データ損失防止について

  • [アーティクル]

組織は、財務データ、専有データ、信用カード番号、健康記録、社会保障番号などの機密情報を管理しています。 これらの機密データを保護し、リスクを軽減するには、こうしたデータを保持するべきでないユーザーと不適切に共有できないようにする方法が必要です。 この方法は、データ損失防止 (DLP) と呼ばれます。

Microsoft Purview では、DLP ポリシーを定義して適用することで、データ損失防止を実装します。 DLP ポリシーを使用すると、機密性の高い項目を識別、監視、および自動的に保護できます。

  • Teams、Exchange、SharePoint、OneDrive アカウントなどの Microsoft 365 サービス
  • Word、Excel、PowerPoint などの Office アプリケーション
  • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) エンドポイント
  • Microsoft 以外のクラウド アプリ
  • オンプレミスのファイル共有とオンプレミスの SharePoint
  • Power BI

DLP は、単純なテキスト スキャンだけでなく、ディープ コンテンツ分析を使用して機密性の高いアイテムを検出します。 キーワードへのプライマリ データの一致、正規表現の評価、内部関数の検証、およびプライマリ データの一致に近接するセカンダリ データの一致によって、コンテンツが分析されます。 さらに、DLP では、機械学習アルゴリズムやその他の方法を使用して、DLP ポリシーに一致するコンテンツを検出します。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要となるコア記事の一覧を次に示します。

  1. 管理単位
  2. Microsoft Purview データ損失防止について学習する - 現在読んでいる記事では、データ損失防止規範と Microsoft による DLP の実装について説明します
  3. データ損失防止 (DLP) を計画 する - この記事を使用して、次の作業を行います。
    1. 利害関係者を特定する
    2. 保護する機密情報のカテゴリについて説明する
    3. 目標と戦略を設定する
  4. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します
  5. DLP ポリシーを設計する - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
  6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。その後、これらのオプションを構成する手順について説明します。

ライセンスとサブスクリプション

DLP をサポートするサブスクリプションの詳細については、Information Protectionのライセンス要件に関するページを参照してください。

DLP は、大規模な Microsoft Purview オファリングの一部です

DLP は Microsoft Purview ツールの 1 つに過ぎません。このツールを使用すると、どこに住んでいるか移動しても機密アイテムを保護するのに役立ちます。 Microsoft Purview ツール セット内の他のツール、それらがどのように相互に連携し、連携が向上するかを理解する必要があります。 情報保護プロセスの詳細については、「 Microsoft Purview ツール 」を参照してください。

DLP ポリシーの保護アクション

DLP ポリシーは、ユーザーが保存中の機密アイテム、転送中の機密アイテム、または使用中の機密アイテムに対して実行するアクティビティを監視し、保護措置を実行する方法です。 たとえば、機密性の高いアイテムを承認されていない場所にコピーしたり、メールやポリシーに記載されているその他の条件で医療情報を共有したりするなど、ユーザーが禁止されたアクションを実行しようとすると、DLP は次のことができます。

  • 機密性の高いアイテムを不適切に共有しようとしている可能性があることを警告するポップアップ ポリシー ヒントをユーザーに表示する
  • 共有をブロックし、ポリシー ヒントを使用して、ユーザーがブロックをオーバーライドし、ユーザーの正当な理由をキャプチャできるようにします
  • オーバーライド オプションなしで共有をブロックする
  • 保存データの場合、機密アイテムをロックして安全な検疫場所に移動できます
  • Teams チャットの場合、機密情報は表示されません

DLP で監視されているすべてのアクティビティは、既定で Microsoft 365 監査ログ に記録され、 アクティビティ エクスプローラーにルーティングされます。 ユーザーが DLP ポリシーの条件を満たすアクションを実行し、アラートが構成されている場合、DLP は DLP アラート管理ダッシュボードにアラートを提供します。

DLP ライフサイクル

DLP の実装は、通常、これらの主要なフェーズに従います。

DLP を計画する

DLP の監視と保護は、ユーザーが毎日使用するアプリケーションにネイティブです。 これにより、ユーザーがデータ損失防止の考え方やプラクティスに慣れていない場合でも、organizationの機密アイテムを危険なアクティビティから保護するのに役立ちます。 organizationとユーザーがデータ損失防止プラクティスを初めて使用する場合、DLP の導入にはビジネス プロセスの変更が必要になる場合があり、ユーザーのカルチャが変化する可能性があります。 ただし、適切な計画、テスト、チューニングにより、DLP ポリシーは機密性の高い項目を保護し、潜在的なビジネス プロセスの中断を最小限に抑えます。

