この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。 エディションの比較
Gmail の DLP は、Gmail を含む Google Workspace エディションのライセンスも付与されている Cloud Identity Premium ユーザーの方にもご利用いただけます。
Google 管理コンソールでデータ損失防止(DLP)ルールを作成して、ユーザーが Gmail で共有する機密性の高いコンテンツを管理できます。ルールは、組織内外のユーザーに送信されるメッセージに適用されます。ルールを使用して機密情報にフラグを立て、組織外への流出を防ぎます。
- Gmail の DLP 機能
- Gmail の DLP の仕組み
- ベータ版の設定に関する推奨事項
- スキャン対象のデータ
- サポートされている添付ファイルの形式
- Gmail の DLP は他のルールとどのように併用できますか?
- 既知の制限事項
- Gmail のデータ保護ルールを作成する
- セキュリティ調査ツールを使用して DLP ルール違反を調査する
- フィードバックをお寄せください
Gmail の DLP 機能
次のことが可能です。
- DLP を使用して、Gmail または複数の Google Workspace アプリ(Gmail、Google Chat、ドライブなど)のデータ保護ルールを作成できます。
- ルール違反に対するさまざまなアクションを実装します。たとえば、Gmail のメッセージ配信をブロックしてユーザーに通知を送信したり(メッセージをブロック)、メッセージの送信または返信の前に管理者による確認のためにメールを検疫したり(メールを検疫)、メールの送信後、新しいルールの影響を評価するため、将来の監査用としてイベントをログに記録したり(監査のみ)できます。
- テキスト文字列と、定義済み検出項目とカスタム検出項目(キーワードや正規表現など)を使用して条件を定義します。
- 特定の組織部門やグループ、あるいは組織全体に対してデータ保護ルールを適用します。
- 管理者が調査できるよう、アラート センターでルール違反に関するアラートを管理者に通知します。
- 光学式文字認識(OCR)を使用して、すべてのメッセージの添付ファイルの画像テキストをスキャンします。
Gmail の DLP の仕組み
ユーザーが Gmail のメッセージを送信すると、DLP によってメッセージに機密性の高いコンテンツが含まれていないかスキャンされます。メッセージまたは添付ファイルがルールに違反している場合、ルールで定義されているアクションがメッセージに適用されます。
フローの概要:
- DLP ルールを作成して、機密性が高く保護する必要があるコンテンツを定義します。
- ユーザーが Gmail のメッセージを送信すると、DLP はルール違反がないかコンテンツをスキャンします。
- ルールに違反した場合、DLP はルールで定義されているアクションを実行します。
- すべてのイベントは、確認のためにルールのログイベントに記録されます。
ベータ版の設定に関する推奨事項
- 非同期スキャンと同期スキャン - Gmail の DLP では、データ保護ルールが非同期的にスキャンされます。つまり、メッセージは送信者のメールボックスから出た後、受信者に送信される前にブロックまたは検疫されます。
近日提供予定: [送信] ボタンでデータ保護ルールを同期的にスキャンし、メッセージがメールボックスから送信される前に、メッセージに含まれる機密性の高いコンテンツについてユーザーに通知します。 - [監査のみ] オプションを使用する - ベータ期間中にルールを設定する場合は、[監査のみ] を選択することをおすすめします。このオプションを使用すると、ルールの条件に一致するメッセージがシームレスに配信され、検出内容がログに記録されます。これにより、ユーザーのメールフローを中断することなく、新しいルールをテストしてパフォーマンスを監視したり、環境をパッシブにモニタリングしたりできます。
スキャン対象のデータ
送信メッセージのみがスキャンされます。スキャン対象は、ルールで選択した内容によって異なります。
- すべてのコンテンツ - メッセージのヘッダー、件名、本文、添付ファイルがスキャンされます。
- 本文 - 本文と添付ファイルがスキャンされます。
- メールのヘッダー - ヘッダーと件名がスキャンされます。
- 件名 - 件名がスキャンされます。
添付ファイルにはファイルおよび画像が含まれます。添付ファイルのファイル名もスキャン対象です(サポートされているファイル形式の場合)。
サポートされている添付ファイルの形式
次の形式の添付ファイルがスキャンされます。
- ドキュメントのファイル形式 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 画像ファイル形式(OCR を有効にしている場合)- EPS、BMP、GIF、JPEG、PNG、PDF ファイル内の画像。
- 圧縮ファイルの形式 - ZIP
- カスタム ファイルの形式 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
Gmail の DLP は他のルールとどのように併用できますか?
