ラボ 1: 演習 2: 機密情報の種類を管理する

Contoso Ltd. は以前、チケット ソリューションでサポート チケットに取り組んでいる際に、従業員が誤って顧客の個人情報を送信するという問題がありました。 これを防ぐには、カスタムの機密情報の種類を作成して、メールやドキュメント内の従業員 ID を識別する必要があります。

タスク:

  1. タスク 1 - カスタム機密情報の種類を作成する
  2. EDMベースの分類情報の種類を作成する
  3. EDM ベースの分類データ ソースを作成する
  4. キーワード辞書を作成する
  5. カスタム機密情報の種類をテストする

タスク 1 - カスタム機密情報の種類を作成する

このタスクでは、キーワード "Employee" と "ID" の近くにある従業員 ID のパターンを認識するカスタムの機密情報の種類を新しく作成します。

  1. 引き続き Client 1 VM (LON-CL1) に SC-400-CL1\admin アカウントでログインしている必要があります。

  2. Microsoft Edge で、 https://purview.microsoft.com に移動し、Microsoft Purview ポータルに JoniS@WWLxZZZZZZ.onmicrosoft.com としてログインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 Joni のパスワードは、前の演習で設定しました。

  3. 左サイドバーで [ソリューション] を選択し、[Information Protection] を選択します。

  4. 左サイドバーで、[分類子] を展開し、[センシティブな情報の種類] を選択します。

  5. [機密情報の種類] ページで、[+ 機密情報の種類の作成] を選択し、機密情報の種類の構成を開始します。

  6. [機密情報の種類の名前を設定] ページで、次のように入力します。

    • 名前: Contoso Employee IDs
    • 説明: Pattern for Contoso employee IDs.

  7. [次へ] を選択します。

  8. [この機密情報の種類のパターンを定義する] ページで、[パターンを作成する] を選択します。

  9. 右側の [新しいパターン] ポップアップ パネルで、[+ プライマリ要素の追加] > [正規表現] を選択します。

  10. 右側の [+ 正規表現の追加] ポップアップ パネルで、次のように入力します。

    • ID: Contoso IDs
    • 正規表現: [A-Z]{3}[0-9]{6}
    • 文字列の一致のラジオ ボタンを選択する

  11. ポップアップ パネルの下部にある [完了] を選択します。

  12. [新しいパターン] ポップアップ パネルに戻り、[サポート要素] で、[+ サポート要素または要素のグループの追加] ドロップダウン メニューを選択し、[キーワード一覧] を選択します。

  13. 右側の [キーワード リストの追加] ポップアップ パネルで、次のように入力します。

    • ID: Employee ID keywords

    • 大文字と小文字の区別をしない:

      Employee
ID

    • 単語の一致のラジオ ボタンを選択する

  14. ポップアップ パネルの下部にある [完了] を選択します。

  15. 新しいパターンポップアップ パネルに戻り、[文字の近接性] で、[プライマリ要素とサポート要素を検出する] 値を 100 文字に減らします。

  16. ポップアップ パネルの下部にある [作成] ボタンを選択します。

  17. [この機密情報の種類のパターンを定義する] ページに戻り、 [次へ] を選択します。

  18. [コンプライアンス ポリシーに表示する推奨信頼レベルの選択] ページで、既定値を使用して [次へ] を選択します。

  19. [設定の確認と終了] ページで設定を確認し、[作成] を選択します。 正常に作成されたら、[完了] を選択します。

  20. 右上にある Joni Sherman のプロファイル画像を選択し、Joni のアカウントからサイン アウトします。 [サインアウト] を選択し、ブラウザー ウィンドウを閉じます。

  21. ブラウザー画面を閉じ、新しいブラウザー画面を開きます。

100 文字の範囲内で、3 つの大文字、6 つの数字、キーワード "Employee"、"IDs" のパターンで、従業員 ID を特定する、新しい機密情報の種類を作成しました。