DLP のテクノロジ計画

DLP は、テクノロジとしてのデータ、使用中のデータ、Microsoft 365 サービス、Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス、オンプレミスのファイル共有、およびオンプレミス SharePoint 全体で動作するデータを監視および保護できることに注意してください。 さまざまな場所、監視および保護するデータの種類、およびポリシーの一致が発生したときに実行されるアクションには、計画上の影響があります。

DLP のビジネス プロセス計画

DLP ポリシーは、電子メールによる機密情報の不適切な共有など、禁止されたアクティビティをブロックできます。 DLP ポリシーを計画するときは、機密アイテムに触れるビジネス プロセスを特定する必要があります。 ビジネス プロセスの所有者は、許可する必要がある適切なユーザー動作と、保護する必要がある不適切なユーザー動作を特定するのに役立ちます。 ポリシーを計画し、テスト モードで展開し、 アクティビティ エクスプローラー で影響を評価してから、より制限の厳しいモードで適用する必要があります。

DLP の組織文化計画

DLP の正常な実装は、ユーザーが適切に計画され、調整されたポリシー上にあるように、データ損失防止のプラクティスにトレーニングと順応を行うのと同じくらい大きく依存します。 ユーザーは大きく関与しているため、ユーザーのトレーニングも計画してください。 ポリシーの適用をテスト モードからより制限の厳しいモードに変更する前に、ポリシーヒントを戦略的に使用してユーザーの認識を高めることができます。

DLP の準備

DLP ポリシーは、保存データ、使用中のデータ、および次のような場所の動くデータに適用できます。

  • Exchange Onlineメール
  • SharePoint Online サイト
  • OneDrive アカウント
  • Teams チャットおよびチャネル メッセージ
  • Microsoft Defender for Cloud Apps
  • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス
  • オンプレミスのリポジトリ
  • Power BI サイト

それぞれに異なる前提条件があります。 Exchange Online などの一部の場所の機密アイテムは、それらに適用されるポリシーを構成するだけで DLP の傘の下に置くことができます。 オンプレミスのファイル リポジトリなどのその他のユーザーには、Azure Information Protection (AIP) スキャナーのデプロイが必要です。 ブロックアクションをアクティブ化する前に、環境を準備し、下書きポリシーをコード化し、徹底的にテストする必要があります。

運用環境でポリシーをデプロイする

ポリシーを設計する

まず、コントロールの目的と、それぞれのワークロードに適用する方法を定義します。 目標を具体化したポリシーを作成します。 一度に 1 つのワークロードから、またはすべてのワークロードで自由に開始できます。まだ影響はありません。

テスト モードでポリシーを実装する

テスト モードで DLP ポリシーを使用してコントロールを実装することで、コントロールの影響を評価します。 ポリシーで定義されているアクションは、ポリシーがテスト モードの間は適用されません。 テスト モードのすべてのワークロードにポリシーを適用して、結果を最大限に活用できるようにしてもかまいませんが、必要に応じて 1 つのワークロードから開始できます。

結果を監視し、ポリシーを微調整する

テスト モードでは、ポリシーの結果を監視し、コントロールの目的を満たすように微調整しながら、有効なユーザー ワークフローと生産性に悪影響を及ぼしたり、誤って影響を与えたりしないようにします。 微調整を行う場合の例を次に示します。

  • スコープ内または範囲外の場所とユーザー/場所を調整する
  • 項目とその処理がポリシーと一致するかどうかを判断するために使用される条件を調整する
  • 機密情報の定義
  • 新しいコントロールを追加する
  • 新しいユーザーを追加する
  • 新しい制限付きアプリを追加する
  • 新しい制限付きサイトを追加する

注:

それ以上のルールの処理を停止 しても、テスト モードでは機能しません。

コントロールを有効にしてポリシーを調整する

ポリシーが目的をすべて満たしたら、有効にします。 引き続きポリシー アプリケーションの結果を監視し、必要に応じて調整します。

注:

一般に、ポリシーは有効になってから約 1 時間後に有効になります。

DLP ポリシー構成の概要

DLP ポリシーの作成と構成は柔軟に行うことができます。 定義済みのテンプレートから始めて、数回のクリックでポリシーを作成することも、独自に設計することもできます。 どの DLP ポリシーを選択しても、すべての DLP ポリシーに同じ情報が必要です。

