DLP ルールとコンテキストアウェア アクセスの条件を組み合わせる

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。エディションの比較

ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも保有する Cloud Identity Premium ユーザーがご利用いただけます。ドライブの DLP の場合、ライセンスに ドライブのログイベントが含まれている必要があります。

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. Go to Menu  Rules > Create rule > Data protection.

   Requires having the View and Manage DLP rule privileges.

3. ルールの名前と、必要に応じて説明を追加します。
4. [範囲] で、[組織内のすべてのユーザー] を選択するか、ルールの適用先となる組織部門またはグループを検索して、含めるか除外することもできます。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
5. [続行] をクリックします。
6. [アプリ] セクションの [Chrome] で、[ダウンロード済みファイル] チェックボックスをオンにして、[続行] をクリックします。
7. [条件] セクションで、[条件を追加] をクリックし、次のように条件を設定します。
   • [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
   • [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。
     使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
8. [コンテキストの条件] で、[アクセスレベルを選択] をクリックします。
   適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 15 に進みます。
9. [新しいアクセスレベルを作成] をクリックします。
10. 新しいアクセスレベルの名前と、必要に応じて説明を入力します。
11. [コンテキストの条件] セクションで、[条件を追加] をクリックします。
12. [1 つ以上の属性と一致しない（OR）] を選択します。
13. [属性を選択] [IP サブネット] をクリックして、会社のネットワークの IP アドレスを入力します。IP アドレスは、IPv4 アドレスもしくは IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックスである必要があります。
    • プライベート IP アドレスには対応していません（ユーザーのホーム ネットワークを含む）。
    • 静的 IP アドレスに対応しています。
    • 動的 IP アドレスを使用するには、アクセスレベルに静的 IP サブネットを定義する必要があります。動的 IP アドレスの範囲がわかっていて、アクセスレベルで定義された静的 IP アドレスがその範囲に対応している場合は、コンテキスト条件が満たされています。動的 IP アドレスが定義済みの静的 IP サブネット内にない場合、コンテキスト条件は満たされません。
14. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
15. [続行] をクリックします。
16. [操作] ページで、[ChromeOS アクション] として [ブロック] を選択します。
17. （省略可）イベントがルールの条件を満たしたときにアラート通知を送信するには、[アラート] セクションで [アラート センター] チェックボックスをオンにします。
    • （省略可）特権管理者にアラート通知をメールで送信するには、[すべての特権管理者] チェックボックスをオンにします。
    • （省略可）他のユーザーにアラート通知をメールで送信するには、[メールの受信者を追加] をクリックし、1 つ以上のユーザー名またはメールアドレスを追加して、[完了] をクリックします。
18. [続行] をクリックしてルールの詳細を確認します。
19. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ] [アクセスとデータ管理] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
20. [作成] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. Go to Menu  Rules > Create rule > Data protection.

   Requires having the View and Manage DLP rule privileges.

3. ルールの名前と、必要に応じて説明を追加します。
4. [範囲] で、[組織内のすべてのユーザー] を選択するか、ルールの適用先となる組織部門またはグループを検索して、含めるか除外することもできます。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
5. [続行] をクリックします。
6. [アプリ] セクションの [Chrome] で、[ダウンロード済みファイル] チェックボックスをオンにして、[続行] をクリックします。
7. [条件] で、[条件を追加] をクリックします。
8. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
9. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。
   使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
10. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。
    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 18 に進みます。
11. [新しいアクセスレベルを作成] をクリックします。
12. 新しいアクセスレベルの名前と、必要に応じて説明を入力します。
13. [コンテキストの条件] セクションで、[条件を追加] をクリックします。
14. [すべての属性と一致する（AND）] を選択します。
15. [属性を選択] [地域] をクリックし、リストから国を選択します。
16. （省略可）国を追加して、その国からログインするユーザーにルールを適用するには、次の手順を実施します。
    1. [条件を追加] をクリックし、[すべての属性と一致する] を選択します。
    2. [条件] の上部で、[複数の条件を結合] を [OR] に設定します。
17. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
18. [続行] をクリックします。
19. [操作] ページで、[ChromeOS アクション] として [ブロック] を選択します。
    操作は、コンテンツの条件とコンテキストの条件の両方が満たされた場合にのみ適用されます。
20. （省略可）イベントがルールの条件を満たしたときにアラート通知を送信するには、[アラート] セクションで [アラート センター] チェックボックスをオンにします。
    • （省略可）特権管理者にアラート通知をメールで送信するには、[すべての特権管理者] チェックボックスをオンにします。
    • （省略可）他のユーザーにアラート通知をメールで送信するには、[メールの受信者を追加] をクリックし、1 つ以上のユーザー名またはメールアドレスを追加して、[完了] をクリックします。
21. [続行] をクリックしてルールの詳細を確認します。
22. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ] [アクセスとデータ管理] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
23. [作成] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. Go to Menu  Rules > Create rule > Data protection.

