この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus。 エディションの比較
Google Workspace ライセンス(Enterprise、Business、Education エディション)も保有する Cloud Identity Premium ユーザーは、ドライブの DLP と Chat の DLP も利用できます。
ドライブのデータ損失防止(DLP)機能を使用すると、トリガーと条件を組み合わせた複雑なルールを作成できます。ユーザーのコンテンツがブロックされた場合、その旨を伝えるメッセージをユーザーに送信する操作を指定することもできます。
ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する
手順 1: ルールを計画する
DLP ルールの条件によって、ルールで検出される機密コンテンツの種類が決まります。基本的な例については、以下の DLP ルールの例をご覧ください。ルールには 1 つの条件が必要ですが、AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。ネストした条件の例については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。
- 運転免許証番号や納税者番号などの標準的な個人情報を検出するには、ルールで定義済みコンテンツ検出項目を使用できます。利用可能な検出項目の完全なリストについては、定義済みコンテンツ検出項目の使用方法をご覧ください。
- ルールの条件では、自身で作成したカスタム コンテンツ検出項目(単語のリストや正規表現を含むコンテンツ検出項目など)を使用することもできます。手順については、手順 2. カスタム コンテンツ検出項目を作成するの説明をご覧ください。
ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。
監査専用ルールを作成して、DLP で作成したルールをテストできます。これにより、Google ドライブのルールの潜在的影響をテストできます。すべてのルールと同様にこうしたルールもトリガーされますが、操作は一切実行されず、結果がルール監査ログと調査ツールに書き込まれるだけです。
ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。
監査専用ルールを作成、使用するには:
- 手順 3: ルールを作成するの手順に沿ってルールを作成します。
- ルール作成の [操作] では、操作を選択しないでください。操作は省略可能です。ルールは関連付けられた操作なしでトリガーされ、すべてのインシデントがルール監査ログに記録されます。この場合、対象は [操作] に [監査のみ] と表示されます。
- 操作を続け、ルール設定を完了します。ルールがアクティブになっていることを確認してください。
- 管理者自身で機能をテストするか、ドメイン内のユーザーが、このルールの影響を受けるデータを共有するまで待ちます。
- ルール監査ログを表示します。詳しくは、ルールの監査ログまたは調査ツールをご覧ください。監査ログには、監査専用ルールを使用したときにトリガーされる、操作のないルールが一覧表示されます。
-
ルールが希望どおりに設定されていることを確認したら、ルールに変更を加えて操作が適用されるようにします(手順 3: ルールを作成するを参照)。
おすすめのルールとは、データ保護に関する分析情報レポートの結果に基づいてユーザーに推奨される DLP ルールです。たとえば、組織内で共有されたデータの種類としてパスポート番号がレポートに表示される場合は、パスポート番号の共有を防止するルールがおすすめのルールとして表示されます。
おすすめのルールは、データ保護に関する分析情報レポートが有効になっている場合にのみ表示されます。詳しくは、データ保護のおすすめのルールを使用したデータ漏洩防止をご覧ください。
-
動的グループ - ユーザーが組織に入ったとき、移動したとき、退職したときに、メンバーを自動的に管理します。動的グループは管理コンソールまたは Cloud Identity API で利用できるため、グループのメンバー構成の変更を手動管理する手間を省くメリットがあります。DLP ルールに動的グループを使用するには、そのグループがセキュリティ グループ(セキュリティ ラベルが付いているもの)でもあることを確認してください。動的グループの詳細についてはこちらをご参照ください。
-
セキュリティ グループ - 標準グループまたは動的グループをセキュリティ グループに変換すると、権限管理とアクセス制御を行うためのグループを規制、監査、監視できるようになります。管理コンソールで、または Cloud Identity Groups API を使用してセキュリティ グループを作成するには、セキュリティ ラベルをグループに追加します。詳しくは、セキュリティ グループをご覧ください。
-
移行されたグループ - Google Cloud Directory Sync(GCDS)を使用して、Microsoft Active Directory などのツールで作成したグループを Google Workspace と同期できます。同期されたグループを DLP ルールで使用します。詳しくは、GCDS に関する記事をご覧ください。
手順 2: カスタム検出項目を作成する(省略可)
ルール条件でカスタム検出項目を使用する必要がある場合に、そうした検出項目を作成するための一般的な手順を以下に示します。
ルールで使用する DLP 検出項目を作成する
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
[調査ツール]
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [検出項目を管理] をクリックします。
