トップ > セキュリティ > Microsoft Purview で実現できる暗号化(秘密度ラベル)とは?仕組み・設定方法・利用イメージについて

Microsoft Purview で実現できる暗号化(秘密度ラベル)とは?仕組み・設定方法・利用イメージについて

セキュリティ アドベントカレンダー2025

1.はじめに

NTT西日本の西川と申します。
デジタル化やクラウド化の進展に伴い、情報資産を安全に守る仕組みの重要性が高まっています。 Microsoft Purviewの情報保護機能である秘密度ラベルは、主にMicrosoft 365上の情報資産を分類し、保護する機能です。
本記事では、秘密度ラベルによる暗号化の仕組み、設定方法、利用イメージを紹介します。
本記事は2025年11月時点の情報に基づきます。

2.対象読者

本記事が想定する対象読者は以下の通りです。

  • Microsoft 365を使っている方
  • Microsoft Purviewで実現できる暗号化について興味がある方
  • 組織の情報資産を安全に管理したい方

3.目的

ファイルの暗号化と言われても、具体的にどのような制御が可能なのか?どのようなメリットがあるのか?というイメージが湧かない方も多いのではないでしょうか。 本記事では、Purviewで秘密度ラベルを実際に設定・動作させる様子をご紹介することで、具体的なイメージを持っていただけることをめざします。

4.Microsoft Purview 秘密度ラベルとは

Purview  Information Protectionというサービス群に含まれる「秘密度ラベル」とは、情報を分類し、暗号化により保護することができる機能です。

4.1.機能概要

  • 分類:ファイルやメールに「社外秘」「機密」といったラベルを付けることで、分類を明示できます。
  • 暗号化による保護:秘密度ラベルには、暗号化設定をすることも、しないこともできます。暗号化設定を含めると、指定されたユーザー/グループ以外は閲覧できないといったアクセス制御を行うことができます。
  • 適用対象:SharePoint/OneDrive for Business上のドキュメント、Exchange Onlineのメール、Officeデスクトップアプリ、Teams会議とチャットをはじめとする様々なデータへ適用できます。

4.2.秘密度ラベルによる暗号化の仕組み・特徴

Microsoft Purview Information Protection 秘密度ラベルにおける暗号化の仕組みについてご紹介します。 暗号化に使われるキーは2つあります。
また、復号時には2つのキーのほかに、ユーザーごとのキーも利用されます。

  • コンテンツキー:ファイルなどのコンテンツを暗号化するための鍵。コンテンツごとに一意。AES共通鍵暗号方式。
  • テナントキー:コンテンツキーを暗号化して保護する鍵。RSA 公開鍵暗号方式。
  • ユーザーごとのキー:特定ユーザーにだけ復号できるように保護するための鍵。ユーザーごとに一意。復号時のみ利用。RSA公開鍵暗号方式。

4.2.1.暗号化の流れ

2つのキーを使って、以下の流れで暗号化されます。 ファイルの場合で説明します。

  1. クライアントがコンテンツキーを作成し、ファイルを暗号化する
  2. クライアントがテナントキーの公開鍵を使用して、コンテンツキーおよび「誰がどのようなアクセス権限を持っているか?」という情報を暗号化する
    • 暗号化されたコンテンツキーとアクセス権限情報は、ファイルのヘッダー部分に格納

4.2.2.復号の流れ

3つのキーを使って、以下の流れで復号されます。ファイルの場合で説明します。

  1. ユーザー認証・認可
    • ファイルを開こうとしているユーザーAに対し、Entra IDの認証・認可が行われる
    • 認可されると、Azure Rights Management Service(以下、Azure RMSと記載。Purview Information Protectionの暗号化を支える暗号化基盤)へアクセス可能なトークンが発行される
  2. Azure RMSによる処理
    • Azure RMSがテナントキーの秘密鍵を使って、コンテンツキーおよびアクセス権限情報を復号化する
      ※なおこの時点において、ファイル本体はコンテンツキーで暗号化されたまま
    • ユーザーAが持つアクセス権限(閲覧、編集など)を確認
  3. ユーザーごとのキーで再暗号化
    • Azure RMSは、復号化したコンテンツキーおよびアクセス権限情報を、ユーザーAの公開鍵で再暗号化する
  4. クライアントへの返却
    • 再暗号化された情報をクライアントに渡す
  5. クライアント側で復号
    • クライアントはユーザーAの秘密鍵を使って復号化し、コンテンツキーを取得
    • コンテンツキーを使ってファイル本体を復号化する
  6. ユーザーが操作可能
    • 許可されたアクセス権限に従い、閲覧・編集などが可能になる

