズ標準に準拠して実装を開始します	Microsoft Purview Microsoft Purviewで、定義したデータタグ付け標準に従って秘密度ラベルを作成し、発行します。 - センシティビティラベルとポリシー - Microsoft 365におけるセンシティビティラベル
`Target` 4.2.2 相互運用性の標準各組織と共同作業する DoD エンタープライズは、必須の Data Rights Management (DRM) および保護のソリューションと、ZT のターゲット機能を実現するために必要なテクノロジを統合して、相互運用性の標準を開発します。結果: - 適切なデータ標準のために、エンタープライズによって正式な標準が定められます	Azure Rights Management Azure RMS を使用して、Microsoft 365 サービスと連携する DoD エンティティ間のデータ権利管理 (DRM) と保護相互運用性を実現します。 - Azure RMS - 機密ラベルをサポートするアプリ
`Target` 4.2.3 ソフトウェア定義ストレージ (SDS) ポリシーを開発する各組織と連携する DoD エンタープライズは、業界のベストプラクティスに基づいてソフトウェア定義ストレージ (SDS) ポリシーと標準を確立します。 DoD 組織は、SDS の実装のために現在のデータストレージ戦略とテクノロジを評価します。そこでは、SDS の実装に適したストレージテクノロジが特定されます。結果: - SDS ツールの実装の必要性を決定します - エンタープライズレベルと組織レベルで SDS のポリシーが作成されます	SharePoint Online SharePoint Online と OneDrive for Business を標準の相互運用可能なソフトウェア設計ストレージ (SDS) ソリューションとして使用します。サイトアクセス制限ポリシーを使用して、機密性の高いSharePointオンラインサイトとコンテンツへのアクセスを制限します。データ損失防止 (DLP) 規則が適用されている間、ファイルへのゲストアクセスを禁止します。 - グループメンバーに対するサイトアクセスを制限する - DLP ルールでファイルに対するゲストアクセスを防止する - ゲスト共有を保護する Microsoft Defender for Cloud Apps を使用して Defender for Cloud Apps を使用して、承認されていないクラウドストレージサービスへのアクセスをブロックします。 - 見つかったアプリを管理する

4.3 データのラベル付けとタグ付け

Microsoft Purview Information Protectionは、定義した機密情報の種類に基づいてデータを自動的に分類します。サービス側とクライアント側のラベル付けのポリシーにより、ユーザーによって作成Microsoft 365コンテンツのラベル付けと保護が確実に行われます。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.3.1 データタグ付けと分類ツールの実装 DoD 組織は、エンタープライズの標準と要件を利用して、データのタグ付けと分類を行うソリューションを実装します。組織は、DoD エンタープライズの要件を通じて、将来の ML と AI の統合がソリューションで確実にサポートされるようにします。 Outcomes: - データ分類とタグ付けの要件ツールには、Machine Learning (ML) の統合やサポートが含まれている必要があります。データ分類とタグ付けツールは、組織レベルとエンタープライズレベルで実装されます	Microsoft Purview Information Protection 機密情報の種類に基づいてデータを分類するためにMicrosoft Purview Information Protectionを使用し、機械学習 (ML) によってトレーニングされた分類子を使用します。 - Sensitive data and Purview - Label policies
`Target` 4.3.2 データの手動タグ付け (パート 1) DoD エンタープライズのデータのタグ付けと分類に関するポリシーと標準を使用して、ZT のターゲット機能を満たすための基本的なデータレベル属性を使った手動のタグ付けを開始します。結果: - エンタープライズレベルで基本的な属性を使ってデータの手動タグ付けを開始します。	Microsoft Purview 秘密度ラベルを作成し、Microsoft Purviewで発行します。定義したデータタグ付け標準に従って. 4.2.1 の Microsoft ガイダンスを参照してください。ユーザーが電子メールやドキュメントに秘密度ラベルを適用することを要求するラベル付けポリシーを構成します。 - ユーザーは電子メールとドキュメントにラベルを適用します