タスク 2 – EDMベースの分類情報の種類を作成する。

このタスクでは、従業員データのデータベース スキーマで完全データ一致 (EDM) ベースの分類を作成します。

  1. 引き続き Client 1 VM (LON-CL1) に SC-400-CL1\admin アカウントでログインしている必要があります。

  2. Microsoft Edge を開き、 https://admin.microsoft.com に移動します。

  3. [アカウントを選択する] ページが表示されたら、[別のアカウントを使用する] を選択し、MOD 管理者 admin@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 管理者のパスワードは、ラボ ホスティング プロバイダーから支給されます。

  4. 左ペインから、[チームとグループ] を展開し、[アクティブなチームとグループ] を選択します。

  5. [アクティブなチームとグループ] ページの上部のナビゲーション バーで [セキュリティ グループ] を選択し、[+ セキュリティ グループの追加] を選択します。

    [グループの追加] ボタンのスクリーンショット。

  6. [基本設定] 画面で、次のように入力します。

    • 名前: EDM_DataUploaders
    • 説明: People who upload data for EDM.

  7. [次へ] を選択します。

  8. [設定の編集] ページで、既定の設定のままにして、[次へ] を選択します。

  9. [確認とグループの追加の完了] ページで、設定を確認し、[グループの作成] を選択します。

  10. [作成した EDM_DataUploaders グループ] ページで、[閉じる] を選択します。

  11. [アクティブなチームとグループ] ページに戻り、上部のナビゲーション リボンから [セキュリティ] タブが選択されていることを確認し、[更新] ボタンを選択して、新しく作成したセキュリティ グループを表示します。 [EDM_DataUploaders] グループを一覧から選択して、右側に [EDM_DataUploaders] ポップアップ ページを開きます。

  12. [メンバー] タブを選択し、[すべてのメンバーの表示と管理] を選択します。

  13. [メンバー] ページで、[+ メンバーの追加] を選択します。

  14. [メンバーの追加] ページで、Joni Sherman の左側にあるチェック ボックスをオンにし、ポップアップ パネルの下部にある [追加 (1)] ボタンを選択します。

  15. Joni Shermanメンバー の下に表示されていることを確認し、ポップアップ パネルの右上にある [x] を選択してポップアップ パネルを閉じます。

  16. ウィンドウの右上隅の MA アイコンを選択し、[サインアウト] を選択して、MOD 管理者アカウントからサインアウトします。

  17. ブラウザー画面を閉じ、新しいブラウザー画面を開きます。

  18. Microsoft Purview ポータル (https://purview.microsoft.com ) に移動します。

  19. [アカウントを選択する] ページが表示されたら、[Joni Sherman] を選択してサインインします。

  20. 左側のサイドバーから [ソリューション] > [Information Protection] を選択して、Information Protection に移動します。

  21. [Information Protection] ページで、[分類子] を展開し、[EDM 分類子] を選択します。

  22. [EDM 分類子] ページで、[+ EDM 分類子の作成] を選択します。

  23. 分類子を機能させるために必要な手順を確認し、EDM 分類子を作成するためのワークフローを理解してから、[EDM 分類子の作成] を選択します。

  24. [EDM 分類子の名前と説明] ページで次の情報を入力します。

    • 名前: employeedb
    • 説明: Employee Database schema

  25. [次へ] を選択します。

  26. [スキーマを定義するためのメソッドを選択] ページで、[データ構造を手動で定義する] を選択してから、[次へ] を選択します。

  27. [検出するデータを含む列を定義] で、次の列を入力します。

    • Name
    • BirthDate
    • StreetAddress
    • EmployeeID

    4 つの列が必要です。 新しい列の新しいフィールドを追加するには、[+ 列の追加] ボタンを選択する必要があります。

    EDM 構成チュートリアルの EDM 列を示すスクリーンショット。

  28. [次へ] を選択します。

  29. [主要な要素の選択] ページで、EmployeeID 列の [一致モード] ドロップダウンをここに展開し、シングルトークン が表示されたら、+ [(プラス記号)] を選択し、[SIT の選択] を行います。

    EDM 分類子のプライマリ要素の SIT を追加するためのクリック パスを示すスクリーンショット。

  30. 右側の ["EmployeeID" の機密情報の種類を選択] ポップアップ パネルの検索バーで Contoso を検索します。

  31. 前のタスクで作成した Contoso 従業員 ID 機密情報の種類が表示されます。 この機密情報の種類の左側にあるチェック ボックスをオンにし、[保存] を選択します。

