DLP ルールを使用してドライブのファイルをスキャン、保護する

この機能は、G Suite Enterprise、Drive Enterprise、G Suite for Education でのみご利用いただけます。エディションの比較

G Suite 管理者は、Google ドライブや共有ドライブ内の機密コンテンツが組織外のユーザーと共有されるのを防ぐことができます。そのためにはデータ損失防止(DLP)ルールを使用して、ファイルの機密コンテンツ スキャンを実行します。たとえば、ユーザーが銀行口座や納税者番号が含まれているファイルを共有している場合、特権管理者にメールを送信して知らせることができます。ユーザーがファイルを共有しようとするときに警告したり、組織外のユーザーによるファイルへのアクセスを完全にブロックしたりすることも可能です。なお、スキャンされるのは共有ファイルのみです。

次のようなドライブ ファイルがスキャンされます。

  • スプレッドシート
  • ドキュメント
  • スライド
フォームはスキャンされません。

ヒント: データ損失防止(DLP)のデモでは、機密コンテンツの例を確認したり、実際のコンテンツを検査したりすることができます。

ルールの概要

定義済みのテンプレートを利用することも、独自のルールを作成することもできます。ルールはドメイン全体、特定の組織部門、Google グループのグループに割り当てます。ルールが共有ドライブ ファイルに適用されるようにするには、そのルールを組織内のすべてのユーザーに適用する必要があります。また、機密情報が検出された場合に行う操作を指定します。詳しくは、ルールを定義する方法をご覧ください。

ルールを作成、編集する

この操作を行うには、特権管理者としてログインする必要があります。

定義済みのテンプレートを使用してルールを作成する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 追加アイコン 追加 または上部にある [テンプレート] をクリックして、テンプレートのリストを開きます。
  4. [データ損失の防止] の定義済みリストからテンプレートを 1 つ選びます。
  5. (省略可)ルールのタイトルや説明を編集します。
  6. (省略可)[トリガー]、[条件]、[操作] で設定を変更または追加し、[完了] をクリックします。詳細については、ルールを定義する方法をご覧ください。
  7. [作成して有効化] をクリックします。
空のテンプレートを使用してルールを作成する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 追加アイコン 追加 または上部にある [テンプレート] をクリックして、テンプレートのリストを開きます。
  4. [データ損失の防止] で [空のテンプレート] をクリックします。
  5. タイトル欄にルールの名前を入力し、その下にルールの説明を追加します。
  6. [トリガー]、[条件]、[操作] を追加し、[完了] をクリックします。詳細については、ルールを定義する方法をご覧ください。
  7. [作成して有効化] をクリックします。
ルールを編集する
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部の [管理] をクリックして DLP ルールのリストを表示します。
  4. 変更するルールをクリックします。
  5. [トリガー]、[条件]、[操作] で設定を編集し、[完了] をクリックします。詳細については、ルールを定義する方法をご覧ください。
  6. [保存して有効化] をクリックします。
ルールを定義する方法

トリガー

ルールでスキャンするアプリケーション ファイル - 現在、ドライブでのみ利用可能(共有ドライブを含む)。

条件

ユーザーとコンテンツにルールを適用する方法をカスタマイズします。

  • ユーザー - 組織部門、Google グループ内のグループ、またはその両方にルールを適用できます。共有ドライブ ファイルをスキャンするには、組織(最上位組織)内のすべてのユーザーにルールを適用する必要があります。これにより、選択した組織またはグループ内のユーザーが所有するファイルがスキャンされるようになります。グループを適用対象外にすることもできます。必要なグループや組織を追加し、適用対象外にします。何も指定しない場合、ルールは最上位組織に適用されます。
  • コンテンツ - 定義済みのコンテンツ検出項目リスト内のコンテンツと一致する場合にルールを適用することができます。選択または追加するカスタム単語リストまたは正規表現と一致する場合にルールを適用することもできます。この場合は必要なコンテンツの種類、単語リスト、および正規表現を追加します。詳しくは、定義済みコンテンツ検出項目正規表現に関するページをご覧ください。

    : 条件に複数のコンテンツの種類を追加すると、いずれかのコンテンツの種類に一致する場合にルールがトリガーされます。

    機密コンテンツを一致させるようにする場合は、信頼度のしきい値を設定する必要があります。しきい値は、検出されたコンテンツが条件を満たす可能性がどの程度かを示します。中程度のしきい値を指定すると、アクションをトリガーするファイルの数が増えることになります。高いしきい値を指定すると、アクションがトリガ―されるべき共有ファイルの数が少なくなり、実際には必要ないにもかかわらずアクションがトリガーされるファイルの数が増える可能性があります。

操作

問題を検出した場合の処理を指定します。操作を選択しない場合でも、条件と一致したファイルには常にフラグが付き、レポートデータに記載されます。

  • 外部からのアクセスをブロック - 機密コンテンツが含まれるファイルへの組織外ユーザーからのアクセスは、たとえそのユーザーが共有ドライブのメンバーであってもブロックするようにします。
  • 外部との共有を警告する - 共有しようとしているファイルに機密コンテンツが含まれていることをユーザーに知らせます。
  • 特権管理者にメール送信 - ユーザーが機密コンテンツを含むファイルを作成、編集、またはアップロードしたときに特権管理者にメールを送信します。ファイルに含まれる機密コンテンツの種類が変わるたびに、メールが送信されます。送信されるメールの最大数は 2 時間で 25 通です。

