データ損失防止リファレンス

重要

これは参照トピックであり、Microsoft Purview データ損失防止 (DLP) 情報のメイン リソースではなくなりました。 DLP コンテンツ セットが更新され、再構築されています。 この記事で取り上げるトピックは、更新された新しい記事に移行します。 DLP の詳細については、「 データ損失防止の詳細」を参照してください。

注意

最近、Office 365 Advanced Compliance のライセンスを取得しているユーザー向けに、データ損失防止機能が Microsoft Teams のチャットとチャネルのメッセージに追加されました。これはスタンドアロンのオプションとして提供されており、Office 365 E5 および Microsoft 365 E5 コンプライアンスに含まれています。 ライセンス要件の詳細については、「Microsoft 365 テナントレベル サービスのライセンスに関するガイダンス」を参照してください。

DLP ポリシーを作成および管理する

Microsoft Purview コンプライアンス ポータルのデータ損失防止ページで DLP ポリシーを作成および管理します。

Microsoft Purview コンプライアンス ポータルの [データ損失防止] ページ

一致の難易度を上下するためにルールを調整する

DLP ポリシーを作成して有効にすると、次の問題が発生する可能性があります。

  • 機密情報 ではない 大量のコンテンツがルールと一致します。つまり、多数の誤検知が発生します。

  • 機密情報 である コンテンツが小さすぎると、ルールと一致します。 言い換えると、保護操作は機密情報に対して実行されません。

このような問題に対処するには、インスタンス数と一致精度を変更してコンテンツがルールに一致する難易度を上下させて、ルールを調整します。 ルールに使用される各機密情報の種類には、インスタンス数と一致精度の両方があります。

インスタンス数

インスタンス数とは、コンテンツがルールに一致すると評価される各機密情報の種類の出現回数です。 たとえば、1 から 9 の固有の米国または英国の間のコンテンツは、次のルールに一致します。 パスポート番号が識別されます。

注意

インスタンス数では、機密情報の種類とキーワードの 一意 の一致のみがカウントされます。 たとえば、メールの中に同じクレジット カード番号が 10 回出現する場合、その 10 回の出現は、クレジット カード番号の 1 つのインスタンスとしてカウントされます。

インスタンス数を使用してルールを調整する方法は簡単です。

  • ルールに一致させやすくするには、[最小] 数を減らし、[最大] 数を増やします。 また、[最大] の数値を削除して [すべて] に設定することもできます。

  • ルールに一致させにくくするには、[最小] 数を増やします。

通常、ユーザー通知の送信など、制限の緩い操作は、少ないインスタンス数 (たとえば 1 から 9) のルールで使用します。 また、ユーザーによる上書きを許可せずにコンテンツへのアクセスを制限するなど制限の厳しい操作は、高いインスタンス数 (たとえば 10 からすべて) のルールで使用します。

ルール エディターのインスタンス数。

一致精度

前述のように、機密情報の種類の定義と検出には、さまざまな種類の証拠を組み合わせて使用します。 一般的に、機密情報の種類はそのような複数の組み合わせ (パターンと呼ばれます) で定義されます。 必要な証拠が少ないパターンは一致精度 (信頼度) が低く、必要な証拠が多いパターンは一致精度 (信頼度) が高くなります。 すべての機密情報の種類に使用される実際のパターンと信頼度の詳細については、「機密情報の種類のエンティティ定義」を参照してください。

たとえば、クレジット カード番号という機密情報の種類は次の 2 つのパターンで定義されます。

  • 必要な信頼度が 65% のパターン:

    • クレジット カード番号の形式の番号。

    • チェックサムに合格する番号。

  • 必要な信頼度が 85% のパターン:

    • クレジット カード番号の形式の番号。

    • チェックサムに合格する番号。

    • 適切な形式のキーワードまたは有効期限。

ルールにはこれらの信頼度 (または一致精度) を使用できます。 通常、ユーザー通知の送信など、制限の緩いアクションは、低い一致精度のルールで使用します。 また、ユーザーによる上書きを許可せずにコンテンツへのアクセスを制限するなど制限の厳しい操作は、高い一致制度のルールで使用します。

