この記事では、Microsoft 365を使用して ゼロ トラスト セキュリティを構築するためのデプロイ計画について説明します。 ゼロ トラストは、侵害を想定し、制御されていないネットワークから送信されたかのように各要求を検証するセキュリティ モデルです。 要求の発生元やアクセスするリソースに関係なく、ゼロ トラスト モデルは"信頼しない、常に検証する" ことを教えています。
この記事は、このポスターと共に使用してください。
| アイテム | 説明 |
|---|---|
PDF | Visio 更新日: 2025 年 4 月 |
関連するソリューション ガイド
|
ゼロ トラストの原則とアーキテクチャ
ゼロ トラストはセキュリティ戦略です。 製品やサービスではなく、次のセキュリティ原則のセットを設計して実装するアプローチです。
| 原理 | 説明 |
|---|---|
| 明示的に検証する | 使用可能なすべてのデータ ポイントに基づいて、常に認証と承認を行います。 |
| 最小限の特権アクセスを使用する | Just-In-Time と Just-Enough-Access (JIT/JEA)、リスクベースのアダプティブ ポリシー、およびデータ保護を使用して、ユーザー アクセスを制限します。 |
| 侵害を前提とする | ブラスト半径とセグメントアクセスを最小限に抑えます。 エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威検出を推進し、防御を強化します。 |
この記事のガイダンスは、Microsoft 365で機能を実装することで、これらの原則を適用するのに役立ちます。
ゼロ トラストアプローチは、デジタル資産全体に及び、統合されたセキュリティ哲学とエンドツーエンドの戦略として機能します。
この図は、ゼロ トラストに寄与する主要な要素の表現を示しています。
この図は次のことを示しています。
- セキュリティ ポリシーの適用は、ゼロ トラスト アーキテクチャの中心にあります。 これには、ユーザー アカウントのリスク、デバイスの状態、設定したその他の条件とポリシーを考慮した条件付きアクセスによる多要素認証が含まれます。
- ID、デバイス、データ、アプリ、ネットワーク、その他のインフラストラクチャ コンポーネントはすべて、適切なセキュリティで構成されています。 これらのコンポーネントごとに構成されたポリシーは、全体的なゼロ トラスト戦略と調整されます。 たとえば、デバイス ポリシーは正常なデバイスの基準を決定し、条件付きアクセス ポリシーでは、特定のアプリとデータにアクセスするために正常なデバイスが必要です。
- 脅威の保護とインテリジェンスは、環境を監視し、現在のリスクを表面化し、攻撃を修復するための自動アクションを実行します。
ゼロ トラストの詳細については、Microsoft の ゼロ トラスト ガイダンス センターを参照してください。
Microsoft 365のゼロ トラストのデプロイ
Microsoft 365は、環境にゼロ トラストを組み込むのに役立つ多くのセキュリティおよび情報保護機能を使用して意図的に構築されています。 多くの機能を拡張して、組織が使用する他の SaaS アプリやこれらのアプリ内のデータへのアクセスを保護できます。
この図は、ゼロ トラスト機能をデプロイする作業を表しています。 この作業は、ゼロ トラスト導入フレームワークのゼロ トラストビジネス シナリオに合わせて調整されています。
この図では、デプロイ作業は 5 つのスイム レーンに分類されています。
- セキュリティで保護されたリモートとハイブリッドの作業 - この作業は、ID とデバイス保護の基盤を構築します。
- 侵害によるビジネス上の損害を防止または軽減する — 脅威保護は、セキュリティ上の脅威をリアルタイムで監視および修復します。 Defender for Cloud Appsは、AI アプリを含む SaaS アプリの検出を提供し、これらのアプリにデータ保護を拡張できます。
- 機密性の高いビジネス データを特定して保護 する - データ保護機能は、特定の種類のデータを対象とした高度な制御を提供し、最も価値のある情報を保護します。
- AI アプリとデータをセキュリティで保護する - 組織の AI アプリの使用と、これらが関与するデータを迅速に保護します。
- 規制とコンプライアンスの要件を満たす - organizationに影響を与える規制への準拠に向けた進捗状況を把握し、追跡します。
この記事では、クラウド ID を使用していることを前提としています。 この目的に関するガイダンスが必要な場合は、「 Microsoft 365 用の ID インフラストラクチャをデプロイする」を参照してください。
ヒント
手順とエンドツーエンドの展開プロセスを理解したら、Microsoft 365管理センターにサインインするときに、 Microsoft ゼロ トラスト セキュリティ モデル高度な展開ガイドを使用できます。 このガイドでは、標準および高度なテクノロジの柱にゼロ トラスト原則を適用する手順について説明します。
スイム レーン 1 - リモートとハイブリッドの作業をセキュリティで保護する
リモートとハイブリッドの作業をセキュリティで保護するには、ID とデバイスのアクセス保護を構成する必要があります。 ゼロ トラスト原則の「明示的な検証」にこれらの保護は寄与します。
リモートとハイブリッドの作業を 3 つのフェーズでセキュリティで保護する作業を実行します。
フェーズ 1 — 開始点 ID とデバイス アクセス ポリシーを実装する
Microsoft では、このガイドのゼロ トラストに関する包括的な ID とデバイス アクセス ポリシーのセット (ゼロ トラスト ID とデバイス アクセスの構成をお勧めします。
フェーズ 1 では、開始点レベルを実装することから始めます。 これらのポリシーでは、デバイスを管理に登録する必要はありません。
