Microsoft Purviewで始める内部情報漏洩対策

Microsoft Purviewとは？
Microsoft Purviewが解決する課題
Microsoft Purviewデータセキュリティ主な機能紹介
他製品と何が違う？Purviewを導入する価値とは
こんなケースで活用できる！Purviewユースケース集
TISのセキュリティ対策サービス紹介
著者
お問い合わせ

近年、クラウド利用の拡大や働き方の多様化により、企業のデータは社内外を問わず広く分散し管理が難しくなっています。加えて、内部不正や誤送信といったヒューマンリスクも深刻化してる状況です。
こうした中で注目されているのが、「データそのもの」を守るアプローチです。
今回はその中でも、Microsoftが提供する情報保護ソリューションである Microsoft Purview についてご紹介します。

Microsoft Purviewとは？
Microsoft Purviewが解決する課題
Microsoft Purviewデータセキュリティ主な機能紹介
他製品と何が違う？Purviewを導入する価値とは
こんなケースで活用できる！Purviewユースケース集
TISのセキュリティ対策サービス紹介

Microsoft Purviewとは？

オンプレミス、マルチクラウド、 SaaS にあるデータを統合し、管理するガバナンスソリューションである「 Azure Purview 」と情報漏洩などのセキュリティリスクからデータを守るコンプライアンス管理ソリューションである「 Microsoft 365 のコンプライアンスセンター」が一つに統合され、現在の Microsoft Purview という名称になりました。

こうした背景もあり、Microsoft Purviewは、データガバナンス、セキュリティ、コンプライアンスと幅広い機能を持つ統合プラットフォームとなっています。
以下に記載の通り多数のソリューションを有し、サイバーセキュリティチームから法務チームといった複数の関係者が利用されることを想定しているのがPurviewの特徴となります。
今回のコラムでは、サイバーセキュリティチーム向けの機能である”データセキュリティ”について詳しくお話ししていきます。

Microsoft Purviewが解決する課題

Microsoft Purview データセキュリティでは組織内部からの機密情報の情報漏洩対策を実現します。
つまり、Microsoft Defender XDRでは外部脅威から組織資産を保護するセキュリティソリューションであるのに対し、Microsoft Purview データセキュリティでは内部不正による組織資産保護を目的としたセキュリティソリューションであるということです。

Microsoft Purviewデータセキュリティ主な機能紹介

Microsoft Purview データセキュリティでは「情報保護」「データ損失防止」「インサイダーリスク管理」の３つの機能を組み合わせ組織資産を保護します。それぞれについてもう少し詳しく説明していきましょう。

情報保護 - Information Protection

Microsoft Purview の情報保護機能は、組織内の機密情報を検出し、分類・保護するためのラベリング機能（秘密度ラベル）を中心に構成されています。
秘密度ラベルは、Microsoft 365 の主要アプリ（Word、Excel、PowerPoint、Outlookなど）とネイティブに統合されており、ユーザーによる手動でのラベル適用はもちろん、ユーザー操作を必要とせずにファイルやメールにラベルを自動的に適用することも可能です。
自動ラベル付与は、あらかじめ定義されたキーワードや正規表現、保存場所などの条件に応じて適用され、情報の機密性に応じた暗号化やアクセス権限（例：社内の特定グループのみ閲覧可）を設定することができます。
一度ラベルが適用されたファイルには、そのラベルに応じたポリシーが埋め込まれるため、たとえファイルが社外に持ち出されたとしても、閲覧権限がないユーザーはファイルの中身を見ることができません。

データ損失防止 - Data Loss Prevention

情報保護機能だけではデータの流出アクティビティを検知しブロックすることはできません。
DLP（Data Loss Prevention）は、ユーザーの操作による機密情報の誤送信や不正な持ち出しをリアルタイムで検知・防ぐための機能です。
Microsoft Purview DLPは、メールやTeams、SharePoint Online、OneDrive for Business、さらにはエンドポイント（PC端末）に至るまで、幅広く保護範囲をカバーします。
たとえば、個人情報が記載されたファイルを社外宛のメールに添付しようとすると、「この添付ファイルには個人情報が含まれています。本当に送信しますか？」という警告が表示され、ポリシーに従って送信をブロックすることも可能です。
エンドポイントDLPを活用することで、USBメモリや印刷操作の制御など、端末レベルでの情報持ち出し対策も可能です。

