SaaS

Microsoft Information Protectionを利用して秘密度ラベル設定してみた

はじめに

どうもkakeruです。本日は Enterprise Mobility + Security(EMS) Advent Calendar 2021としてブログを記載させていただきます。テーマは、[Microsoft Information Protection(以降MIPと記載)を利用したラベル付け機能]についてです。

弊社では、CASBとしてNetskopeやMicrosoft Defender for Cloud Apps(旧称)を利用していますが、持ち出しの制限をかけたり外部ストレージへのUploadを阻害するポリシーなどを設定する際にファイルにラベル付けがされていれば楽だなと感じることが多々あります。その際にMIPのラベル付けが利用できないかと考え本検証を行いましたのでご紹介いたします。

秘密度ラベルを設定するとできること

Officeファイル、PDFファイルのみであるため利用用途は限定的ではありますが、秘密度ラベルを設定するとできることとして下記が挙げられます。

  • ファイルの分類、暗号化
  • EndpointDLPなどを利用してのファイルアップロード/ダウンロード制御の指標とする
  • アクセス許可を指定したユーザのみファイルを利用させる

前提条件

本検証をするにあたって、いくつか前提条件が存在しますので記載いたします。

  • ラベル付けを行うファイルは、Word,Excel,PowerPointなどのOfficeファイルとPDFファイルを利用
  • Office Onlineでのラベル付け作業は、Windows 10端末かつブラウザをEdgeに固定して実施
  • 自動ラベル付けは行わない
  • ラベル作成に必要なライセンスやMicrosoft 365 コンプライアンスセンターでのアクセス許可は事前に付与しているものとする

用意する秘密度ラベル

本検証では秘密度ラベルを設定するにあたって、以下3パターンのラベルを用意します。
優先度が最も低いラベル ポリシーは 一番上 に表示され、優先度が最も高いラベル ポリシーは 一番下 に表示されます。細かい設定内容については、ラベル/ラベルポリシー作成の際にご説明します。

ラベル名優先度暗号化ヘッダー透かしラベル変更事由
秘密度Cなしありなし求めない
秘密度B
(デフォルトラベル)		あり(アクセス権を事前定義)ありなし求めない
秘密度Aあり(アクセス権をユーザが指定)ありなし求める

ラベル作成

実際にラベルを作成していきます。

1.Microsoft 365 コンプライアンスセンターへログイン
2.[情報の保護] > [ラベル]の順に遷移し、[+ ラベルの作成]をクリック

3.[名前]、[表示名]、[ユーザ向けの説明]それぞれ入力して[次へ]をクリック

4.[このラベルの範囲を定義する]にて[ファイルとメール]、[グループ&サイト]にそれぞれチェックを入れて、[次へ]をクリック
→[グループ&サイト]にチェックを入れることでOffice Onlineからもラベル付けが可能(一部のラベルを除く)

5.[ファイルとメールの保護設定を選択]にて、それぞれチェックをいれる

秘密度Cの場合

  • ファイルのコンテンツをマーク

秘密度A,秘密度Bの場合

  • ファイルとメールを暗号化
  • ファイルのコンテンツをマーク

6.[暗号化]にてそれぞれ以下のように設定するし、[次へ]をクリック(秘密度Cは不要)

秘密度Bの場合

  • 暗号化設定を構成
    • チェックを入れる
  • アクセス許可を今すぐ割り当てますか、それともユーザーが決定するようにしますか?
    • アクセス許可を今すぐ割り当てる
  • 特定のユーザーとグループにアクセス許可を付与する 
    • [アクセス許可の割り当て]をクリックして、[+ 組織内のすべてのユーザとグループを追加する]を選択し、保存する

秘密度Aの場合

  • 暗号化設定を構成
    • チェックを入れる
  • アクセス許可を今すぐ割り当てますか、それともユーザーが決定するようにしますか?
    • ラベルを適用するときにユーザがアクセス許可を割り当てられるようにする
  • Word、PowerPoint、Excelで、アクセス許可の指定をユーザに要求する
    • チェックを入れる

7.[コンテンツのマーキング]にチェックを入れてそれぞれ下記のように指定する

秘密度Cの場合

  • ヘッダーの追加(ファイルにヘッダーが挿入される)
    • ヘッダーテキスト:秘密度C

秘密度Bの場合

  • ヘッダーの追加
    • ヘッダーテキスト:秘密度B

秘密度Aの場合

  • 透かしの追加(ファイルに透かしが表示される)
    • 透かしテキスト:秘密度A
    • フォントサイズ:48
  • ヘッダーの追加
    • ヘッダーテキスト:秘密度A

8.必要情報を全て入力が完了したことを確認して、[ラベルの作成]をクリックして完了

ラベルの発行

ラベルは作成するだけでは利用できないため下記手順のようにラベルポリシーを作成して、ラベルの発行を行う必要があります。また、デフォルトラベルとそれ以外のラベルを分けるために2つのラベルポリシーを作成します。

