データ損失防止について

組織は、財務データ、専有データ、クレジット カード番号、健康記録、社会保障番号などの機密情報を管理しています。 これらの機密データを保護し、リスクを軽減するには、こうしたデータを保持するべきでないユーザーと不適切に共有できないようにする方法が必要です。 この方法は、データ損失防止 (DLP) と呼ばれます。

Microsoft Purview では、DLP ポリシーを定義して適用することで、データ損失防止を実装します。 DLP ポリシーを使用すると、機密性の高い項目を識別、監視、および自動的に保護できます。

• Teams、Exchange、SharePoint、OneDrive などの Microsoft 365 サービス
• Word、Excel、PowerPoint などの Office アプリケーション
• Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) エンドポイント
• Microsoft 以外のクラウド アプリ
• オンプレミスのファイル共有とオンプレミスの SharePoint。

DLP は、単純なテキスト スキャンだけでなく、ディープ コンテンツ分析を使用して機密性の高いアイテムを検出します。 キーワードへのプライマリ データの一致、正規表現の評価、内部関数の検証、およびプライマリ データの一致に近接するセカンダリ データの一致によって、コンテンツが分析されます。 さらに、DLP では、機械学習アルゴリズムやその他の方法を使用して、DLP ポリシーに一致するコンテンツを検出します。

ヒント

E5 のお客様でない場合は、Microsoft Purview のすべてのプレミアム機能を無料で試すことができます。 90 日間の Purview ソリューション試用版を使用して、堅牢な Purview 機能が組織がデータのセキュリティとコンプライアンスのニーズを管理するのにどのように役立つかを調べます。 Microsoft Purview コンプライアンス ポータル試用版ハブから今すぐ開始します。 サインアップと試用版の条件の詳細について説明します。

開始する前に

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要となる主要な記事の一覧を次に示します。

1. Microsoft Purview データ損失防止について学習する - 現在読んでいる記事では、データ損失防止規範と Microsoft による DLP の実装について説明します
2. データ損失防止 (DLP) を計画 する - この記事を使用して、次の作業を行います。
   1. 利害関係者を特定する
   2. 保護する機密情報のカテゴリについて説明する
   3. 目標と戦略を設定する
3. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します
4. DLP ポリシーを設計する - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
5. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。その後、これらのオプションを構成する手順について説明します。

DLP は、大規模な Microsoft Purview オファリングの一部です

DLP は Microsoft Purview ツールの 1 つに過ぎません。このツールを使用すると、どこに住んでいるか移動しても機密アイテムを保護できます。 Microsoft Purview ツール セット内の他のツール、それらがどのように相互に連携し、連携が向上するかを理解する必要があります。 情報保護プロセスの詳細については、「 Microsoft Purview ツール 」を参照してください。

DLP ポリシーの保護アクション

DLP ポリシーは、ユーザーが保存中の機密アイテム、転送中の機密アイテム、または使用中の機密アイテムに対して実行するアクティビティを監視し、保護措置を実行する方法です。 たとえば、機密性の高いアイテムを承認されていない場所にコピーしたり、メールやポリシーに記載されているその他の条件で医療情報を共有したりするなど、ユーザーが禁止されたアクションを実行しようとすると、DLP は次のことができます。

• 機密性の高いアイテムを不適切に共有しようとしている可能性があることを警告するポップアップ ポリシー ヒントをユーザーに表示する
• 共有をブロックし、ポリシー ヒントを使用して、ユーザーがブロックをオーバーライドし、ユーザーの正当な理由をキャプチャできるようにします
• オーバーライド オプションなしで共有をブロックする
• 保存データの場合、機密アイテムをロックして安全な検疫場所に移動できます
• Teams チャットの場合、機密情報は表示されません

DLP で監視されているすべてのアクティビティは、既定で Microsoft 365 監査ログ に記録され、 アクティビティ エクスプローラーにルーティングされます。 ユーザーが DLP ポリシーの条件を満たすアクションを実行し、アラートが構成されている場合、DLP は DLP アラート管理ダッシュボードにアラートを提供します。

