セキュリティ

Microsoft Purview インサイダーリスクマネジメントとは? 内部不正の兆候を検知する仕組み

#Insider Risk#Microsoft Purview#内部不正#情報漏えい#Microsoft 365
📘
完全ガイドの一部です中小企業向けサイバーセキュリティ対策 完全ガイド

情報漏えい事故の原因で意外と多いのが「内部者」によるものです。悪意ある持ち出しだけでなく、退職時のデータコピー、誤操作による外部送信、セキュリティポリシーの無意識な違反も含まれます。

Microsoft Purview Insider Risk Managementは、Microsoft 365内のユーザー行動を分析し、内部者による情報持ち出しや不正行為の「兆候」を早期に検知するツールです。

仕組み

行動シグナルの収集

Insider Risk Managementは、以下のMicrosoft 365サービスからユーザーの行動シグナルを収集します。

  • Exchange Online: メールの外部送信パターン、大量の添付ファイル送信
  • SharePoint / OneDrive: ファイルのダウンロード、外部共有、大量削除
  • Teams: 機密チャネルからのファイルダウンロード
  • Endpoint(Defender for Endpoint連携): USBデバイスへのコピー、クラウドストレージへのアップロード、印刷
  • HR連携(オプション): 退職予定日、PIP(業績改善計画)対象者の情報

リスクスコアの算出

収集したシグナルをAIが分析し、ユーザーごとにリスクスコアを算出します。単発の行動ではなく、複数のシグナルの組み合わせと頻度からリスクを判定します。たとえば「退職予定者が、普段アクセスしないSharePointサイトから大量のファイルをダウンロードし、個人メールアドレスに転送した」というパターンは高リスクと判定されます。

アラートとケース管理

リスクスコアが閾値を超えると、インサイダーリスク管理者にアラートが通知されます。アラートを確認し、調査が必要と判断すれば「ケース」としてエスカレーションし、詳細な行動タイムラインの確認、eDiscoveryとの連携によるデータ収集が可能です。

主な検知シナリオ(ポリシーテンプレート)

退職するユーザーによるデータ盗難: HR連携で退職予定日をトリガーとし、退職日前後のデータ持ち出し行動を重点的に監視。

データ漏えい(全般): 機密情報を含むファイルの外部送信、大量ダウンロード、USBコピーなどのパターンを検知。

セキュリティポリシー違反: DLPポリシーへの繰り返し違反、セキュリティ設定の無効化試行などを検知。

患者データの不正使用(医療向け): 電子カルテの不正閲覧パターンを検知。

プライバシーへの配慮

Insider Risk Managementは「監視ツール」としての批判を受けやすい機能です。Microsoftはプライバシー保護のために以下の設計をしています。

匿名化: アラート画面ではデフォルトでユーザー名が匿名化(仮名)表示されます。調査が正式に開始された段階で初めて実名が表示される運用が推奨されています。

アクセス制御: Insider Risk Managementの画面にアクセスできるのは、専用のロール(Insider Risk Management Admin / Analyst / Investigator)が付与されたユーザーのみです。

監査ログ: 誰がInsider Risk Managementの画面を閲覧したか、どのアラートを確認したかの監査ログが記録されます。

必要なライセンス

Microsoft 365 E5Microsoft 365 E5 Compliance、またはMicrosoft 365 E5 Insider Risk Managementアドオンが必要です。Business PremiumやE3では利用できません。

中小企業にとっての必要性

Insider Risk Managementは主に大企業・上場企業向けの機能です。中小企業では、以下の対策で内部不正リスクをカバーするのが現実的です。

  • 退職者の即時アカウント無効化: 退職決定後、速やかにサインインをブロック
  • DLPポリシー: 機密情報の外部送信をブロック(Business Premiumで利用可能)
  • 秘密度ラベル + 暗号化: 機密ファイルを暗号化し、権限のない人が開けない状態にする
  • IT資産台帳の棚卸し: 退職者がアクセスしていたSaaSアカウントの即時停止

これらの基本対策を実施した上で、さらに高度な内部脅威検知が必要と判断した段階でE5への移行を検討してください。

まとめ

Insider Risk Managementは、内部者による情報持ち出しの「兆候」をAIで検知する高度な機能です。退職者のデータ盗難、DLP違反の繰り返し、異常なファイルアクセスパターンをリアルタイムで検知し、事前対応を可能にします。

ただし、E5ライセンスが必要であり、プライバシーへの配慮が不可欠な機能でもあるため、導入は慎重に検討してください。

情シス365では、情報漏えい対策の全体設計(DLP、秘密度ラベル、Insider Risk Management)を支援しています。お気軽にご相談ください。

🛡️Security365 — セキュリティ運用

脅威監視・アラート対応・ポリシー策定まで、月額定額でプロが支援。セキュリティ対策を「自分ごと」から「チーム体制」へ。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談