クレジット カード番号など、内容に含まれる各機密情報の種類が識別された場合、1 つの信頼度のみが返されることを理解する必要があります。

  • すべての一致が 1 つのパターンの場合、そのパターンの信頼度が返されます。

  • 複数のパターンについて一致がある場合 (つまり、2 つの信頼度の一致がある場合)、他のパターンよりも高い信頼度のみが返されます。 この点には注意する必要があります。 たとえばクレジット カードの場合、65% のパターンと 85% のパターンの両方に一致する場合、証拠が多いほど信頼度が高くなるので、その機密情報の種類について返される信頼度は 90% を超えます。

そのため、クレジット カードについて相互排他的な 2 つのルールを作成し、65% の一致精度のルールと 85% の一致精度のルールである場合、一致精度の範囲は次のようになります。 最初のルールでは、65% のパターンの一致のみが選択されます。 2 つ目のルールでは、少なくとも 1 つの 85% のパターンの一致が選択され、他の低い信頼度の一致が 選択される可能性 があります。

一致精度の範囲が異なる 2 つのルール。

以上の理由から、一致精度が異なる複数のルールを作成する方法について説明します。

  • 通常、最も低い信頼度では、[最小] と [最大] に (範囲ではなく) 同じ値を使用します。

  • 通常、最も高い信頼度は、下位の信頼度のすぐ上の値から 100 の範囲です。

  • 通常、範囲の信頼度を設定する場合、下位の信頼度のすぐ上の値から、上位の信頼度のすぐ下の値までの範囲にします。

DLP ポリシーでの条件としての保持ラベルの使用

事前に作成および発行された保持ラベルを DLP ポリシーでの条件として使用する場合、注意すべき点がいくつかあります。

  • DLP ポリシーでの条件として保持ラベルを使用するには、保持ラベルを事前に作成して発行しておく必要があります。

  • 発行済みの保持ラベルを同期するには、1 から 7 日かかる場合があります。アイテム保持ポリシーで発行される保持ラベルの詳細については、「保持ラベルが適用できるようになったとき」を参照してください。自動的に発行されたアイテム保持ラベルの詳細については、「保持ラベルが有効になるまでの所要時間」を参照してください。

  • ポリシーでの保持ラベルの使用** は、SharePoint および OneDrive のアイテムに対してのみサポートされています***。

    条件としてのラベル。

    保持と廃棄の対象になっているアイテムがあり、そのアイテムに他のコントロールを適用する場合は、DLP ポリシーで保持ラベルを使用できます。例:

    • 課税年度 2018 という名前の保持ラベルを発行し、SharePoint に格納されている 2018 年の税務書類に適用すると、10 年間保持され、その後破棄されます。 また、DLP ポリシーを使用して、これらのアイテムが組織外に共有されないようにすることもできます。

    重要

    保持ラベルを DLP ポリシーの条件として指定し、Exchange および/または Teams を場所として含めると、次のエラーが表示されます: 「メールおよびチーム メッセージのラベル付きコンテンツの保護はサポートされていません。下のラベルを削除するか、Exchange と Teams の場所指定をオフにしてください。」 これは、Exchange トランスポートがメッセージの送信や配信中にラベルのメタデータを評価しないためです。

DLP ポリシーで秘密度ラベルを条件として使用する

DLP ポリシーの条件として秘密度ラベルを使用する方法の詳細について説明します。

この機能と他の機能の関係

機密情報を含むコンテンツには複数の機能を適用できます。

  • 保持ラベルとアイテム保持ポリシーはどちらも、このコンテンツに 保持 アクションを適用できます。

  • DLP ポリシーは、このコンテンツに 保護 操作を適用できます。 ただし、これらの操作を適用する前に、DLP ポリシーにはラベルを含むコンテンツ以外にも一致する他の条件が必要です。

機密情報に適用できる機能の図。

DLP ポリシーには、機密情報に適用されるラベルや保持ポリシーよりも機能性の高い検出機能があることに注意してください。 DLP ポリシーは、機密情報を含むコンテンツに保護アクションを適用できます。コンテンツから機密情報を削除すると、次回コンテンツがスキャンされたときにそれらの保護操作は取り消されます。 ただし、機密情報を含むコンテンツに保持ポリシーまたはラベルが適用されている場合は、機密情報が削除された場合でも取り消されない 1 回限りの操作になります。