詳細な規範的ガイダンスについては、ゼロ トラスト ID とデバイス アクセス保護 に関する記事を参照してください。 この一連の記事では、IDおよびデバイスアクセスの前提条件構成と、企業クラウドアプリやサービス、他のSaaSサービス、およびMicrosoft Entraアプリケーションプロキシを使用して公開されたオンプレミスアプリケーションへのアクセスをセキュリティで保護するためのMicrosoft Entra条件付きアクセス、Microsoft Intune、その他のポリシーについて説明します。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
3 つのレベルの保護に対して推奨される ID とデバイス アクセス ポリシー:
次に関するその他の推奨事項:
|
Microsoft E3 または E5 次のいずれかのモードで Microsoft Entra ID を使用します。
|
マネージド デバイスを必要とするポリシーのデバイス登録。 デバイスを登録するには、「Intuneを使用してデバイスを管理する」を参照してください。 |
フェーズ 2 — Intuneを使用してデバイスを管理に登録する
次に、デバイスを管理に登録し、より高度なコントロールでデバイスの保護を開始します。
管理へのデバイスの登録に関する詳細な規範的ガイダンスについては、「Intuneを使用してデバイスを管理する」を参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
Intuneを使用してデバイスを登録します。
ポリシーの構成:
|
エンドポイントをMicrosoft Entra IDに登録する | 次のような情報保護機能の構成:
これらの機能については、「 スイム レーン 3 — 機密性の高いビジネス データを特定して保護 する」を参照してください (この記事の後半)。 |
詳細については、Microsoft Intune の ゼロ トラスト を参照してください。
フェーズ 3 — ゼロ トラスト ID とデバイス アクセス保護の追加: エンタープライズ ポリシー
デバイスを管理に登録すると、準拠しているデバイスを必要とする、推奨ゼロ トラスト ID とデバイス アクセス ポリシーの完全なセットを実装できるようになりました。
[共通 ID とデバイス アクセス ポリシー] に戻り、エンタープライズ層にポリシーを追加します。
ゼロ トラスト導入フレームワーク — 安全なリモートとハイブリッドの作業でリモートとハイブリッドの作業をセキュリティで保護する方法について説明します。
スイム レーン 2 - 侵害によるビジネス上の損害を防止または軽減する
Microsoft Defender XDRは、エンドポイント、電子メール、アプリケーション、ID など、Microsoft 365環境全体からシグナル、脅威、アラート データを自動的に収集、関連付け、分析する拡張検出および応答 (XDR) ソリューションです。 さらに、Microsoft Defender for Cloud Appsは、組織が GenAI アプリを含む SaaS アプリへのアクセスを識別および管理するのに役立ちます。
Microsoft Defender XDRをパイロットして展開することで、侵害によるビジネス上の損害を防止または軽減します。
Pilot に移動し、Microsoft Defender XDR を展開して、Microsoft Defender XDR コンポーネントのパイロットと展開に関する方法に関するガイドを参照してください。
| 含まれるもの | [前提条件] | を含まない |
|---|---|---|
すべてのコンポーネントの評価とパイロット環境を設定します。
脅威から保護する 脅威を調査してそれに対応する |
Microsoft Defender XDRの各コンポーネントのアーキテクチャ要件については、ガイダンスを参照してください。 | Microsoft Entra ID 保護は、このソリューション ガイドには含まれていません。 これはスイムレーン1、リモートおよびハイブリッド作業の安全確保に含まれています。 |
ゼロ トラスト導入フレームワーク — 侵害によるビジネス上の損害を防止または軽減する方法でビジネス上の損害を防止または軽減する方法について説明します。
スイム レーン 3 - 機密性の高いビジネス データを特定して保護する
Microsoft Purview Information Protectionを実装して、どこにいても機密情報を検出、分類、保護できるようにします。
Microsoft Purview Information Protection機能はMicrosoft Purviewに含まれており、データを把握し、データを保護し、データ損失を防ぐためのツールを提供します。 この作業はいつでも開始できます。
Microsoft Purview Information Protectionには、特定のビジネス目標を達成するために使用できるフレームワーク、プロセス、および機能が用意されています。
Information Protectionを計画および展開する方法の詳細については、「Microsoft Purview Information Protection ソリューションを展開する」を参照してください。
ゼロ トラスト導入フレームワーク — 機密ビジネス データの識別と保護で機密ビジネス データを識別して保護する方法について説明します。
スイム レーン 4 - AI アプリとデータをセキュリティで保護する
Microsoft 365には、組織が AI アプリとこれらの使用するデータを迅速にセキュリティで保護するのに役立つ機能が含まれています。
