BeyondCorp Threat and Data Protection を使用してデータ損失防止(DLP)機能を Chrome に統合する

BeyondCorp を使用して DLP を Chrome に統合する

BeyondCorp Threat and Data Protection の機能をご利用いただけるのは、BeyondCorp Enterprise を購入されたお客様に限られます。

BeyondCorp Threat and Data Protection を使用し、データ損失防止(DLP)機能を Chrome に統合することで、アップロードまたはダウンロードされるファイルや、貼り付けまたはドラッグ&ドロップされるコンテンツの機密データ検出機能を実装できます。

この統合を通じて、Chrome ユーザーが共有できるデータ(社会保障番号、クレジット カード番号など)を管理者が管理できるようになります。この機能は、Windows、Mac、Linux の Chrome ブラウザと Chrome オペレーティング システムのみに適用されます。現在のところ、他のプラットフォームではサポートされていません。

BeyondCorp と DLP

DLP と Chrome の統合は、Cloud Platform のセキュリティの一部である BeyondCorp の一連の機能に含まれています。DLP 統合を構成するには、Google Workspace の機能を使用します。

BeyondCorp に含まれている機能:

  • Chrome 管理機能の使用
  • Chrome コネクタの構成
  • Google Workspace セキュリティにおける DLP ルールの構成(後述)
  • Chrome によって生成されるセキュリティ イベントのアラートと調査(マルウェアや機密データの検出、フィッシングやソーシャル エンジニアリング、パスワードの再利用など)

BeyondCorp の実装について詳しくは、BeyondCorp Threat and Data Protection で Chrome ユーザーを保護するをご覧ください。

BeyondCorp の DLP を設定する手順

BeyondCorp の DLP 保護機能をすべて実装して使用するには、以下の操作を行う必要があります。

DLP ルールを作成した後、ユーザーがブラウザでデータのアップロード、ダウンロード、コピーして貼り付けの操作を行うと、イベントがトリガーされます。次のことが可能です。

BeyondCorp と Chrome の統合をサポートする DLP ルールの例

DLP と BeyondCorp の統合 - ルールの例

ファイルのダウンロードをブロックする例、複数のアドレスのダウンロードに警告を出す例、複数のアドレスを含む Gmail アップロードをブロックする例を以下に示します。これらの例で使用しているフィールド タイプは URL です。

例 1: drive.google.com からのファイルのダウンロードをブロックする

この例は、ルール設定を使用してファイルのダウンロードをブロックする方法を示しています。この例では、drive.google.com からのダウンロードがブロックされます。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページカスタムの管理者の役割を作成するをご覧ください。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [データの保護] に移動します。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [ルールを管理] をクリックします。[ルールを追加] 次に [新しいルール] をクリックします。
  4. ルールの名前と説明を追加します。
  5. [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

    組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するデバイスと Chrome OS のユーザーに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。

  6. [続行] をクリックします。[トリガー] で、Chrome の [ファイルをダウンロードしました] を選択します
  7. [条件] で、[条件を追加] をクリックし、次の値を選択します。
    1. 項目 - URL
    2. - 次の語句を含む
    3. 照合するコンテンツ - drive.google.com
  8. [続行] をクリックします。[操作] セクションの [Chrome] で、[コンテンツをブロック] を選択します。
  9. [続行] をクリックしてルールの詳細を確認します。
  10. [作成] をクリックし、次のいずれかを選択します。
    1. アクティブ - ルールがすぐに適用されます。
    2. 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  11. [完了] をクリックします。
    選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。
例 2: Chrome で 30 個を超えるメールアドレスが含まれるダウンロードが行われた際に警告を出す

この例では、ルール設定を使用して、特定の条件に基づいてユーザー警告をトリガーする方法を示しています。この例では、30 個を超えるメールアドレスを一度にダウンロードしようとすると、ユーザーに警告が表示されます。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページカスタムの管理者の役割を作成するをご覧ください。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [データの保護] に移動します。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [ルールを管理] をクリックします。[ルールを追加] 次に [新しいルール] をクリックします。
  4. ルールの名前と説明を追加します。
  5. [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