データ保護ルールは、コンテンツ コンプライアンス ルールとルーティング ルールの前に評価されます。データ保護ルールによってメッセージにフラグが付けられていない場合、コンテンツ コンプライアンス ルールとルーティング ルールに対して追加のスキャンが行われます。データ保護ルールによってメッセージが拒否された場合、他のルールに対するスキャンは行われません。コンテンツ コンプライアンス ルールやルーティング ルールにより、新しいメッセージが検出されると(新しい受信者の追加など)、新しいメッセージにスキャン サイクル全体が適用されます。コンテンツ コンプライアンス ルールについて詳しくは、高度なメール コンテンツ フィルタリングに関するルールを設定するをご覧ください。
既知の制限事項
メッセージ スキャンの上限については、DLP コンテンツとルールサイズの上限を表示するをご覧ください。Gmail のデータ保護ルールを作成する
-
-
管理コンソールで、メニュー アイコン [ルール] にアクセスします。
- [機密コンテンツの分類と保護] で [ルールを作成] をクリックします。
- [名前] をクリックして、ルールの名前と、必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
- ルールを組織全体に適用するには、[<ドメイン名> 内のすべて] を選択します。
- 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します
- [続行] をクリックします。
- (省略可)OCR が有効になっているかどうかを確認するには、[チェック] をクリックし、[Gmail] チェックボックスをオンにして Gmail に対して OCR を有効にします。
- [Gmail] の場合は、[メッセージを送信しました] チェックボックスをオンにします。
- [続行] をクリックします。
- (省略可)条件を追加するには:
- [条件を追加] をクリックします。 Gmail の場合は、以下をスキャンできます。
- すべてのコンテンツ(ヘッダー、件名、本文、添付ファイル)
- 本文(本文と添付ファイル)
- メールのヘッダー(ヘッダーと件名)
- 件名(件名)
- [スキャンの対象] をクリックし、スキャンのタイプに必要な属性を入力します。
- [条件を追加] をクリックします。 Gmail の場合は、以下をスキャンできます。
- [Continue(次へ)] をクリックします。
- [操作] をクリックし、次のいずれかのオプションを選択します。
- メッセージを配信せず、送信者に通知が届くようにするには、[メッセージをブロック] を選択します。
- メッセージを検疫するには、[メールを検疫する] を選択し、[検疫を選択] で、メッセージに適用する検疫の条件を選択します。
- 新しいルールを評価してメールを送信するが、後で確認するためにイベントをログに記録するには、[監査のみ] を選択します。
- [この操作を適用するタイミングを選択します] で、内部または外部の宛先に送信されたメッセージに操作を適用するか、どちらのメッセージにも適用するかを選択します。
- (省略可)メッセージがブロックされた理由をユーザーが理解できるようにカスタマイズしたメッセージを作成するには、[メッセージをブロック] で [メッセージをカスタマイズ] チェックボックスをオンにしてメッセージを入力します。URL の長さも含めて最大 300 文字(URL の長さを含む)のメッセージを作成し、リンクを挿入できます。カスタム メッセージを作成しない場合は、ユーザーにデフォルトのメッセージが表示されます。
- (省略可)管理コンソールでこのルールでトリガーされたイベントを報告する方法の重要度を選択するには、[アラート] で [低]、[中]、[高] を選択します。 重大度はルールのログイベントに記録され、インシデントの調査に使用できます。
- (省略可)このルールでトリガーされたイベントによりアラート センターにもアラートを送信するかどうかを選択するには、[アラート センターに送信する] チェックボックスをオンにし、アラートに関する通知をすべての特権管理者に送信するには、[すべての特権管理者] チェックボックスをオンにします。他のメール受信者を入力することもできます。
- [続行] をクリックしてルールの詳細を確認します。
- ルールのステータスを以下から選択します。
- アクティブ - ルールはすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、管理コンソールで [セキュリティ] [アクセスとデータ管理] [データ保護] [ルールの管理] に移動し、ステータスを [有効] に変更して [確定] をクリックします。
- [作成] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
セキュリティ調査ツールを使用して DLP ルール違反を調査する
ルールのログイベントの検索を実行する
次の例では、DLP ルールに違反した Gmail のメールを調査するために検索を実行します。検索に他の条件を使用することも、条件をまったく指定しないこともできます。
-
管理コンソールで、メニュー アイコン [セキュリティ] [セキュリティ センター] [調査ツール] にアクセスします。
- [データソース] をクリックし、[ルールのログのイベント] を選択します。
- [条件を追加] [属性] [ルールの種類] をクリックします。
[DLP] を選択します。 - [検索] をクリックします。
ページの下部にある検索結果で、イベントのリストと各イベントの詳細を確認できます。 - [リソース ID] 列までスクロールし、メニュー アイコン(縦に 3 つ並んだ点)をクリックして、[Gmail のログイベント] > [メッセージ ID] に切り替えます。
- [検索] をクリックします。新しい検索ページが開き、Gmail のログイベントがデータソースとなります。
- ドリルダウンして詳細を表示するには、検索結果でいずれかの行のメッセージ ID をクリックします。調査の詳細を示すサイドパネルが表示されます。
- プロンプトが表示されたら、Gmail コンテンツを閲覧するビジネス上の理由を入力し、[確認] をクリックします。
フィードバックをお寄せください
管理コンソールの任意のデータ保護ページで、[フィードバックを送信] をクリックします。