データ損失防止について

組織は、財務データ、専有データ、信用カード番号、健康記録、社会保障番号などの機密情報を管理しています。 この機密データを保護し、過剰共有のリスクを軽減するには、ユーザーが機密データを持ってはいけないユーザーと不適切に共有できないようにする方法が必要です。 この方法は、データ損失防止 (DLP) と呼ばれます。

Microsoft Purview では、DLP ポリシーを定義して適用することで、データ損失防止を実装します。 DLP ポリシーを使用すると、機密性の高い項目を識別、監視、および自動的に保護できます。

  • Teams、Exchange、SharePoint、OneDrive アカウントなどの Microsoft 365 サービス
  • Word、Excel、PowerPoint などの Office アプリケーション
  • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) エンドポイント
  • Microsoft 以外のクラウド アプリ
  • オンプレミスのファイル共有とオンプレミスの SharePoint
  • Power BI

DLP は、単純なテキスト スキャンだけでなく、ディープ コンテンツ分析を使用して機密性の高いアイテムを検出します。 コンテンツが分析されます。

  • プライマリ データがキーワードと一致する場合。
  • 正規表現の評価による
  • 内部関数の検証
  • プライマリ データの一致に近接しているセカンダリ データの一致。
  • DLP では、DLP ポリシーに一致するコンテンツを検出するために、機械学習アルゴリズムやその他の方法も使用されます。

ヒント

E5 のお客様でない場合は、90 日間の Microsoft Purview ソリューション試用版を使用して、Purview の追加機能が組織のデータ セキュリティとコンプライアンスのニーズの管理にどのように役立つかを確認してください。 Microsoft Purview コンプライアンス ポータルのトライアル ハブで今すぐ開始してください。 サインアップと試用期間の詳細については、こちらをご覧ください。

はじめに

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要となるコア記事の一覧を次に示します。

  1. 管理単位
  2. Microsoft Purview データ損失防止について学習する - 現在読んでいる記事では、データ損失防止規範と Microsoft による DLP の実装について説明します
  3. データ損失防止 (DLP) を計画 する - この記事を使用して、次の作業を行います。
    1. 利害関係者を特定する
    2. 保護する機密情報のカテゴリについて説明する
    3. 目標と戦略を設定する
  4. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します
  5. DLP ポリシーを設計する - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
  6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。その後、これらのオプションを構成する手順について説明します。
  7. データ損失防止アラートの調査について説明します -この記事では、最終的な修復とポリシーの調整を通じて、作成からのアラートのライフサイクルについて説明します。 また、アラートの調査に使用するツールについても説明します。

ライセンスとサブスクリプション

DLP をサポートするサブスクリプションの詳細については、 セキュリティ & コンプライアンスに関する Microsoft 365 ガイダンス を参照してください。

DLP は、大規模な Microsoft Purview オファリングの一部です

DLP は Microsoft Purview ツールの 1 つに過ぎません。このツールを使用すると、どこに住んでいるか移動しても機密アイテムを保護するのに役立ちます。 Microsoft Purview ツール セット内の他のツール、それらが相互に相互に連携し、連携する方法について理解する必要があります。 情報保護プロセスの詳細については、「 Microsoft Purview ツール 」を参照してください。

DLP ポリシーの保護アクション

DLP ポリシーは、ユーザーが保存中の機密アイテム、転送中の機密アイテム、または使用中の機密性の高いアイテムに対して実行するアクティビティを監視し、保護措置を実行する方法です。 たとえば、ユーザーが許可されていない場所に機密アイテムをコピーしたり、メールで医療情報を共有したりするなど、禁止されたアクションを試みると、DLP は次のことができます。

  • 機密性の高いアイテムを不適切に共有しようとしている可能性があることを警告するポップアップ ポリシー ヒントをユーザーに表示する
  • 共有をブロックし、ポリシー ヒントを使用して、ユーザーがブロックをオーバーライドし、ユーザーの正当な理由をキャプチャできるようにします
  • オーバーライド オプションなしで共有をブロックする
  • 保存データの場合、機密アイテムをロックして安全な検疫場所に移動できます
  • Teams チャットの場合、機密情報は表示されません

DLP で監視されているすべてのアクティビティは、既定で Microsoft 365 監査ログ に記録され、 アクティビティ エクスプローラーにルーティングされます。

DLP ライフサイクル

DLP の実装は、通常、これらの主要なフェーズに従います。

DLP を計画する

DLP の監視と保護は、ユーザーが毎日使用するアプリケーションにネイティブです。 これにより、ユーザーがデータ損失防止の考え方やプラクティスに慣れていない場合でも、organizationの機密アイテムを危険なアクティビティから保護するのに役立ちます。 organizationとユーザーがデータ損失防止プラクティスを初めて使用する場合、DLP の導入にはビジネス プロセスの変更が必要になる場合があり、ユーザーのカルチャが変化する可能性があります。 ただし、適切な計画、テスト、チューニングにより、DLP ポリシーは機密性の高い項目を保護し、潜在的なビジネス プロセスの中断を最小限に抑えます。

