ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する

この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus、Enterprise Essentials Plus。 エディションの比較

ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも使用している Cloud Identity Premium ユーザーにご利用いただけます。ドライブの DLP の場合は、ライセンスにドライブのログイベントが含まれている必要があります。

DLP ルールの条件によって、ルールで検出される機密コンテンツの種類が決まります。基本的な例については、下記の DLP ルールの例をご覧ください。ルールに必要な条件は 1 つだけにすることも、AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。ネストされた条件の例については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。

• 運転免許証番号や納税者番号などの標準的な個人情報を検出するには、ルールで定義済みコンテンツ検出項目を使用できます。検出項目の全一覧は定義済みコンテンツ検出項目の使用方法でご確認ください。
• ルールの条件では、管理者自身が作成したカスタム コンテンツ検出項目（一連の単語や正規表現を含むコンテンツ検出項目など）を使用できます。手順については、手順 2. カスタム コンテンツ検出項目を作成するで説明します。

ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。

監査専用ルールを作成して、DLP で作成したルールをテストできます。これにより、Google ドライブのルールの潜在的影響をテストできます。すべてのルールと同様にこうしたルールもトリガーされますが、操作は一切実行されず、結果がルール監査ログと調査ツールに書き込まれるだけです。

ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。

監査専用ルールを作成、使用するには:

1. 手順 3: ルールを作成するの手順に沿ってルールを作成します。
2. ルール作成の [操作] では、操作を選択しないでください。操作は省略可能です。ルールは関連付けられた操作なしでトリガーされ、すべてのインシデントがルール監査ログに記録されます。この場合、対象は [操作] に [監査のみ] と表示されます。
3. 操作を続け、ルール設定を完了します。ルールがアクティブになっていることを確認してください。
4. 管理者自身で機能をテストするか、ドメイン内のユーザーが、このルールの影響を受けるデータを共有するまで待ちます。
5. ルール監査ログを表示します。詳しくは、ルールの監査ログまたは調査ツールをご覧ください。監査ログには、監査専用ルールを使用したときにトリガーされる、操作のないルールが一覧表示されます。

6. ルールが希望どおりに設定されていることを確認したら、ルールに変更を加えて操作が適用されるようにします（手順 3: ルールを作成するを参照）。

おすすめのルールとは、データ保護に関する分析情報レポートの結果に基づいてユーザーに推奨される DLP ルールです。たとえば、組織内で共有されたデータの種類としてパスポート番号がレポートに表示される場合は、パスポート番号の共有を防止するルールがおすすめのルールとして表示されます。

おすすめのルールは、データ保護に関する分析情報レポートが有効になっている場合にのみ表示されます。詳しくは、データ保護のおすすめのルールを使用したデータ漏洩防止をご覧ください。

• 動的グループ - ユーザーが組織に入ったとき、移動したとき、退職したときに、メンバーを自動的に管理します。動的グループは管理コンソールまたは Cloud Identity API で利用できるため、グループのメンバー構成の変更を手動管理する手間を省くメリットがあります。DLP ルールに動的グループを使用するには、そのグループがセキュリティ グループ（[セキュリティ] ラベルが付いているもの）でもあることを確認してください。動的グループの詳細についてはこちらをご参照ください。

• セキュリティ グループ - 標準グループまたは動的グループをセキュリティ グループに変換すると、権限管理とアクセス制御を行うためのグループを規制、監査、監視できるようになります。管理コンソールで、または Cloud Identity Groups API を使用してセキュリティ グループを作成するには、セキュリティ ラベルをグループに追加します。詳しくは、セキュリティ グループをご覧ください。

• 移行されたグループ - Google Cloud Directory Sync（GCDS）を使用して、Microsoft Active Directory などのツールで作成したグループを Google Workspace と同期できます。これで、同期されたグループを DLP ルールで使用できます。詳しくは、GCDS に関する記事をご覧ください。