- [検出項目を追加] をクリックします。名前と説明を追加します。
次の中から選択できます。
- 正規表現 - 正規表現はテキストをパターンと照合する方法です。正規表現を確認するには、[正規表現をテスト] をクリックします。正規表現の例をご覧ください。
- 単語リスト - 管理者自身で作成する単語リストです。検出対象となる単語をカンマ区切りのリストにして作成します。大文字と小文字の違いや記号は無視されます。完全な単語にのみ一致します。コンテンツが検出されたときに表示されるポップアップ メッセージを追加できます。単語リストの検出項目内の単語は、2 文字以上にする必要があります(文字が英字または数字のみの場合)。
- [作成] をクリックします。後でルールに条件を追加するときに、カスタム検出項目を使用します。
手順 3: ルールを作成する
ルールを作成する一般的な手順を以下に示します。
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
調査ツールでのみ必要な権限については、セキュリティ調査ツールの管理者権限をご覧ください。
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ルールを管理] をクリックします。次に、[ルールを追加]
- ルールの名前と説明を追加します。
- [範囲] で、[<ドメイン名> 内のすべて] を選択するか、選択した組織部門またはグループのユーザーにのみこのルールを適用することを選択します。含めるか除外するかの指定について、組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
注: 動的グループにルールを適用する場合、そのグループにはセキュリティ ラベルも必要です。詳しくは、ルールの範囲に選択できるグループの種類をご覧ください。
- [続行] をクリックします。
- [アプリ] セクションで [ドライブのファイル] を選択します。
- [続行] をクリックします。
- [条件] で、[条件を追加] をクリックします。
- [スキャンするコンテンツの種類] を選択します。
- すべてのコンテンツ: ドキュメントのすべて(ドキュメントのタイトル、本文、編集の提案など)
- 本文: ドキュメントの本文
- ドライブのラベル: ドキュメントに適用されているすべてのラベル。詳しくは、ドライブのラベル管理者としての作業を開始するをご覧ください。
- 編集の提案: 提案モードでドキュメントに追加されたコンテンツ
- タイトル: ドキュメントのタイトル
- [スキャン対象] を選択し、その種類のスキャンに必要な属性(下の表に記載)を入力します。
[スキャン対象] の選択肢は、前の手順で選択した [スキャンするコンテンツの種類] によって異なります。たとえば、スキャンするコンテンツの種類として [タイトル] を選択した場合、[スキャン対象] の選択肢には [末尾が次と一致] と [先頭が次と一致] が含まれます。
スキャン対象 属性 事前定義されたデータの種類と一致する データの種類 - 事前定義されたデータの種類を選択します。事前定義されたデータの種類の詳細については、こちらをご覧ください。 可能性のしきい値 - 可能性のしきい値を選択します。指定できるしきい値は次のとおりです。
- 最低
- 低
- 中
- 高
- 最高
こうしたしきい値は、照合結果に対する DLP システムの信頼度を反映しています。一般的に、「最高」では、照合するコンテンツの数が少ないため、精度が高くなります。「最低」では、より多くのファイルを対象に広範囲に照合しますが、精度は低くなります。
一意に一致するテキストの最小数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に一意に出現する必要のある最小回数。
最小一致数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に出現する必要のある最小回数。
「最小一致数」と「一意に一致するテキストの最小数」の仕組みたとえば、社会保障番号のリストが 2 つあると考えてください。最初のリストには 50 個のまったく同じ番号が含まれており、2 つ目のリストには 50 個の一意の番号が含まれています。
この場合、[最小一致数] の値が 10 であれば、結果は両方のリストでトリガーされます。どちらのリストでも 10 個以上の一致があるからです。
また、[一意に一致するテキストの最小数] の値が 10 で、[最小一致数] の値が 1 の場合、結果は 2 つ目のリストでのみトリガーされます。10 個の一致があり、それらはすべて一意の値に一致するからです。
テキスト文字列を含む 照合するコンテンツを入力 - 検索する部分文字列、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。部分文字列の場合、ルールに「key」という単語が含まれていて、ドキュメントに「key」という単語が含まれる場合、一致と見なされます。 語句を含む 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。
アプリとして Gmail を選択した場合にのみ使用できます。
正規表現に一致する 正規表現の名前 - 正規表現のカスタム検出項目。 パターンが検出される最小回数 - 操作がトリガーされるために、正規表現で表されるパターンがドキュメント内に出現する必要のある最小回数。
単語リスト内の単語に一致する 単語リストの名前 - カスタムの単語リストを選択します。 一致モード - [いずれかの単語に一致する] または [最低数の一意の単語に一致する] を選択します。
任意の単語が検出される合計回数の最小値 - 単語の検出回数がこの最小値に達すると、アクションがトリガーされます。
