テンプレートから DLP ポリシーを作成する

重要:  この記事は機械翻訳されています。機械翻訳についての「免責事項」をお読みください。この記事の英語版を参照するには、ここをクリックしてください。

DLP ポリシーの使用を開始する最も簡単で最も一般的な方法は、Office 365 に含まれるいずれかのテンプレートを使用することです。これらのいずれかのテンプレートをそのまま使用することも、組織の固有の要件を満たすためにルールをカスタマイズすることもできます。

Office 365 には、一般的な規制やビジネス ポリシーの幅広いニーズに対応するために、すぐに使用できる 40 以上のテンプレートが用意されています。たとえば、次のような DLP ポリシーのテンプレートがあります。

  • グラム リーチ ブライリー法 (GLBA)

  • クレジットカード業界のデータ セキュリティ スタンダード (PCI-DSS)

  • 米国の個人を特定できる情報 (米国 PII)

  • 米国の医療保険法 (HIPAA)

既存のルールのいずれかを変更したり新しいルールを追加したりして、テンプレートを細かく調整することができます。たとえば、新しい種類の機密情報をルールに追加する、トリガーしにくくするまたはトリガーしやすくするためにルール内のカウントを変更する、業務上の正当な理由を提供することでルール内のアクションをユーザーが無効にできるようにする、または通知およびインシデント レポートの送信先を変更することができます。DLP ポリシー テンプレートは、多くの一般的なコンプライアンス シナリオにとって柔軟性の高い開始点です。

組織の固有のコンプライアンス要件を満たすため、既定のルールがないカスタム テンプレートを選択して、DLP ポリシーを 1 から構成することもできます。

例: すべての OneDrive for Business サイト全体で機密情報を特定し、組織外の人のアクセスを制限する

OneDrive for Business アカウントは、組織内のユーザー間での共同作業とドキュメントの共有を容易にします。しかし、コンプライアンス責任者にとっての共通の懸念は、OneDrive for Business アカウントに保存されている機密情報が、誤って組織外の人と共有されてしまうのではないかということです。DLP ポリシーは、このリスクを軽減できます。

この例では、米国 PII データを識別する DLP ポリシーを作成します。米国 PII データには、個人納税者番号 (ITIN)、社会保障番号、および米国のパスポート番号が含まれています。テンプレートを使用して作業を開始し、組織のコンプライアンス要件を満たすようにテンプレートを変更します。具体的には次のことを行います。

  • 2 種類の機密情報 (米国の銀行口座番号と米国の運転免許証番号) を追加して、DLP ポリシーによる機密情報の保護を強化します。

  • ポリシーの機密性をさらに高めて、機密情報が一度でも発生したら、外部ユーザーのアクセスを制限するようにします。

  • ユーザーが業務上の正当な理由を提供するか、誤検知を報告することで、アクションを無効にできるようにします。これにより、機密情報を共有するための業務上の正当な理由があれば、DLP ポリシーによって組織内のユーザーの業務遂行が阻まれることがなくなります。

テンプレートから DLP ポリシーを作成する

  1. https://protection.office.com に移動します。

  2. 職場または学校のアカウントを使用して、Office 365 にサインインします。これで Office 365 セキュリティ/コンプライアンス センターに移動します。

  3. セキュリティ/コンプライアンス センターの左側のナビゲーションで、[データ損失防止]、[ポリシー]、[+ ポリシーの作成] の順に選びます。

    [ポリシーの作成] ボタン

  4. 必要な種類の機密情報を保護する DLP ポリシー テンプレートを選び、[次へ] を選びます。

    この例では、[プライバシー]、[米国の個人を特定できる情報 (PII) データ] を選択します。これには既に保護するほとんどの種類の機密情報が含まれているからです。後で 2 つ追加します。

    テンプレートを選択するときに、右側の説明を読んで、テンプレートが保護する機密情報の種類を確認できます。

    DLP ポリシー テンプレートを選択するためのページ

  5. ポリシーの名前を設定し、[次へ] を選びます。

  6. DLP ポリシーで保護する場所を選ぶには、次のいずれかを行います。

    • [Office 365 のすべての場所] を選び、[次へ] を選びます。

    • [自分で特定の場所を選択する] を選び、[次へ] を選びます。この例では、これを選びます。

      すべての Exchange メールやすべての OneDrive アカウントなど、特定の場所全体を含めたり除外したりするには、その場所の [状態] をオンまたはオフに切り替えます。

      特定の SharePoint サイトまたは OneDrive for Business アカウントだけを含めるには、[状態] をオンに切り替えた後、[含める] の下のリンクをクリックして、特定のサイトまたはアカウントを選びます。ポリシーをサイトに適用すると、そのポリシーに構成されたルールがそのサイトのすべてのサブサイトに自動的に適用されます。

