この機能を使用するには、Chrome Enterprise Premium アドオンが必要です。
データ損失防止(DLP)ルールを備えた Chrome Enterprise Premium を使用すると、Chrome ブラウザと Windows、Mac、Linux、ChromeOS デバイスでのユーザーの操作をモニタリングできます。ファイル内の最大 10 MB のテキスト コンテンツをスキャンして、開かれたデータ、アップロードされたデータ、ダウンロードされたデータ、貼り付けられたデータ、転送されたデータを自動的に検出できます。Chrome Enterprise Premium で DLP ルールを使用すると、社会保障番号やクレジット カード番号などの機密情報を管理できます。
- 始める前に
- ユーザー イベント(トリガー)について
- DLP の条件について
- DLP アクションについて
- データのリージョンを選択する
- OCR を有効にする
- DLP ルールを作成する
- 一般的なユースケース
- アラートを確認、モニタリング、調査する
始める前に
Chrome Enterprise Connectors ポリシーを設定します。手順については、Chrome Enterprise Premium 向け Chrome Enterprise Connectors ポリシーを設定するをご覧ください。
ユーザー イベント(トリガー)について
ルールで検索するコンテンツやコンテキストを定義する前に、スキャン プロセスを開始するユーザー イベントを指定する必要があります。このイベントは、ルール全体のトリガーです。選択したイベントによって、ルールで使用できる [スキャンするコンテンツの種類] のオプションが決まります。
次のいずれかのユーザー イベントを選択できます。
- ファイルをアップロードしました - ユーザーが Chrome ブラウザでデバイスからファイルをアップロードします。
- ファイルをダウンロードしました - ユーザーがファイルをデバイスにダウンロードします。
- コンテンツを貼り付けました - ユーザーがウェブページにコンテンツを貼り付けます。
- コンテンツを印刷しました - ユーザーがウェブページのコンテンツを印刷します。
- URL にアクセスしました - ユーザーが URL にアクセスします。
DLP の条件について
DLP ルールを作成するときに、スキャンするコンテンツまたはアクティビティを定義する条件を指定します。複数の条件を組み合わせて、特定のルールを作成できます。
[スキャンするコンテンツの種類] で選択できるオプションは、スキャンを開始するために選択したユーザー イベントによって異なります。オプションには、[ファイルをアップロードしました]、[ファイルをダウンロードしました]、[コンテンツを貼り付けました]、[コンテンツを印刷しました]、[URL にアクセスしました] などがあります。
| スキャンするコンテンツの種類 | スキャン対象 | 詳細と使用方法 |
|---|---|---|
| すべてのコンテンツ | 事前定義されたデータの種類と一致する | すべてのコンテンツをスキャンして、海外 - メールアドレスや米国 - 社会保障番号などの事前定義されたデータ型に一致する機密情報を検出します。一意または合計の一致の可能性のしきい値と最小値を設定できます。 |
| 本文 |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
ウェブページまたはファイルのメイン テキスト コンテンツ(本文)をスキャンして、特定のテキスト、カスタムリストの単語、正規表現で定義されたパターンをチェックします。 |
| ファイルサイズ |
次より大きい 以下 次と等しい |
比較に基づいてルールをトリガーするファイルサイズのしきい値(バイト単位)を設定します。 |
| ファイル形式 |
システム ファイルのカテゴリと一致 特定の MIME タイプと一致 |
スキャン対象を、画像や実行可能ファイルなどの事前定義されたファイル カテゴリ、または特定の MIME タイプでフィルタします。詳しくは、ファイル カテゴリ別の MIME タイプをご覧ください。 |
| 取得元の Chrome のコンテキスト | Chrome ブラウザに関連する特定の属性 | 内部の Chrome 属性をスキャンして、ブラウザの環境または状態を定義します。このルールは、コンテキストが シークレット モード、クリップボード、その他のプロファイルのいずれかの値の場合に適用されます。 |
| 移行元の URL |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
コンテンツの送信元 URL をスキャンし、特定のテキスト、カスタムリストの単語、パターンが含まれているかをチェックします。 |
| 取得元の URL のカテゴリ |
カテゴリを選択 |
ユーザー イベント(「コンテンツを貼り付けました」など)と連携して、送信元 URL がソーシャル ネットワークやニュースなどの定義済みカテゴリに属するかどうかを確認します。 |
| タイトル |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
アクションに関連するウェブページまたはドキュメントのタイトルをスキャンして、特定のテキスト、カスタムリストの単語、パターンをチェックします。 |
| URL |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
アクションに関連する URL をスキャンして、特定のテキスト、カスタムリストの単語、パターンをチェックします。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
| URL のカテゴリ | カテゴリを選択 | アクションに関連する URL が、ソーシャル ネットワーク、ゲーム、ギャンブルなどの定義済みカテゴリに属するかどうかを確認します。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
注: [アクセスした URL] トリガーは、埋め込み iframe 内の URL や対応するカテゴリをスキャンしません。
DLP アクションについて
条件が満たされた場合、ルールで次のいずれかのアクションを適用できます。
| アクション(Chrome ブラウザと ChromeOS の場合) | 説明 | オプションの設定 |
|---|---|---|