DLP ライフサイクル

DLP の実装は、通常、これらの主要なフェーズに従います。

• DLP を計画する
• DLP の準備
• 運用環境でポリシーをデプロイする

DLP を計画する

DLP の監視と保護は、ユーザーが毎日使用するアプリケーションにネイティブです。 これは、ユーザーがデータ損失防止の考え方やプラクティスに慣れていない場合でも、危険なアクティビティから組織の機密アイテムを保護するのに役立ちます。 組織とユーザーがデータ損失防止プラクティスを初めて使用する場合、DLP の導入にはビジネス プロセスの変更が必要な場合があり、ユーザーのカルチャが変化する可能性があります。 ただし、適切な計画、テスト、チューニングにより、DLP ポリシーは機密性の高い項目を保護し、潜在的なビジネス プロセスの中断を最小限に抑えます。

DLP のテクノロジ計画

DLP は、テクノロジとしてのデータ、使用中のデータ、Microsoft 365 サービス、Windows 10、Windows 11、macOS (3 つの最新リリースバージョン) デバイス、オンプレミスのファイル共有、およびオンプレミス SharePoint 全体で動作するデータを監視および保護できることに注意してください。 さまざまな場所、監視および保護するデータの種類、およびポリシーの一致が発生したときに実行されるアクションには、計画上の影響があります。

DLP のビジネス プロセス計画

DLP ポリシーは、電子メールによる機密情報の不適切な共有など、禁止されたアクティビティをブロックできます。 DLP ポリシーを計画するときは、機密アイテムに触れるビジネス プロセスを特定する必要があります。 ビジネス プロセスの所有者は、許可する必要がある適切なユーザー動作と、保護する必要がある不適切なユーザー動作を特定するのに役立ちます。 ポリシーを計画し、テスト モードで展開し、 アクティビティ エクスプローラー で影響を評価してから、より制限の厳しいモードで適用する必要があります。

DLP の組織文化計画

DLP の正常な実装は、ユーザーが適切に計画され、調整されたポリシー上にあるように、データ損失防止のプラクティスにトレーニングと順応を行うのと同じくらい大きく依存します。 ユーザーは大きく関与しているため、ユーザーのトレーニングも計画してください。 ポリシーの適用をテスト モードからより制限の厳しいモードに変更する前に、ポリシーヒントを戦略的に使用してユーザーの認識を高めることができます。

DLP の準備

DLP ポリシーは、保存データ、使用中のデータ、および次のような場所の移動中のデータに適用できます。

• Exchange Onlineメール
• SharePoint Online サイト
• OneDrive アカウント
• Teams チャットおよびチャネル メッセージ
• Microsoft Defender for Cloud Apps
• Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス
• オンプレミスのリポジトリ
• PowerBI サイト

それぞれに異なる前提条件があります。 Exchange Online などの一部の場所の機密アイテムは、適用されるポリシーを構成するだけで DLP の傘の下に置くことができます。 オンプレミスのファイル リポジトリなどのその他のリポジトリでは、Azure Information Protection (AIP) スキャナーのデプロイが必要です。 ブロックアクションをアクティブ化する前に、環境を準備し、下書きポリシーをコード化し、徹底的にテストする必要があります。

運用環境でポリシーをデプロイする

ポリシーを設計する

まず、コントロールの目的と、それぞれのワークロードに適用する方法を定義します。 目標を具体化したポリシーを作成します。 一度に 1 つのワークロードから、またはすべてのワークロードで自由に開始できます。まだ影響はありません。

テスト モードでポリシーを実装する

テスト モードで DLP ポリシーを使用してコントロールを実装することで、コントロールの影響を評価します。 ポリシーで定義されているアクションは、ポリシーがテスト モードの間は適用されません。 テスト モードのすべてのワークロードにポリシーを適用して、結果を最大限に活用できるようにしてもかまいませんが、必要に応じて 1 つのワークロードから開始できます。