インサイダーリスク管理 - Insider Risk Management

インサイダーリスク管理は、組織内部のユーザーによる意図的・非意図的なリスク行動を早期に検知し、対応を支援する機能です。
Microsoft Purviewでは、次のようなリスクシナリオに基づいてユーザー行動を監視します。
-急な大量ファイルの転送（USB、メール、クラウド）
-機密ファイルの不審なアクセスやコピー
-社外共有の急増
-退職予定者によるデータ持ち出し
これらの行動をログとして収集・分析し、リスクスコアが一定値を超えると、自動で調査アラートを発報し、必要に応じて調査担当者が詳細を確認できる仕組みとなっています。
また、DLPと組み合わせることでリスクスコアの高いユーザ(機密情報流出リスクの高いユーザ)にはより厳しいDLPポリシーを適用し事前対策を打つことも可能です。

これら3つの機能は単体でも活用できますが、組み合わせることでさらに高いセキュリティ効果が得られます。

他製品と何が違う？Purviewを導入する価値とは

ここまで、Microsoft Purviewが提供する情報保護、データ損失防止、インサイダーリスク管理の主要機能をご紹介しました。
これらの機能を組み合わせることで、組織の内部からの情報漏洩リスクに対して高い防御力を持つことがおわかりいただけたでしょうか？
情報漏洩や内部不正といったリスクへの対策は、いまや多くの企業にとって不可欠なテーマであり、さまざまな情報保護ソリューションが登場しています。
ここからは、Purviewを選ぶことで得られる具体的な導入効果や活用の可能性について、より詳しく見ていきましょう。

統合プラットフォームによる運用負荷の軽減

Microsoft Purviewでは、「情報保護」「データ損失防止（DLP）」「インサイダーリスク管理」などの機能を、単一のコンソールでまとめて管理できます。
複数製品を個別に組み合わせ・設定する必要がなく、設計・運用・監査が統一的に行えるため、セキュリティ担当者の業務負荷を大幅に軽減します。
Microsoft 365環境とシームレスに統合されているため、既存のアカウントやグループ構成もそのまま活用できるのも大きな利点です。

Microsoft 365やDefender製品とのシームレスな連携

PurviewはMicrosoft 365製品群と統合されており、SharePoint Online・Exchange Online・Teamsなどのサービスに対して、保護ラベルやDLPポリシーを直接適用できます。
また、Microsoft Defender for EndpointやMicrosoft Sentinelといった他のMicrosoftセキュリティ製品と連携することで、

エンドポイントからの不審な操作ログをPurviewに連携
PurviewからのDLPアラート、インサイダーリスクアラートをSentinelへ連携し自動トリアージ

といった高度なSOC連携が可能になります。

段階的な導入・スモールスタートが可能

Purviewでは、すべての機能を一気に導入する必要はなく、部門単位・ポリシー単位での段階的な展開が可能です。
たとえば次のような進め方が考えられます。

特定部門での情報保護ラベルのテスト運用
優先度の高いDLPポリシーから段階的に全社展開
リスクスコアが高いユーザーに限定してインサイダーリスク管理を先行導入

導入に際しては、現場の業務フローや体制に合わせて、スモールスタートから無理なく展開できる柔軟性が特徴です。
TISではこうした段階導入や、各フェーズに応じたルール設計支援も行っており、スムーズな初期導入をご支援します。

では実際に、Microsoft Purviewはどのような場面で活用されているのでしょうか？
次の章では、よくある業務課題をもとに、Purviewの具体的な活用シーンをご紹介します。

こんなケースで活用できる！Purviewユースケース集

Case1:機密ファイルの外部流出対策をしたい

課題：
外部ベンダーや取引先とのやり取りが多い部門では、日常的にファイルをメール添付やクラウド共有でやり取りしており、「社外秘」情報の誤送信や第三者の閲覧といったヒューマンエラーによる情報漏洩リスクが常につきまといます。