      DLP ポリシーを適用できる場所のオプション

      この例では、すべての OneDrive for Business アカウントに保存されている機密情報を保護するために、Exchange メールSharePoint サイトの両方の [状態] をオフにし、OneDrive アカウントの [状態] はそのままにします。

  7. [詳細設定を使う]、[次へ] の順に選びます。

  8. DLP ポリシー テンプレートには、条件付きの定義済みルールと、特定の種類の機密情報を検出して適用するアクションが含まれています。既存のルールのいずれかを編集、削除、またはオフにするか、新しいルールを追加できます。完了したら、[次へ] をクリックします。

    米国 PII ポリシー テンプレートで展開されたルール

    この例の場合、米国 PII データ テンプレートには、次の 2 つの定義済みルールが含まれています。

    • 少量のコンテンツを検出 - 米国の PII: このルールは、3 種類の機密情報 (ITIN、SSN、米国のパスポート番号) の発生回数がそれぞれ 1 回から 10 回のファイルを検索し、ファイルが組織外の人と共有されている場所を検索します。検出されると、ルールに従って、プライマリ サイト コレクション管理者、ドキュメントの所有者、ドキュメントを最後に変更したユーザーにメール通知が送信されます。

    • 大量のコンテンツで検出: 米国の PII: このルールは、同じ 3 種類の機密情報の発生回数がそれぞれ 10 回を超えるファイルを検索し、ファイルが組織外の人と共有されている場所を検索します。検出されると、この場合もメール通知が送信され、さらに、ファイルへのアクセスが制限されます。OneDrive for Business アカウントのコンテンツの場合、これは、プライマリ サイト コレクション管理者、ドキュメントの所有者、ドキュメントを最後に変更したユーザーを除くすべてのユーザーについて、ドキュメントへのアクセス許可が制限されることを意味します。

    組織の特定の要件を満たすため、ルールをトリガーしやすくして、機密情報が 1 度でも発生したら、外部ユーザーのアクセスをブロックすることができます。これらのルールを検討すると、低カウントおよび高カウントのルールは必要ないことがわかります。つまり、必要なのは、機密情報の発生が検出されたら、アクセスをブロックするルールだけです。

    したがって、[少量のコンテンツを検出 - 米国の PII] という名前のルールを展開して、[ルールの削除] を選びます。

    [ルールの削除] ボタン

  9. この例では、2 種類の機密情報 (米国の銀行口座番号と米国の運転免許証番号) を追加して、ユーザーがルールを無効にして、カウントを任意の発生回数に変更できるようにします。これは 1 つのルールを編集することですべて行えます。したがって、[大量のコンテンツを検出 - 米国の PII]、[ルールの編集] の順に選びます。

    [ルールの編集] ボタン

  10. 機密情報の種類を追加するには、[条件] セクションで [種類の追加または変更] を選びます。次に、[種類の追加または変更] で、[追加] を選び、[米国の銀行口座番号] と [米国の運転免許証番号] を選んでから、[追加]、[完了] の順に選びます。

    [種類の追加または変更] のオプション

    [種類の追加または変更] ウィンドウ

  11. カウント (ルールのトリガーに必要な機密情報のインスタンスの数) を変更するには、[インスタンス数] で、各種類に対して最小値を選び、「1」を入力します。最小カウントを空にすることはできません。最大カウントは空でもかまいません。空の最大値はすべてに変換されます。

    完了すると、すべての種類の機密情報の最小カウントが 1 になり、最大カウントがすべてになるはずです。つまり、この種類の機密情報が発生すると、この条件が満たされます。

    機密情報の種類のインスタンス カウント

  12. 最終的なカスタマイズとして、ユーザーに業務上の正当な理由があるか、誤検知である場合に、DLP ポリシーがこれらのユーザーの業務の妨げにならないようにするには、ユーザー通知にブロック アクションを無効にするオプションを含めることができます。

    [ユーザー通知] セクションでは、テンプレートのこのルールに対して、メール通知とポリシー ヒントが既定でオンになっていることがわかります。

    [ユーザーによる上書き] セクションでは、業務上の正当な理由に対して上書きはオンになっていますが、誤検知の報告に対しては上書きがオンになっていません。[誤検知として報告された場合にルールを自動的に上書きします] を選びます。

    [ユーザー通知] セクションと [ユーザーによる上書き] セクション

  13. ルール エディターの上部にあるこのルールの名前を既定の [大量のコンテンツを検出 - 米国の PII] から [任意のコンテンツで検出: 米国の PII] に変更します。これは、機密情報の種類が発生すればルールがトリガーされるようになったためです。