ルール条件でカスタム検出項目を使用する必要がある場合に、そうした検出項目を作成するための一般的な手順を以下に示します。

ルールで使用する DLP 検出項目を作成する

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [検出項目を管理] をクリックします。
4. [検出項目を追加] をクリックします。名前と説明を追加します。

   次の中から選択できます。

   • 正規表現 - 正規表現はテキストをパターンと照合する方法です。正規表現を確認するには、[正規表現をテスト] をクリックします。正規表現の例をご覧ください。
   • 単語リスト - 管理者自身で作成する単語リストです。検出対象となる単語をカンマ区切りのリストにして作成します。大文字と小文字の違いや記号は無視されます。完全な単語にのみ一致します。コンテンツが検出されたときに表示されるポップアップ メッセージを追加できます。単語リストの検出項目内の単語は、2 文字以上にする必要があります（文字が英字または数字のみの場合）。
5. [作成] をクリックします。後でルールに条件を追加するときに、カスタム検出項目を使用します。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [ルールを管理] をクリックします。次に、[ルールを追加] [新しいルール] をクリックするか、[ルールを追加] [テンプレートから新しいルールを作成] をクリックします。テンプレートの場合は、[テンプレート] ページからテンプレートを選択します。
4. [名前] で、ルールの名前と説明を追加します。
5. [範囲] で、[<ドメイン名> のすべて] を選択するか、選択した組織部門またはグループのユーザーにのみこのルールを適用することを選択します。 含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

   注: 動的グループにルールを適用する場合は、グループに [セキュリティ] ラベルも付けておく必要があります。詳しくは、ルールの範囲に選択できるグループの種類をご覧ください。

6. [続行] をクリックします。
7. [アプリ] で、Google ドライブのトリガーである [ファイルの作成、変更、アップロード、または共有] を選択します。
8. [続行] をクリックします。
9. [条件] で、[条件を追加] をクリックします。
10. [スキャンするコンテンツの種類] を選択します。
    • すべてのコンテンツ: ドキュメントのすべて（ドキュメントのタイトル、本文、編集の提案など）
    • 本文: ドキュメントの本文
    • ドライブのラベル: ドキュメントに適用されているすべてのラベル。詳しくは、ドライブのラベルの管理者向けスタートガイドをご覧ください。
    • 編集の提案: 候補モードでドキュメントに追加されたコンテンツ
    • タイトル: ドキュメントのタイトル
11. [スキャン対象] を選択し、その種類のスキャンに必要な属性（下の表に記載）を入力します。 

    [スキャン対象] オプションは、前のステップで選択した [スキャンするコンテンツの種類] によって異なります。たとえば、スキャンするコンテンツの種類として [タイトル] を選択した場合、[スキャン対象] オプションには [末尾が次と一致] と [先頭が次と一致] が含まれます。