`Advanced` 4.3.3 データの手動タグ付け (パート 2) DoD 組織固有のデータレベル属性を手動のデータタグ付けプロセスに統合します。 DoD エンタープライズと各組織が協力して、ZTA の高度な機能を満たすために必要な属性を決定します。 ZTA の高度な機能を実現するためのデータレベル属性をエンタープライズ全体で標準化し、導入します。結果: - 特定の属性を使って、データの手動タグ付けをプログラム/組織レベルに拡大します	Microsoft Purview Microsoft Purview コンプライアンスポータルで機密情報の種類を確認します。必要に応じてカスタムの機密情報の種類を定義します。 4.1.1 の Microsoft ガイダンスを参照してください。
`Advanced` 4.3.4 データの自動タグ付けとサポート (パート 1) DoD 組織は、データ損失防止、著作権管理、保護の各ソリューションを使ってデータリポジトリのスキャンを実行します。サポートされているデータリポジトリとデータの種類に標準化されたタグを適用します。サポートされていないデータリポジトリとデータの種類を識別します。結果: - データリポジトリのスキャンとタグの適用によって、基本的な自動化を開始します。	```plaintext Microsoft Purview Information Protection Microsoft Office アプリケーションで作成されたファイルと電子メールのクライアント側ラベル付けを構成する。 - Office アプリの自動ラベル付け Office 365 に保存されたコンテンツのサービス側ラベル付けを構成する。 - SharePoint、OneDrive、および Exchange の自動ラベル付けポリシー Microsoft Teams サイト、Microsoft 365 グループ、および SharePoint サイトに対する秘密度ラベルを適用する。 - Teams、Microsoft 365 グループ、および SharePoint サイトのセンシティビティラベル環境内のドキュメントやメールを検索するには、定義された機密情報の種類にデータ一致する値をスキャンします。 - データ一致機密情報タイプドキュメントフィンガープリントを使用してドキュメントテンプレートと標準フォームに一致するコンテンツを検索してラベル付けする。 - ドキュメントフィンガープリント Microsoft Purview Microsoft Purview ガバナンスポータルでデータソースを登録し、データをスキャン、取り込み、分類する。 - Purview のデータソース - スキャンと取り込み - データ分類 Microsoft Defender for Cloud Apps Purview Information Protection と Defender for Cloud Apps を統合して、秘密度ラベルを自動的に適用し、暗号化ポリシーを適用し、データ損失を防止する。 - Information Protection の統合 - 秘密度ラベルを適用する - DLP コンテンツ検査 ```
`Advanced` 4.3.5 データの自動タグ付けとサポート (パート 2) サポートされる残りのデータリポジトリに、基本データタグと拡張データタグを付けます。それらは機械学習と人工知能を使って適用します。既存のリポジトリに拡張データタグを適用します。サポートされないデータリポジトリとデータの種類は、リスクベースの系統的アプローチを使って、使用停止について評価します。承認された例外では、データの所有者や管理人とともにデータの手動タグ付けのアプローチを使用して、タグ付けを管理します。結果: - データのタグ付けの完全な自動化が完成します - データのタグ付けの結果が ML アルゴリズムにフィードされます。	Microsoft Purview Information Protection Purview のトレーニング可能な分類子は、機械学習 (ML) を使用してコンテンツを認識するのに役立ちます。分類器を作成し、人間が選択した正の一致があるサンプルを使ってトレーニングします。 - トレーニング可能な分類器

