DLP でデータ損失を防止する

Workspace の DLP を使用してデータの損失を防止する

この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus、Enterprise Essentials Plus。エディションの比較

ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも使用している Cloud Identity Premium ユーザーにご利用いただけます。ドライブの DLP の場合は、ライセンスにドライブのログイベントが含まれている必要があります。

DLP のルール

データ損失防止(DLP)機能を使用してルールを作成、適用することで、ユーザーが組織外の相手と共有できるファイルのコンテンツを管理することができます。DLP を使用すると、ユーザーが共有できるコンテンツを管理者が指定することができ、クレジット カード番号や個人識別番号といった機密情報の意図せぬ漏洩を防ぐことができます。

DLP ルールの設定後にファイルがスキャンされ、機密性の高いコンテンツが検出されると、ユーザーはそのコンテンツを共有することができなくなります。ルールによって DLP インシデントの性質が決定され、インシデントが発生すると、指定コンテンツのブロックなどのアクションがトリガーされます。

ドメイン、組織部門、またはグループのメンバーに対して共有方法を指定することができます。

DLP フローの概要:

  • 管理者が DLP ルールを定義します。ルールを通じて、機密性が高く保護を必要とするコンテンツを定義します。DLP ルールはマイドライブと共有ドライブの両方に適用されます。
  • コンテンツがスキャンされ、DLP インシデントをトリガーする DLP ルール違反の有無が確認されます。
  • 定義したルールが適用され、違反があればアラートなどのアクションがトリガーされます。
  • DLP ルール違反に関するアラートが管理者に届きます。

詳しくは、以下をご覧ください。

監査専用ルールを使用して新しい DLP ルールをテストする

ユーザーをブロックする、ユーザーに警告するといった任意の対応を定義しない DLP ルールを作成し、ルールをテストすることができます。これらのルールがトリガーされると、そのインシデントに関連するデータがルール監査ログに記録されます。ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するの「手順 1. ルールを計画する」の「監査専用ルールを使ってルールの結果をテストする」をご覧ください。

DLP の使用例

DLP を使用すると次のことができます。

  • ユーザーがすでに共有している可能性のあるドライブ内の機密コンテンツの使用状況を監査し、ユーザーがアップロードした機密ファイルに関する情報を収集する
  • ドメイン外のユーザーと機密コンテンツを共有しないようにユーザーに直接警告する
  • 機密データ(個人識別番号など)を外部ユーザーと共有できなくする
  • ポリシー違反または DLP インシデントについて管理者などにアラートを送信する
  • インシデントの詳細とポリシー違反に関する情報を調査する

新旧の DLP ルール管理の比較

過去に旧バージョンの DLP を使用したことがある方のために、以前の DLP と現在の DLP の違いについて表にまとめました。現在の DLP の機能と仕様を把握するのにお役立てください。

従来の DLP 現在の DLP
既存の DLP サービス 機能拡張版 DLP サービス
DLP ルールへのアクセス方法: 管理コンソールの [ルール] DLP ルールへのアクセス方法: 管理コンソールの [セキュリティ] 次へ [データの保護]
DLP ポリシーを設定できるのは、特権管理者のみ DLP ポリシーを設定するには、DLP ルールと検出項目に関する特定の管理者権限が必要。DLP ポリシーを管理するのに、すべてのドライブ設定を管理する権限は必要ない。
マッチ数は、定義済み検出項目でのみ指定できる マッチ数は、次の方法を使用するすべての条件で指定できる。
  • 正規表現
  • 単語リスト
  • 定義済み検出項目
2 段階の検出しきい値
細分化された検出しきい値
  • 信頼度がとても低い
  • 信頼度が低い
  • 可能性はある
  • 可能性は高い
  • 可能性はとても高い
レポートは、監査ログとドライブ関連のレポートに限定されている レポートに DLP インシデント管理ダッシュボードが含まれ、[セキュリティ] 次へ [ダッシュボード] からアクセスできる。