※4.2.1.および4.2.2.に記載した流れは、一部を簡略化していますので、詳細は参考文献に掲載している公式ドキュメントの確認をお願いいたします。

4.2.3. 特徴:EntraIDと連携したアクセス制御

このように、Purview 秘密度ラベルによる暗号化・復号化の特徴は、Microsoft Entra ID(ID とアクセス管理サービス。以下Entra ID と記載)と連携できる点にあります。暗号化されたコンテンツを復号化するには、Entra ID での認証・認可が必要です。
すなわち、暗号化されたファイルへのアクセスは、EntraIDの機能である条件付きアクセスを使った制御が可能です。具体的には、ネットワークの場所、デバイスの準拠、多要素認証の要求などといった条件に応じたアクセス制御ができるということを意味します。

5.秘密度ラベル設定手順

ここからは、実際に秘密度ラベルを設定する手順をご紹介します。
本記事では組織内の全ユーザーは閲覧可、組織外のユーザーは閲覧不可とするようなアクセス制御を行うラベルを作成し、SharePointサイトに配置したExcelファイルの動作を確認します。
管理者側では以下の設定が必要です。

  1. 事前設定
  2. 秘密度ラベルを作成する
  3. ラベルポリシーを作成する

5.1. 事前設定

事前設定として、以下に示す設定が必要です。
なお本記事では、事前設定に関する画面キャプチャを使った紹介は省略し、次章の5.2以降について画面キャプチャを使った手順を紹介させていただきます。

5.2.秘密度ラベルの作成

Microsoft Purviewポータル(https://purview.microsoft.com)へアクセス>ソリューション>Microsoft Information Protection>秘密度ラベル>[+ラベルの作成]より、新規ラベルを作成します。

名前(管理ポータルでの名称)、表示名(各ユーザーに表示される名称)、ユーザー向けの説明などを入力します。

ラベルを適用できる範囲を設定します。 今回は、ファイルについてのラベルの挙動を確認するため、画像のとおり設定します。

ラベルが付与されるとどうなるかを設定します。
アクセスの制御・・・暗号化のことです。特定のユーザー(組織内の全ユーザー、もしくは指定したユーザー)以外閲覧できないように制御します。
コンテンツマーキングを適用する・・・ヘッダー/フッター/透かしとして「社外秘」「confidential」などの指定した文字列を入れることができます。
今回はアクセス制御のみを設定します。

アクセス制御(暗号化)の設定を行います。

組織内のすべてのユーザーとグループを追加する をクリックし、テナント名が追加されたことを確認します。
アクセス許可が「編集者」となっていることを確認し、保存します。
※今回はOfficeファイルに関するラベル付けに使用するため、 なおこの例では、以下のような設定となります。

  • 組織内の全ユーザーに対しては、編集者というアクセス許可レベルを付与
  • 組織外のユーザーではアクセス不可となる

自動ラベル付け設定を行う場合にルールを設定できます。今回はオフのまま次へ進みます。

Teams、Microsoft 365 グループ、SharePoint サイト、Loop ワークスペースを含むコンテナーにラベルを適用する場合に設定します。今回は設定せず次へ進みます。

設定内容を確認し、[ラベルの作成]をクリックします。 以上で秘密度ラベルの作成は終了です。

5.3.ラベルポリシーの作成

秘密度ラベルをユーザーに発行します。これにより、ユーザーはコンテンツにラベルを付与できるようになります。
ラベル発行ポリシー>ラベルの発行 を選択します。

先ほど作成した秘密度ラベルを選択します。

今回は設定を変更せず次へを選択します。

ラベルを発行するユーザー、すなわちラベルを利用可能にしたいユーザーを選択します。
今回はすべてのユーザーとグループの設定のまま、次に進みます。

ラベル付けに関するポリシーの設定となります。 要件に応じてチェックを入れます。

ドキュメント作成時の既定のラベルを設定できます。暗号化のあるラベルを既定にしておくと、ファイル作成時に既定でそのラベルが適用されるようになるため、情報流出リスクの低減が期待できます。
今回は作成したラベルを選択し、次へ進みます。

メールにおいても、作成時の既定のラベルを設定できます。 今回は「なし」と設定し、次へ進みます。
以降、Teams/Outlookの会議や予定表、FabricおよびPowerBIにおける既定のラベルの設定画面となりますが、今回は利用しないため「なし」と設定し次に進んでください。

次の画面が表示されたら、ラベルポリシーに名前を設定します。

内容を確認し[送信]をクリックします。

以上で管理者側からの設定は完了となります。 画面に表示されているとおり、ユーザー側で利用できるようになるまで最大24時間かかる場合があります。

6.秘密度ラベル 利用イメージ

作成したラベルを、Sharepointサイト上のファイルへ付与した時の動作を確認していきます。ここからは、管理者の設定ではなく、一般ユーザーでの利用イメージです。
今回の設定では、以下のような動作となる想定です。