4.4 データの監視と検出

Microsoft Purviewデータ損失防止 (DLP) ポリシーを使用すると、データが組織から離れるのを防ぐことができます。 DLP ポリシーは、保存時、使用中、移動中の各データに適用できます。 DLP ポリシーは、クラウドサービス、オンプレミスのファイル共有、Windowsおよび macOS デバイスにもデータが存在する場所に適用されます。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.4.1 DLP 適用ポイントのログと分析 DoD 組織は、データ損失防止 (DLP) の適用ポイントを特定します (特定のサービスやユーザーエンドポイントなど)。 DoD 組織は、確立された DoD エンタープライズサイバーセキュリティインシデント対応標準を使用して、データに関する適切な詳細情報を確実に取得します。さらに、保護、検出、対応の各ユースケースを開発して、ソリューションの対応範囲をより明確にします。結果: - 適用ポイントを特定します - エンタープライズレベルと組織レベルで標準化されたログスキーマを適用します	Microsoft Purview データ損失防止 Purview コンプライアンスで DLP ポリシーを作成します。 Microsoft 365 アプリケーション、Windows、macOS エンドポイント、及び Microsoft 以外のクラウドアプリに対して DLP を強制します。 - Plan for DLP - Design DLP ポリシー - Audit ログアクティビティ - Office 365 管理アクティビティ API スキーマ Microsoft Defender for Cloud Apps Defender for Cloud Apps と Purview Information Protection を統合し、秘密度ラベルを自動的に適用、暗号化ポリシーを施行し、データの損失を防止します。 4.3.4 にある Microsoft のガイダンスを参照してください。4.3.4
`Target` 4.4.2 DRM 適用ポイントのログと分析 DoD 組織は、Data Rights Management (DRM) の適用ポイントを特定します (特定のサービスやユーザーエンドポイントなど)。 DoD 組織は、確立された DoD エンタープライズサイバーセキュリティインシデント対応標準を使用して、データに関する適切な詳細情報を確実に取得します。さらに、保護、検出、対応の各ユースケースを開発して、ソリューションの対応範囲をより明確にします。結果: - 適用ポイントを特定します - エンタープライズレベルと組織レベルで標準化されたログスキーマを適用します	Microsoft Purview Information Protection Purview データ権利管理 (DRM) 強制ポイントには、Microsoft 365およびMicrosoft Information Protection (MIP) SDKと統合されたサードパーティ製のアプリケーションとサービス、オンラインアプリケーション、リッチクライアントが含まれます。 - 機密データの保護 - 秘密度ラベルを使用したコンテンツアクセスの制限 - MIP SDK - Microsoft 365 での暗号化 Microsoft Defender for Cloud Apps Purview Information ProtectionをDefender for Cloud Appsと統合して秘密度ラベルを自動で適用し、暗号化ポリシーを施し、データ損失を防止します。 4.3.4 の Microsoft ガイダンスを参照してください。
`Target` 4.4.3 ファイルアクティビティの監視 (パート 1) DoD 組織は、ファイル監視ツールを使って、アプリケーション、サービス、リポジトリの最も重要なデータ分類レベルを監視します。監視から得られる分析を基本的なデータ属性とともに SIEM にフィードし、ZT のターゲット機能を実現します。結果: - 重要として分類されるデータとファイルをアクティブに監視しています - SIEM などの監視システムとの基本的な統合を実施しています	Microsoft Purview データ損失防止 DLP アラートがMicrosoft Defender XDRに表示されます。作成、ラベル付け、印刷、および共有に関するファイルアクティビティは、統合監査ログおよびMicrosoft Purviewコンプライアンスポータルのアクティビティエクスプローラーに記録されています。 - DLPアラート - アクティビティエクスプローラー - 監査ログ記録のエクスポート、構成、表示 Microsoft Defender XDRおよびMicrosoft Sentinel Microsoft Defender XDRをSentinelと統合して、エンタープライズセキュリティインシデントおよびイベント管理（SIEM）システムでデータ損失防止（DLP）アラートを表示および調査します。 - SIEMツールの統合 - Sentinelの情報保護コネクタ - Defender XDRデータをSentinelに接続 - DLPの調査
