Microsoft Purviewではじめる情報漏えい対策

Microsoftソリューション推進チームの上田剛揮です。

機密情報の管理や情報漏えい対策は、どの組織にとっても避けて通れない課題です。しかし、対策を講じると言っても、過去に作成した膨大なドキュメント整理や情報漏えい対策ポリシーの策定、そのポリシー遵守を徹底する仕組みづくりなど多くハードルがあります。さらに、社内のステークホルダーとの調整も必要となり、セキュリティ担当者にとって対応が特に難しい分野かと思います。

情報漏えいの主な原因は、サイバー攻撃、ヒューマンエラー、内部不正の3つに分類されます。それぞれ対策のアプローチが異なり、適切な手を打たなければ被害を防ぐことは難しいです。特に近年では、内部不正による情報流出も増加しており、技術的な対策だけでなく、運用の見直しや社員教育の強化も求められています。そのため、日々の業務の中で無理なく実施できる情報保護の仕組みを取り入れることが重要です。

そうした中、多くの企業ではWordやExcel等のオフィスソフトを利用するために、Microsoft 365を導入していますが、実はMicrosoft 365には情報漏えい対策に有効な機能も豊富に備わっています。今回の記事では、そのひとつである「Microsoft Purview」を活用し、ドキュメントにラベルを付与して暗号化する方法をご紹介します。この設定を行うことで、機密情報が含まれるドキュメントが外部に流出した場合でも、正規のアクセス権を持つユーザー以外は閲覧できないようにします。

Microsoft Purviewと情報漏えい対策

まずは、Microsoft Purviewの概要をご紹介します。Microsoft Purviewは、組織の情報資産を保護し、コンプライアンス対策を支援するための包括的なソリューションです。

単なるセキュリティツールではなく、機密情報の適切な管理やリスクの可視化、法規制への対応を強化するための仕組みを提供しています。主に、情報の分類と保護、不正アクセスの監視、データガバナンスの3つの機能を備えており、企業の情報セキュリティ強化を支援します。

機能名	説明	防止・軽減可能な領域	防止・軽減可能な領域
Information Protection & Governance	機密情報扱いするデータの定義策定や暗号化、機密情報漏えいの検出・制御など	ヒューマンエラー 内部不正
Insider Risk Management	内部不正やコンプライアンス違反が疑われる挙動の検出と制御	内部不正
eDiscovery and Audit	法的要件に沿った形で監査ログを保存（訴訟対策）	内部不正

今回の記事では、Information Protection & Governanceに含まれる「秘密度ラベル」という機能を利用します。秘密度ラベルは組織内の機密情報を適切に保護するための仕組みで、Entra IDに登録されているユーザーやグループを対象に、Officeソフト（Word、Excel、Power Pointなど）で作成したドキュメントに対するアクセス制御と暗号化を適用できる機能です。秘密度ラベルの設定を行うことで、機密情報が含まれるドキュメントが流出した場合でも、外部の人間はドキュメントを開けないようにします。

目的

今回は、以下のコンセプトで機密情報の定義と暗号化を行います。

• ①機密情報が含まれるファイルを、組織外の人間が閲覧できないようにする。
• ②導入が容易かつ既存業務への影響が少ない。
• ③製品の新規購入や追加ライセンスを要求されない。

外部にメールで送信できないように制御する、正規のユーザーであってもIntuneに登録されたデバイス以外からは閲覧できないようにするといった細かい制御もできますが、本記事ではMicrosoft Purviewの基本的な機能のみを使って気軽に試せる方法を紹介します。

秘密度ラベルの利用に必要な条件

Microsoft Purviewというと、上位ライセンスが必要な大企業向けの製品だと思われがちですが、今回ご紹介する方法であればOffice 365の一般的なライセンスや、中小企業向けのBusiness Premiumライセンスでも導入可能です。

ライセンス

2025年2月現在、以下のライセンスがあれば、本記事でご紹介する対策を利用できます。

ライセンス名	備考
Office 365 E5/A5/E3/A3	Microsoft Office（Word、Excel、Power Pointなど）を利用するためのライセンス
Microsoft 365 E5/A5/G5/E3/A3/G3/F1/F3/ Business Premium	Office 365+セキュリティ対策
Enterprise Mobility + Security E3/E5	ユーザー、デバイス管理と保護の機能がパッケージされたライセンス
OneDrive for Business（プラン2）	クラウドストレージを提供するサービスの上位プラン

※ セキュリティとコンプライアンスのための Microsoft 365 ガイダンス

Entra ID（旧称：Azure Active Directory）の利用とインターネット接続

ファイルを閲覧する際は、Entra IDに登録されている認証情報を使ってアクセス可否をチェックします。そのため、Entra IDの利用および利用者がインターネット接続できる環境が必須です。

