内部不正から組織を守る！新しいインサイダーリスク管理機能の一般提供が開始

サイバー攻撃は年々増加しており、多くの組織が被害を受けています。特に多いのがランサムウェアや標的型攻撃による被害ですが、近年では在籍している従業員や元従業員、外部の業者などを含むビジネスパートナーなどの「内部の人（インサイダー）」が引き起こす情報漏えいが増加している傾向にあります。

情報漏えいは信用の失墜や利益の低迷につながりかねませんので、外部からの攻撃だけでなく組織内の コンプライアンス 対策も行う必要があります。このコンプライアンス対策として、Microsoft 365 から新しいインサイダーリスク管理機能の一般提供が開始されました。（6月上旬～9月上旬までに展開予定）

今回は、この新しいインサイダーリスク管理機能がどのようなものかご紹介したいと思います。

新しいインサイダーリスク管理機能

強化されたアラートトリアージ（アラートの選別）

アクティビティエクスプローラー内で検出されたシーケンスをさらにドリルインする機能、新しいアラートフィルタリング機能の追加、より豊富なアラート履歴を持つユーザーアクティビティのタイムラインビューの探索などアラートレビューにさまざまな改善を導入し、アクションまでの時間を短縮します。

アラートレビューからのポリシーのカスタマイズ

管理者はポリシー構成ウィザードを経由する代わりにアラートレビューからインサイダーリスク管理ポリシーをカスタマイズし、ポリシーのしきい値を調整することができます。

累積流出検出

過去 30 日間のすべての流出チャネルにわたるユーザの流出活動が組織または同業者グループの基準を超えている場合に、データ流出のリスクを特定するのに役立ちます。
ユーザーの累積的な流出活動が同じ組織内または同じ役割を持つ他のユーザーと比較して異常である場合、リスクスコアが割り当てられます。

シーケンス検出

管理者によって設定された許可されたドメインと許可されていないドメインの両方を認識することができ、許可されたドメインを含むシーケンスはスコアの対象から除外され、許可されていないドメインを含むシーケンスはより高いリスクスコアが割り当てられます。

また、シーケンス検知はポリシーのトリガーとして使用できます。例えば、管理者が Microsoft 365 からのダウンロードや流出、削除といったシーケンスを定義した場合、一連のアクティビティを実行したユーザーはポリシーに合致し、インサイダーリスク管理にアラートが表示されます。

新しいインサイダーリスクインジケーター

エンドポイント（Windows 10）、Microsoft Teams、Azure Active Directory、SharePoint Online、Microsoft Defender for Cloud Apps におけるユーザーの活動を含む、1st party インジケーターのセットが増加します。物理アクセスインジケーターとコネクタにより、管理者は優先物理資産を定義することができます。
優先物理資産を有効にし、物理バッジデータコネクタを設定することで、インサイダーリスク管理は、組織の物理制御およびアクセスシステムからのシグナルを他のユーザーアクティビティと相関させ、アラートに対するより多くの情報に基づいた対応決定を支援することができます。

ノイズ管理機能

＜ファイルパスの除外＞
管理者はファイルパスの除外を設定することができ、特定のファイルパスを持つファイル周りのアクティビティでのアラートの生成を制御できます。

＜機密情報タイプの除外＞
管理者は機密情報タイプの除外を定義でき、特定の機密情報タイプを含むファイルでのアラートの生成を制御できます。

＜ファイルタイプの除外＞
ノイズの多い信号を減らすため、電子メールの添付ファイルに適用されます。

＜サイトURL とキーワードの除外＞
管理者は SharePointサイトの URL とキーワードの除外を構成することができ、これらのサイト、または特定のキーワードを含むファイル名と電子メールの件名を含むアクティビティでのアラートの生成を制御できます。

ドメインの一括インポートおよびエクスポート

管理者は、許可されていないドメイン、許可されているドメイン、および 3rd party ドメインの CSVファイルをアップロードまたはダウンロードし、特定のドメインが関与する活動の検出を調整することができます。

コミュニケーションコンプライアンスとの統合

管理者は、コミュニケーションコンプライアンスのイベントを使用してインサイダーリスクポリシーを設定できます。
この機能により、機密情報の流出など、データセキュリティインシデントにつながる可能性のある潜在的にリスクの高い活動を特定することができます。

使用するために必要な準備

累積流出検出、シーケンス検出（許可されたドメイン、許可されていないドメイン）、新しいインサイダーリスクインジケーター、ノイズ管理機能は以下の画面から設定が可能です。

1. Microsoft Purview コンプライアンスポータルにアクセス
   https://compliance.microsoft.com/
2. [内部リスクの管理] > [設定] の画面にアクセス

物理アクセスインジケーターを設定するには、物理バッジデータをインポートするコネクタの設定が必要になります。

参考情報

• インサイダー リスク管理の詳細 – Microsoft Purview (compliance) | Microsoft Learn
• 物理バッジ データをインポートするコネクタを設定する – Microsoft Purview (compliance) | Microsoft Learn