こんにちは、佐々木です!
もし、会社の大事な書類やクレジットカードの番号が、うっかりメールで外に送られちゃったら…。その「うっかり」が会社への大きな損害・損失につながる危険性があります。
その様な人為的ミスを防いでくれるのが Microsoft Purviewの「DLP(Data Loss Prevention:データ損失防止)」という機能になります。 組織内の機密情報が意図せず外部に漏洩することを防ぐための強力なセキュリティ機能で、電子メールを介して,「契約書」「クレジットカード番号」「マイナンバー」などの重要な情報を自動的に検出し、事前に定めたポリシーに基づいて適切な対応を行います。
今回は、DLPで外部に機密情報の共有を制御する方法をご紹介します。
これにより、情報漏洩リスクを大幅に低減し、コンプライアンスの強化と業務の安心・安全な運用を実現できます。DLP設定は企業の信頼性向上にもつながるので、ぜひご参考ください!
・DLP設定しいていない場合
・DLP設定している場合
目次
- 1.そもそもDLPとは何か?
- 2.DLPで利用できる操作一覧
- 3.機密情報の種類設定
- 4.ポリシー設定(特定ユーザーにリダイレクト)
- 5.結果
- 6.他の設定もしてみました!(該当メールをブロック)
- 7.結果
1.そもそもDLPとは何か?
Data Loss Prevention(=DLP):データ損失防止はMicrosoft Purviewの機能の一つで、機密情報が外部に漏れるのを防ぐための仕組みです。
たとえば、特定のキーワード(例:契約書)を含むメールを安全な宛先にリダイレクトしたり、クレジットカード番号などの機密情報が含まれるメールの送信をブロックすることが可能です。
下記カテゴリが機密情報として管理されます。
主な流れとして
| ①保護したい情報の種類を登録・追加 |
| どんな情報を守りたいのかを Microsoft Purviewでは「機密情報の種類」でポリシー設定前に登録します。例:指定キーワード、個人情報、クレジットカード番号など。定義されたものを使うことも、自分でカスタム定義することもできます。 |
↓
| ②条件の設定(検出する情報の種類) |
| どんな情報を検出するかを選びます。 ―クレジットカード番号 ―マイナンバー ―契約書などのキーワード(カスタムキーワードも設定可能)など |
↓
| ③ポリシーの適用対象の選択(場所) |
| DLPをどこに適用するかを選びます。 ― Exchange(メール) ― SharePoint(社内ポータル) ― OneDrive(個人用クラウド) ― Teams(チャット)など |
↓
| ④ルールの作成(検出時の対応) |
| 検出されたときにどうするかを決めます。 ―メール送信をブロックする ―管理者に通知する ―ユーザーに警告を表示する ―別のメールアドレスにリダイレクトする など |
↓
| ⑤ユーザー通知とヒントの設定 |
| ユーザーが情報を送ろうとしたときに、警告メッセージや「送信しても大丈夫ですか?」というヒントを表示できます。 |
↓
| ⑥インシデントレポートの設定 |
| 検出された内容を管理者に通知するか、ログとして記録するかを選びます。 |
↓
| ⑦ポリシーの有効化 |
| 作成したポリシーをすぐに有効にするか、後で有効にするかを選びます。 |
2.DLPで利用できる操作一覧
④ルールの作成の「操作」より、いくつか処理項目の説明をします。
※Power Automate Premiumライセンスが必須。
3.機密情報の種類設定(①)
ポリシーの設定前に保護したい機密情報の種類を登録します。
今回は指定キーワードで「契約書」、「パスワード」を登録します。
1.「Microsoft Intune 管理センター」を開きます。
2.左のメニューバーより、「Microsoft Purview」をクリックします。
3.「ソリューション」をクリックし、「データ損失防止」をクリックします。
4.「分類子」を開き、「機密情報の種類」をクリックします。
5.「+機密情報の種類を作成する」をクリックします。
