ビジネス情報の分類と保護 - マイクロソフト IT 事例

  • Article

(この記事は 2014 年 5 月 8 日に公開されたホワイトペーパー Classifying and Protecting Your Business Information  の翻訳です)

カスタマイズする際のメモ:  このドキュメントは Microsoft IT の経験に基づいており、再利用、カスタマイズが可能なガイダンスと手順書が含まれます。組織の状況に合致しない時は利用しないでください。

アイディアやコンセプトなどを含むあらゆる形の情報は、潜在的なビジネス価値を持っています。メールのやり取り、ドキュメント共有、電話により会話など方法にかかわらず会社の機密情報を保護するのはあなた自身の責務です。情報の価値が高くなるほど、それを守るためにより多くのセキュリティ制御を行う必要があります。

このガイドでは、ビジネス情報やデータの、意図せず開示された場合の潜在的なインパクトに応じた分類 (高、中、低ビジネスインパクト) 方法の概要について述べます。また、情報を転送、共有、保管、破棄する前に保護する支援を行うためのソリューションについてもご紹介します。

 

このガイドラインでのトピック

情報の分類 情報の保護 分類とデータ配布のガイドライン
推奨されるセキュリティ実装 追加の情報

 

情報の分類

情報は意図しない開示による潜在的なインパクトにより高ビジネスインパクト (High Business Impact, HBI)、 中ビジネスインパクト (Moderate Business Impact, MBI) そして低ビジネスインパクト (Low Business Impact, LBI) の 3 種類に分類することができます。

表 1. 情報の分類

HBI

HBI は許可なく公開されると、会社、情報の所有者、お客様に、即時に、直接的に、または多大な影響があるあらゆる情報を含む電子メール、文書、メッセージ、電話の会話などが含まれます。HBI 情報は知る必要がある場合にのみ共有されるべきです。HBI には、機微な個人情報 (HSPII)が含まれます。

MBI

MBI は、公開されると間接的に会社、資産の所有者やお客様に限定的な影響がある情報に適用されます。MBI 情報は閲覧に正当なビジネス上の必要性がある人に限定されるべきです。MBI には個人情報 (PII) が含まれます。

LBI

LBI 分類は許可なく公開されても、会社、資産の所有者や利用者に限定的な損失、もしくは損失を与えない情報資産に適用されます。

重要:   この文書で述べられているガイドラインは例であり、すべての組織には個別の事情があります。以下のセクションでは、自社の HBI、MBI、LBI 情報が何であるかをまず把握してください。それにより、データにより制限が必要になる場合、そうでない場合が出てきます。

 

一般的な情報の分類

以下の表はデータの分類レベルを決定するのに参考になるガイドラインです。

表 2. データ分類レベルを決めるためのガイドライン

次のデータを含む場合: HBI MBI LBI

電子メールアドレス

 

X

 

社会保険番号

X

 

 

プロセスや方法を記した文書

 

X

 

プライベートな暗号キー

X

 

 

ユーザー名とパスワード

X

 

 

公にアクセス可能な情報

 

 

X

企業活動における営業秘密

 

X

 

利益を生み出す財務情報

X

 

 

電話番号リスト

X

 

 

社員の郵便番号

 

 

X

数字の ID の並び / PIN

X

 

 

 

ヒント:

  • データが複数の分類レベルに分類される場合、分類が不明な場合は、より制限の厳しい分類レベルを利用してください。
  • 「機密情報」と記載されていて分類が不明な場合は、情報を HBI として扱ってください。

重要なメモ:

  • 情報のビジネス上の価値を理解して正しい分類を適用し、保護するのはあなた自身の責務です。
  • 退職時や修理で外部に送る前には HBI や MBI の情報はコンピューターから削除してください。
  • 分類レベルは上記の表に記載されている例と異なる場合がありますので、あなたの会社のポリシーをチェックしてください。

