データ分類フレームワークを開発、改訂、または調整するときは、次の主要なプラクティスを検討してください。
1 日目の 0 から 100 日までの予定はありません。Microsoft では、クロールウォークラン アプローチを推奨し、organizationに重要な機能を優先順位付けし、タイムラインに対してマッピングします。 最初の手順を完了し、成功したことを確認してから、学習したレッスンを適用する次のフェーズに進みます。 データ分類フレームワークを設計している間も、organizationがまだリスクにさらされる可能性があることに注意してください。そのため、少数の分類レベルから始めて、必要に応じて後で拡張しても問題ありません。
サイバーセキュリティの専門家向けの記述だけではありません。データ分類フレームワークは、平均的なスタッフ メンバー、法務およびコンプライアンス チーム、IT チームなど、幅広いユーザーを対象としています。 データ分類レベルの明確でわかりやすい定義を記述し、可能な限り実際の例を提供します。 専門用語を避け、頭字語や高度な技術用語の用語集を検討してください。 たとえば、"個人を特定できる情報" を使用し、単に "PII" と言う代わりに定義を指定します。
データ分類フレームワークは実装することを目的としています。データ分類フレームワークを成功させるには、データ分類フレームワークを実装する必要があります。 この点は、各データ分類レベルの制御要件を作成する場合に特に関連します。 要件が明確に定義されていること、および実装中に発生する可能性があるあいまいさを予測し、対処していることを確認します。 たとえば、個人を特定できる情報に関するコントロールがある場合は、社会保障やパスポート番号など、そのコントロールの意味を正確に入力してください。
必要な場合にのみ詳細に移動します。通常、データ分類フレームワークには 3 ~ 5 つのデータ分類レベルが含まれます。 ただし、5 つのレベルを 含めることができるからといって、必要なわけではありません。 必要な分類レベルの数を決定するときは、次の条件を考慮してください:
- 業界と関連する規制義務 (規制の厳しい業界では、より多くの分類レベルが必要な傾向があります)
- より複雑なフレームワークを維持するために必要な運用オーバーヘッド
- ユーザーと、より多くの分類レベルに関連する複雑さと微妙な違いを遵守する能力
- 複数のデバイスの種類に対して手動分類を適用する場合のユーザー エクスペリエンスとアクセシビリティ
適切な関係者を関与させる: 多くのプロジェクトが上級管理職の支援なしに開始または時間がかかるので、上級利害関係者を持つことは成功にとって重要です。 情報テクノロジ チームは通常、データ分類フレームワークを所有していますが、これらのフレームワークには、法的、コンプライアンス、プライバシー、変更管理に影響を与える可能性があります。 ビジネスを保護するのに役立つフレームワークを確実に作成するには、ポリシーの開発に、プライバシー責任者や総顧問室などのプライバシーと法的利害関係者を含めます。 organizationにコンプライアンス部門、情報ガバナンスの専門家、またはレコード管理チームが存在する場合は、貴重な入力も含まれます。 フレームワークがビジネスに展開するにつれて、コミュニケーション部門は、内部メッセージングと導入のために果たす重要な役割も担います。
セキュリティと利便性のバランスを取る: 一般的な間違いは、セキュリティで保護されているが制限が厳しすぎるデータ分類フレームワークを作成することです。 このフレームワークは、セキュリティを念頭に置いて設計されている場合がありますが、多くの場合、実際には実装が困難です。 ユーザーが日常生活でフレームワークを適用するために複雑で厳格で時間のかかる手順に従う必要がある場合は、その価値を信じなくなったため、手順の実行を停止するリスクが常にあります。 このリスクは、組織内の経営幹部レベル (C スイート) のマネージャーを含め、組織内のすべてのレベルに存在します。 使いやすいツールと共に、利便性とセキュリティのバランスを取ると、通常、より多くのユーザーが導入し、使用します。 フレームワークにギャップがある場合でも、すべてが完璧になるまで実装するのを待たないでください。 代わりに、リスクまたはギャップを評価し、それを軽減するための計画を作成し、前進を続けます。 情報保護は体験であり、一晩でアクティブ化されてから実行されるものではありません。 ツールの進化とユーザーの成熟度とエクスペリエンスの向上に合わせて、いくつかの機能を計画、実装し、成功を確認して、次のマイルストーンへの反復処理を行います。
