Windows 10のデータ管理 データ保護はMicrosoft 365の連携技におまかせ：Microsoft 365で実現！ Windows 10のモダン管理（第3回）

前回までは、Windows 10のモダン管理を使った展開、管理に関する方法を解説しました。今回は、「データ保護」にフォーカスします。モダンPCは、そもそも社外でインターネットに接続して利用するのが前提の環境です。Windows 10の機能とMicrosoft 365の各種機能を連携させ、PCを社外で利用する際にデータ漏えいを防ぐ機能を紹介します。

[PR／＠IT]

PR

社外へのPC持ち出し、ハードルはセキュリティ偏重の情報漏えい対策

• ［第1回記事］Windows 10の展開はMicrosoft 365におまかせ
• ［第2回記事］Windows 10のメンテナンス　更新プログラムの管理もMicrosoft 365におまかせ

　最近、PCやスマートデバイスを社外で利用する人が増えてきました。街中のカフェでもPCやスマートデバイスを広げ、時間を惜しんで仕事を行っている人も増えています。そんな光景が当たり前となった世の中で、まだこんな声を聞きます。

「わが社の持ち出しPCは仮想PCでローカルに一切データを残さないから安全だ（ドヤ）」

　確かに安全ですし、その企業にとっては昔と比べると社内リソースにアクセスできることになったのでやれることは増えました。しかし、目線を自分の会社から周囲の会社に向けて比べてみるとどうでしょう。いろいろな制約があり、ユーザーが求める効率的な働き方ができてないなんてことがよく起こっています。求められるセキュリティにテクノロジーで忠実に応えるために、ユーザーとの温度差が開いていることに気を回せなくなっています。

　最近は柔軟な働き方が求められており、セキュリティの名目で制限をかけ続けることにはそろそろ限界が来ています。

　仮想PCや仮想アプリは、何もかも保護するためのものにしては費用負担が大き過ぎるソリューションです。本来は重要なシステムや互換性確保などで限定的に利用するのが、効率的な使い方です。PCとこのような仮想化ソリューションをうまく組み合わせると、投資を最小限に抑えつつ、ユーザーの使い勝手を落とさない環境を作成できるはずです。しかし、それができておらず、安易に全ての環境を仮想PCにしようとするのはなぜでしょうか。

　その理由の一つに、「データの分類ができていない企業が多い」ということが挙げられます。文書分類はしっかりできているという方もいますが、では、そのデータは社外に出してよいものかどうかの判断はついているのかというと、ほとんど分からないという回答が返っています。

　そのため、PC上にファイルを保存して社外に持ち出してしまうと、どこにどのようなデータがあるか分からない上、データをコントロールしたり、監視したりできない状況に陥ります。

　管理者がコントロールできない環境で分かりやすく保護する手段を検討すると、利用できる機能を犠牲にしても仮想PCなどの方式しか選択できないのです。

　これは情報保護を境界ネットワークに依存しきっていることの限界です。これを解消するにはどうすればよいのでしょうか。

社内のPCを社外で利用する際のリスクとは？

　まず、前提条件を確認するために、社外にPCを持ち出すことのリスクを考えてみましょう。

社外でPCを利用する場合、情報保護の観点からのリスクは以下のようなものが考えられます（表1）。

リスク	想定する課題	解決策
端末紛失、盗難	・端末の紛失や盗難に遭う ・不正ログインでPCのデータをのぞき見られる ・HDDから直接データを抜かれる ・PCの中に個人情報などがあるか分からない	・端末の適切なロック ・HDDの暗号化 ・データの暗号化 ・重要データのラベル付けと所在の把握 ・端末内のデータのオンラインバックアップ ・リモートワイプ
ウイルスなどからの漏えい	・ウイルスに感染して情報が社外に持ち出される ・社内にウイルスが持ち込まれる	・データの暗号化 ・社内データを容易に外部へ持ちだせない仕組み ・高度な脅威検出機能と対処の機能
うっかりミス	・許可されてないWebサイトや共有ストレージで公開する ・USBで端末外に持ち出す	・社内データを容易に外部へ持ちだせない仕組み ・USBの適切な利用制限と代替策
内部犯の計画的犯行	・社内の悪意あるユーザーの計画的な犯行	・社内データを容易に外部へ持ちだせない仕組み ・データの暗号化 規定、罰則、法的措置の整備
表1社内のPCを社外で利用する際のリスク