結果を監視し、ポリシーを微調整する

テスト モードでは、ポリシーの結果を監視し、コントロールの目的を満たすように微調整しながら、有効なユーザー ワークフローと生産性に悪影響を及ぼしたり、誤って影響を与えたりしないようにします。 微調整を行う場合の例を次に示します。

• スコープ内または範囲外の場所とユーザー/場所を調整する
• 項目とその処理がポリシーと一致するかどうかを判断するために使用される条件を調整する
• 機密情報の定義
• 新しいコントロールを追加する
• 新しいユーザーを追加する
• 新しい制限付きアプリを追加する
• 新しい制限付きサイトを追加する

注:

それ以上のルールの処理を停止 しても、テスト モードでは機能しません。

コントロールを有効にしてポリシーを調整する

ポリシーが目的をすべて満たしたら、有効にします。 引き続きポリシー アプリケーションの結果を監視し、必要に応じて調整します。

注:

一般に、ポリシーは有効になってから約 1 時間後に有効になります。

DLP ポリシー構成の概要

DLP ポリシーの作成と構成は柔軟に行うことができます。 定義済みのテンプレートから始めて、数回のクリックでポリシーを作成することも、独自に設計することもできます。 どの DLP ポリシーを選択しても、すべての DLP ポリシーに同じ情報が必要です。

1. 監視する内容を選択する - DLP には、開始に役立つ定義済みのポリシー テンプレートが多数用意されています。カスタム ポリシーを作成することもできます。
   • 定義済みのポリシー テンプレート: 財務データ、医療と保健データ、プライバシー データなど、さまざまな国と地域に対応しています。
   • 使用可能な機密情報の種類、保持ラベル、および秘密度ラベルを使用するカスタム ポリシー。
2. 監視する場所を選択する - DLP で機密情報を監視する 1 つ以上の場所を選択します。 次の情報を監視できます。

場所	包含 / 除外
Exchange メール	配布グループ
SharePoint サイト	sites
OneDrive アカウント	アカウントまたは配布グループ
Teams チャットおよびチャネル メッセージ	アカウントまたは配布グループ
Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス	ユーザーまたはグループ
Microsoft Cloud App Security	インスタンス
オンプレミスのリポジトリ	リポジトリ ファイルのパス
PowerBI (プレビュー)	ワークスペース

3. ポリシーを項目に適用するために一致する必要がある条件を選択 します。事前に構成された条件を受け入れるか、カスタム条件を定義できます。 次に例を示します。

• item には、特定のコンテキストで使用されている特定の種類の機密情報が含まれています。 たとえば、組織外の受信者に電子メールで送信される 95 件の社会保障番号です。
• item に指定された秘密度ラベルがある
• 機密情報を含むアイテムが内部または外部で共有される

4. ポリシー条件が満たされたときに実行するアクションを選択 します。 アクションは、アクティビティが発生している場所によって異なります。 次に例を示します。

• SharePoint/Exchange/OneDrive: 組織外のユーザーがコンテンツにアクセスするフォームをブロックします。 ユーザーにヒントを表示し、DLP ポリシーで禁止されているアクションを実行していることを示す電子メール通知を送信します。
• Teams チャットとチャネル: 機密情報がチャットまたはチャネルで共有されないようにブロックする
• Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス: 機密アイテムを削除可能な USB デバイスにコピーする監査または制限
• Office Apps: 危険な動作に関与していることをユーザーに通知するポップアップを表示し、ブロックまたはブロックしますが、オーバーライドを許可します。
• オンプレミスのファイル共有: ファイルを保存場所から検疫フォルダーに移動します

注:

条件と実行するアクションは、Rule と呼ばれるオブジェクトで定義されます。

コンプライアンス センターで DLP ポリシーを作成すると、中央のポリシー ストアに保存され、次のようなさまざまなコンテンツ ソースに同期されます。

• Exchange Online、そこから Outlook on the web、Outlook。
• OneDrive for Business サイト。
• SharePoint Online サイト。
• Office デスクトップ プログラム (Excel、PowerPoint、Word)。
• Microsoft Teams チャネルおよびチャット メッセージ。