`Target` 4.4.4 ファイルアクティビティの監視 (パート 2) DoD 組織は、ファイル監視ツールを使って、アプリケーション、サービス、リポジトリの規制で保護されるすべてのデータ (CUI、PII、PHI など) を監視します。拡張統合を使って、柱をまたぐ適切なソリューションまたは柱内の適切なソリューションにデータを送信します (データ損失防止、Data Rights Management/Protection、ユーザーとエンティティの行動分析など)。結果: - 規制対象に分類されるすべてのデータとファイルをアクティブに監視します - 拡張統合を適切に実施して、リスクをさらに管理します	Microsoft Sentinel 必要な秘密度ラベルを特定し、カスタム Sentinel 分析ルールを設定します。重大なファイルイベントに対して DLP アラートがトリガーされたときにインシデントを作成します。重大なファイルイベントとしては、機密情報、ポリシー違反、その他の疑わしいアクティビティの検出などがあります。 - カスタム分析ルールで脅威を検出 - プレイブックによる脅威への対応
`Advanced` 4.4.5 データベースアクティビティの監視 DoD 組織は、規制対象のデータの種類 (CUI、PII、PHI など) を含むすべてのデータベースを監視するために、データベース監視ソリューションの調達、実装、利用を行います。データベース監視ソリューションから得られるログと分析を SIEM にフィードして、監視と対応を行います。 "エンタープライズセキュリティプロファイル" や "リアルタイムアクセス" などの柱をまたぐアクティビティに分析をフィードして、より適切な直接的意思決定を行います。 Outcomes: - 適切なデータベースがアクティブに監視されています - 監視テクノロジは、SIEM、PDP、動的Access Controlメカニズムなどのソリューションと統合されています	Microsoft Defender for SQLDefender for SQL は、Azure およびその他のクラウド内のデータベースを保護します。Defender for SQLセキュリティアラートMicrosoft SentinelMicrosoft Defender for Cloud と Microsoft Defender XDR のデータコネクタを Sentinel に接続します。Defender for Cloud のアラートを Sentinel に接続Defender XDR を Sentinel に接続条件付きアクセス機密性の高い SharePoint サイトの認証コンテキストを要求し、条件付きアクセスを使用して Azure SQL データベースのサインインを保護します。機密ラベル認証コンテキストAzure SQL データベースおよび Azure Synapse Analytics に対する条件付きアクセス
`Advanced` 4.4.6 包括的なデータアクティビティの監視 DoD 組織は、系統的なリスクアプローチに基づいて、データベースを含むデータリポジトリの監視を適宜拡張します。 ZT の高度な機能を満たす追加のデータ属性を分析に組み込み、追加の統合を実現します。結果: - データアクティビティの監視メカニズムを統合し、データリポジトリ全体を統一されたビューで監視します - SIEM や PDP などのソリューションとの適切な統合を実施します	Microsoft Graph API Microsoft Graph アクティビティログを使用して、Microsoft Graph サービスによって受信され、テナントによって処理された要求の監査証跡を取得します。 - アクティビティログ Microsoft Purview Data Map Purview Data Map を構成して、組織のデータ資産内の機密ファイルをスキャンします。 - データソースの管理 Microsoft Sentinel セキュリティ情報イベント管理 (SIEM) システムと統合するために、Microsoft Defender for Cloud、Microsoft Defender XDR、Purview のための Sentinel データコネクタを構成します。 Microsoft のガイダンスは 4.4.5 を参照してください。条件付きアクセス Microsoft Defender XDR によって検出された通常とは異なるファイルアクセスは、ユーザーリスクレベルを上げます。ユーザーリスクは、条件付きアクセスの条件であり、Microsoft Entra IDのポリシー決定ポイント (PDP) です。リスクなしというユーザーリスク条件で条件付きアクセスの認証コンテキストを定義します。ラベル付けされたSharePointサイトを保護し、条件付きアクセス認証コンテキストを要求します。 - リスクの検出 - 異常なファイルアクセス - 認証コンテキストの例

