データ損失防止ポリシーの概要

組織がビジネス標準および業界の規制に準拠するには、機密性の高い情報を保護し、不注意による漏洩を防止する必要があります。組織外への漏洩を防ぐ必要がある機密情報の例には、クレジット カード番号、社会保障番号、健康記録などの財務データや個人を特定できる情報 (PII) が含まれます。Office 365 セキュリティ/コンプライアンス センター のデータ損失防止 (DLP) ポリシーでは、Office 365 全体の機密情報を特定、監視、または自動的に保護することができます。

DLP ポリシーでは次のことが可能です。

  • Exchange Online、SharePoint Online、OneDrive for Business など、複数の場所にわたって機密情報を特定します。

    たとえば、OneDrive for Business サイトに保存されているクレジット カード番号を含むドキュメントを識別したり、特定のユーザーの OneDrive サイトだけを監視したりできます。

  • 機密情報が誤って共有されるのを防ぎます

    たとえば、組織外のユーザーと共有されている健康記録を含むドキュメントやメールを識別し、そのドキュメントへのアクセスやメールが送信されるのを自動的にブロックできます。

  • デスクトップ バージョンの Excel 2016、PowerPoint 2016、Word 2016 で機密情報を監視して保護します。

    Exchange Online、SharePoint Online、OneDrive for Business と同じように、これらの Office 2016 デスクトップ プログラムにも機密情報を特定して DLP ポリシーを適用する同じ機能が含まれています。DLP は、ユーザーがこれらの Office 2016 プログラムでコンテンツを共有するときに、連続的な監視を提供します。

  • ワークフローを中断することなく準拠を維持する方法をユーザーが理解するのを助けます。

    DLP ポリシーについてユーザーを教育し、作業を妨げることなく準拠を維持できるようにします。たとえば、ユーザーが機密情報を含むドキュメントを共有しようとした場合、DLP ポリシーは、メール通知をユーザーに送信すると共に、業務上の妥当性がある場合にはポリシーを無効にできるドキュメント ライブラリのコンテキストでポリシー ヒントを表示することができます。同じポリシー ヒントが、Outlook on the web、Outlook 2013 以降、Excel 2016、PowerPoint 2016、Word 2016 でも表示されます。

  • 組織の DLP ポリシーと一致する内容の DLP レポートを表示します。

    DLP ポリシーへの組織の準拠状態を評価するには、各ポリシーやルールへの一致数の時間経過による変化を見ることができます。DLP ポリシーでポリシー ヒントの上書きおよび誤検知の報告がユーザーに許可されている場合は、ユーザーが報告した内容を確認することもできます。

Office 365 セキュリティ/コンプライアンス センターの [データ損失防止] ページで、DLP ポリシーを作成して管理します。

Office 365 セキュリティ/コンプライアンス センターの [データ損失防止] ページ

目次

DLP ポリシーに含まれるもの

DLP ポリシーにはいくつかの基本事項が含まれます。

  • コンテンツの保護対象場所 – Exchange Online サイト、SharePoint Online サイト、OneDrive for Business サイトなどの場所

  • ルールを適用することによってコンテンツを保護する場合と方法は、次のもので構成されます。

    • ルールを適用する前にコンテンツが一致する必要のある条件。たとえば、組織外のユーザーと共有されている社会保障番号を含むコンテンツのみを探します。

    • 条件に一致するコンテンツが検出されたときにルールが自動的に実行するアクション。たとえば、ドキュメントへのアクセスをブロックして、ユーザーとコンプライアンス責任者に通知メールを送信します。

ルールを使用して特定の保護要件を満たし、DLP ポリシーを使用して一般的な保護要件をグループ化できます (たとえば、特定の規制に準拠する必要のあるすべてのルール)。

たとえば、医療保険の携行性と責任に関する法律 (HIPAA) の適用対象となる情報の存在を検出するのに役立つ DLP ポリシーを作成できます。この DLP ポリシーは、すべての SharePoint Online サイトとすべての OneDrive for Business サイトで (場所)、この機密情報を含み、外部ユーザーと共有されているすべてのドキュメントを検索し (条件)、ドキュメントへのアクセスをブロックして通知を送信することにより (アクション)、HIPAA のデータ (対象) を保護します。これらの要件は、個別のルールとして保存され、簡単に管理およびレポートできるように DLP ポリシーとしてグループ化されます。