1.[ラベルを発行]をクリック

2.[発行する秘密度ラベルを選ぶ]をクリックして、それぞれ事前作成した下記ラベルを指定して、[次へ]をクリック

デフォルトラベルポリシーの場合

  • 秘密度B

デフォルトラベルポリシー以外の場合

  • 秘密度A,Cを指定

3.[ユーザとグループ]にすべてのユーザが含まれたグループを指定して、次へをクリック
→ラベル付与を強制化する場合、すべてのユーザが含まれたグループを指定しないと指定していないユーザにラベルが表示されず、ファイルの保存ができない事象が発生するため注意が必要です。

4.[ポリシーの設定]にて、下記にチェックを入れ、[次へ]をクリック

デフォルトラベルポリシーの場合

  • メールとドキュメントへのラベルの適用をユーザに要求する
    • ラベル設定の強制化のために必要

デフォルトラベルポリシー以外の場合

  • ユーザーは、ラベルを削除したり、ラベルの分類を下位のものにしたりする場合に理由を示す必要がある
    • 秘密度Cでは変更事由を求める必要はないが、下位のラベルが存在しないため、特に設定を分ける必要はない
  • メールとドキュメントへのラベルの適用をユーザに要求する
    • ラベル設定の強制化のために必要

5.ドキュメント、メール、サイトとグループにそれぞれ、下記のように指定して、[次へ]をクリック

デフォルトラベルポリシーの場合

  • ドキュメントにこの既定のラベルを適用する​
    • 機密度B
  • メールにこの既定のラベルを適用する
    • 機密度B
    • メールへのラベル適用をユーザに要求する
  • 既定でグループとサイトにこのラベルを適用
    • 機密性B
    • グループまたはサイトへのラベル適用をユーザに要求
      • 本設定を行なっていない場合、Office Onlineでラベルが適用できないため注意が必要

デフォルトラベルポリシー以外の場合

  • ドキュメントにこの既定のラベルを適用する
    • なし
  • メールにこの既定のラベルを適用する
    • なし
  • 既定でグループとサイトにこのラベルを適用
    • なし

6.ポリシーの名前にデフォルトラベルポリシーなど、任意で設定して、[次へ]をクリックする。すべて入力が完了していることを確認して、[送信]をクリックし、ラベルポリシーを発行する

動作確認

デフォルトラベルの場合

実際に作成したラベルがどのように適用できるのかを確認していきます。

1.統合ラベル付けクライアントを導入したWindows端末にログイン

PDFファイルにラベル付けを行う場合や、暗号化でユーザがアクセス権を付与するように指定したラベルを付与する場合、端末に統合ラベル付けクライアントを利用する必要があります。統合ラベル付けクライアントのインストール方法については、下記を参照ください。

ユーザー ガイド: Azure Information Protection 統合ラベル付けクライアントをダウンロードしてインストールする

https://docs.microsoft.com/ja-jp/azure/information-protection/rms-client/install-unifiedlabelingclient-app

2.Officeファイルを開き、[秘密度ラベル]を選択

3.事前作成した、秘密度B(デフォルトラベル)が割り当たっていることを確認

4.[ヘッダーとフッター]をクリックし、ヘッダーに[秘密度B]と表示されることが確認できれば完了

ユーザがアクセス権を付与する場合

暗号化の構成で、[ラベルを適用するときにユーザがアクセス許可を割り当てられるようにする]を選択した場合、ラベルを付与する際にユーザ自身がアクセス権を付与する必要があります。ドメイン指定、メールアドレス指定、また、その両方を指定することができます。複数のアクセス許可を設定する場合は、[;]で区切ることで設定が可能です。

1.Officeファイルを開き、[秘密度ラベル] > [秘密度A]の順に選択

2.[アクセス許可の選択]にて、アクセス権を指定

3.[ユーザ、グループ、または組織の選択]にて、メールアドレス、またはドメインを指定

4.[アクセスの有効期限]を指定して、[適用]をクリック

5.アクセス権を付与していない端末へファイルを受け渡し、該当の端末へログイン

6.秘密度Aを付与したファイルを開くと、下図のように[このブックを開くための権限がありません]と表示される

7.アクセス権を付与した端末へファイルを受け渡し、該当の端末へログイン

8.秘密度Aを付与したファイルが開けることを確認できれば完了

ラベルの変更事由を求められるか確認

今回の検証では、デフォルトラベル以外のラベル発行の際に、[ユーザーは、ラベルを削除したり、ラベルの分類を下位のものにしたりする場合に理由を示す必要がある]を指定しましたが、上位のラベル(秘密度A)から下位のラベル(秘密度C)へ設定変更した場合でも、変更事由は求められませんでした。他に設定すべき場所があるのか不具合なのかについて調査中です(2021/12/24現在)。

終わりに

今回は、MIPでのラベル作成を行なって実際の動作確認を実施いたしました。現状では、ラベルの変更事由を求められない点、対応しているファイルがOfficeファイル、PDFファイルのみである点など、注意すべきポイントがたくさんあるなと感じました。次回以降にて、Endpoint DLP等を利用した、ラベルが付与されたファイルのアップロード検知なども行いたいと思います。

kakeru

こんにちは、セキュリティチーム所属の新米エンジニアkakeruです。業務で少しでも役に立つ情報をブログに書いていきますので、よろしくお願いします。

記事一覧