Purview情報保護(秘密度ラベル)における暗号化機能とアクセス制御の関係

暗号化機能およびアクセス制御は非可分

秘密度ラベルにおいては、アクセスの制御はラベルの暗号化により実現されており、この 2 つの機能については非可分です。(「アクセス制御はしたいが、暗号化はしない」という設定はできない

コンプライアンス ポータル (compliance.microsoft.com) 上では、ラベル保護設定の 「アクセスの制御」 が対応しており、同項目を選択することによりラベルの暗号化機能が有効となり、以降の設定でアクセス制御を構成できるようになります。

参考: 暗号化のラベルを構成する方法
https://learn.microsoft.com/ja-jp/purview/encryption-sensitivity-labels#how-to-configure-a-label-for-encryption

そのため、上記の設定を有効化していない (暗号化を行わない) ラベルではコンテンツの分類やドキュメントへのカスタム ヘッダーの追加といった機能のみが利用可能であり、アクセス制御に関する機能は設定できません。

暗号化機能およびアクセス制御は、なぜ非可分としているのか

アクセス制御の手段として暗号化機能を利用しているのですが、なぜそのような作りになっているのか、MSサポートに確認してみました(一般論として、アクセス制御を実現するためには、暗号化は必須でないが、なぜPurviewでは暗号化必須としているのか)

MSサポート回答要約(秘密度ラベルにおいてアクセス制御が暗号化とセット共に実装されている背景)

  • 具体的なシナリオとして、組織外の場所 (デバイス、アプリ、サービスなど) に社内データを共有する必要があり、コンプライアンス上の理由で社外にデータを共有する場合はデータを暗号化した状態で扱う要件がある場合などがあるため

本製品で想定しているシナリオやユース ケース ↓

タイトル: 秘密度ラベルの詳細
URL: https://learn.microsoft.com/ja-jp/purview/sensitivity-labels

MSサポートの回答を踏まえると、

「アクセス制御を暗号化で実現する必要性はないが、社外にデータを共有するときにデータ暗号化を必要とする要件が出ることがあり、その際、結局暗号化が必要だから、アクセス制御も暗号化で実現した」ということでしょうか。。。

Purview

Posted by mitsuru