DLP のテクノロジ計画

DLP は、テクノロジとしてのデータ、使用中のデータ、Microsoft 365 サービス、Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス、オンプレミスのファイル共有、およびオンプレミス SharePoint 全体で動作するデータを監視および保護できることに注意してください。 さまざまな場所、監視および保護するデータの種類、およびポリシーの一致が発生したときに実行されるアクションには、計画上の影響があります。

DLP のビジネス プロセス計画

DLP ポリシーを使用すると、電子メールによる機密情報の不適切な共有など、禁止されたアクティビティの実行をユーザーがブロックできます。 DLP ポリシーを計画するときは、機密アイテムに触れるビジネス プロセスを特定する必要があります。 ビジネス プロセスの所有者は、許可する必要がある適切なユーザー動作と、保護する必要がある不適切なユーザー動作を特定するのに役立ちます。 より制限の厳しいモードで実行する前に、ポリシーを計画し、 シミュレーション モードでデプロイし、その影響を評価する必要があります。

DLP の組織文化計画

DLP の正常な実装は、ユーザーが適切に計画され、調整されたポリシー上にあるように、データ損失防止のプラクティスにトレーニングと順応を行うのと同じくらい大きく依存します。 ユーザーは大きく関与しているため、ユーザーのトレーニングも計画してください。 ポリシーの状態をシミュレーション モードからより制限の厳しいモードに変更する前に、ポリシーヒントを戦略的に使用してユーザーの認識を高めることができます。

DLP の準備

DLP ポリシーは、保存データ、使用中のデータ、および次のような場所の動くデータに適用できます。

  • Exchange Onlineメール
  • SharePoint Online サイト
  • OneDrive アカウント
  • Teams チャットおよびチャネル メッセージ
  • Microsoft Defender for Cloud Apps (インスタンス)
  • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス
  • オンプレミスのリポジトリ
  • Power BI サイト

それぞれに異なる前提条件があります。 Exchange Online などの一部の場所の機密アイテムは、それらに適用されるポリシーを構成するだけで DLP の傘の下に置くことができます。 オンプレミスのファイル リポジトリなどのその他のユーザーには、 Microsoft Purview 情報保護スキャナーのデプロイが必要です。 ブロックアクションをアクティブ化する前に、環境を準備し、下書きポリシーをコード化し、徹底的にテストする必要があります。

運用環境でポリシーをデプロイする

ポリシーを設計する

まず、コントロールの目的と、それぞれのワークロードに適用する方法を定義します。 目標を具体化したポリシーを作成します。 一度に 1 つのワークロードから、またはすべてのワークロードで自由に開始できます。まだ影響はありません。 詳細については、「 データ損失防止ポリシーの作成と展開」を参照してください。

シミュレーション モードでポリシーを実装する

シミュレーション モードで DLP ポリシーを使用してコントロールを実装することで、コントロールの影響を評価します。 ポリシーで定義されたアクションは、ポリシーがシミュレーション モードの間は適用されません。 シミュレーション モードですべてのワークロードにポリシーを適用して、結果を最大限に活用できますが、必要に応じて 1 つのワークロードから開始できます。 詳細については、「 ポリシーの展開」を参照してください。

結果を監視し、ポリシーを微調整する

シミュレーション モードでは、ポリシーの結果を監視し、コントロールの目的を満たすように微調整しながら、有効なユーザー ワークフローと生産性に悪影響を及ぼしたり、誤って影響を与えたりしないようにします。 微調整を行う場合の例を次に示します。

  • スコープ内または範囲外の場所とユーザー/場所を調整する
  • 項目とその処理がポリシーと一致するかどうかを判断するために使用される条件を調整する
  • 機密情報の定義
  • 新しいコントロールを追加する
  • 新しいユーザーを追加する
  • 新しい制限付きアプリを追加する
  • 新しい制限付きサイトを追加する

注:

それ以上のルールの処理を停止 しても、シミュレーション モードでは機能しません。

コントロールを有効にしてポリシーを調整する

ポリシーが目的をすべて満たしたら、有効にします。 引き続きポリシー アプリケーションの結果を監視し、必要に応じて調整します。

注:

一般に、ポリシーは有効になってから約 1 時間後に有効になります。

DLP ポリシー構成の概要

DLP ポリシーの作成と構成は柔軟に行うことができます。 定義済みのテンプレートから始めて、数回のクリックでポリシーを作成することも、独自に設計することもできます。 どの DLP ポリシーを選択しても、すべての DLP ポリシーに同じ情報が必要です。

