Microsoft Sensitivity Label 完全設計｜5 段階分類・Auto-labeling・暗号化・Container Labels

Sensitivity Label は、Microsoft Purview Information Protection の中核機能で、組織のドキュメント・メール・サイト・データに『機密度ラベル』を付与する仕組み。ラベル付与により暗号化・透かし・ヘッダー/フッター・コンテンツマーキング・DLP 連携が自動適用。標準的なラベル階層: 1) Personal (個人用)、2) Public (公開)、3) Internal (社内のみ)、4) Confidential (機密、特定グループのみ)、5) Highly Confidential (最高機密、暗号化+権限限定)。Microsoft 365 アプリ (Word・Excel・PowerPoint・Outlook・Teams・SharePoint・OneDrive)・Power BI・Fabric・Defender for Cloud Apps で統一的にラベル適用、組織全体でのデータ分類戦略の基盤として機能します。

Microsoft が推奨する標準パターン (組織でカスタマイズ可)。Personal: 個人ファイル・私的データ、組織保護対象外。Public: 公開済・公開予定情報 (プレスリリース・公開資料・Web サイト)、保護不要。Internal: 社内のみ閲覧 (社内通達・ガイドライン・標準文書)、社外送信時に Notify。Confidential: 機密 (財務情報・人事情報・営業戦略)、社内特定グループのみアクセス・暗号化適用・社外共有制限。Highly Confidential: 最高機密 (M&A 情報・特許申請・顧客 PII)、Owner + 指定ユーザーのみ・暗号化必須・印刷/コピー/転送禁止・透かし表示・有効期限設定。階層は Personal → Public → Internal → Confidential → Highly Confidential の順で機密度上昇、Sub Label (Confidential\Finance・Confidential\HR) で部門別細分化も標準。本番では業界標準 + 組織カスタマイズの組み合わせが最適です。

Auto-labeling は機密データを自動検出してラベル自動付与する機能。2 モード: Client-side Auto-labeling: Microsoft 365 アプリ (Word・Outlook) でドキュメント保存時にバックグラウンド検出 → ラベル推奨表示 (ユーザー承認後適用)。Server-side Auto-labeling (Auto-labeling Policy): SharePoint Online・OneDrive・Exchange Email を自動スキャン → 機密データ検出 → ラベル自動適用 (ユーザー操作不要)。検出条件: 1) Sensitive Info Type (SIT、クレジットカード番号・SSN 等)、2) Sensitive Info Type の閾値 (X 件以上で適用)、3) Trainable Classifier (機械学習ベースの組織固有分類)、4) コンテキスト条件 (送信者・受信者・場所)。代表的なルール: 1) 『クレジットカード番号 5 件以上検出 → Confidential\Finance ラベル自動適用』、2) 『社員 SSN 検出 → Highly Confidential\HR』。Sensitivity Label の組織展開で Auto-labeling は必須機能、手動ラベリング依存では網羅性に限界があります。

Sensitivity Label に暗号化を設定すると、ラベル付きファイルが Microsoft 365 Rights Management (旧 Azure Rights Management) で暗号化、認可されたユーザーのみ復号可能。User Assigned Permissions: ラベル定義時に固定ユーザー / グループ + 権限レベル (Owner・Co-Owner・Co-Author・Reviewer・Viewer・Custom) 指定。User Defined Permissions: ファイル作成時にユーザーが個別指定 (社外共有用)。Encryption with Custom Permissions: 詳細権限カスタマイズ (印刷・コピー・転送・編集の個別制御)。Double Key Encryption (DKE): 最高機密データ向け、Customer-managed Key + Microsoft Key の 2 重暗号化、Microsoft でも復号化不可能。暗号化ファイルは Outside Organization に送信されても、受信者が Entra ID 認証 + 認可されたアカウントを持たない限り開封不可。コンプライアンス要件 (GDPR・HIPAA・PCI DSS) の Data Protection 要求への対応に必須機能です。

Container Labels は SharePoint Site・Teams・Microsoft 365 Group のコンテナレベルでラベル適用する機能。Document Label が個別ファイルの保護、Container Label が Container 全体のセキュリティ設定を統一制御。Container Label の構成: 1) Privacy (Public・Private)、2) External User Access (Allow・Block)、3) Unmanaged Device Access (Allow・Block・Limited)、4) Authentication Context (特定 Conditional Access ポリシー要求)、5) Default Document Label (Container 内ファイルに自動付与するラベル)。代表的なシナリオ: 1) 『Confidential\HR』ラベル付き SharePoint Site → External User Access Block + Unmanaged Device Block + Default Document Label 適用、2) 『Highly Confidential\M&A』Teams → 特定承認済みデバイスのみアクセス。Container Label と Document Label を組み合わせることで、コンテナレベル + ファイルレベルの二重保護が実現します。

MIP Scanner はオンプレファイルサーバー (Windows ファイルサーバー・NAS) のドキュメントに Sensitivity Label を自動付与するエージェント。Windows Server に MIP Scanner Service インストール → 対象パス・SQL Server (メタデータ DB) を設定 → 定期スキャン実行。検出条件は Auto-labeling Policy と同じ (SIT・Trainable Classifier)。代表的なユースケース: 1) オンプレファイルサーバーの既存ドキュメントに遡及的ラベル付与、2) Azure 移行前のデータ分類、3) 継続スキャンで新規ファイルへの自動ラベル適用、4) コンプライアンス監査用の Discovery レポート生成。Discovery モード (ラベル付与せず検出のみ) と Enforce モード (実際にラベル適用) の 2 段階運用が標準。クラウド移行プロジェクトで Pre-migration 分析として活用されることも多く、組織のデータ可視化に重要な機能です。

重要施策: 1) 5 段階の標準ラベル + 部門別 Sub Label で組織カスタマイズ、2) Default Label を Internal に設定 (ユーザーが意識せずラベル付与)、3) Auto-labeling Policy で機密データ自動検出、4) Mandatory Labeling 強制 (ラベル未指定では保存不可)、5) Justification 入力で Downgrade (Confidential → Internal) に理由必須、6) Microsoft 365 アプリのラベル UI が見やすい色設定、7) ユーザー教育コンテンツ (Microsoft Viva Learning 統合)、8) Container Label と Document Label の組み合わせで二重保護、9) Microsoft Sentinel に Sensitivity Label イベント送信、10) 四半期に 1 回ラベル使用統計レビュー (どのラベルが使われていないか・どこで Bypass されているか分析)。ラベリングは『組織文化変革』であり、技術設定 + 継続的な変革管理 (Change Management) の両輪が成功の鍵です。

SC-400 (Information Protection and Compliance Administrator Associate) のドメイン 1 (Information Protection 30-35%) で Sensitivity Label が深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Data 柱、MS-102 (Microsoft 365 Administrator Expert) のドメイン 4 (Purview 20-25%) で全社展開、SC-200 (Security Operations Analyst) でラベルベース DLP イベント運用、AI-103 (2026-06 GA) で AI 生成データへのラベル適用。Microsoft Purview Information Protection の中核機能で、データガバナンス担当者にとって必須スキルです。