情報の保護

情報の分類が決まったところで、データが送信、共有、保管、バックアップ、削除される際にどのようなツールがあるのかについて見てみましょう。

このガイドでは、情報の保護に役立つ 4 つのテクノロジーの概要を提供します。

  • Information Rights Management:  Rights Management Services (RMS) を利用した Office 機能であり、IRM は文書、ワークブック、プレゼンテーションに特定のアクセス権限を与え、許可のない転送、印刷、コピーを防ぎ、有効期限を設定してそれ以降無効にすることができます。IRM についての追加情報は以下をご覧ください。 https://technet.microsoft.com/ja-jp/library/cc179103.aspx
  • Secure/Multipurpose Internet Mail Extensions (S/MIME):  S/MIME を利用すると、電子メールメッセージを暗号化、および/またはデジタル署名することができます。メッセージを暗号化して暗号テキストのデータに変換することで、指定した人のみが読むことができるようにします。電子メールメッセージに電子署名を施すと、メッセージと添付ファイルの転送中に改ざんが行われなかったことを保証することができます。S/MIME についての追加情報は以下のメッセージ暗号化とフィルタリングのトピックをご覧ください。  https://technet.microsoft.com/ja-jp/library/jj891023.aspx
  • BitLocker ドライブ暗号化:  BitLocker ドライブ暗号化は Windows Vista、Windows 7、Windows 8 で利用可能なデータ保護機能です。BitLocker はコンピューター上のハードドライブを暗号化して、盗まれたデータ、コンピューター上で曝されたデータ、紛失/盗難にあった/退役したリムーバブルドライブに対して、高度な保護機能を提供します。BitLocker についての追加情報は以下をご覧ください。 https://technet.microsoft.com/ja-jp/library/hh831713.aspx BitLocker To Go は持ち運び可能なストレージドライブへの許可のないアクセスを防止するためのドライブ暗号化を提供します。これには USB フラッシュドライブ、SD カード、外部ハードディスクドライブ、NTFS、FAT、exFAT ファイルシステムでフォーマットされたリムーバブル ドライブが含まれます。
  • Encrypted File System (EFS): コンピュータで BitLocker が利用できない場合、暗号化ファイルシステム (EFS) を利用して、特定のファイルやフォルダーを証明書を利用して暗号化します。EFS は情報を共有する相手が暗号化されたコンテンツにアクセスする前に適切な複合化キーを入力することを要求します。EFS についての追加情報は以下をご覧ください。https://windows.microsoft.com/ja-jp/windows/what-is-encrypting-file-system#1TC=windows-7

以下の表は、HBI または MBI 情報を転送、共有、PC に保管する際に、どのテクノロジーを利用して情報を保護すべきかのガイドラインです。

表 3. ビジネス情報を転送、共有、保管するのに適したテクノロジー

IRM

S/MIME

EFS

BitLocker

社内メールで転送

推奨

N/A

N/A

社外メールで転送

RMS がフェデレーションされた組織とのみ利用可能

推奨

N/A

N/A

SharePoint Online で共有

推奨

N/A

N/A

N/A

コンピューターに保管

BitLocker との併用で可

N/A

BitLocker との併用で可

必須

リムーバブル メディアに保管

N/A

推奨

 

メモ:  

 

分類とデータ配布のガイドライン

以下の表では、ビジネス情報の送信、共有、保管、バックアップ、廃棄に関する分類レベルのガイダンスを示しています。

表 4. ビジネス情報の送信、共有、保管、バックアップ、廃棄に関するガイドライン

アクション HBI MBI LBI

データの送信 (ファイルの転送または電子メール)
  • 転送、エクスポート、コピーには資産所有者の承認が必要。
  • 内部/外部の配送には暗号化が必要。
  • 電子メールでは S/MIME または IRM による暗号化が必要。
  • 組織外に転送される場合は暗号化が必要。
  • 電子メールでは、会社のネットワーク外に送信される場合は S/MIME による暗号化が必要。