  1. 監視する内容を選択する - DLP には、開始に役立つ定義済みのポリシー テンプレートが多数用意されています。カスタム ポリシーを作成することもできます。

  2. [管理スコープの選択 ] - DLP では、ポリシーへの 管理単位 の割り当てをサポートしています。 管理単位に割り当てられている管理者は、割り当てられているユーザー、グループ、配布グループ、およびアカウントのポリシーのみを作成および管理できます。 そのため、ポリシーは、無制限の管理者によってすべてのユーザーとグループに適用することも、管理単位にスコープを設定することもできます。 DLP 固有の詳細については、「 ポリシー スコーピング 」を参照してください。 Microsoft Purview 情報保護全体の管理単位の詳細については、「管理単位」を参照してください。

  3. 監視する場所を選択する - DLP で機密情報を監視する 1 つ以上の場所を選択します。 次の情報を監視できます。

    場所 包含 / 除外
    Exchange メール 配布グループ
    SharePoint サイト sites
    OneDrive アカウント アカウントまたは配布グループ
    Teams チャットおよびチャネル メッセージ アカウントまたは配布グループ
    Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス ユーザーまたはグループ
    Microsoft Cloud App Security インスタンス
    オンプレミスのリポジトリ リポジトリ ファイルのパス
    Power BI (プレビュー) ワークスペース
  4. ポリシーを項目に適用するために一致する必要がある条件を選択 する - 構成済みの条件を受け入れるか、カスタム条件を定義できます。 次に例を示します。

    • item には、特定のコンテキストで使用されている特定の種類の機密情報が含まれています。 たとえば、組織外の受信者に電子メールで送信される 95 件の社会保障番号です。
    • item に指定された秘密度ラベルがある
    • 機密情報を含むアイテムが内部または外部で共有される
  5. ポリシー条件が満たされたときに実行するアクションを選択 します。 アクションは、アクティビティが発生している場所によって異なります。 次に例を示します。

    • SharePoint/Exchange/OneDrive: organization外にいるユーザーがコンテンツにアクセスできないようにブロックします。 ユーザーにヒントを表示し、DLP ポリシーで禁止されているアクションを実行していることを示す電子メール通知を送信します。
    • Teams チャットとチャネル: 機密情報がチャットまたはチャネルで共有されないようにブロックします。
    • Windows 10、Windows 11、macOS (3 つの最新リリース バージョン) デバイス: リムーバブル USB デバイスへの機密アイテムのコピーを監査または制限します。
    • Office Apps: 危険な動作に関与していることをユーザーに通知するポップアップを表示し、オーバーライドをブロックまたはブロックします。
    • オンプレミスのファイル共有: ファイルを保存場所から検疫フォルダーに移動します。

    注:

    条件と実行するアクションは、 ルールと呼ばれるオブジェクトで定義されます。

DLP ポリシーを作成して展開する

すべての DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで作成および管理されます。 詳細については、「 データ損失防止ポリシーの作成と展開 」を参照してください。

コンプライアンス ポータルで DLP ポリシーを作成すると、そのポリシーは中央のポリシー ストアに格納され、次のようなさまざまなコンテンツ ソースに同期されます。

  • Exchange、そこからOutlook on the webと Outlook へ
  • OneDrive
  • SharePoint サイト
  • Office デスクトップ プログラム (Excel、PowerPoint、Word)
  • Microsoft Teams チャネルおよびチャット メッセージ

ポリシーが適切な場所に同期されると、コンテンツの評価とアクションの適用が開始されます。

ポリシー アプリケーションの結果の表示

DLP は、監視からポリシーの一致やアクション、ユーザー アクティビティまで、膨大な情報を Microsoft Purview に報告します。 機密性の高いアイテムに対して実行されるポリシーとトリアージ アクションを調整するには、その情報を使用して対処する必要があります。 テレメトリは、最初にMicrosoft Purview コンプライアンス ポータル監査ログに入り、処理され、さまざまなレポート ツールに移動します。 レポート ツールごとに目的が異なります。

大量の機密情報を外部で共有または保存する

Microsoft 365 では、DLP ポリシー以外の危険なユーザー アクティビティを可視化できます。 DLP ホームページの外部で共有または保存された機密情報の大量のカードには、ユーザーが持っている機密アイテムの数が表示されます。

  • 疑わしいドメインにアップロード
  • 疑わしいアプリケーションでアクセス
  • リムーバブル ドライブにコピー

Microsoft 365 は、リスクの高いアクティビティの監査ログをスキャンし、相関エンジンを介して実行して、大量に発生しているアクティビティを見つけます。 DLP ポリシーは必要ありません。