4.5 データの暗号化と著作権管理

Microsoft 365 サービスは、保存データと転送中のデータを暗号化します。 Microsoft Purviewは、秘密度ラベル暗号化ポリシーに従ってコンテンツへのアクセスを制限します。 Purview は、メールとファイルに暗号化のレイヤーを追加してこの目標を達成します。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.5.1 DRM および保護ツールの実装 (パート 1) DoD 組織は、DoD エンタープライズの標準と要件に従い、必要に応じて DRM および保護ソリューションを調達して実装します。新たに実装する DRM および保護ソリューションは、ZTA のターゲットレベルの保護を使って、リスクの高いデータリポジトリで実装します。結果: - 基本的な保護を使ってリスクの高いデータリポジトリに対して DRM および保護ツールを有効にしています	Microsoft 365 の暗号化 Microsoft 365 には、Windows セキュリティ機能 BitLocker および分散キーマネージャー (DKM) を使用したベースラインのボリュームレベルの暗号化があります。 - 暗号化を理解する Microsoft Purview ラベル付けポリシーを使用して、Microsoft 365 の機密度ラベルに基づき、危険度の高いデータに対してより多くの暗号化を自動的に適用します。 - 機密度ラベルを使用したコンテンツアクセスの制限 - Microsoft 365 でのメール暗号化 Microsoft Defender for Cloud Apps Microsoft Purview Information Protection を Defender for Cloud Apps に統合し、機密度ラベルを自動的に適用し、暗号化ポリシーを実施し、データ損失を防ぎます。 Microsoft のガイダンスを参照してください 4.3.4 。 Azure Policy セキュリティで保護された Transport Layer Security (TLS) バージョンを要求するには Azure Policy を使用します。Transparent Data Encryption (TDE) を実装し、顧客管理キーを使用して保存データを暗号化することを要求します。 - Azure Policy の Azure SQL データベースと SQL Managed Instance 向けの定義
`Target` 4.5.2 DRM および保護ツールの実装 (パート 2) DRM および保護の対象範囲を、スコープ内のすべてのデータリポジトリに拡張します。暗号化キーは、ベストプラクティス (FIPS など) を満たすように自動的に管理されます。環境の分類に基づいて拡張データ保護属性を実装します。結果: - 考えられるすべてのリポジトリに対して DRM および保護ツールを有効にしています	Azure Key Vault AZURE KEY VAULTマネージドハードウェアセキュリティモジュール (Azure Key Vault HSM) を使用して、FIPS 140-2 レベル 3 検証済みハードウェアセキュリティモジュールを利用してアプリケーション暗号化キーを保護します. - Azure Key Vault Managed HSM Microsoft Purview カスタマーキー Microsoft 365 は、カスタマーキーを使用してコンテンツに暗号化レイヤーを提供します. - サービス暗号化 Azure Information Protectionテナントキー Azure Information Protection では、Microsoft によって生成されたテナントルートキーと、持ち込みの独自キー (BYOK) をサポートしています. - テナントキー - ダブルキー暗号化 - BYOK
`Target` 4.5.3 データタグと分析による DRM の適用 (パート 1) DoD エンタープライズ標準で定義されている基本的なデータタグにより、Data Rights Management (DRM) および保護のソリューションを統合します。初期データリポジトリを監視し、保護アクションと対応アクションを有効にします。静止データはリポジトリで暗号化されています。結果: - データタグを DRM と統合し、監視対象のリポジトリが拡大されます - データタグに基づいて、保存データを暗号化します	Microsoft Purview Information Protection ラベル付けポリシーを使用して、リスクの高いデータに対して、自動的により多くの暗号化を適用します。Microsoft 365 で、機密ラベルに基づいて実行されます。 - 秘密度ラベルを使用したコンテンツアクセスの制限 Microsoft 365の暗号化 Microsoft 365 には、BitLocker と分散キーマネージャー (DKM) を使用したベースライン、ボリュームレベルの暗号化があります。 4.5.1 の Microsoft のガイダンスを参照してください。
`Advanced` 4.5.4 データタグと分析による DRM の適用 (パート 2) DRM および保護のソリューションで拡張データリポジトリを保護します。 DoD 組織は、組織に対して適用される拡張データタグを、義務付けられたエンタープライズよりも優先的に実装します。追加のタグを使って拡張リポジトリでデータを暗号化します。結果: - DRM を使って適用可能なすべてのデータリポジトリを保護します - 組織レベルの拡張データタグを使ってデータを暗号化します	Azure encryption Azure は、保存データと転送中のデータの暗号化を使用します。 - Azure encryption Azure Policy Azure Policyを有効にしてAzure SQLデータベースを保護します。 Microsoft ガイダンス 4.5.1を参照してください。 Conditional Access Azure SQLに接続するユーザー向けに条件付きアクセスポリシーを使用します。 Microsoft ガイダンス 4.4.5を参照してください。
`Advanced` 4.5.5 データタグと分析による DRM の適用 (パート 3) DRM および保護のソリューションを AI および ML ツールと統合して、暗号化、著作権管理、保護の機能の実現します。結果: - ML/AI からの分析を DRM と統合し、保護をさらに自動化します - 暗号化保護を AI/ML と統合し、必要に応じて更新された暗号化方法を使用します	Microsoft Purview Information Protection Microsoft Purview Information Protection を使用して、機密情報の種類に基づき、機械学習 (ML) でトレーニングされた分類子によってデータを分類します。 Microsoft ガイダンスは 4.3.5 を参照してください。 Azure Machine Learning Azure Machine Learning と Azure OpenAI Service は、Azure Storage と Azure Compute サービスを使用してデータを暗号化します。 - Data encryption - Azure OpenAI は保存中のデータを暗号化します。 Conditional Access Identity Protection リスクシグナルを用いて認証コンテキストを定義します。ラベルを付けたSharePointサイトとカスタムアプリケーションに対して認証コンテキストが必要です。 - 認証コンテキスト Microsoftのガイダンスを4.4.5で確認してください。

