BI セキュリティ

「Power BI」の新しい情報漏洩防止ツール--エクスポート後のデータにラベルを継承

「Power BI」のデータを「Excel」などにエクスポートして利用するケースは多い。機密情報のラベルをエクスポート後も保持して、権限がある者だけに閲覧させることが可能になった。


MicrosoftのPower BIは、複数のデータソースにまたがる複雑な分析プロジェクトの構築に使用される。新たなツールは、こうしたプロジェクトの管理と運営において管理者や担当者の助けとなる。提供:Microsoft
MicrosoftのPower BIは、複数のデータソースにまたがる複雑な分析プロジェクトの構築に使用される。新たなツールは、こうしたプロジェクトの管理と運営において管理者や担当者の助けとなる。
提供:Microsoft

 どのようなビジネスインテリジェンスツールを使っていようと、そのツールは「Excel」に接続する。「新しいBI製品を開発するなら、最初に構築する機能はExcelへのエクスポートだ」。Microsoftの「Power BI」担当コーポレートバイスプレジデントであるArun Ulag氏はこんな冗談を言った。「人々は、自分が使うツールでデータを扱えるようにしてほしいと思っている」

 しかし、レポートをExcelにエクスポートして数字を詳しく調べる場合、企業の機密データに適用されている権利管理はどうなるのだろうか。ロールベースのアクセス権限、行レベルのセキュリティ、オブジェクトレベルのセキュリティでは、データを十分に保護できない可能性がある。多くの人が在宅勤務をしている状況ではなおさらだ。

「人々は、自分使うツールでデータを扱えるようにしてほしいと思っている」(Arun Ulag氏)。提供:Microsoft
「人々は、自分使うツールでデータを扱えるようにしてほしいと思っている」(Arun Ulag氏)
提供:Microsoft

 「データは移動する。データがデータウェアハウスからBIシステム、Excel、『PowerPoint』、PDFへと移動する過程でセキュリティが置き去りにされてしまうのなら、意味はあるのだろうか」とUlag氏は指摘する。「データをExcelにエクスポートして電子メールで誰かに送信できるのなら、そこでセキュリティは止まる。特にリモートワーク環境では本当に破綻してしまう。これは逆説的だ。企業の最高機密データを持ち出して、皆に与えている。しかも、今は誰もが在宅勤務をしている」

 機密データ保護のためにPDFへのエクスポートをブロックすると、そのデータを扱う必要がある従業員は不満を感じる。そこで、Power BIで「Microsoft Information Protection」(MIP)の秘密度ラベルを使用して、「Power BI Desktop」やPower BIサービスで、そしてExcelやPowerPoint、PDFにレポートをエクスポートする際に、情報を保護できるようになった。これにより、Power BIと「Microsoft Office」(そしてMIPに組み込まれたサードパーティーアプリケーション)で、同じデータセキュリティポリシー、コンプライアンス、監査ツールが使用可能になる。Power BI Desktopが扱うPBIXファイルへのラベル付けや分類が可能で、Power BIサービスでデータセットやレポートにラベルを付けることができる。

 「MIPによって、『極秘』などのラベルをOfficeドキュメントで使用でき、そのラベルを適用すると、『Active Directory』の認証情報でドキュメントが暗号化される」とUlag氏は説明する。「したがって、そのドキュメントを電子メールで社外に送信して、アクセス権のない者や退職した元従業員が開こうとしても、アクセスすることはできない。Power BI Desktopを使用してPower BIレポートを作成するのは、Excelでワークブックを作成するのと同じようなものだ。Power BI Desktopで直接MIPラベルを適用すると、ファイルが自社のポリシーで暗号化される。そのファイルがPower BIサービスに移動すると、同サービスはそのデータセットの機密性が高いことを認識する」

 Power BIユーザーは、データセットとレポートにラベルが付けられていて、自分が機密データを扱っているということを認識できる。

Power BIからExcelにエクスポートされたレポートは、Microsoft Information Protect(MIP)の秘密度ラベルを保持しているため、従業員は自分が機密データを閲覧していることが分かる。提供:Microsoft
Power BIからExcelにエクスポートされたレポートは、Microsoft Information Protect(MIP)の秘密度ラベルを保持しているため、従業員は自分が機密データを閲覧していることが分かる。
提供:Microsoft

 「Power BIからExcelやPowerPoint、PDFへのエクスポートは、BIツールで非常によく実行されるが、そのエクスポートをブロックする必要はない。Excel、PowerPoint、PDFにエクスポートされたデータも、同じ極秘タグ、同じAD認証情報で暗号化されるからだ。こうしたラベルが付いたファイルを権限のないユーザーが開こうとしても、データにアクセスすることはできないし、データがPower BIを離れた後もアクセスは不可能だ」(Ulag氏)

 このラベルは、Excelから直接Power BIのデータセットに接続した場合も表示される。ラベルはデータセットリスト内にあり、それを使用して作成するピボットテーブルにもラベルが付く。MIPには、保護対象データのスクリーンショット撮影を防止する機能もある(アプリケーションがスクリーンショットを無効にできるすべてのプラットフォームで有効)。従業員がスマートフォンカメラによる撮影や、データの書き写しなどを試みるようなら、それは管理面の問題だ。従業員によるそうした行為を防ぐことはできないが、それが悪いことだと知らなかった、と主張することはできないだろう。

 データセットとレポートへのラベル付けを、従業員に手動でやってもらう必要はない。Ulag氏によると、「Azure Synapse」で分類されたデータからラベルを継承できるという。「『Azure Synapse Analytics』では、データベース内のテーブル、たとえば従業員給与テーブルや人事考課テーブルに、極秘としてラベルを付けることができる。その後、Power BIがそのテーブルに接続すると、権限がある場合でもSynapseからラベルを継承する。そのデータをエクスポートすると、ラベルがOfficeに渡される。これにより、Synapseの起点から、Power BIやOfficeの消費点に至るまで、データライフサイクル全体をつなぎ合わせることができる」

「BI」で読まれている記事

TechRepublic Japanで人気の記事

編集部オススメ

トレンドまるわかり![PR]

財務・経理
人事・労務
マーケ・営業
購買・調達
生産・製造
データ分析
統計解析
テキストマイニング
ソーシャルメディア分析
BI
コミュニケーション
通信・通話
文書・コンテンツ
PC・モバイル
新興技術
ITインフラ
クラウドサービス
OS・ミドルウェア
開発
データベース
運用
セキュリティ
クライアントセキュリティ
サーバーセキュリティ
ゲートウェイセキュリティ
メールセキュリティ
ウイルス対策
標的型攻撃対策
IDS/IPS
ファイアウォール
WAF
UTM
SIEM
フィルタリング
データ保護
アクセス管理
SSO
ワンタイムパスワード
IRM
情報漏えい対策
暗号化
脆弱性診断
その他セキュリティ

ホワイトペーパーランキング

  1. MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版
  2. AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック
  3. DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言
  4. ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編
  5. テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

Follow TechRepublic Japan

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]