データ損失防止と送信アクセス保護によるMicrosoft Fabricでの情報保護戦略

データ損失防止と送信アクセス保護による Microsoft Fabricでの情報保護戦略 Microsoft Data Analytics Day(Online) 勉強会 兵藤 克樹

データ損失防止（DLP）とは ◆ DLP：Data Loss Prevention 機密性の高いデータの識別、監視、保護を行うセキュリティシステム ◆ 識別 機密性の高いデータの自動識別 • 「秘密度ラベル」「機密情報の種類」に基づいて、機密データの検出を行う。 ◆ 監視 「データ本体」の監視 • 「ユーザー」ではなく「データ本体」を監視するため、ヒューマンエラーや内部犯による情報漏洩を防止できる。 ◆ 保護 ポリシーに基づく自動保護 • • • 設定した「セキュリティポリシー」に基づき、ブロックやアラート通知を行う データ損失防止 (DLP) とは?| Microsoft Security データ損失防止について | Microsoft Learn 2

• https://www.microsoft.com/ja-jp/security/business/security-101/what-is-data-loss-prevention-dlp?msockid=38008860419b63ce380a9da040e36248
• https://learn.microsoft.com/ja-jp/purview/dlp-learn-about-dlp

Microsoft FabricでのDLP ◆ 対象と評価タイミング • セマンティックモデル • レイクハウス、SQL DB、KQL DB、ミラー化されたDB 更新、発行 変更、更新、データ取得など ◆ アクション • • • • • 機密情報を含むアイテムにヒントを表示する Purview ポータルにアラートを登録する 管理者にアラートメールを送信する アイテムへのアクセスを制限する DLP for Fabric と Power BI の概要 | Microsoft Learn 3

• https://learn.microsoft.com/ja-jp/purview/dlp-powerbi-get-started

DLPのアクション ◆ 機密情報を含むアイテムにヒントを表示する 4

DLPのアクション ◆ 機密情報を含むアイテムにヒントを表示する 5

DLPのアクション ◆ 機密情報を含むアイテムにヒントを表示する 6

DLPのアクション ◆ アイテムへのアクセスを制限する（所有者以外は表示されない） 所有者ではないので表示されない 7

DLPの設定 ◆ ポリシーの作成 8

DLPの設定 ◆ 接続されたソース内の格納データ 9

DLPの設定 ※ データの種類によって保護するアイテムが異なる 接続されたソース内の格納データ ブラウザーとネットワークアクティビティのデータ 10

DLPの設定 ◆ カスタムポリシー ※ Fabricはカスタムポリシーのみ利用可能（2025/10時点） 11

DLPの設定 ※ その他の場所では以下のようなテンプレートが利用可能 12

DLPの設定 ◆ Fabric ワークスペースとPower BI ワークスペース 13

DLPの設定 ◆ 機密情報の種類や秘密度ラベルで検出条件を作成 14

DLPの設定 ◆ 検出条件に合致するデータが見つかった場合の操作を設定 15

DLPの設定 ◆ 完成したDLPルールの例 16

DLPの前提 ◆ DLPポリシーを設定するユーザーに以下いずれかのMicrosoft 365サブスクリプションが必要です。 Power BI のデータ損失防止ポリシーの概要 - Power BI | Microsoft Learn • Microsoft 365 E5 • Microsoft 365 E5 Compliance • Microsoft 365 E5 Information Protection & Governance ◆ E5のライセンスが無い場合、90日間の試用版が利用可能です。 以下のユーザーが試用版を開始できます。 Microsoft Purview リスクとコンプライアンス ソリューションの無料試用版 | Microsoft Learn • ◆ 請求管理者、コンプライアンス管理者、コンプライアンスデータ管理者、グローバル管理者 DLPポリシーの作成、設定にはMicrosoft Purviewポータルに以下の権限が必要です。 Microsoft Purview ポータルのアクセス許可 | Microsoft Learn • 全体管理者、コンプライアンス管理者、セキュリティ管理者、コンプライアンスデータ管理者 17

• https://learn.microsoft.com/ja-jp/power-bi/enterprise/service-security-dlp-policies-for-power-bi-overview
• https://learn.microsoft.com/ja-jp/purview/purview-trial
• https://learn.microsoft.com/ja-jp/purview/purview-permissions

送信アクセス保護とは ◆ 接続が構成されていない宛先への送信をブロックする Public Internet ワークスペースA 送信アクセス保護有効 MPE ワークスペースB ワークスペースC プライベートリンク有効 • Azure SQL DB （MPE未構成） ADLS Gen2 （MPE構成済み） プライベートリンクサービス For ワークスペースC ワークスペースの送信アクセス保護を設定する - Microsoft Fabric | Microsoft Learn 18

• https://learn.microsoft.com/ja-jp/fabric/security/workspace-outbound-access-protection-set-up

送信アクセス保護の設定 ◆ テナント設定で「ワークスペースレベルの送信ネットワーク規則を構成する」を有効化 19

送信アクセス保護の設定 ◆ ワークスペース設定で「送信パブリックアクセスをブロックする」を有効化 20

送信アクセス保護の設定 ◆ 接続を許可するリソースにマネージドプライベートエンドポイントを作成 21

送信アクセス保護の制限 ◆ レイクハウス、ノートブック、環境、Spark 環境 以外のアイテムを作成できない 22

送信アクセス保護の今後のアップデート ◆ データフローGen2、パイプラインで送信アクセス保護がリリース予定 Microsoft Fabric ロードマップ 23

• https://roadmap.fabric.microsoft.com/?product=administration,governanceandsecurity