  1. 監視する内容を選択する - DLP には、開始に役立つ定義済みのポリシー テンプレートが多数用意されています。カスタム ポリシーを作成することもできます。

    • 金融データ、医療および健康データ、プライバシー データなど、さまざまな国と地域の定義済みのポリシー テンプレート。
    • 使用可能な機密情報の種類、保持ラベル、および秘密度ラベルを使用するカスタム ポリシー。

  2. [管理スコープの選択 ] - DLP では、ポリシーへの 管理単位 の割り当てをサポートしています。 管理単位に割り当てられている管理者は、割り当てられているユーザー、グループ、配布グループ、およびアカウントのポリシーのみを作成および管理できます。 そのため、ポリシーは、無制限の管理者によってすべてのユーザーとグループに適用することも、管理単位にスコープを設定することもできます。 DLP 固有の詳細については、「 ポリシー スコーピング 」を参照してください。 Microsoft Purview 情報保護全体の管理単位の詳細については、「管理単位」を参照してください。

  3. 監視する場所を選択する - DLP で機密情報を監視する 1 つ以上の場所を選択します。 次の情報を監視できます。

    場所 包含 / 除外
    Exchange メール 配布グループ
    SharePoint サイト sites
    OneDrive アカウント アカウントまたは配布グループ
    Teams チャットおよびチャネル メッセージ アカウントまたは配布グループ
    Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス ユーザーまたはグループ
    Microsoft Cloud App Security インスタンス
    オンプレミスのリポジトリ リポジトリ ファイルのパス
    Power BI (プレビュー) ワークスペース

  4. ポリシーを項目に適用するために一致する必要がある条件を選択 する - 構成済みの条件を受け入れるか、カスタム条件を定義できます。 次に例を示します。

    • item には、特定のコンテキストで使用されている特定の種類の機密情報が含まれています。 たとえば、組織外の受信者に電子メールで送信される 95 件の社会保障番号です。
    • item に指定された秘密度ラベルがある
    • 機密情報を含むアイテムが内部または外部で共有される

  5. ポリシー条件が満たされたときに実行するアクションを選択 します。 アクションは、アクティビティが発生している場所によって異なります。 次に例を示します。

    • SharePoint/Exchange/OneDrive: organization外にいるユーザーがコンテンツにアクセスできないようにブロックします。 ユーザーにヒントを表示し、DLP ポリシーで禁止されているアクションを実行していることを示す電子メール通知を送信します。
    • Teams チャットとチャネル: 機密情報がチャットまたはチャネルで共有されないようにブロックする
    • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス: リムーバブル USB デバイスへの機密アイテムのコピーを監査または制限する
    • Office Apps: 危険な動作に関与していることをユーザーに通知するポップアップを表示し、オーバーライドをブロックまたはブロックします。
    • オンプレミスのファイル共有: ファイルが保存されている場所から検疫フォルダーに移動します

    注:

    条件と実行するアクションは、 ルールと呼ばれるオブジェクトで定義されます。

DLP ポリシーを作成して展開する

すべての DLP ポリシーは、Microsoft Purview センターで作成および管理されます。 詳細については、「 データ損失防止ポリシーの作成と展開 」を参照してください。

コンプライアンス ポータルで DLP ポリシーを作成すると、そのポリシーは中央のポリシー ストアに格納され、次のようなさまざまなコンテンツ ソースに同期されます。

  • Exchange、そこからOutlook on the webと Outlook へ
  • OneDrive
  • SharePoint サイト
  • Office デスクトップ プログラム (Excel、PowerPoint、Word)
  • Microsoft Teams チャネルおよびチャット メッセージ

ポリシーが適切な場所に同期されると、コンテンツの評価とアクションの適用が開始されます。

ポリシー アプリケーションの結果の表示

DLP は、監視からポリシーの一致やアクション、ユーザー アクティビティまで、膨大な情報を Microsoft Purview に報告します。 機密性の高いアイテムに対して実行されるポリシーとトリアージ アクションを調整するには、その情報を使用して対処する必要があります。 テレメトリは、最初にMicrosoft Purview コンプライアンス ポータル監査ログに入り、処理され、さまざまなレポート ツールに移動します。 レポート ツールごとに目的が異なります。