検出される個別の単語の最小個数 - アクションをトリガーするために検出される必要がある異なる単語の最小数を指定します([最低数の一意の単語に一致する] オプションの場合のみ)。
後方が一致 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。 次で始まる 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。 次に一致(コンテンツ タイプがドライブラベルの場合のみ) ドライブラベル - プルダウン リストから使用可能なドライブラベルを選択します。
ラベル フィールド - 選択したドライブラベルで使用可能なラベル フィールドを選択します。
フィールド オプション - 選択したフィールドで使用可能なフィールド オプションを選択します。条件では AND、OR、または NOT 演算子を使用できます。条件で AND、OR、NOT 演算子を使用する場合の詳細については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。
注: 条件を指定せずに DLP ルールを作成すると、そのルールで定められた操作がすべてのドライブ ファイルに適用されます。
- [続行] をクリックします。
- [操作] で、スキャンで機密データが検出された場合に実行する以下のような操作を選択できます(省略可)。
操作を追加する前にルールをテストしたい場合
監査専用ルールを作成すれば、操作を行わずに監査ログに書き込みを行うルールをテストできます。操作の選択は省略可能です。詳しくは、監査専用ルールを使ってルールの結果をテストする(任意、推奨)をご覧ください。- 外部共有をブロック - ドキュメントの共有を禁止します。
- 外部との共有を警告する - ユーザーがファイルを共有しようとすると、ファイルに機密コンテンツが含まれているという警告が表示されます。[キャンセル] または [このまま共有] を選択できます。
注: この操作に対するアラートを有効にすると、ファイルが共有されたかどうかにかかわらず、機密コンテンツが検出されたときにアラートがトリガーされます。通常、検出はファイルの作成または更新後、またはファイルに適用されるルールの変更(ルールの作成または更新など)の後に行われます。また、システム アップグレードによって検出能力が向上したときにも実行されることがあります。検出イベントはルールログに記録されます。
- コメント投稿者と閲覧者に対して、ダウンロード、印刷、コピーを無効にする - ユーザーに「編集者」以上の権限がない限り、ダウンロード、印刷、コピーを禁止します。この機能は DLP の Information Rights Management(IRM)であり、ドライブの共有設定がポリシーとして使用されます。このため、ユーザーはどのプラットフォームからも、Google ドライブ内のドキュメント、スプレッドシート、スライドをダウンロード、印刷、コピーできません。詳しくは、IRM に関するよくある質問をご確認ください。
- ドライブラベルの適用 - 既存のドライブラベルを一致するファイルに適用します。以下の手順に沿って設定します。
- [ドライブラベル] プルダウン リストから使用可能なラベルを選択し、そのラベルで使用可能なフィールドとフィールド オプションを選択します。[オプション リスト] のフィールド タイプのバッジラベルと標準ラベルのみがサポートされています。詳しくは、ドライブのラベル管理者としての作業を開始するをご覧ください。
- (省略可)[ラベルを追加] をクリックして、ラベルを追加します。
- ユーザーに、自分のファイルに適用されるラベルやフィールドの値の変更を許可するかどうかを選択します。
- [アラート] で、重大度レベル([低]、[中]、[高])を選択します。重大度は、インシデントが時間の経過とともに DLP インシデント ダッシュボードにどのように表示されるか(重大度が「高」、「中」、「低」のインシデントの数)に影響します。
- 必要に応じて、[アラート センターに送信する] をオンにして通知をトリガーします。アラートは Google ドライブでのみサポートされています。詳しくは、アラートの詳細を表示するをご覧ください。
チェックボックスをオンにしてすべての特権管理者に通知するか、その他の受信者のメールアドレスを追加します。追加できるのは、登録されている受信者に限られます。外部の受信者は無視されます。受信者はユーザーまたはグループです。選択したグループがメールアラートを受信できるように、グループに対してアクセス権を設定する必要があります。メール通知のグループ アクセス権の設定について、詳しくは、アラート センターのメール通知を設定するをご覧ください。
アラートはアラート センターに一覧表示されます。アラートが発生してからログに記録されるまでには時間差があります。アラートがアラート センターに表示されるタイミングと、ルール監査ログおよび DLP セキュリティ ダッシュボードが更新されるタイミングとの間にも時間差があります。アラートを受信してからアラートの概要を確認することもできますが、ダッシュボードまたは調査ツールの監査ログに表示されるインシデント数の更新には時間がかかります。ルールごとの 1 日あたりのアラート数は最大で 50 件です。このしきい値に達するまでアラートは発生します。
- [続行] をクリックしてルールの詳細を確認します。
- [ルールのステータス] で、ルールの初期ステータスを選択します。
- アクティブ - ルールはすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
- [作成] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
手順 4: 新しいルールについてユーザーに通知する
