情報保護ポリシー

Defender for Cloud Apps のファイル ポリシーを使用すると、さまざまな自動プロセスを適用できます。 継続的なコンプライアンス スキャン、法的電子情報開示タスク、公的に共有される機密コンテンツの DLP などの情報保護を提供するポリシーを設定できます。

Defender for Cloud Apps では、20 を超えるメタデータ フィルター (アクセス レベルやファイルの種類など) に基づいて任意のファイルの種類を監視できます。 詳細については、「ファイル ポリシー」を参照してください。

機密データの外部共有を検出して防止します

個人を特定する情報やその他の機密データを含むファイルがクラウド サービスに保存され、組織の外部のユーザーと共有されて、会社のセキュリティ ポリシーに違反し、コンプライアンス違反の可能性が生じることを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. フィルター [Access Level equals Public (Internet) / Public / External] ([アクセス レベル] が [パブリック (インターネット) / パブリック / 外部] に等しい) を設定します。

3. 検査方法でデータ分類サービス (DCS)を選択し、種類の選択でDCSで検査する機密情報の種類を選択します。

4. アラートがトリガーされたときに実行する [ガバナンス] アクションを構成します。 たとえば、Google Workspace で検出されたファイル違反に対して実行するガバナンス アクションを作成し、外部ユーザーを削除 および パブリック アクセスを削除 するオプションを選択できます。

5. ファイルポリシーを作成します。

外部共有された機密データを検出する

機密 というラベルが付けられ、クラウド サービスに保存されているファイルが、会社のポリシーに違反して外部ユーザーと共有されていることを検出します。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• Microsoft Purview Information Protection 統合を有効にします。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. フィルター [秘密度ラベル] を Microsoft Purview Information Protection が機密ラベルと等しい、または会社の同等の条件に設定します。

3. フィルタアクセス レベルをパブリック (インターネット) / パブリック / 外部と等しく設定します。

4. オプション: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。

5. ファイルポリシーを作成します。

保管中の機密データを検出して暗号化する

クラウド アプリで共有されている個人を特定する情報や他の機密データが含まれるファイルを検出し、秘密度ラベルを適用して、社内の従業員のみにアクセスを制限します。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• Microsoft Purview Information Protection 統合を有効にします。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. [検査方法] で [データ分類サービス (DCS)] を選択し、[種類を選択] で、DCS で検査する機密情報の種類を選択します。

3. [ガバナンス アクション] で [秘密度ラベルの適用] をオンにして、会社で会社の従業員にアクセスを制限するために使用する秘密度ラベルを選択します。

4. ファイルポリシーを作成します。

Note

Defender for Cloud Apps に秘密度ラベルを直接適用する機能は、現在、Box、Google Workspace、SharePoint Online、OneDrive for Business でのみサポートされています。

古い外部共有データの検出

使用されていない古いファイル、最近更新されなかったファイル、直接パブリック リンク、Web 検索、または特定の外部ユーザーによってパブリックにアクセスできるファイルを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. ポリシー テンプレート [外部と共有される古いファイル] を選択して適用します。

3. 組織のポリシーに一致するようにフィルタ最終更新日をカスタマイズします。

4. オプション: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 次に例を示します。

   • Google Workspace: ファイルを非公開にし、最後のファイル編集者に通知する

   • ボックス: 最後のファイル編集者に通知する

   • SharePoint online: ファイルをプライベートにし、ポリシー一致ダイジェストをファイル所有者に送信します。

5. ファイルポリシーを作成します。

不正な場所からのデータアクセスを検出

組織の一般的な場所に基づいて、ファイルが不正な場所からアクセスされたときを検出し、潜在的なデータ漏洩や悪意のあるアクセスを特定します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいアクティビティ ポリシーを作成します。

2. フィルター [アクティビティの種類] を、[表示]、[ダウンロード]、[アクセス]、[変更] など、関心のあるファイルとフォルダーのアクティビティに設定します。

3. フィルター「場所が等しくない」を設定し、組織がアクティビティを想定している国/地域を入力します。

   • オプション: 組織が特定の国/地域からのアクセスをブロックしている場合は、逆のアプローチを使用してフィルターを場所 に等しいように設定できます。

4. オプション: ユーザーの停止など、検出された違反に適用する ガバナンス アクションを作成します (何が使用できるかはサービスによって異なります)。

5. アクティビティ ポリシーを作成します。

非準拠の SP サイトにある機密データ ストアを検出して保護する

機密としてラベル付けされ、準拠していない SharePoint サイトに保存されているファイルを検出します。

前提条件

秘密度ラベルが、組織内で構成および使用されています。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. フィルター [秘密度ラベル] を Microsoft Purview Information Protection が機密ラベルと等しい、または会社の同等の条件に設定します。