4.6 データ損失防止 (DLP)

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.6.1 適用ポイントの実装データ損失防止 (DLP) ソリューションをスコープ内の適用ポイントにデプロイします。 DLP ソリューションを "監視のみ" モードや "学習" モードに設定して、影響を制限します。 DLP ソリューションの結果を分析し、ポリシーを微調整して、リスクを許容できるレベルに管理します。結果: - 特定した適用ポイントに DLP ツールをデプロイし、標準化されたログで監視モードに設定します	Microsoft Purview データ損失防止 Microsoft 365 アプリケーションとWindows エンドポイントは DLP ポリシーを適用します。 DLP シミュレーションモードでポリシーを構成します。 - DLP の計画 - DLP シミュレーションモード DLP のポリシーを作成します。ポリシーの状態をテストまたはポリシーのヒントとともにテストに設定します。ポリシーアクションを監査のみまたは上書きできるブロックに設定します。 - DLP ポリシーの展開 Windows 10、11、および macOS デバイスをエンドポイントデータ損失防止 (エンドポイント DLP)にオンボードします。 - エンドポイント DLP Microsoft Purview Information Protection スキャナーを展開します。オンプレミスの SQL データベース、ファイル共有、ネットワーク接続ストレージ (NAS) および SharePoint Server ドキュメントライブラリのコンテンツに対して DLP ポリシーをラベル付けと施行します。 - DLP オンプレミスリポジトリ - 情報保護スキャナー Microsoft Purview データ損失防止 Microsoft Purview 情報保護とクラウドアプリ向けの Defender を統合し、機密ラベルを自動的に適用し、暗号化ポリシーを実施してデータ損失を防止します。 Microsoft のガイダンスについては 4.3.4 を参照してください。 Conditional Access Office 365およびその他のMicrosoft Entra統合アプリケーションへのアクセスを制御します。アクセスのブロック許可の制御によってポリシーを有効にする前に、レポート専用モードを使って結果を監視します。 - ポリシーの作成 - レポート専用モード - セッションポリシー: すべてを監視する
`Target` 4.6.2 データタグと分析による DLP の適用 (パート 1) データ損失防止 (DLP) ソリューションを監視のみモードから防止モードに更新します。 DLP ソリューションで基本的なデータタグを使用し、ログスキーマを統合します。結果: - 適用ポイントを防止モードに設定し、ログスキーマと手動タグの環境分類を統合します。	Microsoft Purview データ損失防止 DLP ポリシーをテストモードで作成します。状態を [オン] に変更して強制モードを有効にします。ポリシーアクションをブロックに設定すると、DLP をトリガーするユーザーアクティビティがポリシーによって阻止されます。 - DLP ポリシーのアクション Just-In-Time (JIT) 保護を有効にして、オフラインデバイスで作成されたファイルにエンドポイント DLP を適用します。 - オフラインデバイス Microsoft Defender for Cloud Apps でコンテンツ検査を有効にします。 - DLP コンテンツ検査条件付きアクセスのポリシーをテスト後に有効にして、セッション制御を適用するか、またはアクセス許可のブロック制御を使用します。テナントのロックアウトを回避するために、緊急アクセスアカウントを除外します。 - 緊急アクセスアカウント 4.6.1 の Microsoft ガイダンスを参照してください。
`Advanced` 4.6.3 データタグと分析による DLP の適用 (パート 2) データ損失防止 (DLP) ソリューションを更新して、並行した自動化アクティビティに基づく拡張データタグを含めます。結果: - 適用ポイントに拡張データタグ属性を適用して、追加の防止を実現します	Microsoft Purview Information Protection カスタム機密情報の種類を定義します。ラベルとデータ損失防止ポリシーを作成します。 4.1.1 の Microsoft ガイダンスを参照してください。
`Advanced` 4.6.4 データタグと分析による DLP の適用 (パート 3) データ損失防止 (DLP) ソリューションをデータの自動タグ付け手法と統合して、不足しているすべての適用ポイントとタグを含めます。結果: - 自動タグ付け属性を DLP と統合し、生成されるメトリックを ML で使用します	Microsoft Purview Information Protection 機密情報の種類と機械学習 (ML) によってトレーニングされた分類子に基づいてデータを分類するMicrosoft Purview Information Protectionを使用します。 4.3.5 の Microsoft ガイダンスを参照してください。