新しいルールの想定される動作と結果についてユーザーに説明します。たとえば機密データが共有される場合は、外部共有をブロックすることもあります。そうした場合は、ドキュメントを共有できなくなる可能性があることと、その理由をユーザーに伝えます。
DLP ルールの例
定義済みの分類、カスタム検出項目、ルール テンプレートの使用例。
次の例では、定義済みの分類を使用して、特定の組織やグループのユーザーが機密データを共有できないようにする方法を示します。定義済みの分類を使用することで、よく入力されるデータを指定できます。この例でのデータは社会保障番号です。
始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ルールを管理] をクリックします。[ルールを追加]
- ルールの名前と説明を追加します。
- [範囲] で、[すべての <ドメイン名> に適用] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
- [続行] をクリックします。
- [条件] で、[条件を追加] をクリックし、次の値を選択します。
- 項目 - すべてのコンテンツ。
- 値 - デフォルトの検出項目に一致する。
- デフォルトの検出項目 - 米国 - 社会保障番号。
- 可能性のしきい値 - 可能性はとても高い(メッセージによって操作がトリガーされるかどうかを判断するために使用する追加の基準)。
- 一意に一致するテキストの最低数 - 1(操作がトリガーされるために、一意の一致がドキュメント内に出現する必要のある最小回数)。
- 最小一致数 - 1(操作がトリガーされるために、コンテンツがメッセージ内に出現する必要のある回数)。たとえば「2」を選択した場合、操作がトリガーされるためには、コンテンツがメッセージ内に 2 回以上出現する必要があります。
- [続行] をクリックします。[Google ドライブ] で、操作として [外部共有をブロック] を選択します。
- [重大度とアラート] で、重大度レベルとして [高] を選択します。アラートを有効にして、受信者を入力します。
アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
- [完了] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
次の例では、カスタム検出項目の設定方法を示します。カスタム検出項目で検出される単語を登録できます。ルール内のトリガー設定を使用して、社内のプロジェクト名などの機密データを含むドキュメントが外部の受信者と共有されないようにします。
始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [検出項目を管理] をクリックします。[検出項目を追加]
- 検出項目の名前と説明を入力します。
- 検出対象の単語をカンマで区切って入力します。カスタム単語リストでは、次のルールが適用されます。
- 大文字と小文字は区別されません。たとえば「BAD」は、「bad」、「Bad」、「BAD」と一致します。
- 完全な単語にのみ一致します。たとえば、カスタム単語リストに「bad」を追加した場合、「badminton」は一致しません。
- [作成] をクリックします。
- [ルールを管理] をクリックします。[ルールを追加]
- [名前] で、ルールの名前と、必要であれば説明を入力します。
- [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
- [続行] をクリックします。
- [条件] で、[条件を追加] をクリックし、次の値を選択します。
- 項目 - すべてのコンテンツ
- 値 - 単語リストの検出項目に一致する
- 単語リスト - リストをスクロールして、先に作成した検出項目を探します。
- 一致モード - 次のいずれかの一致モードを選択します。
- いずれかの単語に一致する - 定義済み単語リスト内の任意の単語との一致数をカウントします。
- 最低数の一意の単語に一致する - 検出される個別の単語の最小個数と、(定義済み単語リスト内の)任意の単語が検出される合計回数の最小値を指定します
- 任意の単語が検出される合計回数の最小値 - 1
- [続行] をクリックします。[Google ドライブ] で、操作として [外部共有をブロック] を選択します。
- [重大度とアラート] で、重大度レベルとして [高] を選択します。アラートを有効にして、受信者を指定します。アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
- [完了] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
ルール テンプレートに用意された一連の条件は、多くの一般的なデータ保護シナリオに対応しています。ルール テンプレートを使用すれば、データ保護が必要となる日常的な状況を対象にポリシーを設定できます。
次の例では、ルール テンプレートを使用して、米国人の個人情報(PII)を含むドライブ ドキュメントやメールの送信または共有をブロックしています。
始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ルールを管理] をクリックします。
- [ルールを追加]
- [テンプレート] ページで、[個人情報(PII)の共有の防止(米国)] をクリックします。
- ルールのデフォルトの名前と説明をそのまま使用するか、新しい値を入力します。
- [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
- [続行] をクリックします。ルール テンプレートの条件が事前に選択されています。必要に応じて、ルールに適用される特定の条件を確認します。セキュリティは「低」に設定され、アラートは無効になっています。