　このように見てみると、それぞれ保護するレイヤーが異なることが分かります（図1）。この異なるレイヤーを1つのソリューションでまとめて守ろうとするから使いづらく、また無駄な費用のかかるシステムが出来上がるのです。

図1　PCの情報保護の観点からのリスク《クリックで拡大します》

　それぞれ分解していけば、既に行っている対策もあると思いますので、少し対策することで今デスクで使っているPCでも外に持ち出せるようになります。

　実は、Microsoft 365のコンポーネントを組み合わせることで、これらの情報漏えい対策が可能です。では、次にそれぞれのリスク対策を細かく見ていきましょう。

デスクのPCを外に持ちだせるようにするには？

　PCの保護機能はWindows 10が出たことにより大きく変わっています。さらに、Microsoft 365の各機能が連携、保護、コントロールを行います。実際にどのよう解決策があるのか見ていきましょう（表2）。

リスク解決策	Windows 10／Microsoft 365による保護
端末の適切なロック	・Windows Hello for Businessによる生体認証やFIDO 2.0対応によるパスワードレスサインインでログインの機能を強化
HDDの暗号化	・BitLockerによる暗号化 ・ストレージが端末に直付けの機種を選ぶ
データの暗号化	・Windows Information Protection（WIP）やAzure Information Protection （AIP）によりデータを暗号化
重要データの暗号化	・重要情報を選んでAzure Information Protectionにより暗号化 ・Azure Information Protectionはキーワードによる自動暗号化も可能
端末内のデータのオンラインバックアップ	・OneDriveでPC内のデータをリアルタイムにオンラインバックアップ ・PC内のデータを把握するとともに利用履歴を取得
リモートワイプ	・Microsoft Intuneの機能でPCをリモートから初期化
USBの適切な利用制限と代替策	・USBをリードオンリーにする ・WIPとAIPを連携して書き出しデータを暗号化する ・OneDriveを利用して社外とのデータのやりとりはクラウドストレージ経由で行う
社内データを容易に外部へ持ちだせない仕組み	・Windows Information Protectionによるデータ保護 ・企業データを暗号化して識別し、指定したアプリや領域でのみ利用できるようにする
高度な脅威検出機能と対処の機能	・Windows Defender ATPでネットワークの場所によらずマルウェア、ファイルレス攻撃などの幅広い脅威も検出・防御
重要データのラベル付けと所在の把握	・Azure Information Protectionでデータにラベルを付け、データ取り扱いをコントロール ・ラベル情報によりデータの所在を把握することも可能
表2リスクの解決策とWindows 10／Microsoft 365が提供する保護機能

　上記のような対策はこれまでもいろいろと検討されてきて、ほとんどの項目は対策済みかと思います。この中で、新しく「Windows Information Protection（WIP）」による保護があります。AIPを導入することにより、今まで以上に情報の取り扱いを安全にすることができます。今回は、この機能を細かく見ていくことにしましょう。

Windows Information Protectionの保護機能とWindows Defender ATPとの連携

　Windows Information Protection（WIP）は、PC内にあらかじめ指定した企業領域からダウンロードしたデータを自動的に保護する機能です。その動作は、以下のようなものになっています（図2）。

図2　Windows Information Protectionの動作《クリックで拡大します》

　Windows Information Protectionでは、1台のPCの中でデータを「企業所有」と「個人所有」に分けて取り扱えるようになります。企業データは保存時に企業所有のマークが付けられ、暗号化されるとともに以下のような制限がかけられます。

• 企業外領域や個人アプリへの保存をブロックやコピー＆ペーストを制限する
• WIPで指定したアプリ以外では企業データを取り扱えなくする
• USBに出力したときにAIPで暗号化してデータを保護する
• メールなど企業領域への保存するときは自動的に暗号化を解除する