ポリシーが適切な場所に同期されると、コンテンツの評価とアクションの適用が開始されます。

ポリシー アプリケーションの結果の表示

DLP は、監視、ポリシーの一致とアクション、ユーザー アクティビティから Microsoft Purview に膨大な量の情報を報告します。 機密性の高いアイテムに対して実行されるポリシーとトリアージ アクションを調整するには、その情報を使用して対処する必要があります。 テレメトリは、最初にMicrosoft Purview コンプライアンス ポータル監査ログに入り、処理され、さまざまなレポート ツールに移動します。 レポート ツールごとに目的が異なります。

DLP アラート ダッシュボード

DLP が機密性の高いアイテムに対してアクションを実行すると、構成可能なアラートを使用してそのアクションを通知できます。 コンプライアンス センターでは、これらのアラートをメールボックスに積み上げるのではなく、 DLP アラート管理ダッシュボードで使用できるようにします。 DLP アラート ダッシュボードを使用して、アラートの構成、確認、トリアージ、DLP アラートの解決の追跡を行います。 ポリシーの一致とWindows 10デバイスからのアクティビティによって生成されるアラートの例を次に示します。

同じダッシュボードで、リッチ メタデータに関連付けられたイベントの詳細を表示することもできます

レポート

DLP レポートは、時間の経過に伴う広範な傾向を示し、次の特定の分析情報を提供します。

• DLP ポリシー 時間の 経過と一致し、日付範囲、場所、ポリシー、またはアクションでフィルター処理
• DLP インシデントの一致 では、時間の経過に伴う一致も表示されますが、ポリシー ルールではなくアイテムにピボットされます。
• DLP の誤検知とオーバーライド は、誤検知の数を示し、構成されている場合はユーザーの正当な理由と共にユーザーオーバーライドを行います。

DLP アクティビティ エクスプローラー

DLP ページの [アクティビティ エクスプローラー] タブには、 アクティビティ フィルターが DLPRuleMatch にプリセットされています。 このツールを使用して、機密情報を含むコンテンツに関連するアクティビティや、変更されたラベル、ファイルが変更された、ルールに一致したラベルなど、ラベルが適用されているアクティビティを確認します。

コンテキストの概要

アクティビティ エクスプローラーの DLPRuleMatch イベントでクレジット カード番号など、一致したコンテンツを囲むテキストを確認できます。 これを行うには、まず 高度な分類スキャンと保護を有効にする必要があります。

DLPRuleMatch イベントは、ユーザー アクティビティ イベントとペアになっています。 は、アクティビティ エクスプローラーの (または少なくとも非常に近い) 隣り合う必要があります。 ユーザー アクティビティ イベントには一致したポリシーに関する詳細が含まれ、DLPRuleMatch イベントには一致したコンテンツを囲むテキストに関する詳細が含まれているため、両方を確認する必要があります。

これはエンドポイント DLP のプレビュー段階です。 エンドポイントの場合は、Windows 10 デバイスに KB5016688、Windows 11 デバイスに KB5016691 を適用していることを確認します。

詳細については、「アクティビティ エクスプローラーの概要」を参照してください。

Microsoft Purview DLP の詳細については、次を参照してください。

• エンドポイント データ損失防止について
• Microsoft Teams の既定のデータ損失防止ポリシーについての詳細情報 (プレビュー)
• データ損失防止のオンプレミス スキャナーの詳細
• Microsoft Compliance Extension の詳細情報
• データ損失防止の警告ダッシュボードについて

データ損失防止を使用してデータ プライバシー規制に準拠する方法については、「 Microsoft Purview を使用してデータプライバシー規制の情報保護を展開 する (aka.ms/m365dataprivacy)」を参照してください。

ライセンスとサブスクリプション

DLP をサポートするサブスクリプションの詳細については、Information Protectionのライセンス要件に関するページを参照してください。