-
タグ
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR
近年、情報漏えいや内部不正への対策として、業務ファイルに適切な秘密度ラベルを付与し、機密情報を保護する重要性が高まっています。Microsoft Purviewを活用してデータ保護を進める企業も増えていますが、一方で、SharePointやOneDriveの利用を進めつつも業務上の理由からオンプレミスファイルサーバを利用し続けている企業は少なくありません。
SharePointやOneDrive上のファイルであれば、Microsoft Purviewの自動ラベル付けポリシーを使用することで自動ラベリングが可能です。しかし、オンプレミスファイルサーバ上のファイルは標準機能では自動ラベリングの対象外であり、オンプレミス環境のファイル保護をどう強化するかは多くの企業が直面する課題となっています。
この課題を解決するのが、Microsoft Purview Information Protectionオンプレミススキャナ(以下、MPIPスキャナ)です。MPIPスキャナを利用することで、オンプレミスファイルサーバ上のファイルに対しても自動ラベリングや保護を適用できます。本記事では、Microsoft Purviewを導入済み、あるいは導入を検討している企業の担当者に向けて、MPIPスキャナを利用したオンプレミスファイルサーバ上のファイルへの自動ラベリングの仕組みをご紹介します。
MPIPスキャナとは
MPIPスキャナは、Microsoft Purview Information Protectionソリューションの一部であり、SMB共有やNASなど、UNCパスで指定されたフォルダをスキャンし、ファイルに秘密度ラベルを自動で付与できる機能です。最大の特長は、SharePointやOneDriveだけでなく、オンプレミス上のファイルにもMicrosoft Purviewの保護ポリシーを適用できることです。クラウドとオンプレミスをまたいで一貫した情報保護を実現できます。
また、利用者がファイルごとにラベルを付与する必要はありません。管理者が定めた条件に従って機密情報を含むファイルを自動で検出し、ラベル付けから保護までを継続的に実行できるため、運用負荷の軽減とラベル付与漏れの防止にもつながります。今回はMPIPスキャナの構築手順と、オンプレミスファイルサーバ上のファイルへの自動ラベリングを実現する方法を、実際の検証を交えながらご紹介します。
前提条件
MPIPスキャナには、以下のような前提条件があります。
- スキャナサーバが必要(MPIPクライアントがインストールされている、MPIPサービスとの通信が許可されている)
- SQLサーバが必要(小規模なデプロイを除いてスキャナサーバと異なるサーバでホストすることが推奨される)
- サービスアカウントが必要(ADアカウントでありEntra IDに同期されている、MPIPのライセンスを持つ、Azure Rights Managementサービスのスーパーユーザーである)
- 秘密度ラベルの設定が必要
上記以外にも、サーバのスペックや通信要件、ファイルの種類などの前提条件があるため、詳細は公式ドキュメントをご確認ください。
※ 情報保護スキャナーの概要 | Microsoft Learn
構成図
今回は以下のように、オンプレミスファイルサーバに対してスキャンを行う構成で検証を実施しました。検証のためスキャナサーバは1台とし、スキャナサーバ上でSQLサーバもホストしています。
検証準備/構築手順(概要)
今回は、以下に記載されている内容を基に検証環境を準備します。
- 情報保護スキャナーの概要 | Microsoft Learn
- Microsoft Purview Information Protection スキャナーを構成してインストールする | Microsoft Learn
大まかな作業手順は以下となります。
- 1.サービスアカウントの用意(ADユーザーをEntra IDへ同期し、ライセンスを付与)
- 2.SQLサーバを用意
- 3.オンプレミスファイルサーバを用意
- 4.Purview側の設定(ラベル、コンテンツスキャンジョブ等)
- 5.MPIPスキャナのインストール
- 6.Purview側の設定(リポジトリ設定、スキャン設定等)
※ 今回は、オンプレミスファイルサーバ上に「公開」「社外秘」用のフォルダを作成し、それぞれ対応するラベルを既定のラベルとして設定しました。
実際の挙動
①ラベリング対象のフォルダへラベル無しファイルを配置します。
②スキャンを実行します。今回は手動でスキャンを実行していますが、自動スキャンも可能です。
③スキャン終了後、再度オンプレミスファイルサーバ上のファイルを開きます。
※ 対象フォルダ内のファイル数やファイルサイズによってスキャン時間が変わります。
公開フォルダ内のファイルに「公開」ラベルが付与されています。
社外秘フォルダ内のファイルに「社外秘」ラベルが付与されています。
※ ラベルに設定されているアクセス制限も問題なく適用されています。
④ログからもラベリングしたことが確認できます。
