検索
検索をクリア
検索終了
Google アプリ
メインメニュー

データ損失防止(DLP)を使用してメール トラフィックをスキャンする

2017 年 1 月 31 日以降、Gmail のデータ損失防止(DLP)機能は G Suite Enterprise でのみご利用いただけます。2017 年 3 月 31 日時点で G Suite Business をご契約中のお客様は、ライセンスを継続的に更新する場合、2020 年 1 月 31 日まで Gmail の DLP 機能を継続してご利用いただけます。

Gmail のデータ損失防止(DLP)機能を使用すると、組織で送受信されるメール トラフィックのコンテンツにクレジット カード番号やマイナンバーなどが記載されていないかを確認し、検出した場合の対応をポリシーで設定することができます。データ損失防止では、メールの検疫、拒否、変更などの操作を行えます。

DLP では定義済み検出項目を使用してメールのコンテンツを評価します。検出項目は、後述のコンテンツ コンプライアンス設定で利用できます。

定義済み検出項目を使用して DLP ポリシーを設定する場合、メールの件名、本文、添付ファイルが自動的にスキャンされます。定義済み検出項目にキーワードや正規表現を組み合わせて複合検出項目を作成することで、より高度なコンテンツ コンプライアンスのポリシーを構成できます。

: その他のメール セキュリティ設定と同様、コンテンツ コンプライアンス設定は組織のすべてのユーザーに適用されますが、特定のユーザー グループごとにポリシーを適用することもできます。詳しくは、コンテンツ コンプライアンスの設定をご覧ください。

コンテンツ コンプライアンスの設定で定義済みコンテンツ検出項目を設定するには、[表現] セクションで [追加] をクリックして表現を追加し、[定義済みコンテンツの一致] をクリックします。詳しくは以下の手順をご覧ください。

[定義済みコンテンツの一致] は管理者にとって使いやすいオプションですが、100% 正確に検出できるとは限りません。たとえば、法令要件の順守が保証されるわけではありません。どのデータが機密情報であり、どのように保護するかを、お客様が判断することができます。要件を確実に満たすよう設定内容を検証し、コンテンツの一致を確認するために検疫オプションを使用することをおすすめします。

ヒント: Sensitive Data Classification Demo を利用すると、機密コンテンツの例を確認し、実際のコンテンツをテストすることができます。

定義済みコンテンツ検出項目を設定する

ドメインまたは組織の定義済みコンテンツ検出項目を設定するには:

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのダッシュボードから [アプリ] 次へ [G Suite] 次へ [Gmail] 次へ [詳細設定] にアクセスします。

    ヒント: [詳細設定] を表示するには、Gmail ページを最下部までスクロールします。

  3. (省略可)左側で組織を選択します。
  4. 下にスクロールして [コンテンツ コンプライアンス] セクションを表示します。
    • ステータスが「まだ設定されていません」の場合、設定にカーソルを合わせ、[設定] をクリックします。
    • ステータスが「ローカルに適用しました」または「継承」の場合は、[編集] をクリックして設定を編集するか、[他にも追加] をクリックして新しい設定を追加します。
  5. 一番上の欄に短い説明を入力します(例: クレジット カード番号の検出)。
  6. [影響を受けるメール] セクションで、必要なメールの種類を選択します。たとえば、この設定の対象を送信メールに限定するには、[送信] 以外のボックスをすべてオフにします。
  7. [表現] セクションで [追加] をクリックします。
  8. リストから [定義済みコンテンツの一致] をクリックします。
  9. リストから関連する定義済み検出項目を選択します。たとえば、送信メールをスキャンしてクレジット カード情報を含むコンテンツを見つける場合は、[クレジット カード番号] を選択します。
  10. (省略可)次のオプションを設定します。
    • 最小一致数 - 検出項目が指定の個数見つかった場合に、定義したアクションを実行します。たとえば、2 と指定した場合、1 通のメールに異なるクレジット カード番号が 2 つ以上含まれていれば、そのメールに対してなんらかのアクションを行います。クレジット カード番号が重複している場合には、アクションは行われません。
    • 信頼性しきい値 - メール内の検出項目が中程度の信頼性しきい値(デフォルト値)を満たす場合にアクションを行うか、高い信頼性しきい値を満たす場合にのみアクションを行うかを指定します。信頼性しきい値は、検出したメール コンテンツがコンプライアンス条件にどの程度の信頼度で適合しているかを示します。
      • 中程度のしきい値を指定すると、アクションを行う対象となるメールの数が増えることになります。
      • 高いしきい値を指定すると、偽陽性(アクションを行うべきメールを配信すること)は少なくなり、偽陰性(実際には必要ないにもかかわらずメールにアクションを行うこと)が増える可能性があります。

      注: 信頼性が高くてもすべてのタイプのデータを検出できるとは限りません。たとえばクレジット カード番号は、詳細に定義されたパターンとの一致やチェックサムとの一致を確認することで高い信頼性で検出できますが、ABA ルーティング番号を検出するには 9 桁のチェックサムに依存する以外の方法がないため、信頼性は中程度になります。高い信頼性しきい値を設定できる検出項目については、後述の検出項目の説明をご覧ください。

  11. [保存] をクリックします。
  12. メールの変更、拒否、検疫を行うかどうかを選択します。コンテンツの一致を確認するには、検疫オプションの選択をおすすめします。
  13. [設定を追加] または [保存] をクリックしてダイアログ ボックスを閉じます。

    追加した設定は [メール設定] ページでハイライト表示されます。

  14. 下部の [保存] をクリックします。

変更がユーザー アカウントに反映されるまでには、最長で 1 時間ほどかかる場合があります。

定義済み検出項目

コンテンツ コンプライアンスの設定でデータ損失防止ポリシーを設定するには、定義済み検出項目のリストから選択します。

定義済み検出項目は、一般に入手可能な情報を使用して作成されています。検出には主に、パターン一致コンテキストチェックサム語句リストの 4 つの方法が使用されます。多くの場合、1 つの検出項目には複数の種類の検出法やロジックが使用されています。

  • パターン一致 - 区切り文字、有効桁数、有効範囲チェックを含む、特定の英数字パターン(文字数に限らない)
  • コンテキスト - パターンまたはチェックサムが一致する文字列の近くに、関連する文字列がある
  • チェックサム - チェックサム計算とチェック ディジットによる確認
  • 語句リスト - 語句の辞書に含まれるエントリと、完全にまたは部分的に一致する

詳しくは、国別の定義済み検出項目についてのページをご覧ください。

 

 

この記事は役に立ちましたか?
改善できる点がありましたらお聞かせください。
false
アカウントにログインする

ご利用の G Suite アカウントのメールアドレスでログインいただくと、アカウント専用のヘルプをご覧いただくことができ、G Suite を使い始める方法について知ることができます。