  14. ルール エディターの下部にある [保存] をクリックします。

  15. このルールの条件とアクションを確認して、[次へ] をクリックします。

    右側のルールの [状態] の切り替えに注意してください。ポリシー全体をオフにすると、そのポリシーに含まれるすべてのルールもオフになります。しかしここでは、ポリシー全体をオフにすることなく、特定のルールをオフにできます。これは多数の誤検知を生成するルールを調査する必要がある場合に便利です。

  16. 次のページでは、以下の内容を読み、理解したうえで、ルールをオンにするか、最初にテストするかを選んで [次へ] をクリックします。

    DLP ポリシーを作成する前に、影響を評価し、有効性をテストしながら、段階的に展開することを検討してから、完全に適用する必要があります。たとえば、ユーザーが仕事のために必要な大量のドキュメントへのアクセスが、新しい DLP ポリシーによって想定外にブロックされてしまっては困ります。

    大きな影響を及ぼす可能性のある DLP ポリシーを作成する場合は、以下の順序で行うことをお勧めします。

    1. ポリシー ヒントなしのテスト モードで開始した後、DLP レポートを使用して影響を評価します。DLP レポートを使用すると、ポリシー一致の回数、場所、種類、および重要度を把握できます。その結果に基づいて、必要に応じてルールを細かく調整できます。テスト モードの DLP ポリシーは、組織の従業員の生産性に影響を与えません。

    2. 通知とポリシー ヒントを有効にしたテスト モードに移行し、コンプライアンス ポリシーについてのユーザーのトレーニングと、適用される予定のルールへの対応準備を開始できるようにします。この段階では、ルールをさらに適切にできるように、誤検知の報告をユーザーに要求できます。

    3. ルールが適用され、コンテンツが保護されるように、ポリシーを有効にします。継続的に DLP レポートおよびインシデント レポートや通知を監視し、結果が意図したものであることを確認します。

    テスト モードを使用してポリシーをオンにするオプション

  17. このポリシーの設定を確認して、[作成] を選びます。

DLP ポリシーを作成して有効にすると、それに含まれる任意のコンテンツ ソース (SharePoint Online サイトや OneDrive for Business アカウントなど) にポリシーが展開され、そのコンテンツにポリシーのルールが自動的に適用されるようになります。

DLP ポリシーの状態を表示する

セキュリティ/コンプライアンス センター の [ポリシー] ページの [データ損失防止] セクションでいつでも DLP ポリシーの状態を見ることができます。ここでは、ポリシーが正常に有効化または無効化されたかどうか、またはポリシーがテスト モードかどうかといった、重要な情報を確認できます。

さまざまな状態とその意味を次に示します。

状態

説明

オンにしています...

ポリシーは、それに含まれるコンテンツ ソースに展開されています。ポリシーは、すべてのソースでまだ適用されていません。

テスト中、通知あり

ポリシーはテスト モードです。ルール内のアクションは適用されませんが、ポリシーの一致は収集され、DLP レポートを使用して表示することができます。ポリシーの一致についての通知は、指定した受信者に送信されます。

テスト中、通知なし

ポリシーはテスト モードです。ルール内のアクションは適用されませんが、ポリシーの一致は収集され、DLP レポートを使用して表示することができます。ポリシーの一致についての通知は、指定した受信者に送信されません。

オン

ポリシーはアクティブであり、適用されています。ポリシーは、すべてのコンテンツ ソースに正常に展開されました。

オフにしています...

ポリシーは、それに含まれるコンテンツ ソースから削除されています。一部のソースでは、ポリシーがまだアクティブで適用されている可能性があります。ポリシーをオフにするには、最高 45 分かかる場合があります。

オフ

ポリシーはアクティブではなく、適用されていません。ポリシーの設定 (ソース、キーワード、期間など) は保存されています。

削除しています...

ポリシーは削除処理中です。ポリシーはアクティブではなく、適用されていません。

DLP ポリシーをオフにする

いつでも DLP ポリシーを編集してオフにすることができます。ポリシーをオフにすると、ポリシーのすべてのルールが無効になります。

DLP ポリシーを編集またはオフにするには、[ポリシー] ページでポリシーを選び、[ポリシーの編集​​] を選びます。

[ポリシーの編集] ボタン

さらに、前述したように、ポリシーを編集してから、そのルールの [状態] をオフに切り替えることで、各ルールを個別にオフにできます。

詳細情報

注: 機械翻訳についての免責事項: この記事の翻訳はコンピューター システムによって行われており、人間の手は加えられていません。マイクロソフトでは、英語を話さないユーザーがマイクロソフトの製品、サービス、テクノロジに関するコンテンツを理解するのに役立てるため、こうした機械翻訳を提供しています。記事は機械翻訳されているため、用語、構文、文法などに誤りがある場合があります。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×