対象箇所
- Labeled as 社外秘:1
- Labeled as 公開:1
※ 手動でラベルを削除した場合でも、次回スキャン時に再度ラベルが自動付与されるため、ラベル付け漏れによる保護の抜けを防止できます。なお、コンテンツスキャンジョブの設定にて、スキャンスケジュールを「常に許可」としている必要があります。
※ リポジトリ設定にて指定するUNCパス次第では、NASやAzureFilesに対する自動ラベリングも可能です。
ログの確認方法
MPIPスキャナのスキャンログは、スキャナサーバの以下に格納されています。
※ ログはMPIPサービスアカウントの%localappdata%へ保存されているため、参照時のサインインユーザーに注意。
%localappdata%¥Microsoft¥MSIP¥Scanner¥Reports
スキャンの概要(スキャンファイル数、スキャン時間等)はtxt形式で出力され、スキャンの詳細(各ファイルの詳細、スキャンエラー等)に関してはcsv形式で出力されます。
csvファイルで出力される、エラーの一部をご紹介します(以下のエラー以外にも数種類あります)。
| エラー | 原因・対策 |
|---|---|
| ファイル 'xxx'が見つかりませんでした。 | スキャン対象ファイルのファイルパスが260文字以上の場合、左記のエラーが出力されます。エラーを解消するためには、以下Learnに記載されている内容を実施する必要があります。※ 「ファイル パスの要件」情報保護スキャナーの概要 | Microsoft Learn |
| The file has been protected using non RMS technologies,CorrelationId= xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, CorrelationId.Description=FileEngine | スキャン対象ファイルがパスワード付きファイルの場合、左記のエラーが出力されます。対象ファイルにラベルを付与したい場合は、パスワード保護を無効にする等の対応が必要になります。 |
さいごに
クラウド上のデータ保護は進んでいるものの、オンプレミスファイルサーバに重要な業務データが残されており、十分な保護が行き届いていないケースも少なくありません。さらに、近年では生成AI活用の拡大に伴い、機密情報が意図せず生成AIに入力されることによる情報漏えいリスクも新たな課題となっています。このような背景から、「データがどこにあっても保護する」というゼロトラストの考え方に基づき、データそのものを保護する対策が求められています。
MPIPスキャナを活用すれば、クラウドだけでなくオンプレミスファイルサーバ内のデータにも、Microsoft Purviewの秘密度ラベルや暗号化を適用し、一貫した情報保護を実現できます。利用者にデータの機密性を明確に示せるだけでなく、万が一ファイルが持ち出された場合でも、許可されたユーザー以外による閲覧を防止できるため、情報漏えい時の被害を最小限に抑えることが可能です。オンプレミスファイルサーバの運用を継続しながらデータ保護を強化したい、あるいはMicrosoft Purviewの活用範囲を広げたいとお考えの企業は、ぜひお気軽にご相談ください。
タグ
- アーキテクト
- アジャイル開発
- アプリ開発
- インシデントレスポンス
- イベントレポート
- カスタマーストーリー
- カルチャー
- 官民学・業界連携
- 企業市民活動
- クラウド
- クラウドインテグレーション
- クラブ活動
- コーポレート
- 広報・マーケティング
- 攻撃者グループ
- もっと見る +
- 子育て、生活
- サイバー救急センター
- サイバー救急センターレポート
- サイバー攻撃
- サイバー犯罪
- サイバー・グリッド・ジャパン
- サプライチェーンリスク
- システム開発
- 趣味
- 障がい者採用
- 初心者向け
- 白浜シンポジウム
- 情シス向け
- 情報モラル
- 情報漏えい対策
- 人材開発・教育
- 診断30周年
- スレットインテリジェンス
- すごうで
- セキュリティ
- セキュリティ診断
- セキュリティ診断レポート
- 脆弱性
- 脆弱性管理
- ゼロトラスト
- 対談
- ダイバーシティ
- テレワーク
- データベース
- デジタルアイデンティティ
- 働き方改革
- 標的型攻撃
- プラス・セキュリティ人材
- モバイルアプリ
- ライター紹介
- ラックセキュリティアカデミー
- ランサムウェア
- リモートデスクトップ
- 1on1
- AI
- ASM
- CIS Controls
- CODE BLUE
- CTF
- CYBER GRID JOURNAL
- DevSecOps
- DX
- EC
- EDR
- FalconNest
- IoT
- IR
- JSOC
- JSOC INSIGHT
- LAC Security Insight
- NDR
- OWASP
- SASE
- Tech Crawling
- XDR









