LAC WATCH

セキュリティとITの最新情報

RSS

株式会社ラック

メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

Facebook X Instagram
サービス・製品 | 

Microsoft Purview Information Protectionオンプレミススキャナで、オンプレミスファイルサーバを自動ラベリングしてみる

近年、情報漏えいや内部不正への対策として、業務ファイルに適切な秘密度ラベルを付与し、機密情報を保護する重要性が高まっています。Microsoft Purviewを活用してデータ保護を進める企業も増えていますが、一方で、SharePointやOneDriveの利用を進めつつも業務上の理由からオンプレミスファイルサーバを利用し続けている企業は少なくありません。

SharePointやOneDrive上のファイルであれば、Microsoft Purviewの自動ラベル付けポリシーを使用することで自動ラベリングが可能です。しかし、オンプレミスファイルサーバ上のファイルは標準機能では自動ラベリングの対象外であり、オンプレミス環境のファイル保護をどう強化するかは多くの企業が直面する課題となっています。

この課題を解決するのが、Microsoft Purview Information Protectionオンプレミススキャナ(以下、MPIPスキャナ)です。MPIPスキャナを利用することで、オンプレミスファイルサーバ上のファイルに対しても自動ラベリングや保護を適用できます。本記事では、Microsoft Purviewを導入済み、あるいは導入を検討している企業の担当者に向けて、MPIPスキャナを利用したオンプレミスファイルサーバ上のファイルへの自動ラベリングの仕組みをご紹介します。

MPIPスキャナとは

MPIPスキャナは、Microsoft Purview Information Protectionソリューションの一部であり、SMB共有やNASなど、UNCパスで指定されたフォルダをスキャンし、ファイルに秘密度ラベルを自動で付与できる機能です。最大の特長は、SharePointやOneDriveだけでなく、オンプレミス上のファイルにもMicrosoft Purviewの保護ポリシーを適用できることです。クラウドとオンプレミスをまたいで一貫した情報保護を実現できます。

また、利用者がファイルごとにラベルを付与する必要はありません。管理者が定めた条件に従って機密情報を含むファイルを自動で検出し、ラベル付けから保護までを継続的に実行できるため、運用負荷の軽減とラベル付与漏れの防止にもつながります。今回はMPIPスキャナの構築手順と、オンプレミスファイルサーバ上のファイルへの自動ラベリングを実現する方法を、実際の検証を交えながらご紹介します。

MPIPスキャナとは

前提条件

MPIPスキャナには、以下のような前提条件があります。

  • スキャナサーバが必要(MPIPクライアントがインストールされている、MPIPサービスとの通信が許可されている)
  • SQLサーバが必要(小規模なデプロイを除いてスキャナサーバと異なるサーバでホストすることが推奨される)
  • サービスアカウントが必要(ADアカウントでありEntra IDに同期されている、MPIPのライセンスを持つ、Azure Rights Managementサービスのスーパーユーザーである)
  • 秘密度ラベルの設定が必要

上記以外にも、サーバのスペックや通信要件、ファイルの種類などの前提条件があるため、詳細は公式ドキュメントをご確認ください。

情報保護スキャナーの概要 | Microsoft Learn

構成図

今回は以下のように、オンプレミスファイルサーバに対してスキャンを行う構成で検証を実施しました。検証のためスキャナサーバは1台とし、スキャナサーバ上でSQLサーバもホストしています。

オンプレミスファイルサーバに対してスキャンを行う構成図

検証準備/構築手順(概要)

今回は、以下に記載されている内容を基に検証環境を準備します。

大まかな作業手順は以下となります。

  • 1.サービスアカウントの用意(ADユーザーをEntra IDへ同期し、ライセンスを付与)
  • 2.SQLサーバを用意
  • 3.オンプレミスファイルサーバを用意
  • 4.Purview側の設定(ラベル、コンテンツスキャンジョブ等)
  • 5.MPIPスキャナのインストール
  • 6.Purview側の設定(リポジトリ設定、スキャン設定等)

※ 今回は、オンプレミスファイルサーバ上に「公開」「社外秘」用のフォルダを作成し、それぞれ対応するラベルを既定のラベルとして設定しました。

オンプレミスファイルサーバ上に「公開」「社外秘」用のフォルダを作成し、それぞれ対応するラベルを既定のラベルとして設定

実際の挙動

①ラベリング対象のフォルダへラベル無しファイルを配置します。

公開フォルダ
公開フォルダ
社外秘フォルダ
社外秘フォルダ

②スキャンを実行します。今回は手動でスキャンを実行していますが、自動スキャンも可能です。

構築手順(スキャンを実行)