   Requires having the View and Manage DLP rule privileges.

3. ルールの名前と、必要に応じて説明を追加します。
4. [範囲] で、[組織内のすべてのユーザー] を選択するか、ルールの適用先となる組織部門またはグループを検索して、含めるか除外することもできます。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
5. [続行] をクリックします。
6. [アプリ] セクションの [Google ドライブ] で、[ドライブ ファイル] チェックボックスをオンにして、[続行] をクリックします。
7. [条件] で、[条件を追加] をクリックします。
8. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
9. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。
   使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
10. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。
    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 17 に進みます。
11. [新しいアクセスレベルを作成] をクリックします。
12. 新しいアクセスレベルの名前と、必要に応じて説明を入力します。
13. [コンテキストの条件] セクションで、[条件を追加] をクリックします。
14. [1 つ以上の属性と一致しない（OR）] を選択します。
15. [属性を選択] [デバイス] [管理者によって承認されている] をクリックします。
16. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
17. [続行] をクリックします。
18. [操作] セクションの [Google ドライブ] で、[操作] をクリックし、[ダウンロード、印刷、コピーを無効にする] [コメント投稿者と閲覧者のみ] を選択します。
    操作が適用されるのは、コンテンツの条件とコンテキストの条件の両方が満たされている場合のみです。
19. （省略可）イベントがルールの条件を満たしたときにアラート通知を送信するには、[アラート] セクションで [アラート センター] チェックボックスをオンにします。
    • （省略可）特権管理者にアラート通知をメールで送信するには、[すべての特権管理者] チェックボックスをオンにします。
    • （省略可）他のユーザーにアラート通知をメールで送信するには、[メールの受信者を追加] をクリックし、1 つ以上のユーザー名またはメールアドレスを追加して、[完了] をクリックします。
20. [続行] をクリックしてルールの詳細を確認します。
21. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ] [アクセスとデータ管理] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
22. [作成] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

この例では、ユーザーが管理対象外のデバイスで Salesforce 管理コンソール（salesforce.com/admin）にアクセスしようとすると、ブロックされます。ユーザーは引き続き Salesforce アプリケーションの他の部分にアクセスできます。

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

1. 管理者アカウントで Google 管理コンソール にログインします。

   管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。

2. Go to Menu  Rules > Create rule > Data protection.

   Requires having the View and Manage DLP rule privileges.

3. ルールの名前と、必要に応じて説明を追加します。
4. [範囲] で、[組織内のすべてのユーザー] を選択するか、ルールの適用先となる組織部門またはグループを検索して、含めるか除外することもできます。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
5. [続行] をクリックします。
6. [アプリ] セクションの [Chrome] で、[アクセスした URL] チェックボックスをオンにします。
7. [続行] をクリックします。
8. [条件] で、[条件を追加] をクリックします。
9. [スキャンするコンテンツの種類] で [URL] を選択します。
10. [スキャン対象] で [テキスト文字列を含む] を選択します。
11. [照合するコンテンツ] に「salesforce.com/admin」と入力します。
12. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。
    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 18 に進みます。
13. [新しいアクセスレベルを作成] をクリックします。
14. 新しいアクセスレベルの名前と、必要に応じて説明を入力します。
15. [コンテキストの条件] で、[詳細] タブをクリックします。
16. テキスト ボックスに以下を入力します。
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
17. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
18. [続行] をクリックします。
19. [操作] ページで、[ChromeOS アクション] として [ブロック] を選択します。
    操作が適用されるのは、コンテンツの条件とコンテキストの条件の両方が満たされている場合のみです。
20. [アラート] セクションで、[低] をクリックして、アラートの重要度レベル（[低]、[中]、[高]）を選択します。
21. （省略可）イベントがルールの条件を満たしたときにアラート通知を送信するには、[アラート] セクションで [アラート センター] チェックボックスをオンにします。
    • （省略可）特権管理者にアラート通知をメールで送信するには、[すべての特権管理者] チェックボックスをオンにします。
    • （省略可）他のユーザーにアラート通知をメールで送信するには、[メールの受信者を追加] をクリックし、1 つ以上のユーザー名またはメールアドレスを追加して、[完了] をクリックします。
22. [続行] をクリックしてルールの詳細を確認します。
23. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ] [アクセスとデータ管理] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
24. [作成] をクリックします。