大量の機密情報を外部で共有または保存する

Microsoft 365 では、DLP ポリシー以外の危険なユーザー アクティビティを可視化できます。 DLP ホームページの外部で共有または保存された機密情報の大量のカードには、ユーザーが持っている機密アイテムの数が表示されます。

  • 疑わしいドメインにアップロード
  • 疑わしいアプリケーションでアクセス
  • リムーバブル ドライブにコピー

Microsoft 365 は、リスクの高いアクティビティの監査ログをスキャンし、相関エンジンを介して実行して、大量に発生しているアクティビティを見つけます。 DLP ポリシーは必要ありません。

ユーザーがorganizationの外部でコピーまたは移動しているアイテム (エグレス アクティビティまたは流出と呼ばれる) の詳細を取得するには、カードの [詳細情報] リンクを選択して詳細ウィンドウを開きます。 Microsoft Purview データ損失防止 (DLP) のインシデントは、Microsoft 365 Defender ポータルの [インシデント] アラート [インシデント&] から調査できます。> 「Microsoft 365 Defenderを使用してデータ損失インシデントを調査する」と「Microsoft 365 Defenderのアラートを調査する」を参照してください。

DLP アラート ダッシュボード

DLP が機密性の高いアイテムに対してアクションを実行すると、構成可能なアラートを使用してそのアクションを通知できます。 コンプライアンス ポータルでは、これらのアラートをメールボックスに積み上げるのではなく、 DLP アラート管理ダッシュボードで使用できるようにします。 DLP アラート ダッシュボードを使用して、アラートの構成、確認、トリアージ、DLP アラートの解決の追跡を行います。 ポリシーの一致とWindows 10デバイスからのアクティビティによって生成されるアラートの例を次に示します。

アラート情報。

同じダッシュボードで、リッチ メタデータに関連付けられたイベントの詳細を表示することもできます

イベント情報。

DLP アクティビティのエクスプローラーとレポート

DLP ページの [アクティビティ エクスプローラー] タブには、DLP イベントを表示するために使用できる複数のフィルターがあります。 このツールを使用して、機密情報を含むコンテンツに関連するアクティビティや、変更されたラベル、ファイルが変更された、ルールに一致したラベルなど、ラベルが適用されているアクティビティを確認します。

これらの事前構成済みフィルターを使用して、アクティビティ エクスプローラーで過去 30 日間の DLP 情報を表示できます。

  • エンドポイント DLP アクティビティ
  • 機密情報の種類を含むファイル
  • エグレス アクティビティ
  • アクティビティを検出した DLP ポリシー
  • アクティビティを検出した DLP ポリシー ルール
この情報を表示するには このアクティビティを選択する
ユーザー上書き DLP ルールの元に戻す
DLP ルールに一致する項目 DLP ルールが一致しました

セキュリティ & コンプライアンス PowerShell のこれらのコマンドレットを使用して、DLP レポートにアクセスすることもできます。

  1. セキュリティ & コンプライアンス PowerShell に接続する

次のコマンドレットを使用します。

ただし、DLP レポートは、Exchange を含む Microsoft 365 全体からデータをプルする必要があります。 このため、次の DLP レポートのコマンドレットは、Exchange Powershell で使用できます。 これらの DLP レポートにコマンドレットを使用するには、次の手順を実行します。

  1. リモート PowerShell による Exchange への接続

次のコマンドレットを使用します。

コンテキストの概要

アクティビティ エクスプローラーの DLPRuleMatch イベントでクレジット カード番号など、一致したコンテンツを囲むテキストを確認できます。 これを行うには、まず 高度な分類スキャンと保護を有効にする必要があります。

DLPRuleMatch イベントは、ユーザー アクティビティ イベントとペアになっています。 アクティビティ エクスプローラーで、互いの隣 (または少なくとも非常に近い) に配置する必要があります。 ユーザー アクティビティ イベントには一致したポリシーに関する詳細が含まれ、DLPRuleMatch イベントには一致したコンテンツを囲むテキストに関する詳細が含まれているため、両方を確認します。

エンドポイントの場合は、Windows 10 デバイスに KB5016688 を適用し、Windows 11 デバイス以上の場合は KB5016691 を適用していることを確認します

詳細については、「アクティビティ エクスプローラーの概要」を参照してください。

Microsoft Purview DLP の詳細については、次を参照してください。

データ損失防止を使用してデータプライバシー規制に準拠する方法については、「 Microsoft Purview を使用してデータプライバシー規制の情報保護を展開 する (aka.ms/m365dataprivacy)」を参照してください。