    組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するデバイスと Chrome OS のユーザーに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。

  6. [続行] をクリックします。[トリガー] で、Chrome の [ファイルをダウンロードしました] を選択します
  7. [条件] で、[条件を追加] をクリックし、次の値を選択します。
    1. 項目 - すべてのコンテンツ
    2. - デフォルトの検出項目に一致する
    3. デフォルトの検出項目 - グローバル - メールアドレス
    4. 可能性のしきい値 - 可能性はある
    5. 一意に一致するテキストの最低数 - 1
    6. 最小一致数 - 30
  8. [続行] をクリックします。[操作] セクションの [Chrome] で、[ユーザーに警告] を選択します。ルールに違反して警告が表示されても、ユーザーは操作を続行できます。警告後にユーザーが続行を選択した場合、この操作はルール監査ログに記録されます。
  9. [続行] をクリックしてルールの詳細を確認します。
  10. [作成] をクリックし、次のいずれかを選択します。
    1. アクティブ - ルールがすぐに適用されます。
    2. 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  11. [完了] をクリックします。
    選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。
例 3: Chrome で 30 個を超えるメールアドレスが含まれるアップロードが行われた際にブロックする

この例は、ルール設定を使用してファイルのアップロードをブロックする方法を示しています。この例では、30 個を超えるメールアドレスをユーザーが一度にアップロードしようとすると、そのアップロードをブロックします。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページカスタムの管理者の役割を作成するをご覧ください。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないアカウント)でログインしてください。

  2. 管理コンソールのホームページから、[セキュリティ] 次に [データの保護] に移動します。

    [セキュリティ] がホームページに表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. [ルールを管理] をクリックします。[ルールを追加] 次に [新しいルール] をクリックします。
  4. ルールの名前と説明を追加します。
  5. [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

    組織部門には、デバイス、ユーザー、またはデバイスとユーザーの組み合わせを含めることができます。ルールの適用対象は Chrome ブラウザを使用するデバイスと Chrome オペレーティング システムのユーザーに限られます。BeyondCorp 向けの DLP ルールを作成する際は、この点に注意してください。

  6. [続行] をクリックします。[トリガー] で、Chrome の [ファイルがアップロードされました] と [コンテンツをアップロードしました] を選択します。

    [ファイルがアップロードされました] トリガーと [コンテンツをアップロードしました] トリガーでは、Google BeyondCorp Enterprise 向け Chrome Enterprise Connectors ポリシーを設定するで説明されている [ファイルのアップロードを遅らせる] の設定によってブロックの動作が異なります。[ファイルのアップロードを遅らせる] が [即時アップロードを許可する] に設定されていると、ファイルはスキャン中にアップロードされます。スキャン中にユーザーがファイルまたはコンテンツをアップロードできないようにするには、[ファイルのアップロードを遅らせる] を [分析が完了するまでアップロードを遅らせる] に設定します。

  7. [条件] で、[条件を追加] をクリックし、次の値を選択します。
    1. 項目 - すべてのコンテンツ
    2. - デフォルトの検出項目に一致する
    3. デフォルトの検出項目 - グローバル - メールアドレス
    4. 可能性のしきい値 - 可能性はある
    5. 一意に一致するテキストの最低数 - 1
    6. 最小一致数 - 30
    7. [条件を追加] をクリックします。
    8. 項目 - URL
    9. - 次の語句を含む
    10. 一致するコンテンツ - mail.google.com
  8. [続行] をクリックします。[操作] セクションの [Chrome] で、[コンテンツをブロック] を選択します。
  9. [続行] をクリックしてルールの詳細を確認します。
  10. [作成] をクリックし、次のいずれかを選択します。
    1. アクティブ - ルールがすぐに適用されます。
    2. 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  11. [完了] をクリックします。
    選択した組織部門とグループのすべてのユーザー アカウントにルールが適用されるまでには、最長で 24 時間ほどかかることがあります。

関連トピック

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
ヘルプセンターを検索
true
73010
false