  32. [プライマリ要素の選択] ページに戻り、EmployeeID の右側にあるチェックボックスをオンにして、このフィールドをプライマリ要素として識別します。

    プライマリ要素として選択された EmployeeID を示すスクリーンショット。

  33. [次へ] を選択します。

  34. [選択した列のデータの設定を構成] で、[すべての列に同じ設定を使用する] のトグルが [はい] に設定されていることを確認します。

  35. [すべての列でデータの区切り記号と句読点を無視する] のチェック ボックスをオンにします。

  36. [無視する区切り記号と句読点を選択] のドロップダウンを選択し、[ハイフン][ピリオド][スペース][開きかっこ][閉じかっこ] を選択してから、[次へ] を選択します。

  37. [プライマリ要素の検出規則の構成] を既定の構成のままにし、[次へ] を選択します。

  38. [設定を確認して完了] ページで、 [送信] を選択します。

  39. [EDM 分類子が正常に作成されました] ページで、次のタスクで使用する スキーマ名をコピーして貼り付けてください。

    EDM 分類子を作成した後のスキーマ名を示すスクリーンショット。

  40. スキーマ名をキャプチャしたら、[完了] を選択します。

  41. Microsoft Purview ポータルのブラウザーは開いたままにします。

データベース ファイル ソースから従業員データを特定するための、EDM ベースの分類による機密情報の種類を作成しました。

タスク 3 – EDM ベースの分類情報の種類を作成する。

このタスクでは、EDM Upload Agent ツールを使用して、EDM ベースの分類の機密情報の種類の実際のデータをハッシュしてアップロードします。

  1. Client 1 VM (SC-400-CL1) には SC-400-CL1\admin アカウントでログインし、Microsoft 365 には Joni Sherman としてログインしておく必要があります。

  2. Microsoft Edge で、https://go.microsoft.com/fwlink/?linkid=2088639 に移動して EDM ダウンロード エージェントにアクセスします。

  3. ダウンロードが完了したら、Microsoft Edge ブラウザー ウィンドウで [ファイルを開く] を選択して、Microsoft 完全データ一致アップロード エージェント セットアップ ウィザードを開きます。

  4. Microsoft 完全データ一致アップロード エージェント セットアップ ウィザードで、[次へ] を選択します。

  5. [ソフトウェア ライセンス条項] ページで [使用許諾契約書に同意します] を選択し、[次へ] を選択します。

  6. [アップロード先フォルダー] ページで、既定の宛先パスを変更せず、[次へ] を選択します。

  7. Microsoft Exact Data Match Upload Agentのインストール準備が整いました ページで、[インストール] を選択します。

  8. [ユーザー アカウント制御] ウィンドウで、[はい] を選択して、アプリがデバイスに変更を加えることを許可します。

  9. インストールが完了したら、Microsoft 完全データ一致アップロード エージェント セットアップ ウィザードの完了のページで [終了] を選択します。

  10. タスク バーで、検索フィールドで Notepad を検索します。 検索の [最も一致する検索結果] セクションから [メモ帳] アプリを選択します。

  11. メモ帳で、次のように入力します。

    Name,Birthdate,StreetAddress,EmployeeID
Joni Sherman,01.06.1980,1 Main Street,CSO123456
Lynne Robbins,31.01.1985,2 Secondary Street,CSO654321

  12. メモ帳で、[ファイル][名前を付けて保存] を選択してファイルを保存します。

  13. 左側のウィンドウから [ドキュメント] を選択し、ファイル名として「EmployeeData.csv」と入力し、[保存] を選択します。

  14. メモ帳ウィンドウを閉じます。

  15. タスク バーで Windows シンボルを右クリックし、[ターミナル (管理者)] を選択します。

  16. [ユーザー アカウント制御] ウィンドウで、[はい] を選択して、アプリがデバイスに変更を加えることを許可します。

  17. ターミナル ウィンドウで、EDM アップロード エージェント ディレクトリまで移動します:

    cd "C:\Program Files\Microsoft\EdmUploadAgent"