レポートにドキュメントの共有相手の情報が記載されるようになった。

現在の DLP の機能

次の表は、DLP の機能をまとめたものです。

DLP の機能 説明
範囲、条件、アクションを指定して DLP ルールを作成する

範囲

  • 組織部門またはグループに基づいてポリシーを作成
  • 組織部門とグループの追加と除外 - 環境内の組織部門に基づいてポリシーを定義。このルールにより、選択した組織またはグループ内のユーザーが所有するファイルがスキャンされるようになる(ドライブの DLP に関するよくある質問も参照)
条件

アクション

  • アラートと通知のルールを設定する
  • 外部共有リンクをブロックする
  • エンドユーザーに警告する
  • ドライブ ファイルのコンテンツ違反を監査する
インシデント管理
  • DLP 管理者にアラートの概要が届き、DLP インシデント違反に偽陽性がないかすばやく確認できる(アラートの詳細を表示するで詳細を参照)
  • DLP ルールがトリガーされると、アラート センターに DLP アラートが表示される。アラート センターにアクセスするには、管理コンソールのホームページから [セキュリティ] 次へ [アラート センター] をクリックする(アラートの詳細を表示するで詳細を参照)
  • ポリシー違反(DLP インシデントと上位ポリシー インシデント)のレポートと調査ダッシュボード(セキュリティ ダッシュボードについてで詳細を参照)
ルールの調査
  • ルールの調査には、セキュリティ調査ツールを使用する(セキュリティ調査ツールについてで詳細を参照)
  • 調査ツールにアクセスするには、[セキュリティ センター] 次へ[調査ツール] 次へ [ルール] 次へ [メタデータと属性の表示] 権限が必要。
  • 調査ツールを使用して、ドメイン内のセキュリティおよびプライバシーの問題を特定、分類、対処する
管理者権限
  • DLP ルールの表示 - DLP ルールの表示を委任管理者に許可する
  • DLP ルールの管理 - DLP ルールの作成、編集、調査を委任管理者に許可する

ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。

調査ツールにアクセスするには、[セキュリティ センター] 次へ [調査ツール] 次へ [ルール] 次へ [メタデータと属性の表示] の権限が必要です。

DLP のスキャン対象となるアプリケーションとファイル形式

スキャン対象のアプリケーション

次のアプリケーションがスキャン対象となります。

  • スプレッドシート
  • ドキュメント
  • スライド
  • フォーム - 次のコンテンツがスキャンされます。
    • ファイルのアップロードが必要な質問に応じて送信されたファイル。回答者が機密コンテンツをアップロードしようとすると、警告が表示されたり、回答の送信がブロックされたりすることがあります。
    • フォームの内容(質問とオプション)

DLP のスキャン対象とならないコンテンツ:

  • ドキュメント、スプレッドシート、スライド、図形描画のコメント
  • コメントのメール通知
  • サイト コンテンツ
  • フォームの回答(ファイルのアップロード以外)

スキャン対象のファイル形式

次のファイル形式のコンテンツはスキャン対象です。

  • ドキュメント ファイル形式: .doc、.docx、.html、.pdf、.ppt.、.wpd、.xls、.xlsx、.xml
  • 画像ファイル形式: .bmp、.eps、.fif、.gif、.img_for_ocr、.jpeg、.png、.ps、.tif
  • 圧縮ファイル形式: .bzip、.gzip、.rar、.tar、.zip
  • カスタム ファイル形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.ttf、.wml、.xps

動画および音声のファイル形式はスキャンされません。

注: スキャンされる実際のファイルはアプリケーションによって異なる場合があります。

管理者の要件

DLP ルールとコンテンツ検出項目を作成、設定するには、特権管理者であるか、次の権限を持つ委任管理者である必要があります。

  • 組織部門を表示する管理者権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成、編集するための十分な権限を取得するには、表示権限と管理権限の両方を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次へ [調査ツール] 次へ [ルール] 次へ [メタデータと属性の表示] で設定します。

詳しくは、管理者権限管理者のカスタムの役割の作成に関する記事をご覧ください。

次のステップ: ルールとコンテンツ検出項目を作成する

ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する

関連情報

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。
検索
検索をクリア
検索を終了
メインメニュー
13711743969641827317
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false