DLP ポリシーでラベルを条件として使用すると、そのラベルのコンテンツに保持操作と保護操作の両方を適用できます。 ラベルを含むコンテンツは機密情報を含むコンテンツとまったく同じように考えることができます。ラベルと機密情報の種類は両方とも、コンテンツの分類に使用されるプロパティです。このため、そのコンテンツに操作を適用できます。

ラベルを条件として使用する DLP ポリシーの図。

簡易設定と詳細設定

DLP ポリシーを作成するときは、次の簡易設定または詳細設定のどちらかを選択します。

  • 簡易設定: ルール エディターを使ってルールを作成または変更することなく、最も一般的な種類の DLP ポリシーを簡単に作成できます。

  • 詳細設定: ルール エディターを使って DLP ポリシーのすべての設定を完全に制御できます。

見た目ではわかりませんが、条件とアクションで構成されるルールを適用することで、簡易設定と詳細設定はまったく同じように機能するのでご安心ください。簡易設定を使用する場合のみ、ルール エディターが表示されません。 これにより、DLP ポリシーを簡単に作成できます。

簡易設定

最も一般的な DLP のシナリオでは、ポリシーを作成して機密情報を含むコンテンツが組織外のユーザーと共有されるのを防ぎ、コンテンツにアクセス可能なユーザーを制限するなどの自動修復アクションを実行し、エンドユーザーや管理者に通知を送信し、後の調査のためにイベントを監査しています。 ユーザーは、不注意による機密情報の漏洩を防ぐために DLP を使用します。

この目標を容易に達成するために、DLP ポリシーの作成時に [簡易設定を使用] を選択することができます。 簡易設定では、ルール エディターに移動することなく、最も一般的な DLP ポリシーを実装するのに必要なすべてのものが提供されます。

簡単な設定と詳細設定用の DLP オプション。

詳細設定

よりカスタマイズされた DLP ポリシーを作成する必要がある場合は、[詳細設定を使用] を選択できます。

詳細設定では、ルール エディターが表示され、そこで各ルールのインスタンス数や一致精度 (信頼度) を含む、利用可能なオプションすべてを完全に制御できます。

セクションにすばやく移動するには、ルール エディターの上部のナビゲーションの項目をクリックして、下のセクションに移動します。

DLP ルール エディターのトップ ナビゲーション メニュー。

DLP ポリシー テンプレート

DLP ポリシーの作成における最初のステップは、保護する情報を選択することです。 DLP テンプレートを使用すると、新しい一連のルールを初めから作成し、既定で含める必要がある情報の種類を判別するという労力を省くことができます。 その後、そうした要件を追加したり変更したりして、組織の特定の要件を満たすようにルールを調整できます。

構成済みの DLP ポリシー テンプレートを使用すると、HIPAA データ、PCI DSS データ、グラム リーチ ブライリー法データ、またはロケール固有の個人情報 (P.I.) などの機密情報の特定の種類を検出するのに役立ちます。 一般的な種類の機密情報を簡単に検出して保護できるように、Microsoft 365 に含まれるポリシー テンプレートには、使用開始時に必要な最も一般的な機密情報の種類が既に含まれています。

米国愛国者法のテンプレートに焦点を当てたデータ損失防止ポリシーのテンプレートの一覧。

組織には固有の要件がある場合もあるため、その場合は、[カスタム ポリシー] オプションを選択して、最初から DLP ポリシーを作成できます。 カスタム ポリシーは空であり、既定のルールは含まれていません。

DLP レポート

DLP ポリシーを作成して有効にしたら、意図したとおりに動作し、コンプライアンスの遵守に役立っていることを確認します。 DLP レポートを使用すると、DLP ポリシーとルールの一致の数の時間経過による変化や、誤検知と無効化の回数を、すぐに見ることができます。 レポートごとに、場所や期間でこれらの一致をフィルター処理したり、さらには特定のポリシー、ルール、アクションで絞り込んだりできます。