特別な要件なし。

共有

(Office 365 の SharePoint Online を通じて)
  • IRM を使って転送、コピー、印刷を制限します。
  • 資産所有者が特定するメンバーにのみアクセスを限定。
  • 外部の取引先に共有する場合、法務部門からの公式な許可が必要。
  • 正当なビジネス上の理由があるメンバーにアクセスを制限。
  • 外部の取引先に共有する場合、法務部門からの公式な許可が必要。

特別な要件なし。

保管

(サーバー, PC, CD, USB)
  • 暗号化が必要 (BitLocker)。
  • デバイスが強力な暗号化と権限セキュリティ制御をサポートする場合のみ携帯用デバイスへの保管を許可。
  • 暗号化が必要である可能性あり。 (資産所有者により決定される)

特別な要件なし。

バックアップ
  • 許可された人のみが実行し、 IT セキュリティに承認された場所にのみ保管。
  • ストレージメディアを暗号化。
  • バックアップのログが取られ、アクセスが制御され監視されている物理的に安全な場所に保管。

特別な要件なし。

廃棄
  • 紙文書は裁断または焼却。
  • テープや磁気メディアは破壊。ハードディスクドライブは破壊されるようリクエスト。
  • ハードウェアやメディアが適切に破棄、引退するよう組織ポリシーに従う。
  • 紙文書は裁断または焼却。
  • テープや磁気メディアは破壊。
  • 再利用または退役させるハードディスクからデータを消去。
  • 故障したハードディスクドライブを破壊。

特別な要件なし。

 

推奨されるセキュリティ実装

Microsoft Office System のドキュメント検査を利用する

Microsoft Office Word 文書の電子コピーをクライアントや同僚と共有しようとしている場合、文書自体またはドキュメントプロパティ (メタデータ) に格納されている隠しデータや個人情報がないかチェックしてみることをお勧めします。ドキュメント検査は他人と共有する前にデータをスキャンできる標準ツールです。

ドキュメント検査の利用方法に関する追加の情報については、記事「ドキュメントを検査して非表示のデータと個人情報を削除する」 (https://office.microsoft.com/ja-jp/word-help/remove-hidden-data-and-personal-information-by-inspecting-documents-HA010354329.aspx) を参照してください。

機密情報を保護する

公の場所で機密情報について話をしないようにしましょう。

複数のネットワーク接続を避ける

コンピューターを会社のネットワークとインターネット、もしくは会社で管理されていないネットワークの両方に常に接続しておくのはやめましょう。これにより会社のネットワークセキュリティが脅威にさらされます。

グループの宛先のメンバーを吟味する

コンテンツを投稿する前によく考えましょう。電子メールを送信、返信する、Yammer や OneDrive またはその他のソーシャル Web サイトに投稿する、SharePoint にデータを投稿する前に、電子メールまたは Web サイトにアクセスできる人全員に情報が公開されても問題ないか確認してください。

Outlook Web Access を利用する

自宅のコンピューターからの電子メールチェックには Outlook Web Access (OWA) を利用しましょう。共有端末や公の場所に端末から会社のリソースにアクセスする場合は、OWA を使う場合でも注意しましょう。パブリックネットワークが正しく構成されていない場合、キーストロークがモニターされている場合もあるためです。

文書やプレゼンテーションを放置して離席しない

会議の後はすべての文書を削除して、ホワイトボードを消しましょう。

壁や掲示板への掲載を避ける

文書が HBI の場合、ホールや掲示板への掲載を避けましょう。

 

追加の情報

このガイドでは、データの保護をよりよい方法で行うための基礎知識を提供しています。他のガイドでもあなたの情報を保護する方法を提供しています。最新の IT エクスペリエンスを取り上げている IT ショーケース https://microsoft.com/microsoft-IT を参照して以下の Work Smart タイトルを参照してください。

  • Securing your business information
  • Secure collaboration using SharePoint Online
  • Securing your computer
  • Protecting data with Windows 8 BitLocker

以下の情報についても参考になるでしょう。