場所とルールを含む DLP ポリシーを示す図

場所

DLP ポリシーは、Office 365 全体で機密情報を検出して保護できます。機密情報が Exchange Online、SharePoint Online、または OneDrive for Business のいずれに置かれていてもかまいません。すべての SharePoint サイトまたは OneDrive アカウント、特定のサイトまたはアカウント、またはすべてのメールボックスを簡単に選択して保護できます。特定のユーザーのメールボックスだけを選択することはまだできません。

DLP ポリシーを適用できる場所のオプション

ルール

ルールは、組織のコンテンツにビジネス要件を適用します。ポリシーには 1 つまたは複数のルールが含まれ、各ルールは条件とアクションで構成されています。各ルールの条件が満たされると、アクションが自動的に実行されます。ルールは、各ポリシー内で最優先のルールから始まって、順番に実行されます。

また、ルールには、コンテンツがルールに一致したことをユーザー (ポリシー ヒントとメール通知を持つ) と管理者 (メール インシデント レポートを持つ) に通知するオプションも用意されています。

ここでは、ルールの構成要素をそれぞれ詳しく説明します。

DLP ルール エディターのセクション

条件

条件は、探す情報の種類およびアクションをいつ実行するかを決定するので重要です。たとえば、パスポート番号を含むコンテンツは、コンテンツに含まれる番号が 10 個より多く組織外のユーザーと共有されている場合以外は無視する、といった条件を作成できます。

条件は、探す機密情報の種類などの内容と、ドキュメントが共有されているユーザーなどのコンテキストに、注目します。条件を使用して、異なるリスク レベルに異なるアクションを割り当てることができます。たとえば、組織内で共有されている機密コンテンツは、組織外のユーザーと共有されている機密コンテンツよりリスク レベルが低く、必要なアクションを少なくする、といったことができます。

使用できる DLP 条件の一覧

現在使用可能な条件では、以下のことを判定できます。

  • コンテンツに機密情報が含まれている。

  • コンテンツにラベルが含まれている。詳細については、以下の「DLP ポリシーでラベルを条件として使用する」セクションを参照してください。

  • コンテンツが、組織外または組織内のユーザーと共有されている。

機密情報の種類

DLP ポリシーで保護できる機密情報は、機密情報の種類として定義されています。Office 365 には、クレジット カード番号、銀行口座番号、国内 ID 番号、パスポート番号など、さまざまな分野の一般的な機密情報の種類の定義が数多く含まれていて、すぐに使用できます。

使用可能な機密情報の種類の一覧

DLP ポリシーは、たとえば、クレジット カード番号などの機密情報の種類を検索するとき、16 桁の数字を単純に探すのではありません。各機密情報の種類は、以下の項目の組み合わせを使用して定義および検出されます。

  • キーワード

  • チェックサムや構成を検証するための内部関数

  • パターンの一致を検出するための正規表現の評価

  • その他の内容調査

これにより、DLP の検出は高い精度を達成でき、ユーザーの作業を中断する可能性のある誤検知が減ります。

アクション

コンテンツがルールの条件と一致したら、アクションを適用してコンテンツを自動的に保護できます。

使用可能な DLP アクションの一覧

現在は次のようなアクションを使用できます。

  • コンテンツへのアクセスの制限 サイト コンテンツについて、プライマリ サイト コレクション管理者、ドキュメントの所有者、ドキュメントを最後に変更したユーザーを除くすべてのユーザーによるドキュメントへのアクセス許可が制限されます。除外されるユーザーは、ドキュメントからの機密情報の削除や、他の修正操作を実行できます。ドキュメントが準拠しているときは、元のアクセス許可が自動的に復元されます。ドキュメントへのアクセスがブロックされているときは、サイトのライブラリでドキュメントに特別なポリシー ヒント アイコンが表示されます。

    ドキュメントへのアクセスがブロックされていることを示すポリシー ヒント。

    メール コンテンツの場合は、このアクションによりメッセージの送信がブロックされます。DLP ルールの構成方法によっては、NDR または (ルールで通知が使用されている場合) ポリシー ヒント、および/またはメール通知が送信者に表示されます。

    メッセージから権限を持たない受信者を削除する必要があることを示す警告

ユーザー通知とユーザーによる上書き

ユーザー通知とユーザーによる上書きを使用して、DLP ポリシーについてユーザーを教育し、作業を妨げることなく準拠を維持できるようにします。たとえば、ユーザーが機密情報を含むドキュメントを共有しようとした場合、DLP ポリシーは、メール通知をユーザーに送信すると共に、業務上の妥当性がある場合にはポリシーを無効にできるドキュメント ライブラリのコンテキストでポリシー ヒントを表示することができます。