    スキャン対象	属性
    事前定義されたデータの種類と一致する	データの種類 - 事前定義されたデータの種類を選択します。事前定義されたデータの種類の詳細については、こちらをご覧ください。 可能性のしきい値 - 可能性のしきい値を選択します。指定できるしきい値は次のとおりです。 最低 低 中 高 最高 こうしたしきい値は、照合結果に対する DLP システムの信頼度を反映しています。一般的に、「最高」では、照合するコンテンツの数が少ないため、精度が高くなります。「最低」では、より多くのファイルを対象に広範囲に照合しますが、精度は低くなります。 一意に一致するテキストの最低数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に一意に出現する必要のある最小回数。 最小一致数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に出現する必要のある最小回数。 「最小一致数」と「一意に一致するテキストの最低数」の仕組みたとえば、社会保障番号のリストが 2 つあると考えてください。最初のリストには 50 個のまったく同じ番号が含まれており、2 つ目のリストには 50 個の一意の番号が含まれています。 この場合、[最小一致数] の値が 10 であれば、結果は両方のリストでトリガーされます。どちらのリストでも 10 個以上の一致があるからです。 また、[一意に一致するテキストの最低数] の値が 10 で、[最小一致数] の値が 1 の場合、結果は 2 つ目のリストでのみトリガーされます。10 個の一致があり、それらはすべて一意の値に一致するからです。
    テキスト文字列を含む	照合するコンテンツを入力 - 検索する部分文字列、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。部分文字列の場合、ルールに「key」という単語が含まれていて、ドキュメントに「key」という単語が含まれる場合、この 2 つの単語は一致すると見なされます。
    語句を含む	照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。
    正規表現に一致する	正規表現の名前 - 正規表現のカスタム検出項目。 パターンが検出される最小回数 - 操作がトリガーされるために、正規表現で表されるパターンがドキュメント内に出現する必要のある最小回数。
    単語リスト内の単語に一致する	単語リストの名前 - カスタムの単語リストを選択します。 一致モード - [いずれかの単語に一致する] または [最低数の一意の単語に一致する] を選択します。 検出される個別の単語の最小個数 - 操作がトリガーされるために、検出される必要のある一意の単語の最小個数。 任意の単語が検出される合計回数の最小値 - 操作がトリガーされるために、任意の単語が検出される最小回数（[最低数の一意の単語に一致する] オプションの場合のみ）。
    で終わる	照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。
    で始まる	照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。
    （コンテンツ タイプがドライブラベルの場合のみ）	ドライブラベル - プルダウン リストから使用可能なドライブラベルを選択します。 ラベル フィールド - 選択したドライブラベルで使用可能なラベル フィールドを選択します。 フィールド オプション - 選択したフィールドで使用可能なフィールド オプションを選択します。

    条件では AND、OR、または NOT 演算子を使用できます。条件で AND、OR、NOT 演算子を使用する場合の詳細については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。

    注: 条件を指定せずに DLP ルールを作成すると、そのルールで定められた操作はすべてのドライブ ファイルに適用されます。

12. [続行] をクリックします。
13. [操作] で、スキャンでセンシティブ データが検出された場合に実行する操作を選択できます（省略可）。

    操作を追加する前にルールをテストしたい場合
    監査専用ルールを作成すれば、操作を行わずに監査ログに書き込みを行うルールをテストできます。操作の選択は省略可能です。詳しくは、監査専用ルールを使ってルールの結果をテストする（任意、推奨）をご覧ください。

    • 外部共有をブロック - ドキュメントの共有を禁止します。
    • 外部との共有を警告 - ドキュメントの共有は可能ですが、違反の警告が表示されます。
    • 閲覧者（コメント可）と閲覧者に対して、ダウンロード、印刷、コピーを無効にする - 「編集者」以上の権限がない限り、ダウンロード、印刷、コピーを禁止します。この機能は DLP の Information Rights Management（IRM）であり、ドライブの共有設定がポリシーとして使用されます。このため、ユーザーはどのプラットフォームからも、Google ドライブ内のドキュメント、スプレッドシート、スライドをダウンロード、印刷、コピーできません。詳しくは、IRM に関するよくある質問をご確認ください。
    • ドライブラベルを適用する - 既存のドライブラベルを一致するファイルに適用します。以下の手順に沿って設定します。
      1. [ドライブラベル] プルダウン リストから使用可能なラベルを選択し、そのラベルに使用可能なフィールドとフィールド オプションを選択します。[オプション リスト] のフィールド タイプのバッジラベルと標準ラベルのみがサポートされています。詳しくは、ドライブのラベルの管理者向けスタートガイドをご覧ください。
      2. （省略可）[ラベルを追加] をクリックして、ラベルを追加します。
      3. ユーザーに、自分のファイルに適用されるラベルやフィールドの値の変更を許可するかどうかを選択します。
14. [アラート] で、重大度レベル（[低]、[中]、[高]）を選択します。重大度は、インシデントが時間の経過とともに DLP インシデント ダッシュボードにどのように表示されるか（重大度が「高」、「中」、「低」のインシデントの数）に影響します。
15. 必要に応じて、[アラート センターに送信する] をオンにして通知をトリガーします。アラートは Google ドライブでのみサポートされています。詳しくは、アラートの詳細を表示するをご覧ください。

