Microsoft Purviewを使用したデータ ガバナンスとセキュリティ ベースライン

基本的な戦略とアーキテクチャが整い、最初から強力なガバナンスとセキュリティプラクティスを確立します。 このアプローチにより、組織のすべてのコーナーのデータが統合プラットフォームに流れ込むにつれて、適切に管理され、準拠し、セキュリティで保護された状態が維持されます。 Recommendation: 組織が完全なデータ資産全体に一貫したポリシー、アカウンタビリティ、コンプライアンスを適用できるように、データ ガバナンスとセキュリティの記録システムとしてMicrosoft Purviewを設定します (図 1 を参照)。 この推奨事項を適用するには、この記事をチェックリストとして使用します。

Microsoft Purviewがすべての組織データに対して単一のガバナンスとセキュリティプラットフォームを提供する方法を示すダイアグラム。下部には以下のデータソースが表示されます: オンプレミスシステム、Dataverse、Microsoft 365、Azure、Google Cloud、Amazon S3 など。これらのデータソースは、組織のデータドメインに属しています。各データドメインは、そのデータソースをMicrosoft Purview データマップにスキャンし、データマップは組織全体のすべてのデータに対して1つのカタログとして機能する統合カタログにフィードします。統合カタログ内では、データドメインに合わせてPurviewガバナンスドメインごとにデータを整理します。各ガバナンスドメインは、秘密度ラベル、データ分類、系列、コンプライアンス、データ保持、データ損失防止、AIでのデータ使用を担当します。共有ガバナンス機能には、データ用語集、データ分類子、秘密度ラベル分類が含まれます。上部では、管理されたデータ製品がMicrosoft Fabricに流入します。Microsoft Copilot StudioやMicrosoft 365 Copilotなどのツールが、それらを使用します。 図1. データガバナンスとセキュリティベースラインにおけるMicrosoft Purviewの役割.

1. データ可視性ベースライン

データ ガバナンスは、資産全体のすべてのデータ資産を明確に把握することから始まります。 Recommendation: データが OneLake に入る前に、Microsoft Purviewで一貫した可視性ベースラインを確立します。 このアプローチは、プラットフォームとチーム全体でガバナンスの決定が一貫した状態を維持するのに役立ちます。 この推奨事項を適用するには、次のチェックリストを使用します。

1.1. データ カタログを作成する

一元化されたデータ カタログを使用すると、意思決定者は、データの存在、存在場所、およびデータの所有者を把握するための単一のレコード システムを提供します。 Recommendation:Microsoft Purview の Unified Catalog を、すべてのエンタープライズ データ資産の権限のあるインベントリとして使用します。 この推奨事項を適用するには、次のチェックリストを使用します。

  1. ガバナンス ドメインを使用します。 既存のデータ ドメインに合わせた Purview ガバナンス ドメインを 使用して、統合カタログを整理します。 コレクション、ロール、およびアクセス許可は、これらの境界を反映する必要があるため、各データ ドメインはその領域に権限を持ちます。 統合カタログは空で始まりますが、データ ソースが登録およびスキャンされると、資産の正確なマップに拡大します。 ドメインを早期に設定すると、カタログが拡大するにつれて明確になります。

  2. エンタープライズ用語集を入力します。 構造を整えた状態で、組織の最も重要な用語を固定する共有ビジネス用語集を作成します。 顧客、製品、従業員、場所などの用語や、収益や人員などの指標は、調整されない限り、部門によって異なる場合があります。 統合カタログでこれらの定義を 用語集の用語 として文書化し、Purview のエンタープライズ用語集で表示します。 あいまいさを排除するために、それらを広く伝えます。 この明確さにより、チーム間で一貫した AI、分析、レポート作成のプラクティスがサポートされます。

1.2. データ ソースをマッピング

Purview Data Map を使用すると、データをコピーしたり、ソース レベルのセキュリティコントロールを置き換えたりすることなく、データ資産を可視化できます。 推薦: 関連するすべてのデータ システムを登録してスキャンし、 データ マップを設定します。 この推奨事項を適用するには、次のチェックリストを使用します。

  1. Purview アーキテクチャを作成します。 Purview コレクションと データ マップ ドメイン を使用して、アクセス許可とガバナンスをデータ ドメインのニーズに合わせます。 これらのコンストラクトは、アクセス制御、ポリシー管理、運用上の責任の境界を定義します。 Purview ドメインとコレクション アーキテクチャのベスト プラクティスに従います。

  2. Microsoft 365 データの Purview を設定します。 Purview は、Microsoft 365 データ (SharePoint、OneDrive、Exchange、Teams など) とネイティブに統合されています。 Microsoft 365内のコンテンツも管理していることを確認します。 Microsoft 365ドキュメントやメッセージをOneLakeに取り込んだり分析で使用したりすると、ラベルや分類はMicrosoft 365から引き継がれます。 Purview では、Microsoft 365環境で適用した秘密度ラベルと保持ラベルを確認できます。 詳細については、Microsoft Purview セットアップ ガイドを参照してください。