DLP ルール エディターのユーザー通知とユーザーによる上書きのセクション

コンテンツを送信したユーザー、コンテンツを共有しているユーザー、または最後にコンテンツを変更したユーザーにメールで通知することができ、サイト コンテンツについては、主要なサイト コレクション管理者とドキュメントの所有者も含めることができます。さらに、メール通知から選択したユーザーを追加または削除することができます。

次の場合、メール通知の送信に加えて、ユーザー通知にはポリシー ヒントも表示されます。

  • Outlook 2013 以降、Outlook on the web。

  • SharePoint Online サイトまたは OneDrive for Business サイト上のドキュメント。

  • DLP ポリシーに含まれるサイトにドキュメントが格納されている場合に、Excel 2016、PowerPoint 2016、Word 2016。

メール通知およびポリシー ヒントでは、コンテンツが DLP ポリシーに違反している理由が説明されています。設定によっては、ユーザーが誤検知を報告するか業務上の妥当性を示すことによってルールを無効にすることを、メール通知およびポリシー ヒントで許可できます。これは、DLP ポリシーについてユーザーを教育し、ユーザーの仕事を妨げることなく DLP ポリシーを適用するのに役立ちます。無効化および誤検知に関する情報は、レポート用に記録され (後の DLP レポートの詳細を参照)、インシデント レポート (次のセクションを参照) にも含まれるので、法令遵守責任者は定期的にこの情報を確認できます。

OneDrive for Business アカウントにおけるポリシー ヒントの表示内容を示します。

OneDrive アカウントでのドキュメントのポリシー ヒント

インシデント レポート

ルールに一致するコンテンツがあった場合は、法令遵守責任者 (または選択した任意のユーザー) にインシデント レポートを送ってイベントの詳細を伝えることができます。インシデント レポートには、一致したアイテム、ルールに一致した実際のコンテンツ、最後にコンテンツを変更したユーザー名に関する情報が含まれます。メール メッセージの場合、レポートには添付ファイルとして、DLP ポリシーに適合する元のメッセージも含まれます。

インシデント レポートを構成するためのページ

グループ化と論理演算子

多くの場合、DLP ポリシーには、米国の社会保障番号が含まれているすべてのコンテンツを特定することなど、単純な要件が含まれています。ただし、DLP ポリシーによって、より大まかに定義されたデータを特定する必要が生じる場合があります。

たとえば、米国の健康保険法 (HIPAA) の適用対象のコンテンツを特定するには、次のものを検索する必要があります。

  • 特定の種類の機密情報 (社会保障番号や麻薬取締局 (DEA) 番号など) を含んでいるコンテンツ。

    および

  • 特定がより難しいコンテンツ (患者の治療に関する通信記録や提供された医療サービスの説明など)。このようなコンテンツを特定するには、国際疾病分類 (ICD-9-CM または ICD-10-CM) などの非常に大きいキーワード リストからキーワードを検索する必要があります。

このような大まかに定義されたデータを簡単に特定するには、グループ化と論理演算子 (AND、OR) を使用できます。DLP ポリシーを作成するときに、次のことができます。

  • 機密情報の種類をグループ化する。

  • グループ内の機密情報の種類の間、およびグループ自体の間で使用する論理演算子を選択する。

グループ内の演算子を選択する

グループ内では、コンテンツがルールに一致するためにそのグループが満たす必要のある条件が、そのグループ内のいずれかの条件なのか、すべての条件なのかを選択できます。

グループ内の演算子を表示するグループ

グループを追加する

独自の条件とグループ内で演算子を持つことができるグループをすばやく追加することができます。

[グループの追加] ボタン

グループ間の演算子を選択する

グループ間では、コンテンツがルールに一致するためにそのグループが満たす必要のある条件が、1 つのグループの条件のみなのか、すべてのグループの条件なのかを選択できます。

たとえば、米国 HIPAA の組み込みポリシーには、次を含むコンテンツを特定するために、グループ間で AND 演算子を使用するルールがあります。

  • PII 識別子 グループ (少なくとも 1 つの SSN 番号または DEA 番号)

    AND

  • 医学用語グループ (少なくとも 1 つの ICD-9-CM キーワードまたは ICD-10-CM キーワード)

グループ間の演算子を表示するグループ

処理するルールの優先度

ポリシーでルールを作成すると、作成した順の優先度が各ルールに割り当てられます。つまり、最初に作成したルールの優先度が最も高くなり、2 番目に作成したルールの優先度は 2 番目になります。ルールを作成した後に、優先度を変更することはできません。ルールを削除するか、作成し直す必要があります。

