SharePoint Server 2016 で DLP クエリを作成する

組織は、会計データや個人を特定できる情報 (PII) などの機密データを保護し、不注意による情報開示を防ぐ必要があります。SharePoint Server 2016 のデータ損失防止 (DLP) を使用すると、組織のサイト コレクション全体から、一般的な業界の規制に関連する機密情報を見つけることができます。

また、DLP クエリを使用して検索結果をプレビューし、クエリを微調整して、結果のエクスポートやダウンロードを行うことができます。DLP クエリを使用すると、機密情報とその場所を確認し、リスクの理解を深め、DLP ポリシーで保護する必要があるコンテンツとその場所を決定することができます。

始める前に

DLP クエリは電子情報開示センターで作成します。電子情報開示センターは、アクセス許可を使用して機密情報を閲覧できるユーザーを制御できるサイト コレクションです。DLP クエリの機能は電子情報開示クエリと同じであり、同じアクセス許可が必要です。

まず電子情報開示センター サイト コレクションを作成し、そのサイト コレクションにユーザーを追加する必要があります。また、機密情報のクエリと閲覧が必要なすべてのサイト コレクションにもユーザーを追加します。

コンプライアンス チーム用のセキュリティ グループを作成し、そのセキュリティ グループに適切なユーザーを追加することをお勧めします。そうすると、個々のユーザーではなく、セキュリティ グループにアクセス許可を付与することができます。

手順 1: 電子情報開示センターを作成する

[サーバーの全体管理] のアクセス許可を持つ管理者が、電子情報開示センター サイト コレクションを作成する必要があります。

  1. [サーバーの全体管理] で、[アプリケーション構成の管理]、[サイト コレクションの作成] の順にクリックします。

  2. [サイト コレクションの作成] ページで、フォームの次のオプションなどを入力します。

    • [テンプレートの選択] の [エンタープライズ] タブで、[電子情報開示センター] テンプレートを選びます。

      [エンタープライズ] タブのサイト コレクション テンプレート

    • プライマリ サイト コレクション管理者と代理のサイト コレクション管理者を入力します。これらの管理者は、次に説明するコンプライアンス ポリシー センター サイト コレクションにユーザーを追加できます。

手順 2:電子情報開示センターにアクセス許可を付与する

サイト コレクション管理者は、電子情報開示センター サイト コレクションの所有者グループにユーザーを追加する必要があります。

  1. 電子情報開示センター サイト コレクションを開き、右上にある [設定] (歯車アイコン)、[サイトの設定] の順に選びます。

  2. [サイトの設定] ページの [ユーザーと権限] で [サイトの権限] を選びます。

  3. [電子情報開示センター所有者] グループを選び、リボンの [アクセス許可の付与] を選び、セキュリティ グループまたはユーザーを入力し、[共有] を選びます。

    所有者グループの [アクセス許可の付与] オプション

手順 3:機密情報が含まれる可能性があるすべてのサイト コレクションへのアクセス許可を付与する

DLP クエリを作成するユーザーも、クエリを実行する必要があるすべてのサイト コレクションに対する所有者アクセス許可が必要です。これは、DLP ポリシーとは異なります。ポリシーの作成と割り当てには、すべてのコンテンツの閲覧またはダウンロードのアクセス許可が必要ないためです。

Web アプリケーション レベルでアクセス許可を付与する方法と、個々のサイト コレクションにアクセス許可を付与する方法という、2 つのオプションがあります。

Web アプリケーション レベルでアクセス許可を付与する

Web アプリケーションとは、作成するサイト コレクションのコンテナーとして動作するインターネット インフォメーション サービス (IIS) Web サイトです。クエリを実行する必要がある機密情報を含むサイト コレクションがある各 Web アプリケーションについて、コンプライアンス チームを含むセキュリティ グループにフル コントロールのアクセス権を与えるユーザー ポリシーを作成することができます。

  1. [サーバーの全体管理] で、[Web アプリケーションの管理] を選びます。

  2. Web アプリケーションを選び、リボンの [ユーザー ポリシー]、[ユーザーの追加] の順に選びます。

  3. [ゾーン] は [(すべてのゾーン)] のままにして、[次へ] を選び、[ユーザー] にセキュリティ グループを入力し、[フル コントロール] アクセス許可を選び、[完了] を選びます。

    [Web アプリケーションのポリシー] ダイアログ

サイト コレクション レベルでアクセス許可を付与する

クエリを実行する必要がある機密情報を含むすべてのサイト コレクションについて、所有者グループにセキュリティ グループを追加します。各サイト コレクションで、次の手順を実行します。

  1. サイト コレクションのトップレベル サイトを開き、右上にある [設定] (歯車アイコン)、[サイトの設定] の順に選びます。

  2. [サイトの設定] ページの [ユーザーと権限] で [サイトの権限] を選びます。

  3. [所有者] グループを選び、リボンの [アクセス許可の付与] を選び、セキュリティ グループまたはユーザーを入力し、[共有] を選びます。

    所有者グループの [アクセス許可の付与] オプション

DLP クエリを作成する

電子情報開示センターを作成し、アクセス許可を設定したら、DLP クエリを作成できます。DLP クエリの機能は電子情報開示クエリと同様なので、使い慣れた方法で利用できます。異なる点は、さまざまな機密情報のインスタンスの最低数を検索する DLP クエリを事前に構成できることです。たとえば、1 つ以上のクレジット カード番号を含む SharePoint コンテンツをすべて検索できます。