| ブロック | ユーザーがファイルのアップロードなどの操作を完了できないようにします。ユーザーにエラー メッセージまたはカスタム メッセージが表示されます。 | メッセージをカスタマイズする: アクションがブロックされた理由を説明するカスタム メッセージ(最大 300 文字、ハイパーリンクをサポート)をユーザーに表示します。 |
| 許可して警告を表示 | 警告メッセージの後にユーザーが続行できるようにします。ユーザーが続行を選択した場合、その選択はログイベントに記録されます。 |
メッセージをカスタマイズする: カスタム警告メッセージを表示します。 ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
| 監査のみ | ユーザーは中断することなく続行でき、イベントはレビュー用に記録されます。 |
ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
重要: [ファイルをアップロードしました] と [コンテンツを貼り付けました] のユーザー イベントでは、ブロックの動作は Chrome Enterprise Connectors ポリシーの [ファイルのアップロードを遅らせる] と [テキストの入力を遅らせる] の設定によって異なります。詳しくは、アップロード コンテンツの分析とテキスト コンテンツの一括分析をご覧ください。
データのリージョンを選択する
DLP とマルウェア スキャンは、特定のリージョン(米国やヨーロッパなど)に保存できます。多くのコンプライアンス契約で要件となっているデータ所在地を実現するために、リージョンを選択できます。詳しくは、データの地理的なリージョンを選択するをご覧ください。
OCR を有効にする
Chrome でファイルや PDF 内の画像に機密コンテンツが含まれていないかどうかをスキャンするには、光学式文字認識(OCR)をオンにする必要があります。OCR は、アップロード、ダウンロード、印刷された BMP、GIF、JPEG、PNG、TIF ファイルをスキャンします。OCR をオンにすると、すべての DLP ルールに適用されます。特定のルールに個別に OCR を適用することはできません。
OCR をオンにするには:
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [データ保護の設定] に移動し、[光学式文字認識(OCR)] をクリックします。
- [Google Chrome の場合] をオンにします。
- [保存] をクリックします。
DLP ルールを作成する
OCR を有効にして、ルールの条件とアクションを決定したら、DLP ルールを作成します。詳細については、DLP ルールを作成するをご覧ください。
一般的なユースケース
次の表に、ユーザー イベント(トリガー)、条件(チェック対象)、特定のアクション(適用)を組み合わせて DLP ポリシーを定義する方法の例を示します。この表を使用するには、次の操作を行う必要があります。
- ユーザー イベントを選択します。
- 条件値を対応するオプションにマッピングします。
- アクションを選択します。
| ユースケース | ユーザー イベント | 条件 | アクション |
| Google ドライブからのファイルのダウンロードをブロックする | ファイルをダウンロードしました |
コンテンツの種類: URL* 一致: テキスト文字列を含む 値: drive.google.com |
ブロック |
| ダウンロードしたファイルに 30 個を超えるメールアドレスが含まれている場合にユーザーに警告する | ファイルをダウンロードしました |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 海外 - メールアドレス、中程度の可能性、一意に一致するテキストの最小数: 30 |
許可して警告を表示 |
| ソーシャル メディア サイトへのファイルのアップロードをブロックする | ファイルのアップロード |
コンテンツの種類: URL カテゴリ 一致: カテゴリを選択します 値: ソーシャル ネットワーク |
ブロック |
| 10 KB を超える画像ファイルのダウンロードをブロックする | ファイルをダウンロードしました |
条件 1: ファイルサイズ 一致: 次より大きい 値: 10,000 バイト かつ 条件 2: ファイル形式 一致: システム ファイルのカテゴリと一致 値: 画像 |
ブロック |
| ChromeOS のファイルで米国の社会保障番号が転送されたインスタンスをログに記録する | ファイル転送 |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 米国 - 社会保障番号、可能性: 中、一意に一致するテキストの最小数: 1、最小一致数: 1 |
監査のみ |
| Gmail(mail.google.com)からコピーしたコンテンツのユーザーによる貼り付けをブロックする | コンテンツを貼り付けました |
コンテンツの種類: ソース URL* 一致: テキスト文字列を含む 値: mail.google.com |
ブロック |
| ユーザーが指定された機密性の高いウェブサイトにアクセスしたときに、透かしを適用する、またはスクリーンショットを制限する | アクセスした URL |
コンテンツの種類: URL* または URL のカテゴリ 一致: 適切な一致を選択します 値: 特定のセンシティブな URL またはカテゴリ |
許可して警告を表示 / 監査のみ([透かしを追加] および / または [スクリーンショットを制限] が選択されている場合) |
アラートを確認、モニタリング、調査する
DLP ルールを作成した後、Chrome ブラウザでのデータのアップロードやダウンロード、コピーして貼り付けなどのユーザー操作を確認できます。次の手順を行います。
- セキュリティ ダッシュボードでレポートを表示します。Chrome Enterprise Premium に関連するレポートには、次のものがあります。
- Chrome の脅威対策に関する概要レポート
- Chrome のデータ保護に関する概要レポート
- リスクの高い Chrome ユーザー レポート
- リスクの高い Chrome ドメイン レポート
- 詳しくは、セキュリティ ダッシュボードを使用するをご覧ください。
- セキュリティ調査ツールを使用して、データ共有のインシデントを示すアラートを調査します。詳しくは、セキュリティ調査ツールについてをご確認ください。
- ルールのログのイベントでインシデントの詳細を表示します。
- DLP ルール違反を調査して、実際のインシデントか誤検出かを判断します。詳しくは、DLP ルールをトリガーするコンテンツを表示するをご覧ください。