この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus、Enterprise Essentials Plus。エディションの比較
ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも使用している Cloud Identity Premium ユーザーにご利用いただけます。ドライブの DLP の場合は、ライセンスにドライブのログイベントが含まれている必要があります。
ドライブ用の DLP 全般に関するよくある質問
どのような定義済みコンテンツ検出子がサポートされていますか?ドライブ用の DLP では多くの定義済み検出項目をサポートしており、DLP の機能強化に伴い、さらに項目数が増える予定です。
いいえ。すべての機密データを見つけてフラグを付けることは保証されません。DLP 検出システムでは、定義済みのテンプレートを正規表現に変換し、追加のコンテンツ パラメータを使用して一致確率を判定します。多くの要因が関係するため、偽陽性や偽陰性をゼロにするのは非常に困難です。また、すべてのファイル形式がスキャンとルールによる評価の対象となるわけではありません。
はい。ルールが追加または変更されるたびに、すべてのファイルをスキャンします。ただし、すべてのファイル形式がスキャンの対象となるわけではありません。ドメイン内のファイル数などのさまざまな要因により、ファイルのスキャンには数時間、1 日、またはそれ以上の時間がかかることがあります。
ヒント: ルールを追加または変更すると、以前にアップロードしたファイルの最新版が DLP によってスキャンされます。ルールで使用されるカスタム コンテンツ検出項目を変更した場合にもスキャンが行われます。
はい。機密コンテンツを検出するために、ドキュメントが 2 回スキャンされる場合があります。そのため、ルール変更によって影響を受けるファイルの数は、スキャンごとに異なります。
DLP ポリシーが有効になるまでには、最長で 24 時間ほどかかることがあります。
ドライブの DLP でトリガーとなるのはファイルの変更です。また、Google フォームは、フォーム送信プロセスで質問の投稿としてアップロードされたファイルをスキャンします。
現時点では API アクセスに対応していません。
[ドライブを使用してファイルを挿入] アイコンをクリックしてドライブ内のファイルをメールに添付した場合、トリガーが「メールの送信」である DLP ルールは適用されません。ただし、トリガーとして Google ドライブの共有も選択されている場合は、メールに添付する前にドライブ ファイルにルールが適用されます。
より厳しい操作が優先されます。この例では、社会保障番号を含むメールおよびドキュメントがブロックされます。
セキュリティ調査ツールを使用します。詳しくは、セキュリティ調査ツールをご覧ください。
DLP でサポートされていないコメント(未解決または解決済み)を除き、各ファイルやドキュメントの最初の 1 MB がスキャンされます。詳しくは、DLP でスキャンできるドライブ ファイルのサイズに上限はありますか?をご覧ください。
スキャン対象となるファイルの種類について詳しくは、DLP のスキャン対象となるアプリケーションとファイル形式をご確認ください。
はい。監査専用ルールを作成することで、新しい DLP で作成したルールをテストでき、ルールの潜在的な影響を把握することができます。監査専用ルールはすべてのルールと同様にトリガーされますが、操作は行われず、結果がルール監査レポートに書き込まれます。詳しくは、監査専用ルールを使用してルールの結果をテストする(推奨、省略可)をご覧ください。ログイベント データを確認する場合は、ルールのログイベントまたはセキュリティ調査ツールをご覧ください。ルールのログイベントとセキュリティ調査ツールに、トリガーされた DLP ルールのエントリが表示されます。
管理者は、ルールごとに 1 日に最大 50 件のアラートを受信できます。この上限に達するまではアラートが届きます。
いいえ。コンテンツが変更されるとスキャンがトリガーされますが、アラート受信者を追加しても、スキャンは行われません。
はい、上限は 1 MB です。その仕組みは次のとおりです。
DLP では、ドライブのファイルがスキャン可能な形式(ファイル コンテンツとファイル形式のデータを含む)に変換され、その変換後のファイルがスキャンされます。変換後のファイルが 1 MB を超える場合は、先頭の 1 MB のみがスキャンされます。元々のサイズが 50 MB を超えるファイルの場合は、変換もスキャンも行われません。10 MB を超えるファイルも変換されないことがあります。DLP は、すべてのサイズのファイルに対して、ファイルのタイトルとラベルをスキャンします。
はい。マイドライブ内のファイルの場合、ファイルのオーナーに適用される DLP ポリシーが適用されます。共有ドライブ内のファイルの場合、共有ドライブはファイルのオーナーとみなされ、共有ドライブに適用される DLP ポリシーが有効となります。
DLP ルールで定義された機密性の高いコンテンツがファイル内で検出されると、アラートがトリガーされます。これは、ファイルまたはルールが作成された際に発生します(コンテンツがすでに存在する場合)。ファイルの共有のみでは、アラートがトリガーされることはありません。
「トリガー元のユーザー」とは、DLP スキャンの原因となったドキュメント変更を最も直近に実施したユーザーのことです。この情報が記録されるのは、ドキュメントの変更が原因で DLP スキャンが行われた場合のみです(ポリシーの変更が原因で DLP スキャンが行われた場合は記録されません)。
閲覧者(コメント可)と閲覧者に対してファイルのダウンロード、印刷、コピーを無効にする
以下のよくある質問は、閲覧者(コメント可)と閲覧者に対して、ダウンロード、印刷、コピーを無効にする機能に関するものです。
ルールの作成時に [閲覧者(コメント可)と閲覧者に対して、ダウンロード、印刷、コピーを無効にする] というオプション設定を有効にすると、編集者またはそれ以上の権限があるユーザーを除いて、ファイルをダウンロード、印刷、コピーすることはできなくなります。この制限は DLP の Information Rights Management(IRM)から構成されるもので、ドライブの共有設定がポリシーとして使用されます。ドライブの共有設定については、ファイルの共有方法を制限するをご覧ください。
管理者は、こうした制限に関するエンドユーザー向けのメッセージをカスタマイズできますか?ユーザーには Google ドライブのデフォルト メッセージが表示されます。
管理者は同じ条件を使用して 2 つのポリシーを作成し、ポリシーごとに異なる操作を指定できます。たとえば、最初のポリシーでコンテンツへの外部からのアクセスをブロックし、2 つ目のポリシーでそのコンテンツに IRM を適用することができます。
クライアントは、これらのポリシーに違反するファイルをダウンロードできません。
いいえ。このルールの操作の適用対象は閲覧とコメントのロールです。
はい。
ユーザーがドキュメントを編集用に開いたときです。ユーザーがすでにドキュメントを表示している状態で、管理者が DLP ルールの操作を使用してこれらの制限を適用した場合、そのドキュメントを再度読み込むまで制限は反映されません。
いいえ。