    チェックボックスをオンにしてすべての特権管理者に通知するか、その他の受信者のメールアドレスを追加します。追加できるのは、登録されている受信者に限られます。外部の受信者は無視されます。受信者はユーザーまたはグループです。選択したグループがメールアラートを受信できるように、グループに対してアクセス権を設定する必要があります。メール通知のグループ アクセス権の設定について、詳しくは、アラート センターのメール通知を設定するをご覧ください。

    アラートはアラート センターに一覧表示されます。アラートが発生してからログに記録されるまでには時間差があります。アラートがアラート センターに表示されるタイミングと、ルール監査ログおよび DLP セキュリティ ダッシュボードが更新されるタイミングとの間にも時間差があります。アラートを受信してからアラートの概要を確認することもできますが、ダッシュボードまたは調査ツールの監査ログに表示されるインシデント数の更新には時間がかかります。ルールごとの 1 日あたりのアラート数は最大で 50 件です。このしきい値に達するまでアラートは発生します。

16. [続行] をクリックしてルールの詳細を確認します。
17. [ルールのステータス] で、ルールの初期ステータスを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
18. [Create（作成）] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

新しいルールの想定される動作と結果についてユーザーに説明します。たとえば機密データが共有される場合は、外部共有をブロックすることもあります。そうした場合は、ドキュメントを共有できなくなる可能性があることと、その理由をユーザーに伝えます。

次の例では、定義済みの分類を使用して、特定の組織やグループのユーザーが機密データを共有できないようにする方法を示します。定義済みの分類を使用することで、よく入力されるデータを指定できます。この例でのデータは社会保障番号です。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [ルールを管理] をクリックします。[ルールを追加] [新しいルール] をクリックします。
4. ルールの名前と説明を追加します。
5. [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
6. [続行] をクリックします。[トリガー]で、Google ドライブのトリガーである [ファイルが変更されました] チェックボックスをオンにします。
7. [条件] で、[条件を追加] をクリックし、次の値を選択します。
   • 項目 - すべてのコンテンツ。
   • 値 - デフォルトの検出項目に一致する。
   • デフォルトの検出項目 - 米国 - 社会保障番号。
   • 可能性のしきい値 - 可能性はとても高い（メッセージによって操作がトリガーされるかどうかを判断するために使用する追加の基準）。
   • 一意に一致するテキストの最低数 - 1（操作がトリガーされるために、一意の一致がドキュメント内に出現する必要のある最小回数）。
   • 最小一致数 - 1（操作がトリガーされるために、コンテンツがメッセージ内に出現する必要のある回数）。たとえば「2」を選択した場合、操作がトリガーされるためには、コンテンツがメッセージ内に 2 回以上出現する必要があります。
8. [続行] をクリックします。[Google ドライブ] で、操作として [外部共有をブロック] を選択します。
9. [セキュリティとアラート] で、重大度レベルとして [高] を選択します。アラートを有効にして、受信者を入力します。

   アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。

10. [続行] をクリックしてルールの詳細を確認します。
11. [作成] をクリックし、次のいずれかを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
12. [完了] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