6.「名前」と「説明」を入力し、「次へ」をクリックします。
7.「+パターンを作成する」をクリックします。
8.「信頼度」のプルダウンより、「信頼度中」を選択します。
9.「+主要要素を追加する」をクリックし、「キーワード辞書」を選択します。
10.「名前」を入力し、「キーワード」に検知するワードを入力し、「完了」をクリックします。
※ここでは、「契約書」、「パスワード」を入力します。
11.「作成」をクリックします。
12.「次へ」をクリックします。
13.「次へ」をクリックします。
14.内容を確認して、「作成」をクリックします。
15.機密情報の種類が作成されました。「完了」をクリックします。
4.ポリシー設定(特定ユーザーにリダイレクト)
ポリシー違反したメールを特定ユーザーにリダイレクトする設定をご紹介します。
1.「ポリシー」をクリックします。
2.「+ポリシーの作成」をクリックします。
3.「保護されたソース内の組織データ」をチェックしているのを確認し、「次へ」をクリックします。
4.「カスタム」をクリックし、「カスタム ポリシー」をクリックし、「次へ」をクリックします。(②)
※カテゴリの内訳に関して、こちらをご参照ください。
5.「名前」と「説明」を入力し、「次へ」をクリックします。
6.「次へ」をクリックします。
7.デフォルトで全項目にチェックしてあるので、ポリシー適用対象の場所にチェック入れます。(③)
※ここでは「Exchange メール」にチェック入れます。
8.「詳細な DLP ルールを作成またはカスタマイズします」にチェック入れ、「次へ」をクリックします。
9.「+ルールを作成」をクリックします。(④)
10.「名前」を入力します。
11.「+条件の追加」をクリックし、「コンテンツに含まれている」を選択します。
12.「追加」をクリックし、「機密情報の種類」を選択します。
13.3.機密情報の種類設定で作成した機密情報の種類にチェック入れ、「追加」をクリックします。
14.「処理の追加」をクリックし、「メッセージを特定ユーザーにリダイレクトする」を選択します。
※「処理の追加」の項目説明に関して、こちらをご参照ください。
15.「+ユーザーの追加または削除」をクリックします。
16.該当ユーザーを検索し、チェック入れ、「追加」をクリックします。
※ここでリダイレクト先のユーザーを追加します。
17.「保存」をクリックします。
18.「次へ」をクリックします。
19.「ポリシーをすぐに有効する」にチェック入れ、「次へ」をクリックします。(⑦)
20.内容を確認し、「送信」をクリックします。
!!注意!!
DLPポリシーはすぐに適用されなく、48時間かかる場合もございますのでご留意ください。
5.結果
ポリシー設定後の結果を見ていきましょう。2パターンの下記メールを送信しました。
送信者:山田 次郎
宛先:TK
①DLPポリシーに違反するメール
② DLPポリシーに違反しないメール
①DLPポリシーに違反したメールのみ、特定ユーザーにリダイレクトされていること確認できました。
6.他の設定もしてみました!(該当メールをブロック)
4.ポリシー設定では「特定ユーザーにリダイレクト」の設定をしましたが、他にも様々な設定が可能です。そのうちの一つ、「該当メールをブロック」の挙動をご紹介します。
シナリオ:ユーザーがクレジットカード番号をメールで送信するのを防ぎたい!
結果:DLPでクレジットカード番号検知し、メールをブロック
※前提条件として、E3ライセンスが必要になります。
7.結果
実際にクレジットカード番号を含めたメールを送ったら、ブロックされました。
送信者: 山田 次郎にMicrosoft Outlookから下記メールが届きました。
訳:あなたのメールは、組織内のポリシーと矛盾しています。
問題点:メールに以下の機密情報が含まれています:クレジットカード番号
XXXX XXXX XXXX XXXX
メールは添付されています。
Purview側でもメールが検知されブロックされた旨、ログが確認できました。
その他お困りごとも動画で解説!