③スキャン終了後、再度オンプレミスファイルサーバ上のファイルを開きます。

※ 対象フォルダ内のファイル数やファイルサイズによってスキャン時間が変わります。

公開フォルダ内のファイルに「公開」ラベルが付与されています。

公開フォルダ内のファイルに「公開」ラベルが付与されています。
公開フォルダ

社外秘フォルダ内のファイルに「社外秘」ラベルが付与されています。

※ ラベルに設定されているアクセス制限も問題なく適用されています。

社外秘フォルダ内のファイルに「社外秘」ラベルが付与されています。
社外秘フォルダ

④ログからもラベリングしたことが確認できます。

対象箇所

  • Labeled as 社外秘:1
  • Labeled as 公開:1
ログからもラベリングしたことが確認できます。

※ 手動でラベルを削除した場合でも、次回スキャン時に再度ラベルが自動付与されるため、ラベル付け漏れによる保護の抜けを防止できます。なお、コンテンツスキャンジョブの設定にて、スキャンスケジュールを「常に許可」としている必要があります。

※ リポジトリ設定にて指定するUNCパス次第では、NASやAzureFilesに対する自動ラベリングも可能です。

ログの確認方法

MPIPスキャナのスキャンログは、スキャナサーバの以下に格納されています。

※ ログはMPIPサービスアカウントの%localappdata%へ保存されているため、参照時のサインインユーザーに注意。

%localappdata%¥Microsoft¥MSIP¥Scanner¥Reports

スキャンの概要(スキャンファイル数、スキャン時間等)はtxt形式で出力され、スキャンの詳細(各ファイルの詳細、スキャンエラー等)に関してはcsv形式で出力されます。

csvファイルで出力される、エラーの一部をご紹介します(以下のエラー以外にも数種類あります)。

エラー 原因・対策
ファイル 'xxx'が見つかりませんでした。 スキャン対象ファイルのファイルパスが260文字以上の場合、左記のエラーが出力されます。エラーを解消するためには、以下Learnに記載されている内容を実施する必要があります。 「ファイル パスの要件」情報保護スキャナーの概要 | Microsoft Learn
The file has been protected using non RMS technologies,CorrelationId= xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, CorrelationId.Description=FileEngine スキャン対象ファイルがパスワード付きファイルの場合、左記のエラーが出力されます。対象ファイルにラベルを付与したい場合は、パスワード保護を無効にする等の対応が必要になります。

さいごに

クラウド上のデータ保護は進んでいるものの、オンプレミスファイルサーバに重要な業務データが残されており、十分な保護が行き届いていないケースも少なくありません。さらに、近年では生成AI活用の拡大に伴い、機密情報が意図せず生成AIに入力されることによる情報漏えいリスクも新たな課題となっています。このような背景から、「データがどこにあっても保護する」というゼロトラストの考え方に基づき、データそのものを保護する対策が求められています。

MPIPスキャナを活用すれば、クラウドだけでなくオンプレミスファイルサーバ内のデータにも、Microsoft Purviewの秘密度ラベルや暗号化を適用し、一貫した情報保護を実現できます。利用者にデータの機密性を明確に示せるだけでなく、万が一ファイルが持ち出された場合でも、許可されたユーザー以外による閲覧を防止できるため、情報漏えい時の被害を最小限に抑えることが可能です。オンプレミスファイルサーバの運用を継続しながらデータ保護を強化したい、あるいはMicrosoft Purviewの活用範囲を広げたいとお考えの企業は、ぜひお気軽にご相談ください。

この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • Microsoft Purviewではじめる情報漏えい対策

    Microsoft Purviewではじめる情報漏えい対策

  • Microsoft 365環境のセキュリティ運用を自動化した、ラックの成功事例

    Microsoft 365環境のセキュリティ運用を自動化した、ラックの成功事例

  • セキュリティ運用で必要なMicrosoft 365ライセンス選択~E3とE5ライセンスの違いから見る現実解

    セキュリティ運用で必要なMicrosoft 365ライセンス選択~E3とE5ライセンスの違いから見る現実解

page top