  • 組織内のユーザーは閲覧・編集可能
  • 組織外のユーザーは閲覧不可

6.1.既定のラベルが付与されていることを確認する

組織内のユーザーがドキュメントを作成した時に、既定のラベルが付与されるか確認します。
SharePoint上でExcelファイルを作成します。

既定の秘密度ラベルとして設定した「社外秘」が付与されていることが確認できます。
ラベル作成時に指定した、説明の内容が表示されます。

6.2. 組織内の別ユーザーが、ファイルを閲覧できることを確認する

組織内の別ユーザーアカウントでサインイン、Sharepointサイトにアクセスし、同じExcelファイルを開いてみます。
ファイルを開き、問題なく編集できることが確認できます。

6.3. 組織外のユーザーが、ファイルを閲覧できないことを確認する

6.3.1. 組織内ユーザーがファイルをダウンロード、外部に持ち出した場合

組織内ユーザーがPCへファイルダウンロード、およびメールなどで外部に送信し、外部ユーザーが受信した場合を想定してみましょう。 SharePointからWindows端末へ、該当のExcelファイルをダウンロードします。

該当のExcelファイルを外部にメールで送信し、組織外ユーザーを想定したメールボックスで受信したとします。
ファイルを開くと、アカウントのサインインが求められる表示となります。
ここで、組織外ユーザーのMicrosoftアカウントなどでサインインをしても、ファイルを開くことができません。

※なお、組織内のユーザーでサインインができる場合については、ファイルへアクセスできます。サインインできる条件については、冒頭で記した通り、Entra IDの機能である 条件付きアクセスを利用し、制御を行う必要があります。

6.3.2. SharePoint共有リンクを生成し、外部に送信した場合

SharePointの共有リンクを生成し、閲覧権限を[すべてのユーザー]として、外部に送信した場合を想定してみましょう。

組織外のユーザーを想定したアカウントで、リンクをクリックしても、以下のような表示となり、アクセスできません。

このように秘密度ラベルによるファイル単位での暗号化を行うことで、誤送信や外部へのファイル持ち出しが発生した場合でも、組織外のユーザーからのアクセスは制御されるイメージとなります。

7.まとめ

本記事では Microsoft Purview Information Protection における 秘密度ラベルによる暗号化の仕組み、設定方法、動作イメージ について解説しました。 秘密度ラベルは、組織の情報資産における情報流出リスクの軽減が期待できる機能です。今回は SharePointに配置したファイルおよびその外部持ち出しを対象に紹介しましたが、秘密度ラベルはこれに限らず、以下のような幅広いコンテンツに適用できます。

  • Teams
  • SharePoint/OneDrive for business
  • Exchange Online
  • Teams、Microsoft 365 グループ、SharePoint サイト、Loop ワークスペースを含むコンテナー
  • Power BIなど

そして、今回はご紹介しておりませんが、Purviewにおける自動ラベル付けポリシー、DLPポリシーなどを活用することで、組織の情報保護レベルを大きく向上させることが可能です。
今後も本ブログでは、Microsoft 365における様々な情報保護の方法やセキュリティサービスについて紹介できればと思います。

執筆者

西川 実優(NTT西日本 ビジネス営業本部 エンタープライズビジネス営業部所属)
Microsoft365をはじめとしたクラウドの設計~構築に携わっています。
ミニチュアダックスフンドとお好み焼きが好きです。 Microsoft 365 Certified: Administrator Expert

参考文献

本記事を執筆するにあたり、以下のサイトを参考にしました。
秘密度ラベルの詳細 | Microsoft Learn
Azure Rights Management 暗号化サービスについて説明します | Microsoft Learn
Azure Rights Management サービスのしくみ: 技術的な詳細 | Microsoft Learn
秘密度ラベルとそのポリシーを作成して構成する | Microsoft Learn
Azure Rights Management サービスの使用権限を構成する | Microsoft Learn

商標

  • 「Microsoft」「Microsoft 365」「Microsoft Purview」「Azure Rights Management Service」「Microsoft Entra ID」「SharePoint」「OneDrive」「Teams」「Exchange Online」「Power BI」は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

免責事項

  • 本記事の内容は執筆時点(2025年11月)の情報に基づいており、サービスの仕様変更などにより内容が変更される可能性があります。
  • 本記事で紹介する設定手順や使用方法は、特定の環境での動作確認に基づくものであり、すべての環境での動作を保証するものではありません。
  • 本記事では生成AIを活用した内容が含まれており、AIによる情報の生成過程でハルシネーション(事実に基づかない情報の生成)が発生する可能性があります。記載内容の正確性については、必ず公式ドキュメントや信頼できる情報源で検証してください。

© NTT WEST, Inc.