DLP レポートを利用すると、ビジネスに関する洞察を得ると共に、以下のことが可能です。

  • 特定の期間に絞り込み、スパイクや傾向の理由を理解します。

  • 組織のコンプライアンス ポリシーに違反するビジネス プロセスを検出します。

  • DLP ポリシーのビジネスに及ぼす影響を理解します。

さらに、DLP レポートを使用すると、DLP ポリシーの実行時にそれらのポリシーを調整できます。

セキュリティとコンプライアンス センターのレポート ダッシュボード。

DLP ポリシーのしくみ

DLP は、(単純なテキスト スキャンだけでなく) 詳細なコンテンツ分析を使用して、機密情報を検出します。この詳細なコンテンツ分析は、キーワード一致、辞書一致、正規表現の評価、内部関数などの方式を使用して、DLP ポリシーに一致するコンテンツを検出します。使用しているデータのうち、ごくわずかな割合のデータのみが機密性が高いと見なされる可能性があります。DLP ポリシーは、他のコンテンツを使用した作業を妨害したり影響を与えたりすることなく、対象データのみを識別、監視し、自動的に保護できます。

ポリシーの同期

Microsoft Purview コンプライアンス ポータルで DLP ポリシーを作成すると、そのポリシーは中央のポリシー ストアに格納され、次のようなさまざまなコンテンツ ソースに同期されます。

  • Exchange Online、そこから Outlook on the web、Outlook。

  • OneDrive for Business サイト。

  • SharePoint Online サイト。

  • Office デスクトップ プログラム (Excel、PowerPoint、Word)。

  • Microsoft Teams チャネルおよびチャット メッセージ。

ポリシーが適切な場所に同期されると、コンテンツの評価とアクションの適用が開始されます。

OneDrive for Business サイトと SharePoint Online サイトのポリシー評価

すべての SharePoint Online サイトと OneDrive for Business サイトで、ドキュメントは常に変化し、作成、編集、共有などが継続的に行われています。 つまり、ドキュメントはいつでも競合したり、DLP ポリシーに準拠するようになる可能性があります。 たとえば、あるユーザーがチーム サイトに機密情報を含まないドキュメントをアップロードし、後で別のユーザーが同じドキュメントを編集して機密情報を追加する、といったことが発生します。

このため、DLP ポリシーはバックグラウンドで頻繁にポリシーとの一致がドキュメントにあるかどうかを調べています。 これは非同期的なポリシーの評価と考えることができます。

メカニズム

ユーザーがサイトにドキュメントを追加したりドキュメントを変更したりすると、検索エンジンによってコンテンツがスキャンされるため、ユーザーが後で検索できるようになります。 これと併せて、コンテンツは機密情報に関してスキャンされ、共有されているかどうかが確認されます。 見つかった機密情報は、コンプライアンス チームだけがアクセスでき、一般ユーザーはアクセスできないように、検索インデックスに安全に保存されます。 有効にした DLP ポリシーはそれぞれバックグラウンドで (非同期に) 実行されるため、ポリシーと一致するコンテンツが頻繁に検索され、不注意によって漏えいされないようにアクションが適用されます。

DLP ポリシーがコンテンツを非同期的に評価する方法を示す図。

最後に、ドキュメントが DLP ポリシーに矛盾し、その後 DLP ポリシーに準拠するようになることがあります。たとえば、ユーザーがドキュメントにクレジット カード番号を追加する場合、DLP ポリシーによってドキュメントへのアクセスが自動的にブロックされる可能性があります。しかしユーザーが後で機密情報を削除すると、次にドキュメントが対象ポリシーに対して再び評価されるときに、アクション (この例ではブロック) が自動的に取り消されます。

DLP は、インデックスを作成できるすべてのコンテンツを評価します。 既定でクロールされるファイルの種類の詳細については、「SharePoint Server での既定のクロール対象ファイルのファイル名拡張子および解析対象ファイルの種類」を参照してください。

注意

DLP ポリシーが分析する機会を得る前にドキュメントが共有されないようにするために、SharePoint での新しいファイルの共有は、コンテンツのインデックスが作成されるまでブロックできます。 詳細については、「新しいファイルを既定で機密としてマークする」をご覧ください。

Exchange Online、Outlook、Outlook on the web でのポリシーの評価

Exchange Onlineを場所として含む DLP ポリシーを作成すると、ポリシーはMicrosoft Purview コンプライアンス ポータルからExchange Onlineに、次にExchange OnlineからExchange Onlineに同期されます。Outlook on the webと Outlook。

