BeyondCorp Threat and Data Protection の機能をご利用いただけるのは、BeyondCorp Enterprise を購入されたお客様に限られます。
BeyondCorp Threat and Data Protection を使用し、データ損失防止(DLP)機能を Chrome に統合することで、アップロードまたはダウンロードされるファイルや、貼り付けまたはドラッグ&ドロップされるコンテンツの機密データ検出機能を実装できます。
この統合を通じて、Chrome ユーザーが共有できるデータ(社会保障番号、クレジット カード番号など)を管理者が管理できるようになります。この機能は、Windows、Mac、Linux の Chrome ブラウザと Chrome オペレーティング システムのみに適用されます。現在のところ、他のプラットフォームではサポートされていません。
BeyondCorp と DLP
DLP と Chrome の統合は、Cloud Platform のセキュリティの一部である BeyondCorp の一連の機能に含まれています。DLP 統合を構成するには、Google Workspace の機能を使用します。
BeyondCorp に含まれている機能:
- Chrome 管理機能の使用
- Chrome コネクタの構成
- Google Workspace セキュリティにおける DLP ルールの構成(後述)
- Chrome によって生成されるセキュリティ イベントのアラートと調査(マルウェアや機密データの検出、フィッシングやソーシャル エンジニアリング、パスワードの再利用など)
BeyondCorp の実装について詳しくは、BeyondCorp Threat and Data Protection で Chrome ユーザーを保護するをご覧ください。
BeyondCorp の DLP を設定する手順
BeyondCorp の DLP 保護機能をすべて実装して使用するには、以下の操作を行う必要があります。
- ステップ 1: Chrome ブラウザの Enterprise Connectors のポリシーを設定します。詳しくは、Google Chrome Enterprise ヘルプの Google BeyondCorp Enterprise 向け Chrome Enterprise Connectors ポリシーを設定するをご覧ください。
- ステップ 2: Google Workspace 管理コンソールでデータ保護ルールを設定します(後述)。
- ステップ 3: アクティビティ アラートを設定します。アラートの種類について詳しくは、アラートの詳細を表示する(Google Workspace 管理者用ヘルプ)をご覧ください。
DLP ルールを作成した後、ユーザーがブラウザでデータのアップロード、ダウンロード、コピーして貼り付けの操作を行うと、イベントがトリガーされます。次のことが可能です。
- セキュリティ ダッシュボードでレポートを表示する。BeyondCorp に関連するレポートは次のとおりです。
- セキュリティ調査ツールを使用して、データ共有のインシデントを示すアラートを調査する。詳しくは、セキュリティ調査ツールについてをご確認ください。
- 監査ログについて詳しくは、ルールの監査ログについての記事をご覧ください。
BeyondCorp と Chrome の統合をサポートする DLP ルールの例
- Chrome の設定で DLP ルールを作成する前に、Chrome Enterprise Connectors のポリシーが、BeyondCorp の機能および DLP との統合をサポートしている最新バージョンであることを確認してください。詳しくは、Google BeyondCorp Enterprise 向け Chrome Enterprise Connectors ポリシーを設定するをご覧ください。
- DLP ルール作成の一般的な手順については、ドライブの新しい DLP ルールとカスタム コンテンツ検出項目を作成するをご覧ください。
DLP と BeyondCorp の統合 - ルールの例
ファイルのダウンロードをブロックする例、複数のアドレスのダウンロードに警告を出す例、複数のアドレスを含む Gmail アップロードをブロックする例を以下に示します。これらの例で使用しているフィールド タイプは URL です。
例 1: drive.google.com からのファイルのダウンロードをブロックするこの例は、ルール設定を使用してファイルのダウンロードをブロックする方法を示しています。この例では、drive.google.com からのダウンロードがブロックされます。
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
[調査ツール]
[ルール]
[メタデータと属性の表示] で設定します。
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
-
管理コンソールのホームページから、[セキュリティ]
[データの保護] に移動します。
- [ルールを管理] をクリックします。[ルールを追加]
[新しいルール] をクリックします。
- ルールの名前と説明を追加します。
- [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するユーザーと Chrome OS を搭載したデバイスに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。
- [続行] をクリックします。[トリガー] で、Chrome の [ファイルをダウンロードしました] を選択します
- [条件] で、[条件を追加] をクリックし、次の値を選択します。
- 項目 - URL
- 値 - 次の語句を含む
- 照合するコンテンツ - drive.google.com