注: フィルタした URL に最近アクセスしていた場合、その URL は数分間キャッシュに保存されます。そのため、キャッシュが削除されるまでは、新しい ルール（または変更されたルール）で正常にフィルタリングされないことがあります。新しいルールや変更したルールをテストする前に、5 分ほどお待ちください。

古いバージョンの Chrome では、コンテキストの条件は無視されます。ルールは、コンテンツの条件のみが設定されているかのように動作します。

いいえ。シークレット モードではルールは適用されません。管理者は、ログイン時にコンテキストアウェア アクセスを適用することで、Chrome のシークレット モードから Workspace または SaaS アプリケーションにログインできないようにすることができます。

管理対象ブラウザと管理対象プロファイルのユーザーが同じ企業に属している場合、ブラウザレベルの DLP ルールとユーザーレベルの DLP ルールの両方が適用されます。

管理対象ブラウザと管理対象プロファイルのユーザーが異なる企業に属している場合、ブラウザレベルの DLP ルールのみが適用されます。コンテキストの条件は常に一致とみなされ、最も厳しい結果が適用されます。 IP ベースやリージョン ベースの条件には影響しません。

管理コンソールのコンテキストアウェア アクセスは、Google Cloud コンソールでサポートされているすべての属性をサポートしているわけではありません。そのため、Google Cloud コンソールで作成されたそのような属性を含む基本アクセスレベルを管理コンソールで割り当てることはできますが、編集することはできません。

管理コンソールの [ルール] ページでは、Google Cloud コンソールで作成されたアクセスレベルを割り当てることができます。ただし、サポートされていない属性を含むアクセスレベルの条件の詳細を表示することはできません。

• DLP ルールの作成時にコンテキストの条件を表示するには、[サービス] > [データ セキュリティ] > [アクセスレベルの管理] の管理者権限が必要です。
• コンテキストの条件カードは、ルールの作成時に Chrome トリガーを選択した場合にのみ表示されます。

割り当てたアクセスレベルが削除されると、コンテキストの条件はデフォルトで true になり、ルールはコンテンツのみのルールと同様に動作します。この場合、当初意図していたよりも多くのデバイスやユースケースにルールが適用されることに注意してください。

いいえ。ルールにおけるアクセスレベルの評価は、コンテキストアウェア アクセスの設定とは関係ありません。コンテキストアウェア アクセスの有効化と割り当てがルールに影響することはありません。

空の条件はデフォルトで true と評価されます。つまり、コンテキストアウェア アクセスのみのルールについては、コンテンツの条件を空白のままにしておくことができます。コンテンツとコンテキストの条件を両方とも空のままにすると、常にルールがトリガーされます。

いいえ。ルールはコンテンツの条件とコンテキストの条件の両方が満たされた場合にのみトリガーされます。

DLP とコンテキストアウェア アクセスはどちらもバックグラウンド サービスに依存しているため、定期的に中断が発生する可能性があります。ルールの適用中にサービスの中断が発生した場合、適用は行われません。この場合、ルールのログのイベントと Chrome のログイベントの両方にイベントが記録されます。

デバイスベースの属性の場合、コンテキストの条件は一致とみなされ、最も厳しい結果となるよう適用されます。デバイス以外の属性（IP アドレス、リージョンなど）の場合、変更はありません。

はい。アクセスレベルの情報を表示するには、検索結果の [アクセスレベル] 列で [ルールのログのイベント] または [Chrome のログイベント] のいずれかを検索します。

いいえ。現在のところ、これらのフローではユーザー修復機能を使用できません。