また、データ分類フレームワークは、機密データを保護するためにorganizationが行う必要がある処理にのみ対処します。 多くの場合、データ分類フレームワークには、技術と技術の観点からこれらのポリシーを配置する 方法 を定義するデータ処理ルールまたはガイドラインが伴います。 以降のセクションでは、データ分類フレームワークをポリシー ドキュメントから完全に実装された実用的なイニシアチブに移行する方法に関する実用的なガイダンスを示します。
データ分類フレームワークの作成に関する問題点
データ分類の取り組みは、企業内のほぼすべてのビジネス機能に対応します。 この広範な範囲と最新のデジタル環境でのコンテンツ管理の複雑さにより、企業は多くの場合、どこから開始するか、成功した実装を管理する方法、進行状況を測定する方法を知る上で課題に直面します。 一般的な問題点は、多くの場合、次のとおりです。
- 分類レベルと関連するセキュリティ制御の決定など、堅牢でわかりやすいデータ分類フレームワークを設計する。
- 適切なテクノロジ ソリューションの確認、既存のビジネス プロセスへの計画の調整、従業員への影響の特定を含む実装計画を策定する。
- 選択したテクノロジ ソリューション内にデータ分類フレームワークを設定し、ツールのテクノロジ機能とフレームワーク自体の間のギャップに対処します。
- データ分類作業の継続的なメンテナンスと正常性を監視するガバナンス構造の確立。
- 進行状況を監視および測定するための特定の主要業績評価指標 (KPI) を特定する。
- データ分類ポリシーの認識と理解の向上、重要な理由、およびそれらに準拠する方法。
- データ損失とサイバーセキュリティ制御を対象とする内部監査レビューに準拠しています。
- ユーザーが毎日の作業で正しい分類の必要性を念頭に置き、適切な分類メジャーを適用するように、トレーニングとエンゲージメントを高めます。
変更管理とトレーニング
現在、組織は Microsoft 365 などのツールを使用して、データ分類フレームワークを実装しています。 目的は、データの分類を自動化し、従業員の負担を増やさない方法です。 この構造は、organizationがコンテンツを管理し、このペーパーで説明するリスクからorganizationを保護する必要性の認識を高める責任がないことを意味するものではありません。 主要なプラクティスは、毎年のトレーニング スケジュールの一環として、organization全体で意識トレーニングを実施し続けています。 Microsoft の経験は、この作業を実行する主要な対象ユーザーであるユーザーのトレーニングに堅牢で包括的な努力を加えると、その作業に対する "バイイン" が増え、導入と品質が向上する可能性があることを示しています。 ラベルの推奨事項とアプリ内のヒントを追加すると、これらの作業が増幅される可能性があります。 このトレーニングは、広範なスタンドアロン コースである必要はありません。 organizationは、情報セキュリティ年次トレーニングなどの他の定期的なトレーニングに組み込み、データ分類レベルと定義の概要を含めることができます。 主なポイントは、ツールがデータの分類を自動化しているにもかかわらず、会社のポリシーに従ってデータを保護する各ユーザーの全体的な責任を排除できないことを従業員が理解していることです。
さらに、運用の準備を強化するために、IT チームと情報セキュリティ チームに対するより詳細なトレーニングを検討する必要があります。 ツールとデータ分類フレームワークを管理するチームは、同じページに存在する必要があります。 この調整により、より堅牢なトレーニング スケジュールに投資することが必要になる場合があります。これは、毎年よりも頻繁に行われる可能性があります。 より頻繁なトレーニングへの投資は、organizationに対するリスクを軽減するためのもう 1 つの手段です。 このチームは実装の責任を負います。そのため、ツールとポリシーでトレーニングされていない場合は、障害の原因になる可能性があります。
ツールでコンテンツに手動でタグを付ける必要がある場合は、より高度なトレーニングを受けるスーパーユーザーのグループを開発するのが適切です。 これらのスーパー ユーザーは、ユーザーがドキュメントにデータ秘密度ラベルを手動でタグ付けし、organizationのデータ分類フレームワークと規制要件を深く理解する必要がある状況に関与します。
最後に、リーダーシップは、リスク管理イニシアチブの重要性を従業員に強化するために、情報セキュリティ行動のチャンピオンに優先順位を付ける必要があります。 これらの動作には、堅牢なデータ分類フレームワークの開発と実装、イニシアチブを促進するための主要リーダーの割り当て(変更のアンバサダーまたはチャンピオンとも呼ばれることもあります)が含まれます。
ガバナンスとメンテナンス