優先度順のルール

内容がルールに対して評価されるときに、ルールは優先度順に処理されます。内容が複数のルールに一致する場合、ルールは優先度順に処理され、最も制限が厳しい操作が適用されます。たとえば、内容が以下のすべてのルールに一致する場合、最も優先度が高く、制限が厳しいルール 3 が適用されます。

  • ルール 1: ユーザーに通知のみを行う

  • ルール 2: ユーザーに通知する、アクセスを制限する、ユーザーによる上書きを許可する

  • ルール 3: ユーザーに通知する、アクセスを制限する、ユーザーによる上書きを許可しない

  • ルール 4: ユーザーに通知のみを行う

  • ルール 5: アクセスを制限する

  • ルール 6: ユーザーに通知する、アクセスを制限する、ユーザーによる上書きを許可しない

この例では、最も制限が厳しいルールのみが適用された場合でも、すべてのルールに一致するものは監査ログに記録され、DLP レポートに表示されます。

ポリシー ヒントについては、次の点に注意してください。

  • 最も優先度が高く、最も制限が厳しいルールのポリシー ヒントのみが表示されます。たとえば、単に通知を送信するルールのポリシー ヒントよりも、コンテンツへのアクセスを禁止するルールのポリシー ヒントの方が優先して表示されます。これにより、ポリシー ヒントがカスケード表示されるのを防止します。

  • 最も制限の厳しいルールでユーザーにルールを上書きすることを許可している場合は、このルールを上書きすることで、コンテンツに一致した他のルールもすべて上書きされます。

一致の難易度を上下するためにルールを調整する

DLP ポリシーを作成して有効にすると、次の問題が発生する可能性があります。

  • 機密情報ではない大量の内容がルールと一致します。つまり、多数の誤検知が発生します。

  • 機密情報である内容がほとんどルールと一致しません。つまり、機密情報に対して保護アクションが適用されません。

このような問題に対処するには、インスタンス数と一致精度を変更して内容がルールに一致する難易度を上下させて、ルールを調整します。ルールに使用される各機密情報の種類には、インスタンス数と一致精度の両方があります。

インスタンス数

インスタンス数とは、内容がルールに一致すると評価される各機密情報の種類の出現回数です。たとえば、1 から 9 の米国または英国の一意のパスポート番号が識別された場合、内容は以下のルールと一致すると評価されます。

インスタンス数では、機密情報の種類とキーワードの一意の一致のみがカウントされます。たとえば、メールの中に同じクレジット カード番号が 10 回出現する場合、その 10 回の出現は、クレジット カード番号の 1 つのインスタンスとしてカウントされます。

インスタンス数を使用してルールを調整する方法は簡単です。

  • ルールに簡単に一致するようにするには、[最小] 数を減らし、[最大] 数を増やします。また、[最大] の数値を削除して [すべて] に設定することもできます。

  • ルールに簡単に一致しないようにするには、[最小] 数を増やします。

通常、ユーザー通知の送信など、制限の緩いアクションは、少ないインスタンス数 (たとえば 1 から 9) のルールで使用します。また、ユーザーによる上書きを許可しないようにコンテンツへのアクセスを制限するなど、制限の厳しいアクションは、高いインスタンス数 (たとえば 10 からすべて) のルールで使用します。

ルール エディターのインスタンス数

一致精度

前述のように、機密情報の種類の定義と検出には、さまざまな種類の証拠を組み合わせて使用します。一般的に、機密情報の種類はそのような複数の組み合わせ (パターンと呼ばれます) で定義されます。必要な証拠が少ないパターンは一致精度 (信頼度) が低く、必要な証拠が多いパターンは一致精度 (信頼度) が高くなります。各機密情報の種類に使用される実際のパターンと信頼度の詳細については、「機密情報の種類で検索される情報」を参照してください。

たとえば、クレジット カード番号という機密情報の種類は次の 2 つのパターンで定義されます。

  • 必要な信頼度が 65% のパターン:

    • クレジット カード番号の形式の番号。

    • チェックサムに合格する番号。

  • 必要な信頼度が 85% のパターン:

    • クレジット カード番号の形式の番号。

    • チェックサムに合格する番号。

    • 適切な形式のキーワードまたは有効期限。

ルールにはこれらの信頼度 (または一致精度) を使用できます。通常、ユーザー通知の送信など、制限の緩いアクションは、低い一致精度のルールで使用します。また、ユーザーによる上書きを許可しないようにコンテンツへのアクセスを制限するなど、制限の厳しいアクションは、高い一致精度のルールで使用します。

