ドライブの DLP に関するよくある質問

ドライブ用の DLP では多くの定義済み検出項目をサポートしており、DLP の機能強化に伴い、さらに項目数が増える予定です。

いいえ。すべての機密データを見つけてフラグを付けることは保証されません。DLP 検出システムでは、定義済みのテンプレートを正規表現に変換し、追加のコンテンツ パラメータを使用して一致確率を判定します。多くの要因が関係するため、偽陽性や偽陰性をゼロにするのは非常に困難です。また、すべてのファイル形式がスキャンとルールによる評価の対象となるわけではありません。

はい。ルールが追加または変更されるたびに、すべてのファイルをスキャンします。ただし、すべてのファイル形式がスキャンの対象となるわけではありません。ドメイン内のファイル数などのさまざまな要因により、ファイルのスキャンには数時間、1 日、またはそれ以上の時間がかかることがあります。

ヒント: ルールを追加または変更すると、以前にアップロードしたファイルの最新の版が DLP によってスキャンされます。ルールで使用されるカスタム コンテンツ検出項目を変更した場合にもスキャンが行われます。

はい。機密コンテンツを検出するために、ドキュメントが 2 回スキャンされる場合があります。そのため、ルール変更によって影響を受けるファイルの数は、スキャンごとに異なります。

DLP ポリシーが有効になるまでには、最長で 24 時間ほどかかることがあります。

ドライブの DLP でトリガーとなるのはファイルの変更です。 また、Google フォームは、フォーム送信プロセスで質問の投稿としてアップロードされたファイルをスキャンします。

現時点では API アクセスに対応していません。

[ドライブを使用してファイルを挿入] アイコンをクリックしてドライブ内のファイルをメールに添付した場合、トリガーが「メールの送信」である DLP ルールは適用されません。ただし、トリガーとして Google ドライブの共有も選択されている場合は、メールに添付する前にドライブ ファイルにルールが適用されます。

より厳しい操作が優先されます。この例では、社会保障番号を含むメールおよびドキュメントがブロックされます。

セキュリティ調査ツールを使用します。詳しくは、セキュリティ調査ツールをご覧ください。

DLP でサポートされていないコメント（未解決または解決済み）を除き、各ファイルやドキュメントの最初の 1 MB がスキャンされます。詳しくは、DLP でスキャンできるドライブ ファイルのサイズに上限はありますか？をご覧ください。

スキャン対象となるファイルの種類について詳しくは、DLP のスキャン対象となるアプリケーションとファイル形式をご確認ください。

はい。監査専用ルールを作成することで、新しい DLP で作成したルールをテストでき、ルールの潜在的な影響を把握することができます。監査専用ルールはすべてのルールと同様にトリガーされますが、操作は行われず、結果がルール監査レポートに書き込まれます。詳しくは、監査専用ルールを使用してルールの結果をテストする（推奨、省略可）をご覧ください。ログイベント データを確認する場合は、ルールのログイベントまたはセキュリティ調査ツールをご覧ください。ルールのログイベントとセキュリティ調査ツールに、トリガーされた DLP ルールのエントリが表示されます。

機密コンテンツの例を確認したり、実際のコンテンツをテストしたりするには、Sensitive Data Protection のデモをお試しください。

管理者は、ルールごとに 1 日に最大 50 件のアラートを受信できます。この上限に達するまではアラートが届きます。

いいえ。コンテンツが変更されるとスキャンがトリガーされますが、アラート受信者を追加しても、スキャンは行われません。

はい、上限は 1 MB です。その仕組みは次のとおりです。

DLP では、ドライブのファイルがスキャン可能な形式（ファイル コンテンツとファイル形式のデータを含む）に変換され、その変換後のファイルがスキャンされます。変換後のファイルが 1 MB を超える場合は、先頭の 1 MB のみがスキャンされます。元々のサイズが 50 MB を超えるファイルの場合は、変換もスキャンも行われません。10 MB を超えるファイルも変換されないことがあります。DLP は、すべてのサイズのファイルに対して、ファイルのタイトルとラベルをスキャンします。

はい。マイドライブ内のファイルの場合、ファイルのオーナーに適用される DLP ポリシーが有効になります。共有ドライブ内のファイルの場合、共有ドライブはファイルのオーナーとみなされ、共有ドライブに適用される DLP ポリシーが有効となります。

DLP ルールで定義された機密性の高いコンテンツがファイル内で検出されると、アラートがトリガーされます。これは、ファイルまたはルールが作成された際に発生します（コンテンツがすでに存在する場合）。ファイルの共有だけで、アラートがトリガーされることはありません。

「トリガー元のユーザー」とは、DLP スキャンの原因となったドキュメント変更を最も直近に実施したユーザーのことです。この情報が記録されるのは、ドキュメントの変更が原因で DLP スキャンが行われた場合のみです（ポリシーの変更が原因で DLP スキャンが行われた場合は記録されません）。

管理者は、次の 2 つの方法でダウンロード、コピー、印刷を無効にできます。

• コメント投稿者と閲覧者のみ - この設定では、編集者以上の権限がない限り、ユーザーはダウンロード、印刷、コピーできなくなります。
• すべての共同編集者（コメント投稿者、閲覧者、編集者、オーナー）が対象 - この設定では、ドキュメントのオーナーや共有ドライブ マネージャーを含む、ドキュメントのすべてのユーザーがダウンロード、印刷、コピーできなくなります。編集者以上の権限を持つユーザーは、ドキュメント内でコピーと貼り付けを行うことができます。

詳細については、ファイルの共有を制限するをご覧ください。

管理者は同じ条件を使用して 2 つのポリシーを作成し、ポリシーごとに異なる操作を指定できます。たとえば、最初のポリシーでコンテンツへの外部からのアクセスをブロックし、2 つ目のポリシーでそのコンテンツに IRM を適用することができます。

クライアントは、これらのポリシーに違反するファイルをダウンロードできません。

いいえ。このルールの操作の適用対象は閲覧とコメントのロールです。

はい。

はい。Gemini は、ユーザーがアクセスできるコンテンツにのみアクセスできます。ユーザーが Information Rights Management（IRM）ポリシー（ドライブの共有設定で設定）に基づいてファイルのダウンロード、印刷、コピーを許可されていない場合、Gemini はユーザーに代わってそれらのファイルまたはそのコンテンツにアクセスできません。

ユーザーまたは Gemini がドキュメントにアクセスしようとしたタイミングです。ユーザーがすでにドキュメントを表示している状態で、管理者が DLP ルールの操作を使用してこれらの制限を適用した場合、そのドキュメントを再度読み込むまで制限は反映されません。

いいえ。

組織に外部共有をブロックする DLP ルールがある場合は、できません。外部共有をブロックする DLP ルールがある場合、組織外のユーザーは、DLP ルールが適用されたことがあるファイルの変更履歴を閲覧できません。この規定には、ラベルを適用するが外部共有をブロックしない DLP ルールも含まれます。