具体的な設定方法

以下の設定を行います。

• ファイルの暗号化を行い、正規のユーザー以外が社外秘のOfficeドキュメント（Word、Excel、PowerPointなど）を閲覧できないようにする。
• 社外秘の情報が漏えいしないことに絞って対策するため、「なし（割り当てない）」か「社外秘」の2択でファイルを区別する。
• 対象のファイルの内容が社外秘かどうかの判断とラベル付けは人間が手動で行う。

秘密度ラベル設定の手順はこちらです。

秘密度ラベルの作成

Microsoft Purviewコンプライアンスポータル^※へアクセスし、Microsoft Information Protection内の「秘密度ラベル」から新しい秘密度ラベルを作成します。ここでは、誰を対象に何（ファイル、メール、Teamsなど）を保護するのかを定義します。

※ Microsoft Purviewコンプライアンスポータル

作成時の注意点としては、ラベルを細かく分類しすぎると運用が煩雑になり、かえって適用漏れや形骸化につながる可能性があるため、あまりラベルを多く作りすぎないということです。また、テストの際はメンバー全員が複号化（閲覧）できる状態だと有効性の確認が難しくなるため、アクセス権限は作業実施者に限定するようにしてください。ユーザーやグループ単位でアクセス許可レベルを設定することも可能ですが、まずはデフォルトの共同所有者（Co-Author）権限で製品仕様を把握してからカスタマイズすることをおすすめします。

今回のコンセプトは、「機密情報が含まれるファイルを組織外の人間が閲覧できないようにする」なので、「社外秘」ラベルのみを作成します。

ラベル発行ポリシーの作成

秘密度ラベルを作成しただけではルールは適用されないため、「ラベル発行ポリシー」を作成します。ラベル発行ポリシーでは、どの秘密度ラベルを使って誰を制御するのかということを定義します。テスト時は、影響範囲を限定するために実施者個人や、実施者の所属するグループを指定してください。なお、ポリシーの適用には最大で24時間程度かかることがあります。

社外秘のファイルの暗号化

ラベル発行ポリシーで対象となったユーザーがファイルを開くと、Officeのホームタブ右側のセクションで、秘密度ラベルを設定できるようになっています。社外秘のファイルを開き、ユーザー自身で「社外秘」ラベルを割り当てます。

テスト

ラベル発行ポリシーで制御対象に含めなかったユーザーに協力してもらい、ファイルを開きます。ファイルが開けずにMicrosoftのログイン画面に遷移し、そこでログインしても以下のようなメッセージが出力されてファイルが閲覧できなければ成功です。

詳細な設定手順は、Microsoft公式サイトを併せてご確認ください。

※ 秘密度ラベルを使用して暗号化を適用する | Microsoft Learn

今回のポイントと注意点

今回ご紹介した内容のポイントと注意点をまとめました。

ポイント

既存のMicrosoftライセンスを活用すれば、新たなコストをかけずに情報漏えい対策を始められます。しかし、「何をどう守りたいのか」を整理するのは容易ではありません。細かく決めすぎるとかえって運用が難しくなることもあります。まずはシンプルな対応策を導入することで、組織内の協力を得やすい環境を整えることが重要です。

すべてを完璧に守ろうとするのではなく、絶対に守りたい情報だけでも確実に保護するところから始めてみるのをおすすめします。

注意点

今回の記事では、組織外の人間がファイルを閲覧できないようにするという観点に絞って、機能をご紹介しました。ご利用の際は以下の点にご注意ください。

• 秘密度ラベルの対象に含まれていないユーザーがファイルを閲覧するには、閲覧可能な適切なラベルに変更するなどの対応が必要。
• Entra IDアカウントを乗っ取られた正規のユーザーによるファイル閲覧や、メールの誤送信、クラウドストレージへのアップロードなどを防ぐには別の対策が必要。
• 秘密度ラベルではOfficeアプリケーションとPDFの暗号化に対応していますが、古いタイプのドキュメント（.doc、.ppt、.xls）やテキストファイル（.txt）などには対応していない。

※ Office アプリで秘密度ラベルを管理する | Microsoft Learn

※ SharePoint および OneDrive でファイルの秘密度ラベルを有効にする | Microsoft Learn

小さな一歩から始める情報管理

情報漏えい対策の導入は、組織内で統一したルールの策定とその遵守を徹底する必要があり、容易ではありません。しかし、Microsoft Purviewを活用し、手動でのラベル付けと暗号化から始めることで、情報管理と保護の足がかりを整えることが可能です。まずは小さな一歩を踏み出し、重要データの保護と組織メンバーの意識を高めることから始めてみませんか。

ラックが提供している「Microsoft 365導入活用支援サービス」では、Microsoft Purviewによる情報漏えい対策を始め、Microsoft製品を活用したID保護、デバイス管理、標的型攻撃対策などのセキュリティ対策導入を支援しています。ぜひお気軽にお問い合わせください。