- Google ドライブについて、[外部共有をブロック] が選択されています。共有をブロックすると、ユーザーは条件に一致するファイルを組織外のユーザーと共有できなくなります。
- [続行] をクリックしてルールの詳細を確認します。
- [作成] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
- [完了] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
この例では、DLP ルールとコンテキストアウェア アクセスの条件を組み合わせています。DLP ルールとコンテキスト条件を組み合わせると、ルールは条件が満たされた場合にのみ適用されます。
この例では、DLP ルールにより、コメント権限または閲覧権限しか持たない Google ドキュメント ユーザーが機密コンテンツをダウンロード、印刷、コピーするのをブロックします。コンテキスト条件では、ユーザーが iOS デバイスまたは Android デバイスからコンテンツにアクセスしていることを指定します。
重要: モバイル デバイスに対して、デバイスのコンテキスト条件、またはデバイスの OS ベースのコンテキスト条件を適用するには、デバイスの基本管理または詳細管理が有効になっている必要があります。
始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ルールを管理] をクリックします。[ルールを追加]
- ルールの名前と説明を追加します。
- [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
- [続行] をクリックします。
- [アプリ] の [Google ドライブ] で、[ドライブのファイル] をオンにします。
- [続行] をクリックします。
- [条件] で、[条件を追加] をクリックします。
- [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
- [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
- [コンテキストの条件] セクションで、[アクセスレベルを選択する] をクリックして既存のアクセスレベルを表示します。
- [新しいアクセスレベルを作成] をクリックします。
- 新しいアクセスレベルの名前と説明を入力します。
- [コンテキストの条件] で、[条件を追加] をクリックします。
- [すべての属性と一致する] を選択します。
- [属性を選択]
- [最小バージョン] で、デフォルトの [どのバージョンでも可] のままにするか、特定のバージョンを選択します。
- [条件を追加] をクリックし、ステップ 17~18 を繰り返し、デバイスの OS として Android を選択します。
- [複数の条件を結合] の切り替えボタン([条件] の上)を [OR] に設定します。こうすることで、ユーザーが iOS デバイスまたは Android デバイスで機密コンテンツにアクセスした場合に DLP ルールが適用されます。
- [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
- [続行] をクリックします。
- [操作] ページの Google ドライブの操作で、[「閲覧者(コメント可)」または「閲覧者」権限のユーザーに対して、ダウンロード、印刷、コピーを無効にする] を選択します。
注: 操作が適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。
- (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
- [続行] をクリックしてルールの詳細を確認します。
- ルールのステータスを以下から選択します。
- アクティブ - ルールはすぐに適用されます。
- 無効 - ルールは存在していますが、無効です。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ]、[アクセスとデータ管理]、[データの保護]、[ルールを管理] の順に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
- [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細
その他の例については、DLP ルールとコンテキストアウェア アクセスの条件を組み合わせるをご覧ください。
DLP ルールとカスタム コンテンツ検出項目を管理する
作成した DLP ルールまたはカスタム検出項目は、表示、編集、有効化、無効化、あるいは管理できます。
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- 組織部門管理者の権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
詳しくは、管理者権限についてのページとカスタムの管理者の役割を作成するをご覧ください。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [ルールを管理] または [検出項目を管理] をクリックします。[セキュリティ] > [データの保護] > [ルールを管理] をクリックすると、ルールのページに移動します。[セキュリティ] > [データの保護] > [検出項目を管理] をクリックすると、検出項目のページに移動します。
ルールを並べ替える
[名前] 列または [最終更新] 列では、ルールを昇順または降順に並べ替えることができます。
- ルールのページで、[名前] または [最終更新] の列名をクリックします。