　このように、企業からのデータがPCに保存されたときに、自然にそのデータの取り扱いに制限をかけられます。

　しかし、管理者が全ての企業データが保存されている領域を把握することは困難です。また、ローカルPCで新規作成されたデータも管理が難しいという課題がありました。

　そこで出てきたのが「Azure Information Protection（AIP）」と「Windows Defender Advanced Threat Protection（Windows Defender ATP）)」との連携です。Windows Defender ATPは、ローカルデータにAzure Information Protectionのラベルが付いていることを検出し、自動的にWindows Information Protectionの企業データとして扱ってくれるようになります。この機能は、いままでネットワークベースでしか動作しなかったWindows Information Protectionが、ファイルにラベルをあらかじめ適用しておくだけでファイルベースでも動作することになります。今までより広い範囲で情報保護が可能となるのです。

Azure Information Protectionは暗号化だけではない、重要な「ラベル化」

　Azure Information Protectionはその製品の歴史から、「AIP＝RMSで暗号化」というイメージがあるかと思います。

　しかし、もう一つの機能として実装された「ラベル」が非常に重要な役割を持ってきます。ではこの「ラベル」はどのようなものでしょうか。

　ラベルの実態は、ファイルに付加された「カスタムプロパティ」です。そのため、ラベルを付けただけでは、ファイルの内容は何も変化しません。しかし、ラベル付けをすると各サービスがそのデータの取り扱いの重要度を把握することができるようになります。例えば、ExchangeやOneDriveでも社内の情報が不用意に社外に送られることをブロックできるので、外部へのデータの送信をコントロールできます。

　社内データを社外に送信したい場合は、公開可能なレベルのラベルを選択することで、公開することができます。このラベルの変更の履歴はAzure Information Protectionのログとして残るので、後で監査のデータとして利用可能となります。

　上記のように、ラベルを適用すると情報保護の範囲が広がります。そのため、社内のファイルにはできるだけラベルを適用し、分類することが重要であることが分かります。

　図3は、Azure Information Protectionが持つ社内のリソースにラベルを適用する方法です。これらの機能を利用して、できるだけラベルを適用することで、情報保護のレベルが一気に上がります。

図3　Azure Information Protectionが持つ社内のリソースにラベルを適用する方法《クリックで拡大します》

まとめ

　Windows Information ProtectionやAzure Information Protectionのラベルを活用することで、今までにない新しい情報保護を実現できます。必要なことはデータにラベルを付けて情報を分類し、適切に取り扱えるようにする機能を導入するだけです。これにより、情報漏えいのリスクが大幅に減ります。暗号化も何も必要ありませんので、すぐに実施できます。

　これらの機能は「Microsoft Information Protection」のコンセプトとして実装されています。今後もMicrosoft 365の各種機能が連携して、企業データの取り扱いを適切に行えるような機能を提供していきます。

　これを機に、新しい機能を利用して社外でPCを安心して使ってみてはいかがでしょうか。

補足：Windows Information Protectionの注意点

　Windows Information Protectionは、通常のユーザーの間違った操作でデータが社外に漏れたり、ウイルスや乗っ取りで社外にデータが送られたりしたときに、一定の制限をかけることができます。しかし、社内の悪意あるユーザーが本気でデータを持ち出そうとする場合は、それを防止することはできません。最近は、クラウドサービスのAIが進化したため、スマートフォンのカメラで画面を撮影するたけでその内容をデータ化できてしまいます。これは仮想化PCソリューションを採用しても全く同じですので、端末にデータがないことの重要性というのはそれほどないことが分かります。

　このような悪意を持ったユーザーの行動については、データの利用履歴、普段の行動などの追跡から異常行動を見つけるしかありません。そのため、Microsoft 365ではWindows Defender ATP、Azure ATP、Cloud app Securityなどの各種分析機能を提供しており、日々のユーザーの不正行動監視に役に立ちます。そして、テクノロジーでは防げない状況があると認識し、罰則・法的措置などの対策を併せて行う必要があります。