DLP について

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus。 エディションを比較

Google Workspace ライセンス（Enterprise、Business、Education エディション）も保有する Cloud Identity Premium ユーザーは、ドライブの DLP と Chat の DLP も利用できます。

DLP ルール

データ損失防止（DLP）機能を使用してルールを作成、適用することで、ユーザーが組織外の相手と共有できるファイルのコンテンツを管理することができます。DLP を使用すると、ユーザーが共有できるコンテンツを管理者が指定することができ、クレジットカード番号や個人識別番号といった機密情報の意図せぬ漏洩を防ぐことができます。

DLP ルールは、ファイルの機密性の高いコンテンツのスキャンをトリガーし、ユーザーがそのコンテンツを共有できないようにします。ルールによって DLP インシデントの性質が決定され、インシデントが発生すると、指定コンテンツのブロックなどのアクションがトリガーされます。

ドメイン、組織部門、またはグループのメンバーに対して共有方法を指定することができます。

DLP フローの概要:

管理者が DLP ルールを定義します。これらのルールでは、機密情報として保護する必要があるコンテンツを定義します。DLP ルールはマイドライブと共有ドライブの両方に適用されます。
コンテンツがスキャンされ、DLP インシデントをトリガーする DLP ルール違反の有無が確認されます。
定義したルールが適用され、違反があればアラートなどのアクションがトリガーされます。
DLP ルール違反に関するアラートが管理者に届きます。

詳しくは、以下をご覧ください。

ドライブの DLP については、ドライブの DLP ルールとカスタムコンテンツ検出項目を作成するをご覧ください。
Chat の DLP については、Chat のメッセージと添付ファイルからのデータ漏洩を防止するをご覧ください。

監査専用ルールを使用して新しい DLP ルールをテストする

ユーザーをブロックする、ユーザーに警告するといった任意の対応を定義しない DLP ルールを作成し、ルールをテストすることができます。これらのルールがトリガーされると、そのインシデントに関連するデータがルールのログイベントに記録されます。詳しくは、ドライブの DLP ルールとカスタムコンテンツ検出項目を作成するのステップ 1: ルールを計画する をご覧ください。

DLP の使用例

DLP を使用すると次のことができます。

ユーザーがすでに共有している可能性のあるドライブ内の機密コンテンツの使用状況を監査し、ユーザーがアップロードした機密ファイルに関する情報を収集する
ドメイン外のユーザーとデリケートなコンテンツを共有しないようにユーザーに直接警告する
センシティブデータ（社会保障番号など）を外部ユーザーと共有できなくする
ポリシー違反または DLP インシデントについて管理者などにアラートを送信する
インシデントの詳細とポリシー違反に関する情報を調査する

DLP の機能

次の表は、DLP の機能をまとめたものです。

DLP の機能	説明
範囲、条件、アクションを指定して DLP ルールを作成する	範囲組織部門またはグループに基づいてポリシーを作成組織部門とグループの追加と除外 - 環境内の組織部門に基づいてポリシーを定義。このルールにより、選択した組織またはグループ内のユーザーが所有するファイルがスキャンされるようになる（ドライブの DLP に関するよくある質問も参照）条件スキャンしたファイルのコンテンツ（内容）ルールテンプレート再利用可能なコンテンツ検出項目キーワードと単語リスト正規表現（regex）さまざまなコンテンツタイプの精査を可能にする定義済み検出項目（定義済みコンテンツ検出項目の使用方法で詳細を参照）条件のネスト（ドライブの DLP ルールの条件ネスト演算子の使用例で詳細を参照）検出の信頼度しきい値レベルの設定一致数の対象の拡大アクションアラートと通知のルールを設定する外部共有リンクをブロックするエンドユーザーに警告するドライブファイルのコンテンツ違反を監査する
インシデント管理	DLP 管理者にアラートの概要が届き、DLP インシデント違反に偽陽性がないかすばやく確認できる（アラートの詳細を表示するで詳細を参照） DLP ルールがトリガーされると、アラートセンターに DLP アラートが表示される。アラートセンターにアクセスするには、管理コンソールのホームページから [セキュリティ] [アラートセンター] をクリックする（アラートの詳細を表示するで詳細を参照）ポリシー違反（DLP インシデントと上位ポリシーインシデント）のレポートと調査ダッシュボード（セキュリティダッシュボードについてで詳細を参照）
ルールの調査	ルールの調査には、セキュリティ調査ツールを使用する（セキュリティ調査ツールについてで詳細を参照）調査ツールを利用するには、[セキュリティセンター] [調査ツール] [ルール] [メタデータと属性の表示] 権限が必要調査ツールを使用して、ドメイン内のセキュリティおよびプライバシーの問題を特定、分類、対処する
管理者権限	DLP ルールの表示 - DLP ルールの表示を委任管理者に許可する DLP ルールの管理 - DLP ルールの作成、編集、調査を委任管理者に許可するルールを作成、編集するための完全なアクセス権限を得るには、表示権限と管理権限の両方を有効にする必要があります。調査ツールを利用するには、[セキュリティセンター][調査ツール][ルール][メタデータと属性の表示] の権限が必要です。

DLP のスキャン対象となるアプリケーションとファイル形式

スキャン対象のアプリケーション

次のアプリケーションがスキャン対象となります。

Google スプレッドシート
Google ドキュメント
Google スライド
Google フォーム - 次のコンテンツがスキャンされます。
- ファイルのアップロードが必要な質問に応じて送信されたファイル。回答者がデリケートなコンテンツをアップロードしようとすると、警告が表示されたり、回答の送信がブロックされたりすることがあります。
- フォームのコンテンツ（質問と選択肢）
Google Vids

DLP のスキャン対象とならないコンテンツ:

ドキュメント、スプレッドシート、スライド、Google 図形描画のコメント
コメントのメール通知
サイトコンテンツ
フォームの回答（ファイルアップロード以外）

スキャン対象のファイル形式

次のファイル形式のコンテンツはスキャン対象です。

ドキュメントファイル形式: .doc、.docx、.html、.pdf、.ppt、.pptx、.txt、.wpd、.xls、.xlsx、.xml
画像ファイル形式: .bmp、.eps、.fif、.gif、.img_for_ocr、.jpeg、.png、.ps、.tif
圧縮ファイル形式: .bzip、.gzip、.rar、.tar、.zip
カスタムファイル形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.ttf、.wml、.xps

動画および音声のファイル形式はスキャンされません。

注: 実際にスキャンされるファイルは、アプリケーションによって異なる場合があります。たとえば、ドライブ向け DLP でサポートされているファイル形式については、各ドライブファイルでスキャン対象となるのはどのようなコンテンツですか？をご覧ください。

管理者の要件

DLP ルールとコンテンツ検出項目を作成、設定するには、特権管理者であるか、次の権限を持つ委任管理者である必要があります。

組織部門を表示する管理者権限。
グループ管理者の権限。
DLP ルールを表示およびDLP ルールを管理する権限。ルールを作成編集するための完全なアクセス権限を得るには、表示権限と管理権限の両方を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
メタデータと属性を表示する権限（調査ツールを使用する場合にのみ必要）: [セキュリティセンター] [調査ツール] [ルール] [メタデータと属性の表示] で設定します。

詳しくは、管理者権限とカスタム管理者ロールの作成に関する記事をご確認ください。