クレジット カード番号など、内容に含まれる各機密情報の種類が識別された場合、1 つの信頼度のみが返されることを理解する必要があります。

  • すべての一致が 1 つのパターンの場合、そのパターンの信頼度が返されます。

  • 複数のパターンについて一致がある場合 (つまり、2 つの信頼度の一致がある場合)、他のパターンよりも高い信頼度のみが返されます。この点に注意する必要があります。たとえばクレジット カードの場合、65% のパターンと 85% のパターンの両方に一致する場合、証拠が多いほど信頼度が高くなるので、その機密情報の種類について返される信頼度は 90% を超えます。

そのため、クレジット カードについて相互排他的な 2 つのルールを作成し、65% の一致精度のルールと 85% の一致精度のルールである場合、一致精度の範囲は次のようになります。最初のルールでは、65% のパターンの一致のみが選択されます。2 つ目のルールでは、少なくとも 1 つの 85% のパターンの一致が選択され、他の低い信頼度の一致が選択される可能性があります。

一致精度の範囲が異なる 2 つのルール

以上の理由から、一致精度が異なる複数のルールを作成する場合は次のようにすることをお勧めします。

  • 通常、最も低い信頼度では、[最小] と [最大] に (範囲ではなく) 同じ値を使用します。

  • 通常、最も高い信頼度は、下位の信頼度のすぐ上の値から 100 の範囲にします。

  • 通常、範囲の信頼度を設定する場合、下位の信頼度のすぐ上の値から、上位の信頼度のすぐ下の値までの範囲にします。

DLP ポリシーでラベルを条件として使用する

ラベルを作成すると、次のことを実行できます。

  • エンド ユーザーがラベルを確認したりコンテンツに手動で適用したりできるように、ラベルを発行します。

  • 選択した条件に一致するコンテンツにラベルを自動適用します。

ラベルの詳細については、「ラベルの概要」を参照してください。

ラベルを作成した後は、DLP ポリシーでそのラベルを条件として使用できます。たとえば、次のような場合があります。

  • 社外秘というラベルを発行して、組織内のユーザーが社外秘のメールとドキュメントにラベルを手動で適用できるようにした。DLP ポリシーでこのラベルを条件として使用して、社外秘というラベルが付いたコンテンツを組織外のユーザーと共有できないように制限できます。

  • Alpine House というラベルをその名前のプロジェクト用に作成して、キーワード "Alpine House" を含むコンテンツにそのラベルを自動的に適用した。DLP ポリシーでこのラベルを条件として使用して、エンド ユーザーが組織外のユーザーとこのコンテンツを共有しようとしたときにポリシーのヒントを表示できます。

  • 納税記録というラベルを発行して、納税記録に分類する必要があるコンテンツに納税記録管理者がそのラベルを手動で適用できるようにした。DLP ポリシーでこのラベルを条件として使用して、ITIN や SSN といった他の種類の機密性の高い情報と共にこのラベルの付いたコンテンツを検索したり、納税記録というラベルが付いたコンテンツに保護アクションを適用したり、DLP レポートと監査ログ データから DLP ポリシーに関する詳細なアクティビティ レポートを取得したりできます。

  • 役員リーダー – 機密というラベルを役員グループの Exchange メールボックスと OneDrive アカウントに発行した。DLP ポリシーでこのラベルを条件として使用して、コンテンツとユーザーの同じサブセットに保持アクションと保護アクションの両方を適用できます。

DLP ルールでラベルを条件として使用して、特定のコンテンツ、場所、ユーザーに保護アクションを適用できます。

条件としてのラベル

この機能と他の機能の関連

機密情報を含むコンテンツには複数の機能を適用することができます。

  • ラベルの自動適用保持ポリシーは、このコンテンツに保持アクションを適用できます。

  • DLP ポリシーは、このコンテンツに保護アクションを適用できます。ただし、これらのアクションを適用する前に、DLP ポリシーにはラベルを含むコンテンツ以外にも一致する条件が必要です。

機密情報に適用できる機能の図

DLP ポリシーには、機密情報に適用されるラベルや保持ポリシーよりも機能性の高い検出機能があることに注意してください。DLP ポリシーは、機密情報を含むコンテンツに保護アクションを適用できます。コンテンツから機密情報を削除すると、次回コンテンツがスキャンされたときにそれらの保護アクションは取り消されます。ただし、機密情報を含むコンテンツに保持ポリシーまたはラベルが適用されている場合は、機密情報が削除された場合でも取り消されない 1 回限りのアクションになります。

