ドライブの DLP を使用する

ドライブ向け DLP でデータ損失を防止する

ドライブ向け DLP の高度な機能の利用

この機能に対応しているエディション: Enterprise、Education Fundamentals および Plus、Essentials。 エディションの比較

ドライブ向け DLP のルール

データ損失防止(DLP)機能を使用してルールを作成し、適用すると、ユーザーが組織外の相手と共有できる Google ドライブ ファイルのコンテンツを管理することができます。DLP を使用すると、ユーザーが共有できるコンテンツを管理者が指定することができ、クレジット カード番号や個人識別番号といった機密情報の意図せぬ漏洩を防ぐことができます。

DLP ルールの設定後にファイルがスキャンされ、機密性の高いコンテンツが検出されるとユーザーがそのコンテンツを共有することができなくなります。ルールによって DLP インシデントの性質が決定され、インシデントが発生すると、指定コンテンツのブロックなどのアクションがトリガーされます。

共有方法は、ドメイン、組織部門、またはグループのメンバーに対して指定することができます。

DLP フローの概要:

  • 管理者が DLP ルールを定義します。ルールを通じて、機密性が高く保護を必要とするコンテンツを定義します。DLP ルールはマイドライブと共有ドライブの両方に適用されます。
  • ドライブ内のコンテンツがスキャンされ、DLP インシデントをトリガーする DLP ルール違反の有無が確認されます。
  • 定義したルールが適用され、違反があればアラートなどのアクションがトリガーされます。
  • DLP ルール違反に関するアラートが管理者に届きます。

監査専用ルールを使用して新しい DLP ルールをテストする

ユーザーをブロックする、ユーザーに警告するといった任意の対応を定義しない DLP ルールを作成し、ルールをテストすることができます。これらのルールがトリガーされると、そのインシデントに関連するデータがルール監査ログに記録されます。ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するの「手順 1. ルールを計画する」の「監査専用ルールを使ってルールの結果をテストする」をご覧ください。

DLP の使用例

DLP を使用すると次のことができます。

  • ユーザーがすでに共有している可能性のあるドライブ内の機密コンテンツの使用状況を監査し、ユーザーがアップロードした機密ファイルに関する情報を収集する
  • ドメイン外のユーザーと機密コンテンツを共有しないようにユーザーに直接警告する
  • 機密データ(個人識別番号など)を外部ユーザーと共有できなくする
  • ポリシー違反または DLP インシデントについて管理者などにアラートを送信する
  • インシデントの詳細とポリシー違反に関する情報を調査する

新旧の DLP ルール管理の比較

過去に旧バージョンのドライブ DLP を使用したことがある方のために、以前の DLP と現在の DLP の違いについて表にまとめました。現在の DLP の機能と仕様を把握するのにお役立てください。

以前のドライブ DLP 現在のドライブ DLP
既存の DLP サービス 機能拡張版 DLP サービス
DLP ルールへのアクセス方法: 管理コンソールの [ルール] DLP ルールへのアクセス方法: 管理コンソールの [セキュリティ] 次の操作 [データの保護]
DLP ポリシーを設定できるのは、特権管理者のみ。 DLP ポリシーを設定するには、DLP ルールと検出項目に関する特定の管理者権限が必要。DLP ポリシーを管理するには、すべてのドライブ設定を管理する権限がなくてもよい。
マッチ数は、定義済み検出項目でのみ指定できる。 マッチ数は、次の方法を使用するすべての条件で指定できる。
  • 正規表現
  • 単語リスト
  • 定義済み検出項目
2 段階の検出しきい値
細分化された検出しきい値
  • 信頼度がとても低い
  • 信頼度が低い
  • 可能性はある
  • 可能性は高い
  • 可能性はとても高い
レポートは、監査ログとドライブ関連のレポートに限定されている。 レポートに DLP インシデント管理ダッシュボードが含まれ、[セキュリティ] 次の操作 [ダッシュボード] からアクセスできる。