- 上矢印または下矢印をクリックすると、列が並べ替えられます。
ルールを有効または無効にする
ルールを有効にすると、そのルールを使用するドキュメントのスキャンが DLP によって実行されます。
- ルールのページで、ルールの [ステータス] 列の [アクティブ] または [無効] を選択します。
- ルールを有効または無効にすることを確認します。
ルールを削除する
ルールを削除すると、元に戻すことができません。
- ルールのページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン
が表示されます。
- ゴミ箱アイコン
- ルールを削除することを確認します。
ルールを書き出す
ルールを .txt ファイルに書き出すことができます。
- ルールのページで [ルールをエクスポート] をクリックします。
- ルールのリストがテキスト ファイルにダウンロードされます。左下にある .txt ファイルをクリックすると、ダウンロードしたルールが表示されます。
ルールの詳細を編集する
ルールを編集すると、そのルールの影響を受けるドキュメントの新規スキャンがトリガーされます。
- ルールのリストで、編集するルールをクリックします。
- [ルールを編集] をクリックします。
- 目的に応じてルールを編集します。作業の流れはルールを作成するときと同じです。
- 完了したら、[更新] をクリックし、次のいずれかを選択します。
- アクティブ - ルールがすぐに適用されます。
- 無効 - ルールは存在しますが、すぐには適用されません。このオプションを使うと、ルールを確認して、チームメンバーと共有してから実装することができます。ルールを後で有効にするには、[セキュリティ]
- [完了] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
セキュリティ調査ツールでルールを調査する
この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Enterprise Essentials Plus。 エディションの比較
DLP では、セキュリティ調査ツールを使用することで、ルールがトリガーされる頻度がわかるようになっています。調査ツールによってルールの検索結果が一覧表示され、各インシデントでトリガーされた操作が示されます。
調査ツールを使用するには、メタデータと属性を表示する権限が必要です([セキュリティ センター] [調査ツール]
[ルール]
[メタデータと属性の表示] で設定)。
ルールを調査するには:
- ルールのリストで、調査対象のルールをクリックします。
- [ルールを調査] をクリックします。
- ルールの検索結果が表示されます。ルールがトリガーされてから監査ログが更新されるまでには時間差があります。詳しくは、調査ツールをご覧ください。
ヒント: 調査ツールからルールを有効または無効にできます。結果の表で、列見出し [ルール ID] にカーソルを合わせます。クリックしてから [操作] [ルールを有効にする] または [操作]
[ルールを無効にする] を選択します。
ヒント: すべての DLP ルールの結果を表示するには、[X] をクリックして特定のルール検索条件を削除し、[検索] をクリックします。
カスタム検出項目をフィルタする
カスタム検出項目のリストを、検出項目の名前と種類を基準にしてフィルタできます。
- カスタム検出項目のページで、[フィルタを追加] をクリックします。
- 検出項目の名前または種類でフィルタします。
- 検出項目の名前 - 検索する文字列を入力します
- 検出項目の種類 - 検出項目の種類を選択します
- [適用] をクリックします。フィルタは、閉じるまで保持されます。
検出項目を書き出す
検出項目を .txt ファイルに書き出すことができます。
- 検出項目のページで [検出項目をエクスポート] をクリックします。
- 検出項目のリストがテキスト ファイルにダウンロードされます。左下にある .txt ファイルをクリックすると、ダウンロードした検出項目が表示されます。
単語リストのカスタム検出項目を編集する
ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。
カスタム検出項目の名前と説明を編集するには:
- リスト内にある単語リストのカスタム検出項目をクリックします。
- [情報を編集] をクリックします。
- タイトルと説明を編集します。
- [保存] をクリックします。
リストに単語を追加するには:
- リスト内にある単語リストのカスタム検出項目をクリックします。
- [単語の追加] をクリックします。
- 単語のリストに単語を追加します。
- [保存] をクリックします。
リスト内の単語を編集するには:
- リスト内にあるカスタム単語のカスタム検出項目をクリックします。
- [単語を編集] をクリックします。
- リスト内の単語を編集します。
- [保存] をクリックします。
正規表現のカスタム検出項目を編集する
ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。
正規表現のカスタム検出項目の名前、説明、または正規表現を編集するには:
- カスタム検出項目のページで、正規表現のカスタム検出項目をクリックします。
- ポップアップで、タイトル、説明、または正規表現を編集します。
- 正規表現を編集した場合は、[正規表現をテスト] をクリックします。テストデータを入力して確認します。
- [保存] をクリックします。
カスタム検出項目を削除する
検出項目を削除すると、元に戻すことができません。
- カスタム検出項目のページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン
- ゴミ箱アイコン
- 検出項目を削除することを確認します。