次の例では、カスタム検出項目の設定方法を示します。カスタム検出項目で検出される単語を登録できます。ルール内のトリガー設定を使用して、社内のプロジェクト名などの機密データを含むドキュメントが外部の受信者と共有されないようにします。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [検出項目を管理] をクリックします。[検出項目を追加] [単語リスト] をクリックします。
4. 検出項目の名前と説明を入力します。
5. 検出対象の単語をカンマで区切って入力します。カスタム単語リストでは、次のルールが適用されます。
   • 大文字と小文字は区別されません。たとえば「BAD」は、「bad」、「Bad」、「BAD」と一致します。
   • 完全な単語にのみ一致します。たとえば、カスタム単語リストに「bad」を追加した場合、「badminton」は一致しません。
6. [作成] をクリックします。
7. [ルールを管理] をクリックします。[ルールを追加] [新しいルール] をクリックします。
8. [名前] で、ルールの名前と、必要であれば説明を入力します。
9. [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
10. [続行] をクリックします。[トリガー] で、Google ドライブのトリガーである [ファイルが変更されました] チェックボックスをオンにします。
11. [条件] で、[条件を追加] をクリックし、次の値を選択します。
    • 項目 - すべてのコンテンツ
    • 値 - 単語リストの検出項目に一致する
    • 単語リスト - リストをスクロールして、先に作成した検出項目を探します。
    • 一致モード - 次のいずれかの一致モードを選択します。
    • いずれかの単語に一致する - 定義済み単語リスト内の任意の単語との一致数をカウントします。
    • 最低数の一意の単語に一致する - 検出される個別の単語の最小個数と、（定義済み単語リスト内の）任意の単語が検出される合計回数の最小値を指定します
    • 任意の単語が検出される合計回数の最小値 - 1
12. [続行] をクリックします。[Google ドライブ] で、操作として [外部共有をブロック] を選択します。
13. [セキュリティとアラート] で、重大度レベルとして [高] を選択します。アラートを有効にして、受信者を指定します。アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。
14. [続行] をクリックしてルールの詳細を確認します。
15. [作成] をクリックし、次のいずれかを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
16. [完了] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

ルール テンプレートに用意された一連の条件は、多くの一般的なデータ保護シナリオに対応しています。ルール テンプレートを使用すれば、データ保護が必要となる日常的な状況を対象にポリシーを設定できます。

次の例では、ルール テンプレートを使用して、米国人の個人情報（PII）を含むドライブ ドキュメントやメールの送信または共有をブロックしています。

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [ルールを管理] をクリックします。
4. [ルールを追加] [テンプレートから新しいルールを作成] をクリックします。
5. [テンプレート] ページで、[個人情報（PII）の共有の防止（米国）] をクリックします。
6. [名前] で、ルールのデフォルトの名前と説明をそのまま使用するか、新しい値を入力します。
7. [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
8. [続行] をクリックします。[トリガー] で、Google ドライブのトリガーである [ファイルが変更されました] チェックボックスがオンになっています。ルール テンプレートの条件が事前に選択されています。必要に応じて、ルールに適用される特定の条件を確認します。セキュリティは「低」に設定され、アラートは無効になっています。
9. Google ドライブについて、[外部共有をブロック] が選択されています。共有をブロックすると、ユーザーは条件に一致するファイルを組織外のユーザーと共有できなくなります。
10. [続行] をクリックしてルールの詳細を確認します。
11. [作成] をクリックし、次のいずれかを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
12. [完了] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

• 組織部門管理者の権限。
• グループ管理者の権限。
• DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
• メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。

1. Google 管理コンソールにログインします。

   管理者アカウント（末尾が @gmail.com でないもの）でログインします。

2. 管理コンソールで、メニュー アイコン  [セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。
3. [ルールを管理] または [検出項目を管理] をクリックします。[セキュリティ] > [データの保護] > [ルールを管理] をクリックすると、ルールのページに移動します。[セキュリティ] > [データの保護] > [検出項目を管理] をクリックすると、検出項目のページに移動します。

ルールを並べ替える

[名前] 列または [最終更新] 列では、ルールを昇順または降順に並べ替えることができます。

1. ルールのページで、[名前] または [最終更新] の列名をクリックします。
2. 上矢印または下矢印をクリックすると、列が並べ替えられます。

ルールを有効または無効にする

ルールを有効にすると、そのルールを使用するドキュメントのスキャンが DLP によって実行されます。

1. ルールのページで、ルールの [ステータス] 列の [アクティブ] または [無効] を選択します。
2. ルールを有効または無効にすることを確認します。

ルールを削除する

ルールを削除すると、元に戻すことができません。

1. ルールのページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン が表示されます。
2. ゴミ箱アイコン をクリックします。
3. ルールを削除することを確認します。