メッセージが Outlook で作成される場合、作成中のコンテンツは DLP ポリシーに対して評価されるため、ユーザーはポリシー ヒントを確認できます。 また、メッセージが送信された後は、Exchange 管理センターで作成された Exchange メール フロー ルール (トランスポート ルールとも呼ばれます) と DLP ポリシーと共に、通常のメール フローの一部として DLP ポリシーに対して評価されます。 DLP ポリシーは、メッセージと添付ファイルの両方をスキャンします。

Office デスクトップ プログラムにおけるポリシー評価

Excel、PowerPoint、Word には、機密情報を識別して DLP ポリシーを適用するための、SharePoint Online と OneDrive for Business と同じ機能が含まれています。 これらの Office プログラムは、集中管理ポリシー ストアから直接 DLP ポリシーを同期し、DLP ポリシーに含まれるサイトから開かれたドキュメントをユーザーが扱うときに、DLP ポリシーに対してコンテンツを継続的に評価します。

Office における DLP ポリシーの評価は、プログラムのパフォーマンス、またはコンテンツを扱っているユーザーの生産性に影響を与えることがないように設計されています。 大規模なドキュメントを扱う場合、またはユーザーのコンピューターがビジー状態にある場合、ポリシー ヒントが表示されるまでに数秒かかることがあります。

Microsoft Teams でのポリシーの評価

場所として Microsoft Teams を含む DLP ポリシーを作成すると、ポリシーはMicrosoft Purview コンプライアンス ポータルからユーザー アカウントと Microsoft Teams チャネルとチャット メッセージに同期されます。 DLP ポリシーの構成方法によっては、ユーザーが Microsoft Teams のチャットやチャネル メッセージで機密情報を共有しようとしたときに、そのメッセージをブロックまたは取り消すことができます。 また、機密情報が含まれていて、ゲスト (外部ユーザー) と共有されているドキュメントは、このユーザー対しては開きません。 詳細については、「データ損失防止と Microsoft Teams」を参照してください。

アクセス許可

既定では、グローバル管理者、セキュリティ管理者、コンプライアンス管理者は、DLP ポリシーを作成して適用するためのアクセス権を持ちます。 DLP ポリシーを作成するコンプライアンス チームの他のメンバーには、Microsoft Purview コンプライアンス ポータルへのアクセス許可が必要です。 既定では、テナント管理者はこの場所にアクセスでき、コンプライアンス担当者や他のユーザーにテナント管理者のすべてのアクセス許可を与えることなく、Microsoft Purview コンプライアンス ポータルにアクセスできます。これを行うには、次のことをお勧めします。

  1. Microsoft 365 でグループを作成して、コンプライアンス責任者を追加します。

  2. Microsoft Purview コンプライアンス ポータルの [アクセス許可] ページで役割グループを作成します。

  3. 役割グループを作成している間に、役割の選択 セクションを使用して、次の役割を役割グループに追加します: DLP コンプライアンス管理

  4. メンバーの選択 セクションを使用して、以前に作成した Microsoft 365 グループを役割グループに追加します。

また、表示のみ DLP コンプライアンス管理 の役割を付与することで、DLP ポリシーと DLP レポートに表示のみの権限を持った役割グループを作成することもできます。

詳細については、「Give users access to the Office 365 Security & Compliance Center (Office 365 セキュリティ/コンプライアンス センターへのアクセス権をユーザーに付与する)」を参照してください。

これらのアクセス許可は、DLP ポリシーを作成して適用するためにのみ必要です。 ポリシーの適用には、コンテンツへのアクセスは不要です。

DLP コマンドレットを検索する

Microsoft Purview コンプライアンス ポータルにほとんどのコマンドレットを使用するには、次の手順を実行する必要があります。

  1. セキュリティ/コンプライアンス PowerShell に接続します

  2. これらのポリシーおよびコンプライアンスの dlp コマンドレットのいずれかを使用する。

ただし、DLP レポートは、Exchange Online を含む Microsoft 365 全体からデータを取り込む必要があります。 このため、DLP レポートのコマンドレットは powershell Exchange Onlineで使用できます。powershell Microsoft Purview コンプライアンス ポータルでは使用できません。 したがって、DLP レポートのコマンドレットを使用するには、次の操作を行う必要があります。

  1. Exchange Online PowerShell に接続します

  2. DLP レポート用のいずれかのコマンドレットを使用します。

詳細情報