  18. 以下のコマンドレットを実行して、自分のアカウントでデータベースをテナントにアップロードすることを承認します:

    .\EdmUploadAgent.exe /Authorize

  19. [アカウントを選択する] ウィンドウが表示されたら、JoniS@WWLxZZZZZZ.onmicrosoft.com としてサインインします (ZZZZZZ はラボ ホスティング プロバイダーから支給された固有のテナント ID)。 Joni のパスワードは、前の演習で設定しました。

  20. ターミナル ウインドウに戻り、以下のスクリプトを PowerShell で実行して、EDB ベースの分類による秘密情報の種類のデータベース スキーマの定義をダウンロードします: DataStoreName の場合、前のタスクから保存したスキーマ名を使用します。

    .\EdmUploadAgent.exe /SaveSchema /DataStoreName employeedbSchema /OutputDir "C:\Users\Admin\Documents\"

    コマンドが正常に完了した旨のメッセージが表示されます。

    : 最後のコマンドが失敗したら、EDM_DataUploaders グループ メンバーシップが適用されるまでもっと時間がかかる可能性があります。 スキーマ ファイルをダウンロードすることができるようになるまで最大 1 時間かかる場合があります。 失敗した場合は、次のタスクに進み、後でこの手順に戻ります。

  21. PowerShell で以下のスクリプトを実行して、データベース ファイルをハッシュ化し、EDB ベースの分類による秘密情報の種類にアップロードします。

    .\EdmUploadAgent.exe /UploadData /DataStoreName employeedbSchema /DataFile "C:\Users\Admin\Documents\EmployeeData.csv" /HashLocation "C:\Users\Admin\Documents\" /Schema "C:\Users\Admin\Documents\employeedbSchema.xml"

    コマンドが正常に完了した旨のメッセージが表示されます。

  22. 次のコマンドを使用して、アップロードの進行状況を確認します。

    .\EdmUploadAgent.exe /GetSession /DataStoreName employeedbSchema

  23. ターミナル ウインドウで、状態が [完了] になると、EDM データを使用する準備が整います。

    または、Microsoft Purview ポータルの [EDM 分類子] ウィンドウを更新して、ハッシュの状態を確認することもできます。 状態が [インデックスの完了] に設定されるとハッシュが完了します。

    : このプロセスには時間がかかり、ハッシュが完了したことをステータスが示すまでに、GetSession スクリプトを実行するか、EDM 分類子ページを数回更新する必要があるかもしれません。

    PowerShell で EDM ハッシュの状態が [完了] に設定されていることを示すスクリーンショット。

    Microsoft Purview ポータルで [インデックスの完了] に設定された EDM ハッシュの状態を示すスクリーンショット。

  24. PowerShell ウィンドウを閉じます。

EDB ベースの分類による秘密情報の種類のためにデータベース ファイルがハッシュ化し、アップロードされました。

タスク 4 – キーワード辞書を作成する

個人情報漏えいの違反の中には、同僚が病欠を報告した後に、ユーザーがメールを送信した際に発生しています。 発生時には、理由に病気または疾病が送信されています。それが起こらないようにしたいのです。 このタスクでは、電子メールでの個人情報の漏洩を防ぐためのキーワード 辞書を作成します。

  1. Client 1 VM (SC-400-CL1) には SC-400-CL1\admin アカウントでログインし、Microsoft 365 には Joni Sherman としてログインしておく必要があります。

  2. Microsoft Purview ポータルは、Microsoft Edge で EDM 分類子ページにある必要があります。 そうでない場合は、Microsoft Edge で https://purview.microsoft.com > ソリューション > Information protection に移動します。

  3. 左サイドバーで、[分類子] を展開し、[センシティブな情報の種類] を選択します。

  4. [情報の種類を作成] を選択し、新しい機密情報タイプの構成を開きます。

  5. [機密情報の種類の名前を設定] ページで、次のように入力します。

    • 名前: Contoso Diseases List
    • 説明: List of possible diseases of employees

  6. [次へ] を選択します。

  7. [この機密情報の種類のパターンを定義する] ページで、[パターンを作成する] を選択します。

  8. 右側の [新しいパターン] ポップアップ パネルの [プライマリ要素] の下で、[+ プライマリ要素の追加] を選択し、[キーワード辞書] を選択します。

  9. [キーワード辞書の追加] ページで、次のように入力します。

    • 名前: Diseases Dictionary
    • キーワード:
    flu
influenza
cold
bronchitis
otitis

  10. ポップアップ パネルの下部にある [完了] を選択します。

  11. [新しいパターン] に戻り、[補助要素] の下で、[+ 補助要素または要素のグループを追加] を選択し、[キーワード リスト] を選択して、キーワード辞書のサポートを追加します。