DLP ポリシーでラベルを条件として使用すると、そのラベルのコンテンツに保持アクションと保護アクションの両方を適用できます。ラベルを含むコンテンツは機密情報を含むコンテンツとまったく同じように考えることができます。ラベルと機密情報の種類は両方とも、コンテンツの分類に使用されるプロパティです。このため、そのコンテンツにアクションを適用できます。

条件としてラベルを使用する DLP ポリシーの図

簡易設定と詳細設定

DLP ポリシーを作成するときは、次の簡易設定または詳細設定のどちらかを選択します。

  • 簡易設定: ルール エディターを使ってルールを作成または変更することなく、最も一般的な種類の DLP ポリシーを簡単に作成できます。

  • 詳細設定: ルール エディターを使って DLP ポリシーのすべての設定を完全に制御できます。

見た目ではわかりませんが、条件とアクションで構成されるルールを適用することで、簡易設定と詳細設定はまったく同じように機能するのでご安心ください。簡易設定を使用する場合のみ、ルール エディターが表示されません。これにより、DLP ポリシーを簡単に作成できます。

簡易設定

最も一般的な DLP のシナリオでは、ポリシーを作成して機密情報を含むコンテンツが組織外のユーザーと共有されるのを防ぎ、コンテンツにアクセス可能なユーザーを制限するなどの自動修復アクションを実行し、エンドユーザーや管理者に通知を送信し、後の調査のためにイベントを監査しています。ユーザーは、不注意による機密情報の漏洩を防ぐために DLP を使用します。

この目標を容易に達成するために、DLP ポリシーの作成時に [簡易設定を使用] を選択することができます。簡易設定では、ルール エディターに移動することなく、最も一般的な DLP ポリシーを実装するのに必要なすべてのものが提供されます。

簡易設定と詳細設定用の DLP オプション

詳細設定

よりカスタマイズされた DLP ポリシーを作成する必要がある場合は、[詳細設定を使用] を選択できます。

詳細設定では、ルール エディターが表示され、そこで各ルールのインスタンス数や一致精度 (信頼度) を含む、利用可能なオプションすべてを完全に制御できます。

セクションにすばやく移動するには、ルール エディターの上部のナビゲーションの項目をクリックして、下のセクションに移動します。

DLP ルール エディターの上部のナビゲーション メニュー

DLP ポリシー テンプレート

DLP ポリシーを作成する最初の手順は、保護する情報の内容を選択することです。DLP テンプレートを使って開始すると、新しいルール セットを最初から作成し、既定で含める必要のある情報の種類を決定する作業を、省くことができます。その後、これらの要件を追加または変更して、組織の特定の要件を満たすようにルールを微調整できます。

構成済みの DLP ポリシー テンプレートは、HIPAA データ、PCI-DSS データ、Gramm-Leach-Bliley Act データ、またはロケールに固有の個人を特定できる情報 (P.I.) など、特定の種類の機密情報を検出するのに役立ちます。一般的な種類の機密情報を簡単に検出して保護できるように、Office 365 に含まれるポリシー テンプレートには、使用開始時に必要な最も一般的な機密情報の種類が既に含まれています。

米国愛国者法のテンプレートに注目したデータ損失防止ポリシーのテンプレートの一覧

組織には固有の要件があることもあるので、その場合は、[カスタム ポリシー] オプションを選択して、最初から DLP ポリシーを作成することができます。カスタム ポリシーは空であり、既定のルールは含まれていません。

テスト モードでの DLP ポリシーの段階的な展開

DLP ポリシーを作成するときは、完全に適用する前に、影響を評価し、有効性をテストしながら、段階的に展開することを検討する必要があります。たとえば、ユーザーが仕事のために必要な大量のドキュメントへのアクセスが、新しい DLP ポリシーによって想定外にブロックされてしまっては困ります。

大きな影響を及ぼす可能性のある DLP ポリシーを作成する場合は、以下の順序で行うことをお勧めします。

  1. ポリシー ヒントなしのテスト モードで開始した後、DLP レポートとインシデント レポートを使用して影響を評価します。DLP レポートを使用すると、ポリシー一致の回数、場所、種類、および重要度を把握できます。その結果に基づいて、必要に応じてルールを細かく調整できます。テスト モードの DLP ポリシーは、組織の従業員の生産性に影響を与えません。