4.7 データのアクセスの制御

Microsoft 365およびAzure Storageサービスは、ID ベースの承認のためにMicrosoft Entra IDと統合されます。 Microsoft Entra IDでは、ロールベースのアクセス制御 (RBAC) と属性ベースのアクセス制御 (ABAC) がサポートされます。

Microsoft Entraロールとセキュリティグループは、組織のロールベースのアクセス制御を提供します。動的なセキュリティグループでは、ユーザー、グループ、デバイスオブジェクトに対して定義された属性を使い、豊富な式とルールセットに基づいてメンバーシップを定義できます。

Microsoft Entra ID属性ベースのアクセス制御では、カスタムセキュリティ属性を使用します。これは、Microsoft Entra オブジェクトに定義して割り当てることができるビジネス固有の属性です。カスタムセキュリティ属性には機密情報が格納されます。カスタムセキュリティ属性を表示または変更するアクセス権は、属性管理者ロールのみに制限されます。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.7.1 DAAS アクセスと SDS ポリシーの統合 (パート 1) DoD エンタープライズの SDS ポリシーを利用し、意図する統合を念頭に置いて組織の DAAS ポリシーを開発します。環境固有の性質により、DoD 組織が SDS 実装ガイドを開発します。成果: - エンタープライズおよび組織レベルのサポートにより、属性ベースのきめ細かい DAAS ポリシーを開発します - DAAS ポリシーをサポートするために SDS 統合計画を策定します	Microsoft Entra ID Microsoft Entra ID を使用して、Azure 属性ベースのアクセス制御 (Azure ABAC) やアプリケーションのカスタムセキュリティ属性フィルタリング、動的セキュリティグループなどのメカニズムを利用することで、属性ベースのデータ、資産、アプリケーション、およびサービス (DAAS) ポリシーを実装します。 - 属性ベースのコントロールカスタムセキュリティ属性カスタムセキュリティ属性を定義し、ユーザーに値を割り当てます。 Azure ロールに対して、Azure ABAC のロール割り当て条件を構成します。現在、この機能はAzure Storage アカウントの権限のプレビュー段階にあり、 - Azure ABAC - カスタムセキュリティ属性へのアクセスを管理します。 - 委任を使用して属性を管理します。きめ細かな動的アプリケーション承認にカスタムセキュリティ属性を使用します。条件付きアクセスポリシーでカスタムセキュリティ属性を割り当て、アプリケーションに属性フィルター (プレビュー) を使用します。 - アプリのカスタムセキュリティ属性を管理する動的セキュリティグループ動的セキュリティグループを使用して、Microsoft Entra ID グループをサポートするリソースへのアクセス権を割り当て、アクセス許可を付与します。これには、Microsoft 365ロールグループ、Microsoft Entra ID アプリケーションのアプリロール、Azure ロール、アプリケーションの割り当てが含まれます。条件付きアクセスポリシーで動的グループを使用し、さまざまな属性値を使ってユーザーに認可レベルを適用します。 - 動的グループメンバーシップルール - 条件から要求を出力する
`Advanced` 4.7.2 DAAS アクセスと SDS ポリシーの統合 (パート 2) DoD 組織は、自動化された方法で DAAS ポリシーを実装します。結果: - 属性ベースのきめ細かい DAAS ポリシーを自動化された方法で実装します	Microsoft Graph API Microsoft Graph API. を使用して、条件付きアクセスポリシー、カスタムセキュリティ属性、動的セキュリティグループ、およびその他のMicrosoft Entra ID機能の構成を自動化します
`Advanced` 4.7.3 DAAS アクセスと SDS ポリシーの統合 (パート 3) 新しく実装する SDS テクノロジや機能を、リスクベースの方法で DAAS ポリシーと統合します。実装時に段階的なアプローチを取り、結果を測定してそれに応じて調整する必要があります。結果: - SDS を DAAS ポリシー機能と統合します - すべてのアプリケーションのすべてのデータを、属性ベースのきめ細かい DAAS ポリシーで保護します。	Microsoft Defender for Cloud Apps Microsoft Purview と Defender for Cloud Apps を統合します。クラウドプロバイダー API を使用して自動化されたプロセスを適用するファイルポリシーを作成します。 - Integrate Information Protection - File policies
`Target` 4.7.4 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 1) DoD 組織は、SDS ポリシーとテクノロジ/機能を使ったエンタープライズ ID プロバイダー (IdP) ソリューションとの統合計画を策定します。結果: - 既存の DAAS アクセスをサポートするために、SDS と信頼できる ID プロバイダー間の統合計画が策定されます	Microsoft Entra ID Microsoft 365 SharePoint Online や OneDrive for Business などのストレージサービスは、Microsoft Entra IDと統合されます。 Azure Storage サービスを構成して、Blob、File、Queue、Table サービスへの要求の ID ベースの承認を Microsoft Entra ID と統合します。 - Microsoft Entra ID - Azure Storage を承認アプリケーションギャラリー内で、Microsoft Entra ID とさらに多くのソフトウェア定義ストレージ (SDS) ソリューションを統合します。 - アプリケーションギャラリー
`Advanced` 4.7.5 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 2) 新しく実装する SDS テクノロジや機能を、統合計画に従ってエンタープライズ ID プロバイダー (IdP) と統合します。 ZT のターゲット機能を満たすために必要な ID 属性が統合に必要です。結果: - エンタープライズ IDP および SDS ツールとの統合を完了し、すべての属性ベースのきめ細かい DAAS アクセスをサポートします	アクティビティ 4.7.1 と 4.7.4 を完了します。
`Advanced` 4.7.6 SDS ツールの実装/DRM ツールとの統合 (パート 1) ソフトウェア定義ストレージツールの必要性に応じて、新しいソリューションを実装するか、DLP、DRM/保護、ML ソリューションと統合する機能要件を満たす既存のソリューションを特定します。結果: - ツールが必要な場合は、DLP、DRM、ML ツールとの統合がサポートされていることを確認します	Microsoft Purview Microsoft Purview Information Protection デジタル著作権管理 (DRM) および Microsoft Purview データ損失防止 (DLP) 機能は、Office クライアントとMicrosoft 365とネイティブに統合されますサービス。統合は組み込まれており、それ以上の導入は必要ありません。 - Purview の概要 Microsoft Information Protection SDK (MIP SDK) を使用して、カスタムツールを構築し、ファイルにラベルと保護を適用します。 Microsoft のガイダンスは4.4.2を参照してください。
`Advanced` 4.7.7 SDS ツールの実装/DRM ツールとの統合 (パート 2) DoD 組織は、基になる DLP および DRM/保護インフラストラクチャと適切に統合されるように SDS 機能やソリューションを構成します。下位レベルの統合により、より効果的な保護と対応が可能になります。結果: - SDS インフラストラクチャを既存の DLP および DRM インフラストラクチャと統合します	Microsoft 365 および Microsoft Purview Microsoft Purview は、より多くのインフラストラクチャなしで、データ損失防止 (DLP) とデータ権利管理 (DRM) を使用してMicrosoft 365コンテンツを保護します。 - 機密データの保護

次のステップ

DoD Zero Trust戦略用に Microsoft クラウドサービスを構成します。

フィードバック

このページはお役に立ちましたか?