データ分類フレームワークを開発して実装した後は、継続的なガバナンスとメンテナンスが成功に不可欠です。 秘密度ラベルが実際にどのように使用されているかを追跡するだけでなく、規制の変更、サイバーセキュリティの主要なプラクティス、管理するコンテンツの性質に基づいて制御要件を更新する必要があります。 ガバナンスとメンテナンスの取り組みには、次のものが含まれます。
- データ分類専用のガバナンス機関を確立するか、既存の情報セキュリティ機関にデータ分類責任を追加します。
- データ分類を監視するユーザーの役割と責任を定義する。
- 進行状況を監視および測定するための KPI の確立。
- サイバーセキュリティのリーディング プラクティスと規制の変更の追跡。
- データ分類フレームワークをサポートし、適用する標準的な運用手順を開発する。
業界に関する考慮事項
強力なデータ分類フレームワークを開発するための基本原則は普遍的ですが、フレームワークの詳細は、業界の性質と、データの要求に固有のコンプライアンスとセキュリティ要因によって異なります。
たとえば、金融サービス企業は、事業の範囲や事業地域に応じて、いくつかの規制フレームワークへのコンプライアンスを検討する必要があります。 米国の証券会社は、本や記録のセキュリティと保持に関する要件に対処するSEC規則17a-4(f)やFINRA規則4511などのアカウント規制に準拠する必要があります。 同様に、英国で事業を行う企業は 、FCA コンプライアンスを考慮する必要があります。
政府機関は、データを管理するさまざまな規制に直面しています。これは、領土と作業の性質によって異なります。 たとえば、米国では、連邦税情報 (FTI) にアクセスする政府機関とその代理人は IRS 1075 の対象となります。これは、連邦税情報の損失、侵害、または誤用のリスクを最小限に抑えることが目的です。
金融サービス企業や政府機関は、世界で最も規制の厳しい組織の 1 つですが、ほとんどの企業には、考慮する必要がある業界固有の考慮事項があります。 以下に例を挙げます。
- HIPAA へのコンプライアンスを確保する医療業界の組織。
- K-12学校から大学まで、 教育機関はFERPAコンプライアンスを管理しています。
- 国または地域の情報セキュリティに関 する GxP ガイドライン に準拠するために取り組んでいる医薬品メーカー。
- メディア、小売、および GDPR コンプライアンスを扱う他の多くの企業。
- CDSA を扱うエンターテイメント、ソフトウェア、および情報コンテンツの配信と保存。
- NERC CIP 標準に準拠したエネルギー業界の情報セキュリティ。
Microsoft 365 でデータ分類フレームワークを実装する
データ分類フレームワークを開発したら、それを実装します。 Microsoft Purview ポータルを使用すると、管理者はデータ分類フレームワークに従ってデータを検出、分類、確認、監視できます。 秘密度ラベルを使用して、暗号化やコンテンツ マーキングなどの保護を適用してデータを保護します。 秘密度ラベルは、ポリシー設定に基づいて既定で手動でデータに適用することも、識別された PII などの条件が満たされたときに自動的に適用することもできます。
合理化されたデータ分類フレームワークを持つ小規模な組織や組織では、データ分類レベルごとに 1 つの秘密度ラベルを作成するだけで十分な場合があります。 次の例は、機密ラベル マッピングへの 1 対 1 のデータ分類レベルを示しています。
| 分類ラベル | 機密ラベル | ラベルの設定 | 公開先 |
|---|---|---|---|
| Unrestricted | Unrestricted | '制限なし' フッターを適用する | すべてのユーザー |
| 全般 | 全般 | '全般' フッターを適用する | すべてのユーザー |
ヒント
Microsoft の内部情報保護パイロットの間、ユーザーは "Personal" ラベルを理解して使用するのが困難でした。 彼らは、このラベルがPIIと個人的な問題のどちらを参照しているのかについて混乱していました。 ラベルをより明確にするには、"非ビジネス" に変更します。 この例は、分類が最初から完全である必要はないことを示しています。 正しいと思われる内容から始め、パイロットして、必要に応じてフィードバックに基づいてラベルを調整します。
グローバルに到達する、またはより複雑な情報セキュリティニーズを持つ大規模な組織の場合、ポリシー内の分類レベルの数と Microsoft 365 環境の秘密度ラベルの数との間に、この 1 対 1 の関係が課題となる場合があります。 この課題は、"制限付き" などの特定のデータ分類レベルが、地域に応じて異なる定義または異なるコントロール セットを持つ可能性があるグローバル組織では特に当てはまります。
実装の詳細については、「 データ分類について」 および「 秘密度ラベルについて」を参照してください。