  2. 通知とポリシー ヒントを有効にしたテスト モードに移行し、コンプライアンス ポリシーについてのユーザーのトレーニングと、適用される予定のルールへの対応準備を開始できるようにします。この段階では、ルールをさらに適切にできるように、誤検知の報告をユーザーに要求できます。

  3. ポリシーの完全な実施を開始し、ルールのアクションが適用されて、コンテンツが保護されるようにします。継続的に DLP レポートおよびインシデント レポートや通知を監視し、結果が意図したものであることを確認します。

テスト モードを使用してポリシーをオンにするオプション

いつでも DLP ポリシーを無効にできます。ポリシーのすべてのルールに反映されます。また、ルール エディターのステータスを切り替えることによって、各ルールを個別に無効にすることもできます。

ポリシーのルールを無効にするためのオプション

DLP レポート

DLP ポリシーを作成して有効にした後は、意図したとおりに動作していて法令遵守に役立っていることを確認する必要があります。DLP レポートを使用すると、DLP ポリシーとルールの一致の数の時間経過による変化や、誤検知と無効化の回数を、すぐに見ることができます。レポートごとに、場所や期間でこれらの一致をフィルター処理したり、さらには特定のポリシー、ルール、アクションで絞り込んだりできます。

DLP レポートを利用すると、ビジネスに関する洞察を得ると共に、以下のことが可能です。

  • 特定の期間に注目して、急増や傾向の理由を理解します。

  • 組織のコンプライアンス ポリシーに違反しているビジネス プロセスを発見します。

  • DLP ポリシーのビジネスへの影響を理解します。

さらに、実行している DLP ポリシーの微調整にも、DLP レポートを使用できます。

セキュリティとコンプライアンス センターのダッシュ ボードのレポート

DLP ポリシーのしくみ

DLP は、(単純なテキスト スキャンだけではなく) 詳細なコンテンツ分析を使用して機密情報を検出します。この詳細なコンテンツ分析では、キーワードの一致、辞書の一致、正規表現、内部関数、および DLP ポリシーに一致するコンテンツを検出するためのその他の方法が使用されます。ごく一部のデータだけが機密とみなされる可能性があります。DLP ポリシーは、該当するデータだけを識別、監視、および自動的に保護することができるので、それ以外のコンテンツで作業するユーザーを妨害したり影響を与えることはありません。

ポリシーは同期される

セキュリティ/コンプライアンス センターで作成された DLP ポリシーは、中央のポリシー ストアに格納された後、次のようなさまざまなコンテンツ ソースに同期されます。

  • Exchange Online、さらに、そこから Outlook on the web および Outlook 2013 以降へ

  • OneDrive for Business サイト

  • SharePoint Online サイト

  • Office 2016 デスクトップ プログラム (Excel 2016、PowerPoint 2016、Word 2016)

ポリシーは、適切な場所に同期された後、コンテンツの評価とアクションの適用を開始します。

OneDrive for Business サイトおよび SharePoint Online サイトでのポリシーの評価

すべての SharePoint Online サイトおよび OneDrive for Business サイトでドキュメントは常に変化しており、作成、編集、共有などがいつでも行われています。つまり、ドキュメントはいつでも競合したり、DLP ポリシーに準拠したりするようになる可能性があります。たとえば、あるユーザーがチーム サイトに機密情報を含まないドキュメントをアップロードし、後で別のユーザーが同じドキュメントを編集して機密情報を追加する、といったことが発生します。

このため、DLP ポリシーはバックグラウンドで頻繁にポリシーとの一致がドキュメントにあるかどうかを調べています。これは非同期的なポリシーの評価と考えることができます。

そのしくみは次のとおりです。ユーザーがサイトにドキュメントを追加したりドキュメントを変更したりすると、検索エンジンによってコンテンツがスキャンされるため、ユーザーが後で検索できるようになります。これと併せて、コンテンツは機密情報に関してスキャンされ、共有されているかどうかが確認されます。見つかった機密情報は、コンプライアンス チームだけがアクセスでき、一般ユーザーはアクセスできないように、検索インデックスに安全に保存されます。有効にした DLP ポリシーはそれぞれバックグラウンドで (非同期に) 実行されるため、ポリシーと一致するコンテンツが頻繁に検索され、不注意によって漏洩されないようにアクションが適用されます。