Last updated on 2026-03-06

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 4.7.1 DAAS アクセスと SDS ポリシーの統合 (パート 1) DoD エンタープライズの SDS ポリシーを利用し、意図する統合を念頭に置いて組織の DAAS ポリシーを開発します。環境固有の性質により、DoD 組織が SDS 実装ガイドを開発します。成果: - エンタープライズおよび組織レベルのサポートにより、属性ベースのきめ細かい DAAS ポリシーを開発します - DAAS ポリシーをサポートするために SDS 統合計画を策定します	Microsoft Entra ID Microsoft Entra ID を使用して、Azure 属性ベースのアクセス制御 (Azure ABAC) やアプリケーションのカスタムセキュリティ属性フィルタリング、動的セキュリティグループなどのメカニズムを利用することで、属性ベースのデータ、資産、アプリケーション、およびサービス (DAAS) ポリシーを実装します。 - 属性ベースのコントロールカスタムセキュリティ属性カスタムセキュリティ属性を定義し、ユーザーに値を割り当てます。 Azure ロールに対して、Azure ABAC のロール割り当て条件を構成します。現在、この機能はAzure Storage アカウントの権限のプレビュー段階にあり、 - Azure ABAC - カスタムセキュリティ属性へのアクセスを管理します。 - 委任を使用して属性を管理します。きめ細かな動的アプリケーション承認にカスタムセキュリティ属性を使用します。条件付きアクセスポリシーでカスタムセキュリティ属性を割り当て、アプリケーションに属性フィルター (プレビュー) を使用します。 - アプリのカスタムセキュリティ属性を管理する動的セキュリティグループ動的セキュリティグループを使用して、Microsoft Entra ID グループをサポートするリソースへのアクセス権を割り当て、アクセス許可を付与します。これには、Microsoft 365ロールグループ、Microsoft Entra ID アプリケーションのアプリロール、Azure ロール、アプリケーションの割り当てが含まれます。条件付きアクセスポリシーで動的グループを使用し、さまざまな属性値を使ってユーザーに認可レベルを適用します。 - 動的グループメンバーシップルール - 条件から要求を出力する
`Advanced` 4.7.2 DAAS アクセスと SDS ポリシーの統合 (パート 2) DoD 組織は、自動化された方法で DAAS ポリシーを実装します。結果: - 属性ベースのきめ細かい DAAS ポリシーを自動化された方法で実装します	Microsoft Graph API Microsoft Graph API. を使用して、条件付きアクセスポリシー、カスタムセキュリティ属性、動的セキュリティグループ、およびその他のMicrosoft Entra ID機能の構成を自動化します
`Advanced` 4.7.3 DAAS アクセスと SDS ポリシーの統合 (パート 3) 新しく実装する SDS テクノロジや機能を、リスクベースの方法で DAAS ポリシーと統合します。実装時に段階的なアプローチを取り、結果を測定してそれに応じて調整する必要があります。結果: - SDS を DAAS ポリシー機能と統合します - すべてのアプリケーションのすべてのデータを、属性ベースのきめ細かい DAAS ポリシーで保護します。	Microsoft Defender for Cloud Apps Microsoft Purview と Defender for Cloud Apps を統合します。クラウドプロバイダー API を使用して自動化されたプロセスを適用するファイルポリシーを作成します。 - Integrate Information Protection - File policies
`Target` 4.7.4 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 1) DoD 組織は、SDS ポリシーとテクノロジ/機能を使ったエンタープライズ ID プロバイダー (IdP) ソリューションとの統合計画を策定します。結果: - 既存の DAAS アクセスをサポートするために、SDS と信頼できる ID プロバイダー間の統合計画が策定されます	Microsoft Entra ID Microsoft 365 SharePoint Online や OneDrive for Business などのストレージサービスは、Microsoft Entra IDと統合されます。 Azure Storage サービスを構成して、Blob、File、Queue、Table サービスへの要求の ID ベースの承認を Microsoft Entra ID と統合します。 - Microsoft Entra ID - Azure Storage を承認アプリケーションギャラリー内で、Microsoft Entra ID とさらに多くのソフトウェア定義ストレージ (SDS) ソリューションを統合します。 - アプリケーションギャラリー
`Advanced` 4.7.5 ソリューションとポリシーをエンタープライズ IDP と統合する (パート 2) 新しく実装する SDS テクノロジや機能を、統合計画に従ってエンタープライズ ID プロバイダー (IdP) と統合します。 ZT のターゲット機能を満たすために必要な ID 属性が統合に必要です。結果: - エンタープライズ IDP および SDS ツールとの統合を完了し、すべての属性ベースのきめ細かい DAAS アクセスをサポートします	アクティビティ 4.7.1 と 4.7.4 を完了します。
`Advanced` 4.7.6 SDS ツールの実装/DRM ツールとの統合 (パート 1) ソフトウェア定義ストレージツールの必要性に応じて、新しいソリューションを実装するか、DLP、DRM/保護、ML ソリューションと統合する機能要件を満たす既存のソリューションを特定します。結果: - ツールが必要な場合は、DLP、DRM、ML ツールとの統合がサポートされていることを確認します	Microsoft Purview Microsoft Purview Information Protection デジタル著作権管理 (DRM) および Microsoft Purview データ損失防止 (DLP) 機能は、Office クライアントとMicrosoft 365とネイティブに統合されますサービス。統合は組み込まれており、それ以上の導入は必要ありません。 - Purview の概要 Microsoft Information Protection SDK (MIP SDK) を使用して、カスタムツールを構築し、ファイルにラベルと保護を適用します。 Microsoft のガイダンスは4.4.2を参照してください。
`Advanced` 4.7.7 SDS ツールの実装/DRM ツールとの統合 (パート 2) DoD 組織は、基になる DLP および DRM/保護インフラストラクチャと適切に統合されるように SDS 機能やソリューションを構成します。下位レベルの統合により、より効果的な保護と対応が可能になります。結果: - SDS インフラストラクチャを既存の DLP および DRM インフラストラクチャと統合します	Microsoft 365 および Microsoft Purview Microsoft Purview は、より多くのインフラストラクチャなしで、データ損失防止 (DLP) とデータ権利管理 (DRM) を使用してMicrosoft 365コンテンツを保護します。 - 機密データの保護