  12. [キーワード リストの追加] ページで、次のように入力します。

    • ID: Employee absence
    • 大文字と小文字の区別をしない:
    employee
absence
reason

  13. ポップアップ パネルの下部にある [完了] を選択します。

  14. [新しいパターン] ページに戻り、構成を確認し、[作成] を選択します。

  15. [この機密情報の種類のパターンを定義する] ページに戻り、[次へ] を選択します。

  16. [コンプライアンス ポリシーに表示する推奨信頼レベルの選択] で、既定値をそのままにして、[次へ] を選択します。

  17. [設定の確認と終了] ページで、設定を確認し、 [作成] を選択します。 機密情報の種類が作成されたら、[機密情報の種類が作成されました] ページで [完了] を選択します。

  18. Microsoft Purview ポータルのブラウザー ウィンドウは開いたままにします。

キーワード辞書に基づいて新しい機密情報の種類を作成し、さらにキーワードを追加して、誤検知率を下げることができました。

タスク 5 - カスタム機密情報の種類をテストする

カスタム機密情報の種類はポリシーで利用する前に必ずテストする必要があります。テストをしなかった場合、カスタム検索のパターンが動作せず、データの損失や漏えいが発生する可能性があります。 このタスクでは、カスタムの機密情報の種類をテストして、必要なパターンが認識されていることを確認します。

  1. Client 1 VM (SC-400-CL1) には SC-400-CL1\admin アカウントでログインし、Microsoft 365 には Joni Sherman としてログインしておく必要があります。

  2. タスク バーで、検索フィールドで Notepad を検索します。 検索の [最も一致する検索結果] セクションから [メモ帳] アプリを選択します。

  3. メモ帳で、次のように入力します。

    Employee Joni Sherman EMP123456 is absent because of the flu/influenza.

  4. [ファイル] > [名前を付けて保存] を選びます。

  5. 左側のウィンドウで [ドキュメント] を選択し、[ファイル名] として「SickTestData」と入力し、[保存] を選択します。

  6. メモ帳ウィンドウを閉じます。

  7. Microsoft Edge に戻ると、Microsoft Purview ポータルが [機密情報の種類] ページでまだ開かれているはずです。

  8. 右上の [検索] バーに、「Contoso」と入力し、Enter キーを押します。

  9. [Contoso 従業員 ID] を選択します。

  10. [Test] を選択します。

  11. 右側の [ファイルをアップロードして "Contoso Employee IDs" をテストする] ポップアップ パネルで、[ファイルのアップロード] を選択します。

  12. 左側のウィンドウで [ドキュメント] を選択し、SickTestData.txt ファイルを選択し、[開く] を選択します。

  13. [テスト] を選択して、分析を開始します。

  14. [一致する検索結果] ページで一致を確認し、[終了] を選択してテストを終了します。

  15. [機密情報の種類] に戻り、「Contoso」をもう一度検索します。

  16. 今度は Contoso Diseases List 機密情報の種類を選択し、 [テスト] を選択します。

  17. 右側の [ファイルをアップロードして "Contoso Diseases List" をテストする] ポップアップ パネルで、[ファイルのアップロード] を選択します。

  18. [テストの対象ファイルのアップロード] ペインで、 [ファイルのアップロード] を選択します。

  19. 左側のウィンドウで [ドキュメント] を選択し、SickTestData.txt ファイルを選択し、[開く] を選択します。

  20. [テスト] を選択して、分析を開始します。

  21. [一致する検索結果] ページで一致を確認し、[終了] を選択してテストを終了します。

2 つの秘密情報の種類をテストし、検索パターンが目標とするパターンを認識することを検証しました。