レポートにドキュメントの共有相手の情報が記載されるようになった。

現在の DLP の機能

次の表は、DLP の機能をまとめたものです。

DLP の機能 説明
範囲、条件、アクションを指定して DLP ルールを作成する

範囲

  • 組織部門またはグループに基づいてポリシーを作成
  • 組織部門とグループの追加と除外 - 環境内の組織部門に基づいてポリシーを定義。このルールより、選択した組織またはグループ内のユーザーが所有するファイルがスキャンされるようになります。ドライブの DLP に関するよくある質問もあわせてご確認ください。
条件
  • すべての Google ドライブ ファイルのスキャン
  • スキャンしたファイルのコンテンツ
  • ルール テンプレート
  • 再利用可能なコンテンツ検出項目
  • キーワードと単語リスト
  • 正規表現(regex)
  • さまざまなコンテンツ タイプの精査を可能にする定義済み検出項目。詳しくは、定義済みコンテンツ検出項目の使用方法をご覧ください
  • 条件のネスト。詳しくは、ドライブの DLP ルールの条件ネスト演算子の使用例をご覧ください。
  • 検出の信頼度しきい値レベルの設定
  • 一致数の対象の拡大

アクション

  • アラートと通知のルールを設定する
  • 外部共有リンクをブロックする
  • エンドユーザーに警告する
  • ドライブ ファイルのコンテンツ違反を監査する
インシデント管理
  • DLP 管理者にアラートの概要が届き、DLP インシデント違反に偽陽性がないかすばやく確認できる。詳しくは、アラートの詳細を表示するをご確認ください。
  • DLP ルールがトリガーされると、アラート センターに DLP アラートが表示される。アラート センターにアクセスするには、管理コンソールのホームページから メニュー 次の操作 [セキュリティ] 次の操作 [アラート センター] をクリックする。詳しくは、アラートの詳細を表示するをご確認ください。
  • ポリシー違反(DLP インシデントと上位ポリシー インシデント)のレポートと調査ダッシュボード。詳しくは、セキュリティ ダッシュボードについてをご確認ください。
ルールの調査
  • ルールの調査には、セキュリティ調査ツールを使用する。詳しくは、セキュリティ調査ツールについてをご確認ください。
  • 調査ツールにアクセスするには、[セキュリティ センター] 次の操作[調査ツール] 次の操作 [ルール] 次の操作 [メタデータと属性の表示] 権限が必要。
  • 調査ツールを使用して、ドメイン内のセキュリティおよびプライバシーの問題を特定、分類、対処する。
管理者権限
  • DLP ルールの表示 - DLP ルールの表示を委任管理者に許可する
  • DLP ルールの管理 - DLP ルールの作成、編集、調査を委任管理者に許可する

ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。

調査ツールにアクセスするには、[セキュリティ センター] 次の操作 [調査ツール] 次の操作 [ルール] 次の操作 [メタデータと属性の表示] の権限が必要です。

DLP のスキャン対象となるアプリケーションとファイル形式

スキャン対象のアプリケーション

次のアプリケーションがスキャン対象となります。

  • スプレッドシート
  • ドキュメント
  • スライド

ドキュメント、スプレッドシート、スライド、図形描画内のコメントとコメントに関するメール通知は DLP ではサポートされないため、スキャン対象にはなりません。

現在のところ、Google フォームと Google サイトは DLP の対象外です。DLP を実装したタイミングで、フォーム ファイルをアップロードすることができなくなります。

スキャン対象のファイル形式

次のファイル形式のコンテンツはスキャン対象です。

  • ドキュメント ファイル形式: .doc、.docx、.html、.odp、.ods、.odt、.pdf、.ppt. .rtf、.wdp、.xls、.xlsx、.xml
  • 画像ファイル形式: .eps、.fif、.img_for_ocr、.ps
  • 圧縮ファイル形式: .7z、.bzip、.gzip、.rar、.tar、.zip
  • カスタム ファイル形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.ttf、.wml、.xps

動画および音声のファイル形式はスキャンされません。

管理者の要件

DLP ルールとコンテンツ検出項目を作成、設定するには、特権管理者であるか、次の権限を持つ委任管理者である必要があります。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次の操作 [調査ツール] 次の操作 [ルール] 次の操作 [メタデータと属性の表示] で設定します。

詳しくは、管理者権限管理者のカスタムの役割の作成に関する記事をご確認ください。

次のステップ: ルールとコンテンツ検出項目を作成する

ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する

関連情報

この情報は役に立ちましたか?
改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

問題を迅速に解決できるよう、ログインして追加のサポート オプションをご利用ください。