  3. Microsoft Fabric で OneLake をスキャンします。 Fabric OneLake は Purview データ マップに自動的に含まれません。 明示的に登録してスキャンする必要があります。 OneLake をスキャンすると、Purview でFabric資産のメタデータの検出、系列の追跡、カタログ化が可能になります。 詳細については、「register and scan Microsoft Fabricを参照してください。

1.3. クラウド、SaaS、オンプレミスのデータをスキャンする

コネクタ ベースのスキャンは、Azure サービス、Microsoft Dataverse、オンプレミス システム、およびその他のクラウド (AWS、Google Cloud、Oracle) に格納されるデータに必要です。 Data Map でサポートされているデータ ソース登録してスキャンする必要があります。 推薦: Purview のスキャンの ベスト プラクティスに従ってください。 ソース システムをスキャンするか、Microsoft Fabric OneLake レイヤーのみをスキャンするかを選択します。 この決定は、可視性のニーズ、コンプライアンス要件、運用上のオーバーヘッド、および各システムが分析とレポートで果たす役割に依存します。 この推奨事項を適用するには、次のオプションを確認します。

オプション 1: ソース システムをスキャンします。 Azureデータベースや AWS S3 などのオペレーション システムをスキャンすると、レコードシステムからエンドツーエンドの系列が提供されます。 この情報は、完全なプロビナンスが監査とコンプライアンスをサポートする、規制対象またはビジネスクリティカルなデータにとって重要です。 アップストリームの変更を最も明確に把握できますが、複雑さが生まれます。 コネクタの構成、資格情報、スケジュール設定には注意が必要であり、一部のソースでは 適切な統合ランタイムを選択する必要があります。

オプション 2: Fabric レイヤーのみをスキャンします。 アップストリーム システムの詳細な可視性が不要な場合は、Fabric レイヤーのみをスキャンすると、ガバナンス モデルが簡略化されます。 系列は、データがFabricに入ると開始されます。 この方法により、統合作業が削減されます。 アップストリーム システムが適切に管理されているデータや、コンプライアンスの義務に完全な系列が必要ないデータに最適です。 詳細については、Microsoft Purviewの Fabric を参照してください。

1.4。 機密ラベルを適用する

秘密度ラベルは、データを分類して保護するための基本的なツールです。 Microsoft Purviewでは、通常、次の 2 種類の秘密度ラベルがあります。

  • メタデータのみのラベル: これらのラベルは、Purview カタログのメタデータ タグです。 たとえば、ソース システムに直接影響を与えずに、Azure SQL テーブルにカタログの "社外秘" というラベルを付けます。 これらのラベルは、Microsoft 365/Fabric外の資産に対する Purview のデータ秘密度を追跡および管理するのに役立ちます。

  • 保護ラベル: これらのラベルは、"社外秘" などの分類でデータをマークするだけでなく、保護を適用します。 ファイルや電子メールに対して暗号化または制限付きアクセスを適用できます。 Microsoft 365でこれらのラベルを頻繁に使用し、Fabricにも拡張します。

どちらも一貫性のあるガバナンス モデルに貢献し、目的を明確にすることで、適切なラベルの種類を適切なシナリオに合わせて調整するのに役立ちます。 Recommendation: Microsoft 365、Fabric、Purview データ マップ全体に統一された秘密度ラベル付け戦略を適用します。 この推奨事項を適用するには、次のチェックリストを使用します。

  1. 機密性ラベルの分類体系を定義します。 組織のラベル付けスキーマを定義します。 一般的なスキーマは、非ビジネス、パブリック、一般、機密、および非常に機密性の高いスキーマです。 各ラベルの意味と、各カテゴリに分類されるデータの種類を全員が理解していることを確認します。 コンプライアンスとビジネスの関係者から、この分類に対する同意を得ます。 秘密度ラベルの使用を開始する方法を参照してください。

  2. Microsoft 365データにラベルを付ける(保護ラベル)。 Microsoft Purview Information Protectionを使用して、Microsoft 365情報にラベルが付いていることを確認します。 これらのラベルは、セキュリティ制御 (暗号化、制限付きアクセス) を適用します。 OneLake に取り込まれたり、他のツールで共有されたりすると、データと共に保持されます。 ベスト プラクティス: 多くの組織では、クレジット カード番号や個人データなどの機密情報を検出し、ラベルを自動的に適用するように自動ラベル付けポリシーを設定しています。 Microsoft 365データに自動的に秘密度ラベルを適用するを参照してください。