解決策：
情報保護 × DLP
情報保護機能を活用し、機密ファイルに「社外秘」ラベルを付与し、ラベルに暗号化ポリシーを紐づけることで、社内メンバー以外はファイルを閲覧できないように制御します。
さらにDLPポリシーで添付ファイルに「社外秘」ラベルが付与されている場合はメール送信時に警告ポップアップを表示させることで、誤送信を防止しましょう。

これにより、万が一ファイルが社外に誤送信されても、受信者は閲覧できず、実害を防止可能です。
さらに警告ポップアップが表示されることで、利用者の情報リテラシーの向上にも寄与します。

Case2:退職予定者の情報持ち出しを検知し退職前に対策を打ちたい

課題：
社員の退職が決まると、「機密ファイルを持ち出されないか」「顧客リストが個人用のUSBやクラウドにコピーされていないか」といった不安がつきものです。
実際に、退職者による情報持ち出しや競合への流出がニュースになるケースもあり、企業としては見過ごせないリスクです。
特に機密性の高い情報に日常的にアクセスする社員の場合、悪意がなくても“うっかり”持ち出してしまうケースもあり、事後対応では間に合わない場面も多くあります。

解決策：
インサイダーリスク管理
インサイダーリスク管理機能では、人事システムと連携し「退職予定者」などのユーザー属性に基づいたリスクポリシーを設定し、一定期間内の行動を重点監視することが可能です。
退職予定者リストに上がったユーザによるファイルの大量コピーやクラウドアップロードの傾向といった怪しい動きがある場合に、検知されたアクションに応じて、DLP強化、アクセス制限、調査担当者へのアラート通知といった対策を柔軟に適用可能です。

Case3:個人のUSBやクラウドストレージへの情報持ち出しを制限したい

課題：
テレワークや外出先での業務が当たり前になった今、従業員がPCからUSBメモリに情報をコピーしたり、個人のDropboxやGmailにファイルをアップロードしてしまうケースが現実的なリスクとなっています。
業務効率のためのつもりでも、結果的に情報漏洩につながる可能性があり、企業としては看過できない状況です。

解決策：
DLP × Microsoft Defender for Endpoint (エンドポイントDLP)
エンドポイントDLPではエンドポイント上での操作を監視することが可能です。
許可していないUSBメモリやクラウドアプリへの書き出しをブロックすることはもちろん、条件付きで「理由入力を求めて許可する」などの柔軟な運用制御も可能です。
さらにBitLockerを組み合わせ、暗号化されたUSBに限り書き込みを許可すれば、万が一紛失した際も内容を保護することも可能です。
このように社外への持ち出し経路を細かく制御でき、リスクを最小限にするとともにブロックと許可を部門ごとに調整することも可能なため業務効率とのバランスも確保できます。

TISのセキュリティ対策サービス紹介

TISでは今回ご紹介したMicrosoft Purviewを含む、Microsoft365の導入およびセキュリティ対策サービスを展開しています。
Microsoft365にはOffice製品だけでなく、高度なセキュリティ対策機能も含まれています。ID管理/認証の制御などをはじめ、デバイスの識別や異常な動作の監視（EDR）、データの分類と暗号化等ビジネスシーンにおいて求められるセキュリティ対策をワンパッケージで対応することができます。
クラウド導入・運用で国内トップクラスの実績を誇るTISなら、20年以上のセキュリティ事業展開で培った経験を活かし、Microsoft 365の安全かつ確実な導入・運用の支援が可能です。
Microsoft365の導入に加え、お客様の要件に合わせてセキュリティ機能の活用を支援することで、ゼロトラスト移行時のセキュリティ対応や急増する標的型攻撃のリスク低減を支援します。

詳細はこちら

お問い合わせ

著者

ＩＴ基盤技術事業本部　IT基盤サービス事業部　セキュリティーソリューション部　大貫ちひろ