- [続行] をクリックします。[操作] セクションの [Chrome] で、[コンテンツをブロック] を選択します。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
[データの保護]
[ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
- [完了] をクリックします。
選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。
この例では、ルール設定を使用して、特定の条件に基づいてユーザー警告をトリガーする方法を示しています。この例では、30 個を超えるメールアドレスを一度にダウンロードしようとすると、ユーザーに警告が表示されます。
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
[調査ツール]
[ルール]
[メタデータと属性の表示] で設定します。
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
-
管理コンソールのホームページから、[セキュリティ]
[データの保護] に移動します。
- [ルールを管理] をクリックします。[ルールを追加]
[新しいルール] をクリックします。
- ルールの名前と説明を追加します。
- [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するデバイスと Chrome OS のユーザーに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。
- [続行] をクリックします。[トリガー] で、Chrome の [ファイルをダウンロードしました] を選択します
- [条件] で、[条件を追加] をクリックし、次の値を選択します。
- 項目 - すべてのコンテンツ
- 値 - デフォルトの検出項目に一致する
- デフォルトの検出項目 - グローバル - メールアドレス
- 可能性のしきい値 - 可能性はある
- 一意に一致するテキストの最低数 - 1
- 最小一致数 - 30
- [続行] をクリックします。[操作] セクションの [Chrome] で、[ユーザーに警告] を選択します。ルールに違反して警告が表示されても、ユーザーは操作を続行できます。警告後にユーザーが続行を選択した場合、この操作はルール監査ログに記録されます。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
[データの保護]
[ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
- [完了] をクリックします。
選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。
この例は、ルール設定を使用してファイルのアップロードをブロックする方法を示しています。この例では、30 個を超えるメールアドレスをユーザーが一度にアップロードしようとすると、そのアップロードをブロックします。
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
[調査ツール]
[ルール]
[メタデータと属性の表示] で設定します。
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
-
管理コンソールのホームページから、[セキュリティ]
[データの保護] に移動します。
- [ルールを管理] をクリックします。[ルールを追加]
[新しいルール] をクリックします。
- ルールの名前と説明を追加します。
- [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するデバイスと Chrome オペレーティング システムのユーザーに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。
- [続行] をクリックします。[トリガー] で、Chrome の [ファイルがアップロードされました] と [コンテンツをアップロードしました] を選択します。
[ファイルがアップロードされました] トリガーと [コンテンツをアップロードしました] トリガーでは、Google BeyondCorp Enterprise 向け Chrome Enterprise Connectors ポリシーを設定するで説明されている [ファイルのアップロードを遅らせる] の設定によってブロックの動作が異なります。[ファイルのアップロードを遅らせる] が [即時アップロードを許可する] に設定されていると、ファイルはスキャン中にアップロードされます。スキャン中にユーザーがファイルまたはコンテンツをアップロードできないようにするには、[ファイルのアップロードを遅らせる] を [分析が完了するまでアップロードを遅らせる] に設定します。
- [条件] で、[条件を追加] をクリックし、次の値を選択します。
- 項目 - すべてのコンテンツ
- 値 - デフォルトの検出項目に一致する
- デフォルトの検出項目 - グローバル - メールアドレス
- 可能性のしきい値 - 可能性はある
- 一意に一致するテキストの最低数 - 1
- 最小一致数 - 30
- [条件を追加] をクリックします。
- 項目 - URL
- 値 - 次の語句を含む
- 一致するコンテンツ - mail.google.com
- [続行] をクリックします。[操作] セクションの [Chrome] で、[コンテンツをブロック] を選択します。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
[データの保護]
[ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
- [完了] をクリックします。
選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。