  3. Microsoft Fabric データにラベルを付ける(保護ラベル)。 Microsoft Fabricでは、Lakehouse のテーブルやPower BIデータセットなど、独自の資産で保護された秘密度ラベルがサポートされます。 oneLake の新しいデータが作成から適切にラベル付けされるように、Fabricで 既定のラベル ポリシーを構成します。 たとえば、変更されない限り、特定のワークスペース内の新しいデータセットが既定で内部または機密としてラベル付けされるように指定できます。 この方法では、分類なしでデータが湖に入らないようにします。 機密データを処理する領域の既定値を調整します。 「Govern Fabric」を参照。

  4. Purview Data Map のラベル エントリ (メタデータのみのラベル)。 Purview にスキャンされるデータ ソース (AWS S3 バケットやオンプレミス データベースなど) の場合は、Purview データ マップでメタデータ ラベルを適用します。 これらのラベルはソースのデータを暗号化したり制限したりすることはありませんが、データが機密であることをユーザーやシステムに通知します。 また、他のガバナンス ワークフローをトリガーすることもできます。 カタログ内のすべてが機密性ラベルを持っている必要があります。 自動 ラベル付けポリシーを使用して データ資産を検出し、これらのメタデータのみの秘密度ラベルを自動的に適用する方法を参照してください。

1.5。 データ系譜のキャプチャ

データ系列は、システム間でのデータの移動と変化を可視化します。 推薦: 使用可能な場合は自動系列を有効にし、必要に応じて手動でギャップを閉じます。 ベスト プラクティス: Microsoft Purview を使用して、多くの資産のautomate系列キャプチャを行います。 自動化が利用できない場合は、Purview で系列を手動で追加してギャップを埋めます。 「手動系列の設定」を参照してください。 Fabric 用に Purview でデータ系列を構成し、必要に応じて Azure Databricks 用に構成します。

2. データ資産コンプライアンスベースライン

コンプライアンスは、プラットフォーム間のデータに適用される法的、規制的、および内部的な義務を定義します。 意思決定者は、制御を適用する前に、これらの義務を理解する必要があります。 このアプローチにより、ガバナンス アクションは、Microsoft Fabricおよびより広範なデータ資産にわたって防御可能で監査可能な状態が維持されます。 Recommendation: コンプライアンス要件を一元的に定義し、Microsoft Purviewを使用して継続的にアラインメントを監視します。 データ ガバナンスの決定は、Microsoft 365、Azure、その他のクラウド、およびオンプレミス システム全体で一貫している必要があります。 この推奨事項を適用するには、次のチェックリストを使用します。

  1. コンプライアンス要件を定義します。 コンプライアンス要件は、業界、リージョン、ワークロードによって異なります。 ガバナンス モデルでは、保護または技術的な制御を適用する前に、それらを反映する必要があります。 組織に関連する規制フレームワークまたは業界標準を特定します。 ベスト プラクティス: Microsoft Purview 規制テンプレート および assessments を使用します。 GDPRHIPAA、HITECHPCI DSS v4.0Sarbanes-Oxley 法ISO 27001 などの標準を表します。 これらのテンプレートを確認して、Microsoft 365、Azure、AWS、Google Cloud に適用されるルールを理解します。 これらのテンプレートには、必要なコントロールとプラクティスのチェックリストが用意されています。 コンプライアンス マネージャーのスコアと推奨事項を使用して、現在の体制を測定し、ギャップを特定し、最初に対処する内容に優先順位を付けます。

  2. データコンプライアンスを監視します。 Purview のコンプライアンス テンプレートを設定したら、 コンプライアンス スコア とレポートを定期的に確認します。 Purview は、Microsoft 365 データおよび Azure、AWS、および Google Cloud 全体のデータのコンプライアンスの側面を自動的に評価します。 コンプライアンスを向上させるための問題と推奨されるアクションが強調表示されています。 重大なコンプライアンス ポリシー違反のアラートを設定します。 ベスト プラクティス: Purview が未承認の場所で機密データを検出した場合、またはアイテム保持ポリシーに違反している場合は、責任あるチームに直ちに通知してアクションを実行できるようにします。 安定した監視と増分的な改善により、監査やインシデントによって油断されないようにします。

  3. Microsoft 365のデータ保持を構成します。 さまざまな種類のデータを保持する期間と、データを削除またはアーカイブするタイミングを決定します。 保持のあいまいさは、データを長く保持すること (コンプライアンス違反や不要なストレージ コストのリスク)、または削除が早すぎる (貴重な履歴を失う) 可能性があります。 ベスト プラクティス:Microsoft 365 データに対してMicrosoft Purviewのデータ ライフサイクル管理を使用して、電子メール、ドキュメント、および Teams メッセージの保持または削除ポリシーを設定します。