ヒント: 偽陽性が多く発生する場合は、2 つのルールを作成します。最初のルールでは信頼性しきい値を「高」に設定し、「外部からのアクセスをブロック」などの強い操作を追加します。2 つめのルールでは、信頼性しきい値を「中」に設定して「外部との共有を警告する」の操作を追加します。

ルールまたは変更をモニタリングする

DLP スキャンを通じて追加、編集、または削除されるルールを追跡できます。スキャンが始まると、管理コンソール内の ToDo リストでスキャンの詳細と変更を確認できます。詳しくは、「大規模なタスクのステータスを確認する」を参照してください。

  • ルールを追加、編集、または削除した場合 - 新しい DLP スキャン(およびタスク)がトリガーされます。
  • DLP スキャンの実行中にルールを変更した場合 - スキャンが再開されます。スキャンと関連付けられているタスクが更新され、変更された内容が表示されます。
  • DLP スキャンの実行中に別の管理者がルールを変更した場合 - スキャンが再開され、他の管理者用に新しいタスクが作成されます。元のタスクはスキャンを追跡しなくなります。

ルール監査データとテンプレートを使用する

この操作を行うには、特権管理者としてログインする必要があります。

フラグが付いたアイテムのデータを表示または書き出す
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部の [監査] をクリックし、DLP ルール監査レポートデータを表示します。
  4. (省略可)表示の条件を変更するには、列を選択アイコン 列を選択 をクリックします。変更はすべて保存され、次にログインしたときに利用できます。
  5. 特定の要素のみを表示するように表を設定するには、[フィルタ] セクションの次の欄に名前を入力するか要素を選択します。
    1. ルール名 - フラグの付いたアイテムが違反したルール。
    2. フラグの付いたアイテムの名前 - ルールによってフラグが付いたファイルの名前。
    3. フラグの付いたアイテムの ID - ルールによってフラグが付いたファイルの識別子の名前。
    4. オーナー - ルールによってフラグが付いたファイルのオーナーのメールアドレス。
    5. 共有ドライブ ID - ルールによってフラグが付いたファイルのある共有ドライブの番号。
    6. 関連コンテンツ検出子 - カスタムまたは定義済みの関連コンテンツ検出項目を 1 つ選択します。
    7. 期間 - 表示するイベントの開始日時と終了日時。
      ログエントリは、それぞれ 1 つのイベントに対応しています。
  6. レポートデータをドライブの Google スプレッドシート ファイルに書き出したり、CSV ファイル形式でダウンロードしたりするには、ダウンロード アイコン ダウンロード をクリックします。ファイルには、最多で 200,000 個のセルを含めることができます。最大の行数は、選択している列の数によって変わります。
DLP テンプレートを表示またはフィルタする
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. 管理コンソールのホームページから、[ルール] にアクセスします。

    [ルール] が表示されていない場合は、画面下部の [その他の設定] をクリックして表示します。

  3. 上部にある [テンプレート] をクリックします。
  4. (省略可)表示の条件を変更するには、列を選択アイコン 列を選択 をクリックします。変更はすべて保存され、次にログインしたときに利用できます。
  5. (省略可)特定の要素のみを表示するように表を設定するには、[フィルタ] セクションの次の欄に名前を入力するか要素を選択します。
    1. テンプレート名 - 以前定義されたテンプレートの名前。
    2. テンプレートの説明 - 以前定義されたテンプレートの説明。
    3. カテゴリ — 現在、カテゴリの種類でサポートされているのは DLP のみです。
    4. アプリ - ルールがスキャンしたアプリケーション ファイル。現在、ドライブのファイルに利用できるのは、DLP ルールのみです。

よくある質問

どのような定義済みコンテンツ検出子がサポートされていますか?

ドライブ用の DLP では多くの定義済み検出項目をサポートしており、DLP プラットフォームの拡大に伴い、さらに項目数が増える予定です。

検出は 100% 保証されていますか?

いいえ。すべての機密データを見つけてフラグを付けることは保証されません。DLP 検出システムでは、定義済みのテンプレートを正規表現に変換し、追加のコンテンツ パラメータを使用して一致確率を判定します。多くの要因が関係するため、偽陽性や偽陰性をゼロにするのは非常に困難です。

ユーザーはファイルを共有できない理由を確認できますか?

ユーザーには、共有がブロックされている理由を示す DLP 固有のメッセージが表示されます。複数の違反が発生している場合、メッセージには最初に一致した検出項目が示されます。

ルールを変更または追加すると、以前作成したファイルもスキャンされますか?

はい。ルールが追加または変更されるたびに、すべてのファイルがスキャンされます。ドメイン内のファイル数などのさまざまな要因により、ファイルのスキャンには数時間、1 日、またはそれ以上の時間がかかることがあります。

ヒント: ルールを追加または変更すると、以前にアップロードしたファイルの最新の版が DLP によってスキャンされます。

ファイルが複数回スキャンされることがありますか?

はい。機密コンテンツを検出するために、ドキュメントが 2 回スキャンされる場合があります。そのため、ルール変更によって影響を受けるファイルの数は、スキャンごとに異なります。

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。