DLP ポリシーが非同期にコンテンツを評価する方法を示す図

最後に、ドキュメントは DLP ポリシーと一致しないことがありますが、後で DLP ポリシーに準拠するようになることもあります。たとえば、ユーザーがドキュメントにクレジット カード番号を追加した場合、DLP ポリシーによって自動的にドキュメントへのアクセスがブロックされる可能性があります。しかし、ユーザーが後で機密情報を削除すると、次にドキュメントがポリシーに対して評価されたときに、アクション (この場合はブロック) は自動的に取り消されます。

DLP は、インデックスを作成できるすべてのコンテンツを評価します。既定でクロールされるファイルの種類の詳細については、「SharePoint Server 2013 での既定のクロール対象ファイルのファイル名拡張子および解析対象ファイルの種類」を参照してください。

Exchange Online、Outlook 2013 以降、Outlook on the web でのポリシーの評価

Exchange Online を場所として含むポリシーを作成すると、そのポリシーは、Office 365 セキュリティ/コンプライアンス センター から Exchange Online に、さらに Exchange Online から Outlook on the web および Outlook 2013 以降に同期されます。

メッセージが Outlook で作成される場合、作成中のコンテンツは DLP ポリシーに対して評価されるので、ユーザーはポリシー ヒントを確認することができます。さらに、メッセージは、送信された後、通常のメール フローの一部として DLP ポリシー対して評価されるほか、Exchange 管理センターで作成された Exchange トランスポート ルールや DLP ポリシー (詳細については、次のセクションを参照してください) に対しても評価されます。DLP ポリシーは、メッセージと添付ファイルの両方をスキャンします。

Office 2016 デスクトップ プログラムでのポリシーの評価

Excel 2016、PowerPoint 2016、Word 2016 は、SharePoint Online や OneDrive for Business と同じ機能を備えており、機密情報を特定して DLP ポリシーを適用します。これらの Office 2016 プログラムは、中央のポリシー ストアから直接 DLP ポリシーを同期した後、ユーザーが DLP ポリシーに含まれるサイトからドキュメントを開いて作業すると、継続的にコンテンツを DLP ポリシーに照らして評価します。

Office 2016 での DLP ポリシーの評価は、プログラムのパフォーマンスまたはコンテンツに従事するユーザーの生産性に影響しないように設計されています。ドキュメントのサイズが大きい場合、またはコンピューターの負荷が高い場合は、ポリシー ヒントが表示されるまでに数秒かかることがあります。

アクセス許可

DLP ポリシーを作成するコンプライアンス チームのメンバーには、セキュリティ/コンプライアンス センターに対するアクセス許可が必要です。既定では、テナント管理者はこの場所へのアクセス許可を持ち、法令遵守責任者や他のユーザーに対し、テナント管理者のすべてのアクセス許可を付与することなく、セキュリティ/コンプライアンス センターへのアクセスを許可できます。そのためには次のようにすることをお勧めします。

  1. Office 365 でグループを作成して、法令遵守責任者をそれに追加します。

  2. セキュリティ/コンプライアンス センターの [権限] ページで役割グループを作成します。

  3. Office 365 のグループを役割グループに追加します。

詳細については、「Give users access to the Office 365 Security & Compliance Center (Office 365 セキュリティ/コンプライアンス センターへのアクセス権をユーザーに付与する)」を参照してください。

これらのアクセス許可は、DLP ポリシーを作成して適用するためにのみ必要です。ポリシーの適用には、コンテンツへのアクセスは不要です。

DLP コマンドレットの検索

セキュリティ/コンプライアンス センターのほとんどのコマンドレットを使用するには、次のようにする必要があります。

  1. リモート PowerShell を使用して Office 365 セキュリティ/コンプライアンス センターに接続します

  2. Office 365 セキュリティ/コンプライアンス センターのコマンドレットを使用します

ただし、DLP レポートは、Exchange Online を含む Office 365 全体からデータを取り込む必要があります。このため、DLP レポート用のコマンドレットは、Exchange Online PowerShell ではなく セキュリティ/コンプライアンス センター PowerShell のものを使用します。したがって、DLP レポートのコマンドレットを使用するには、次のようにする必要があります。

  1. リモート PowerShell を使用して Exchange Online に接続します

  2. DLP レポート用のいずれかのコマンドレットを使用します。

詳細情報

LinkedIn ラーニングのショート アイコンです。 Office 365 を初めてお使いの場合は
、LinkedIn ラーニングによって提供された Office 365 管理者および IT プロフェッショナル向けの無料のビデオコースをご覧ください。

スキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×