  4. Azure データ保持を構成します。 Azureサービスには、サービス固有の保持とバックアップの構成が必要です。 ベスト プラクティス: Azure SQL、Cosmos DB、MySQL などのサービスのバックアップリテンション期間を構成します。 Azure Storage lifecycle 管理ルールを使用して、データをアーカイブまたは削除します。 Azure SQL DatabaseCosmos DB、および MySQL のサービス ガイダンスを参照してください。

  5. オンプレミスおよびその他のクラウドデータ保持を構成します。 Microsoft プラットフォーム外のデータには、引き続き準拠したライフサイクル制御が必要です。 アンマネージド コンプライアンス リスクを回避するには、すべての非Azureとオンプレミスのデータ ソースに意図的な保持戦略を適用します。 ベスト プラクティス: オンプレミス、AWS、および GCP のデータを保持するために、Azure Backupまたはサードパーティのソリューションを使用します。 クラウドとオンプレミスのワークロードをクラウドにバックアップするためのガイダンスに従います。 必要に応じて、データを手動でAzure Storageにアップロードし、blobをアーカイブします。

3. データ資産のセキュリティ ベースライン

一貫性のあるセキュリティ ベースラインにより、機密データは、Microsoft 365、Microsoft Fabric、Azure サービス、および AI ワークロード全体で確実に保護されます。 推薦: 分類、保護、および適用が大規模に一様に動作するように、データ資産全体に 1 つのセキュリティ体制を定義して適用します。 この推奨事項を適用するには、次のチェックリストを使用します。

  1. センシティブ データ分類子を有効にする。センシティブ データ分類子は、Microsoft Purview において、規制対象データとビジネスクリティカルなデータを識別し、保護コントロールがサービス全体で自動的かつ一貫して動作できるようにします。 ベスト プラクティス: 規制とビジネスのリスクに合わせて、関連する組み込みの機密情報の種類を有効にします。 企業秘密や独自の調査など、ドメイン固有のデータのカスタム分類子を作成します。 ラベル付け、データ損失防止、監査コントロールの基礎として、これらの分類子を使用します。 決定ガイダンス: 規制の調整が主な目標であり、データ型が標準定義と一致する場合は、既定の分類子に依存することを決定します。 ビジネス固有のデータに標準の分類子が検出しないリスクがある場合は、カスタム分類子を選択します。 カスタム分類子はカバレッジを増やしますが、時間の経過とともに正確性を保つためにはガバナンスによる監視が必要です。

  2. データ損失防止 (DLP) を適用します。 日常のアクションを通じて機密データの漏洩を防ぐために、Microsoft Purviewで DLP ポリシーを構成します。 Microsoft 365 (メール、Office ドキュメント、Teams チャットを対象) とMicrosoft Fabricの両方に DLP を設定します。 DLP ポリシーは、ユーザーの個人データや正常性情報などの機密データが含まれている場合に、ユーザーがファイルを外部で共有するのをブロックできます。 Fabricでは、DLP は、アナリストが機密データを含むデータセットまたはレポートを共有できないようにすることができます。 詳細な構成については、Microsoft 365 appsCopilot、および Microsoft Fabric のガイダンスを参照してください。 決定ガイダンス:

    • モニターのみ (監査モード): 作業の中断が心配な場合は、DLP をモニター専用モードで開始します。 ポリシーの動作を観察して微調整できますが、適用がアクティブでないため、データが公開される可能性があります。

    • ブロックまたは制限: データ漏えいが重大な影響を及ぼす可能性があり、検出ルールが信頼できる場合は、ブロックモードまたは制限モードに移行します。 一部の正当なアクションは最初はブロックされ、例外処理とポリシーの調整が必要になる場合があります。

  3. Azure サービス内のデータを保護します。 Microsoft PurviewはAzureサービスのデータをカタログ化し、ラベルを付けますが、これらのサービスのネイティブセキュリティコントロールを置き換えるものではありません。 ベスト プラクティス: Azure SQL Database、Azure Cosmos DBAzure Storage のネットワーク分離やMicrosoft Defenderカバレッジなどのサービス レベルのセキュリティ制御を適用します。 監視とアラートにデータの機密性とビジネス リスクが反映されるように、これらのコントロールを Purview 分類に合わせます。

  4. AI アプリで使用されるデータを保護します。 AI アプリケーションは、エンタープライズ データ ガバナンスとセキュリティ ポリシーとの明示的な整合を必要とする新しいデータ公開パスを導入します。 Microsoft Purviewは、Microsoft Foundry やその他の AI プラットフォームと統合して、この制御を提供します。

    ベスト プラクティス:

次のステップ

Fabricのガバナンスとセキュリティのベースライン

  • Last updated on