まず、AI に Purview データ セキュリティ態勢管理 (DSPM) を使用します。 このツールは、organizationで AI がどのように使用されるか、特に AI ツールと対話する機密データに焦点を当てます。 DSPM for AI は、Microsoft Copilots やサード パーティの SaaS アプリケーション (ChatGPT Enterprise や Google Gemini など) に対してより深い分析情報を提供します。
次の図は、AI の使用がデータに与える影響の集計ビューの 1 つを示しており、生成 AI アプリごとの機密性の高い相互作用を表しています。
生成 AI アプリごとの機密性の高い相互作用を示す図。
AI用のDSPMを使用するために:
- 機密データを含む AI の使用状況を可視化します。
- データ評価を確認して、SharePointのオーバーシェア コントロールを使用して軽減できるオーバーシェアのギャップについて学習します。
- 方針の適用範囲における秘密度ラベルとデータ損失防止 (DLP) ポリシーのギャップを見つけます。
Defender for Cloud Appsは、SaaS GenAI アプリと使用状況を検出して管理するためのもう 1 つの強力なツールです。 Defender for Cloud Appsには、カタログに 1,000 を超えるジェネレーティブ AI 関連アプリが含まれており、organizationでのジェネレーティブ AI アプリの使用方法を可視化し、それらを安全に管理するのに役立ちます。
これらのツールに加えて、Microsoft 365は、AI をセキュリティで保護および管理するための包括的な機能セットを提供します。 これらの機能を使い始める方法については 、「AI アプリとデータの検出、保護、管理 」を参照してください。
次の表は、Security for AI ライブラリの詳細情報へのリンクを含むMicrosoft 365機能の一覧です。
| 能力 | 詳細情報 |
|---|---|
| SharePoint Advanced Management を含む、SharePointのオーバーシェア コントロール | SharePointの情報共有制御を適用する |
| DSPM for AI | (DSPM) を用いて AI の使用状況を把握する AI のDSPMを使用してデータを保護する |
| 秘密度ラベルと DLP ポリシー | 秘密度ラベルと DLP ポリシーのギャップを引き続き特定する |
| Insider Risk Management (IRM) — 危険な AI 使用状況ポリシー テンプレート | 危険な AI テンプレートを適用する |
| 適応型保護 | Insider Risk Management のアダプティブ保護を構成する |
| Defender for Cloud Apps(クラウドアプリケーション用ディフェンダー) | AI アプリの検出、承認、ブロック AIアプリの使用のトリアージと保護 コンプライアンス リスクに基づいて AI アプリを管理する |
| Purview コンプライアンス マネージャー | AI 関連の規制に関する評価を構築および管理する |
| Purview コミュニケーション コンプライアンス | 生成型 AI アプリケーションに入力されたプロンプトと応答を分析して、不適切または危険な相互作用や機密情報の共有を検出するのに役立ちます |
| Purview のデータライフサイクル管理 | AI ツールでのデータの露出超過のリスクを軽減するために必要なくなったコンテンツを事前に削除する |
| 電子情報開示 | プロンプトと応答でキーワードを検索し、電子情報開示ケース内で結果を管理する |
| Copilotおよび AI アクティビティの監査ログ | Copilotの相互作用がどのように、いつ、どこで発生したのか、またアクセスされた項目やそれらの項目に付けられた秘密度ラベルを特定します |
| Priva プライバシー評価 | ビルドする AI アプリのプライバシーへの影響評価を開始する |
スイム レーン 5 - 規制とコンプライアンスの要件を満たす
organizationの IT 環境の複雑さやorganizationの規模に関係なく、ビジネスに影響を与える可能性のある新しい規制要件が継続的に追加されます。 ゼロ トラストアプローチは、多くの場合、コンプライアンス規則によって課される一部の種類の要件 (個人データへのアクセスを制御する要件など) を超えています。 ゼロ トラストアプローチを実装している組織は、既にいくつかの新しい条件を満たしている場合や、ゼロ トラスト アーキテクチャに準拠するように簡単に構築できる場合があります。
Microsoft 365には、次のような規制コンプライアンスを支援する機能が含まれています。
- コンプライアンス マネージャー
- コンテンツ エクスプローラー
- 保持ポリシー、秘密度ラベル、DLP ポリシー
- コミュニケーション コンプライアンス
- データ ライフサイクル管理
- Priva プライバシー リスク管理
規制とコンプライアンスの要件を満たすには、次のリソースを使用します。
| リソース | 詳細情報 |
|---|---|
| ゼロ トラスト導入フレームワーク — 規制とコンプライアンスの要件を満たす | 戦略の定義、計画、導入、管理など、organizationが従うことができる方法論的アプローチについて説明します。 |
| 規制コンプライアンスのために AI アプリとデータを管理する | 役立つ特定の機能を含む、新たに登場する AI 関連の規制に対する規制コンプライアンスに対処します。 |
| Microsoft PrivaとMicrosoft Purviewを使用して、リスクを評価し、組織の環境内の個人データを保護するための適切な措置を講じます。 |
次のステップ
ゼロ トラストの詳細については、ゼロ トラスト ガイダンス センターを参照してください。