3. フィルター [親フォルダー が等しくない] を設定し、フォルダーの選択 で組織内の準拠フォルダーをすべて選択します。

4. アラート で、 一致するファイルごとにアラートを作成 を選択します。

5. オプション: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 たとえば、ボックスをファイル所有者にポリシー一致ダイジェストを送信し、管理者隔離に入れるに設定します。

6. ファイルポリシーを作成します。

外部共有ソースコードの検出

ソース コードである可能性のあるコンテンツを含むファイルがパブリックに共有されているか、組織外のユーザーと共有されているかを検出します。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. ポリシー テンプレート [Externally shared source code] (外部と共有されたソース コード) を選択して適用します。

3. オプション: ファイル 拡張子 のリストをカスタマイズして、組織のソース コード ファイル拡張子に一致させます。

4. オプション: 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 たとえば、Box で、[ファイル所有者にポリシー一致ダイジェストを送信] し、[管理者検疫に配置] します。

5. ポリシー テンプレートを選択して適用します。

グループ データへの未承認のアクセスを検出する

特定のユーザー グループに属する特定のファイルが、グループに属していないユーザーによって過度にアクセスされている場合、これは潜在的な内部関係者の脅威である可能性があります。

前提条件

アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいアクティビティ ポリシーを作成します。

2. [動作の対象] で [反復アクティビティ] を選択し、[反復アクティビティの最低回数] をカスタマイズして、[期間] を組織のポリシーに準拠するように設定します。

3. フィルターアクティビティ タイプを、表示、ダウンロード、アクセス、変更など、興味のあるファイルやフォルダーのアクティビティに設定します。

4. フィルタUser を From group に等しいと設定し、関連するユーザー グループを選択します。

   Note

   ユーザー グループはサポートされているアプリから手動でインポートできます。

5. フィルター「ファイルとフォルダ」を「特定のファイルまたはフォルダ」に設定し、監査対象のユーザー グループに属するファイルとフォルダを選択します。

6. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 たとえば、ユーザーを一時停止することを選択できます。

7. ファイルポリシーを作成します。

パブリックにアクセス可能な S3 バケットを検出する

AWS S3 バケットからの潜在的なデータ漏洩を検出して保護します。

前提条件

アプリコネクタを使用して AWS インスタンスを接続する必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. ポリシー テンプレート [パブリックにアクセス可能な S3 バケット (AWS)] を選択して適用します。

3. 違反が検出されたときにファイルに対して実行される ガバナンス アクションを設定します。 利用可能なガバナンス アクションはサービスによって異なります。 たとえば、AWS を プライベートにする に設定すると、S3 バケットがプライベートになります。

4. ファイルポリシーを作成します。

ファイル ストレージ アプリ全体で GDPR 関連データを検出して保護

クラウド ストレージ アプリで共有されていて、個人を特定できる情報や、GDPR コンプライアンス ポリシーによって制限されているその他の機密データが含まれるファイルを検出します。 その後、秘密度ラベルを自動的に適用して、承認された担当者のみにアクセスを制限します。

前提条件

• アプリ コネクタを使用して、少なくとも 1 つのアプリを接続する必要があります。

• Microsoft Purview Information Protection 統合 (AIP) が有効になっており、GDPR ラベルが AIP で構成されています。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいファイルポリシーを作成します。

2. [検査方法] で [データ分類サービス (DCS)] を選択し、[選択の種類] で、GDPR コンプライアンスに準拠する情報の種類を 1 つ以上選択します(例: EU デビットカード番号、EU の運転免許証番号、EU の国民/地域識別番号、EU パスポート番号、EU SSN、SU 納税者番号)。

3. サポートされている各アプリで [秘密度ラベルの適用] を選択し、違反が検出されたときにファイルに対して実行するガバナンス アクションを設定します。

4. ファイルポリシーを作成します。

Note

現在、[秘密度ラベルの適用] は Box、Google Workspace、SharePoint Online、OneDrive for Business でのみサポートされています。

外部ユーザーのダウンロードをリアルタイムでブロックする

Defender for Cloud Apps のセッション制御を利用して、リアルタイムでファイルのダウンロードをブロックすることにより、会社のデータが外部ユーザーによって抜き取られないようにします。

前提条件

• Microsoft Entra アプリに対してアプリの条件付きアクセス制御を展開する。

• アプリがシングル サインオンに Microsoft Entra ID を利用する SAML ベースのアプリであることを確認する。 サポートされているアプリの詳細については、「サポートされているアプリとクライアント」を参照してください。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいセッション ポリシーを作成します。