ルールを書き出す

ルールを .txt ファイルに書き出すことができます。

1. ルールのページで [ルールをエクスポート] をクリックします。
2. ルールのリストがテキスト ファイルにダウンロードされます。左下にある .txt ファイルをクリックすると、ダウンロードしたルールが表示されます。

ルールの詳細を編集する

ルールを編集すると、そのルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

1. ルールのリストで、編集するルールをクリックします。
2. [ルールを編集] をクリックします。
3. 目的に応じてルールを編集します。作業の流れはルールを作成するときと同じです。
4. 完了したら、[更新] をクリックし、次のいずれかを選択します。
5. アクティブ - ルールがすぐに適用されます。
6. 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ] [データの保護] [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
7. [完了] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細

セキュリティ調査ツールでルールを調査する

DLP では、セキュリティ調査ツールを使用することで、ルールがトリガーされる頻度がわかるようになっています。調査ツールによってルールの検索結果が一覧表示され、各インシデントでトリガーされた操作が示されます。

調査ツールを使用するには、メタデータと属性を表示する権限が必要です（[セキュリティ センター] [調査ツール] [ルール] [メタデータと属性の表示] で設定）。

ルールを調査するには:

1. ルールのリストで、調査対象のルールをクリックします。
2. [ルールを調査] をクリックします。
3. ルールの検索結果が表示されます。ルールがトリガーされてから監査ログが更新されるまでには時間差があります。詳しくは、調査ツールをご覧ください。

ヒント: 調査ツールからルールを有効または無効にできます。結果の表で、列見出し [ルール ID] にカーソルを合わせます。クリックしてから [操作] [ルールを有効にする] または [操作] [ルールを無効にする] を選択します。

ヒント: すべての DLP ルールの結果を表示するには、[X] をクリックして特定のルール検索条件を削除し、[検索] をクリックします。

カスタム検出項目をフィルタする

カスタム検出項目のリストを、検出項目の名前と種類を基準にしてフィルタできます。

1. カスタム検出項目のページで、[フィルタを追加] をクリックします。
2. 検出項目の名前または種類でフィルタします。
   • 検出項目の名前 - 検索する文字列を入力します
   • 検出項目の種類 - 検出項目の種類を選択します
3. [適用] をクリックします。フィルタは、閉じるまで保持されます。

検出項目を書き出す

検出項目を .txt ファイルに書き出すことができます。

1. 検出項目のページで [検出項目をエクスポート] をクリックします。
2. 検出項目のリストがテキスト ファイルにダウンロードされます。左下にある .txt ファイルをクリックすると、ダウンロードした検出項目が表示されます。

単語リストのカスタム検出項目を編集する

ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

カスタム検出項目の名前と説明を編集するには:

1. リスト内にある単語リストのカスタム検出項目をクリックします。
2. [情報を編集] をクリックします。
3. タイトルと説明を編集します。
4. [保存] をクリックします。

リストに単語を追加するには:

1. リスト内にある単語リストのカスタム検出項目をクリックします。
2. [単語の追加] をクリックします。
3. 単語のリストに単語を追加します。
4. [保存] をクリックします。

リスト内の単語を編集するには:

1. リスト内にあるカスタム単語のカスタム検出項目をクリックします。
2. [単語を編集] をクリックします。
3. リスト内の単語を編集します。
4. [保存] をクリックします。

正規表現のカスタム検出項目を編集する

ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

正規表現のカスタム検出項目の名前、説明、または正規表現を編集するには:

1. カスタム検出項目のページで、正規表現のカスタム検出項目をクリックします。
2. ポップアップで、タイトル、説明、または正規表現を編集します。
3. 正規表現を編集した場合は、[正規表現をテスト] をクリックします。テストデータを入力して確認します。
4. [保存] をクリックします。

カスタム検出項目を削除する

検出項目を削除すると、元に戻すことができません。

1. カスタム検出項目のページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン が表示されます。
2. ゴミ箱アイコン をクリックします。
3. 検出項目を削除することを確認します。