ユーザーがorganizationの外部でコピーまたは移動しているアイテム (エグレス アクティビティまたは流出と呼ばれる) の詳細を取得するには、カードの [詳細情報] リンクを選択して詳細ウィンドウを開きます。 Microsoft Purview データ損失防止 (DLP) のインシデントは、Microsoft Defender ポータルの [インシデント] & アラート>[インシデント] から調査できます。 「Microsoft Defender XDRを使用してデータ損失インシデントを調査する」と「Microsoft Defender XDRのアラートを調査する」を参照してください。

DLP アラート

DLP は、ユーザーが DLP ポリシーの条件を満たすアクションを実行し、アラートを生成するようにインシデント レポート が構成されている場合にアラートを生成します。 DLP は、DLP アラート ダッシュボードに調査のための アラートを投稿します。 DLP アラート ダッシュボードを使用して、アラートの表示、トリアージ、調査の状態の設定、解決の追跡を行います。 アラートはポータルMicrosoft Defenderルーティングされます。このポータルでは、すべてのアラート ダッシュボード タスクに加えて、さらに多くのタスクを実行できます。

ヒント

DLP アラートは、Microsoft Defender ポータルで 6 か月間使用できます。 これらは、Microsoft Purview DLP アラート ダッシュボードでのみ 30 日間使用できます。

注:

管理単位の制限付き管理者の場合は、管理単位の DLP アラートのみが表示されます。

ポリシーの一致とWindows 10デバイスからのアクティビティによって生成されるアラートの例を次に示します。

アラート情報。

同じダッシュボードで、リッチ メタデータに関連付けられたイベントの詳細を表示することもできます

イベント情報。

注:

アラートは、SharePoint または OneDrive アイテムの場合とは異なる方法で電子メールに対して生成されます。 SharePoint と OneDrive では、DLP は既存のアイテムと新しいアイテムをスキャンし、一致するものが見つかるたびにアラートを生成します。 Exchange では、新しいメール メッセージがスキャンされ、ポリシーが一致した場合にアラートが生成されます。 DLP は、 メールボックスまたはアーカイブに格納されている以前の既存の電子メール アイテムをスキャンまたは一致しません。

アラートの詳細については、次を参照してください。

DLP アクティビティのエクスプローラーとレポート

DLP ページの [アクティビティ エクスプローラー] タブには、DLP イベントを表示するために使用できる複数のフィルターがあります。 このツールを使用して、機密情報を含むコンテンツに関連するアクティビティや、変更されたラベル、ファイルが変更された、ルールに一致したラベルなど、ラベルが適用されているアクティビティを確認します。

これらの事前構成済みフィルターを使用して、アクティビティ エクスプローラーで過去 30 日間の DLP 情報を表示できます。

  • エンドポイント DLP アクティビティ
  • 機密情報の種類を含むファイル
  • エグレス アクティビティ
  • アクティビティを検出した DLP ポリシー
  • アクティビティを検出した DLP ポリシー ルール
この情報を表示するには このアクティビティを選択する
ユーザー上書き DLP ルールの元に戻す
DLP ルールに一致する項目 DLP ルールが一致しました

また、セキュリティ & コンプライアンス PowerShell のこれらのコマンドレットを使用して DLP レポートにアクセスすることもできます。

  1. セキュリティ/コンプライアンス PowerShell に接続する

次のコマンドレットを使用します。

ただし、DLP レポートは、Exchange を含む Microsoft 365 全体からデータをプルする必要があります。 このため、次の DLP レポートのコマンドレットは、Exchange Powershell で使用できます。 これらの DLP レポートにコマンドレットを使用するには、次の手順を実行します。

  1. リモート PowerShell による Exchange への接続

次のコマンドレットを使用します。

コンテキストの概要

アクティビティ エクスプローラーの DLPRuleMatch イベントでクレジット カード番号など、一致したコンテンツを囲むテキストを確認できます。

DLPRuleMatch イベントは、"CopyToClipboard" や "CloudEgress" などのユーザーエグレス アクティビティとペアになっています。 アクティビティ エクスプローラーで、互いの隣 (または少なくとも非常に近い) に配置する必要があります。 ユーザー アクティビティには一致したポリシーに関する詳細が含まれ、DLPRuleMatch イベントには、一致したコンテンツを囲むテキストに関する詳細が含まれているため、両方を確認します。

エンドポイントの場合は、Windows 10 デバイスにKB5016688を適用し、Windows 11 デバイス以上のKB5016691を適用していることを確認します

詳細については、「アクティビティ エクスプローラーの概要」を参照してください。

Microsoft Purview DLP の詳細については、次を参照してください。

データ損失防止を使用してデータプライバシー規制に準拠する方法については、「 Microsoft Purview を使用してデータプライバシー規制の情報保護を展開 する (aka.ms/m365dataprivacy)」を参照してください。