2. [セッション制御の種類] で、[ファイル ダウンロードの制御 (検査による)] を選択します。

3. アクティビティ フィルター で、ユーザー を選択し、グループから が 外部ユーザー に等しいように設定します。

   Note

   このポリシーをすべてのアプリに適用するには、アプリ フィルターを設定する必要はありません。

4. ファイル フィルタを使用して、ファイルの種類をカスタマイズできます。 これにより、セッション ポリシーが制御するファイルの種類をより詳細に制御できるようになります。

5. アクションで、ブロックを選択します。 [ブロック メッセージのカスタマイズ] を選択し、ユーザーに送信されるカスタム メッセージを設定できます。これにより、ユーザーは、コンテンツがブロックされた理由と、適切な秘密度ラベルを適用することによってコンテンツを有効にする方法を理解できます。

6. ［作成］ を選択します

外部ユーザーに対して読み取り専用モードをリアルタイムで強制する

Defender for Cloud Apps のセッション制御を利用して、印刷アクティビティやコピーと貼り付けアクティビティをリアルタイムでブロックすることにより、会社のデータが外部ユーザーによって抜き取られないようにします。

前提条件

• Microsoft Entra アプリに対してアプリの条件付きアクセス制御を展開する。
• アプリがシングル サインオンに Microsoft Entra ID を使用する SAML ベースのアプリであることを確認する。 サポートされているアプリの詳細については、「サポートされているアプリとクライアント」を参照してください。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいセッション ポリシーを作成します。

2. [セッション制御の種類] で、[アクティビティのブロック] を選択します。

3. アクティビティ ソース フィルター:

   1. ユーザーを選択し、グループからを外部ユーザーに設定します。

   2. アクティビティ タイプと印刷およびアイテムの切り取り/コピーを選択します。

   Note

   このポリシーをすべてのアプリに適用するには、アプリ フィルターを設定する必要はありません。

4. オプション: 検査方法 で、適用する検査のタイプを選択し、DLP スキャンに必要な条件を設定します。

5. アクションで、ブロックを選択します。 [ブロック メッセージのカスタマイズ] を選択し、ユーザーに送信されるカスタム メッセージを設定できます。これにより、ユーザーは、コンテンツがブロックされた理由と、適切な秘密度ラベルを適用することによってコンテンツを有効にする方法を理解できます。

6. ［作成］ を選択します

未機密文書のアップロードをリアルタイムでブロックする

Defender for Cloud Apps のセッション制御を使用して、ユーザーが保護されていないデータをクラウドにアップロードできないようにします。

前提条件

• Microsoft Entra アプリに対してアプリの条件付きアクセス制御を展開する。

• アプリがシングル サインオンに Microsoft Entra ID を使用する SAML ベースのアプリであることを確認する。 サポートされているアプリの詳細については、「サポートされているアプリとクライアント」を参照してください。

• Microsoft Purview Information Protection の秘密度ラベルが組織内で構成および使用されている必要があります。

手順

1. Microsoft Defender ポータルの [クラウド アプリ] で、[ポリシー] - >[ポリシー管理] の順に移動します。 新しいセッション ポリシーを作成します。

2. [セッション制御の種類] で、[ファイルのアップロードの制御 (検査あり)] または [ファイル ダウンロードの制御 (検査による)] を選択します。

   Note

   このポリシーをすべてのユーザーとアプリに適用するには、アプリ フィルターを設定する必要はありません。

3. ファイル フィルター [秘密度ラベル] で "等しくない" を選択し、会社で分類済みファイルにタグを付けるために使用するラベルを選択します。

4. オプション: 検査方法 で、適用する検査のタイプを選択し、DLP スキャンに必要な条件を設定します。

5. アクションで、ブロックを選択します。 [ブロック メッセージのカスタマイズ] を選択し、ユーザーに送信されるカスタム メッセージを設定できます。これにより、ユーザーは、コンテンツがブロックされた理由と、適切な秘密度ラベルを適用することによってコンテンツを有効にする方法を理解できます。

6. ［作成］ を選択します

Note

現在 Defender for Cloud Apps で Microsoft Purview Information Protection の秘密度ラベルに対してサポートされているファイルの種類の一覧については、Microsoft Purview Information Protection 統合の前提条件に関するページを参照してください。

次のステップ

組織を保護するためのベスト プラクティス

問題が発生した場合は、ここにお問い合わせください。 お使いの製品の問題について支援やサポートを受けるには、サポート チケットを作成してください。