  1. 電子情報開示センター サイト コレクションを開き、[DLP クエリの作成] を選びます。

    [DLP クエリの作成] ボタン

  2. [データ損失防止クエリ] の [新しいアイテム] を選びます。

  3. [新しい DLP クエリ] で、次の手順を実行します。

    1. 機密情報を保護する必要がある、一般的な規制要件に対応するテンプレートを選びます。各 DLP テンプレートは、特定の種類の機密情報を特定し、保護するために利用できます。たとえば、米国財務データというテンプレートは、ABA ルーティング番号、クレジット カード番号、米国の銀行口座番号を含むコンテンツを特定します。

    2. 保護アクション (インシデント レポートの送信、ポリシー ヒントの表示、アクセスのブロック) が自動的に実行される前にドキュメントに表示する必要がある、指定した種類の機密情報のインスタンスの最低数を示す数値を入力します

      たとえば、米国財務データ テンプレートを選び、ここに「10」と入力すると、ABA ルーティング番号が 10 個以上、クレジット カード番号が 10 個以上、または米国の銀行口座番号が 10 個以上含まれるドキュメント以外には、アクションは実行されません。この数値は、機密情報の種類ごとの最低数であり、全種類の合計数ではありません。

      最低数オプションがある DLP ポリシー テンプレート

  4. 完了したら、[次へ] を選びます。

  5. 以下の検索ページでは、次の操作を実行できます。

    1. [検索] を選んでクエリを実行します。

    2. [クエリ範囲の変更] を選び、指定したサイトの URL を入力してサイトのクエリを絞り込みます。検索を実行する前に、場所を追加する必要があります。

    3. クエリを手動で変更します。既定では、前のページで選んだ機密情報の種類と最低数がクエリに構成されています。次のデータを手動で変更できます。DLP クエリは、キーワード クエリ言語 (KQL) をサポートしています。

      DLP クエリの構文の詳細については、「サイトに保存されている機密データを検索するクエリを作成する」を参照してください。

      キーワード、演算子、ワイルドカードの使用方法の詳細については、「Searching and using keywords in eDiscovery」(電子情報開示でのキーワードの検索と使用) を参照してください。このトピックは、DLP クエリにも適用されます。

    4. 開始日と終了日を選び、コンテンツの結果をこの日付範囲内に絞り込みます。

    5. 特定の名前を入力して、コンテンツのクエリを特定の作成者に絞り込みます。

    6. 特定の SharePoint のプロパティを選び、クエリを絞り込みます。

    7. 結果をダウンロードし、Excel で分析するには、[エクスポート] を選びます。詳細については、次のセクションを参照してください。

    8. このクエリを後で再実行する場合は、[保存] を選びます。

    9. クエリの検索または結果を保存せずに終了するには、[閉じる] を選びます。

    [新しいクエリ] ページ

DLP クエリの結果をエクスポートする

前のセクションで説明したように、DLP クエリを作成または編集するときに、クエリ結果をエクスポートできます。結果 (コンテンツ自体)、または検索結果の一覧が記載されたレポートをダウンロードできます。レポートは .csv 形式なので、Excel を使用してフィルター処理と並べ替えを行うことができます。

初めてコンテンツをエクスポートするとき、またはレポートを作成するときに、電子情報開示ダウンロード マネージャーがインストールされ、SharePoint コンテンツとレポートがコンピューターにダウンロードされます。電子情報開示レポートをダウンロードする場合、クライアント コンピューターにログオンするときと同じアカウントを使用して、SharePoint にログインする必要があります。ダウンロード マネージャーを実行するかどうかを確認する警告が表示されたら、[実行] を選んで続行します。

電子情報開示ダウンロード マネージャーのセキュリティ警告

コンテンツのエクスポートに使用するコンピューターは、次のシステム要件を満たしている必要があります。

  • 32 ビットまたは 64 ビット版の Windows 7 以降

  • Microsoft .NET Framework 4.5

  • 次のサポートされるブラウザーのいずれか。

    • Internet Explorer 10 以降のバージョン

    • ClickOnce アドインがインストールされた Mozilla Firefox または Google Chrome

SharePoint Results.csv、Exchange Results.csv、Export Errors.csv、Search Results SharePoint Index Errors.csv、Exchange Index Errors.csv というレポートがコンピューター上に作成されます。

DLP クエリの表示または編集

電子情報開示センターの左側のナビゲーション ウィンドウで [データ損失防止クエリ] を選ぶと、既存の DLP クエリと、エクスポートがある場合はその状態が表示されます。DLP クエリを編集するには、クエリ名を選びます。

[データ損失防止クエリ] オプション

詳細情報

Office のスキルを磨く
トレーニングの探索
新機能を最初に入手
Office Insider に参加する

この情報は役に立ちましたか?

ご意見をいただきありがとうございます。

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×