DLP について

この機能に対応しているエディション: Frontline Standard および Frontline Plus、Enterprise Standard および Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus。エディションを比較する

Google Workspace ライセンス(Enterprise、Business、Education エディション)も保有する Cloud Identity Premium ユーザーは、ドライブの DLP と Chat の DLP も利用できます。

DLP ルール

データ損失防止(DLP)機能を使用してルールを作成、適用することで、ユーザーが組織外の相手と共有できるファイルのコンテンツを管理することができます。DLP を使用すると、ユーザーが共有できるコンテンツを管理者が指定することができ、クレジット カード番号や個人識別番号といった機密情報の意図せぬ漏洩を防ぐことができます。

DLP ルールの設定後にファイルがスキャンされ、機密性の高いコンテンツが検出されると、ユーザーはそのコンテンツを共有することができなくなります。ルールによって DLP インシデントの性質が決定され、インシデントが発生すると、指定コンテンツのブロックなどのアクションがトリガーされます。

ドメイン、組織部門、またはグループのメンバーに対して共有方法を指定することができます。

DLP フローの概要:

  • 管理者が DLP ルールを定義します。ルールを通じて、機密性が高く保護を必要とするコンテンツを定義します。DLP ルールはマイドライブと共有ドライブの両方に適用されます。
  • コンテンツがスキャンされ、DLP インシデントをトリガーする DLP ルール違反の有無が確認されます。
  • 定義したルールが適用され、違反があればアラートなどのアクションがトリガーされます。
  • DLP ルール違反に関するアラートが管理者に届きます。

詳しくは、以下をご覧ください。

監査専用ルールを使用して新しい DLP ルールをテストする

ユーザーをブロックする、ユーザーに警告するといった任意の対応を定義しない DLP ルールを作成し、ルールをテストすることができます。これらのルールがトリガーされると、そのインシデントに関連するデータがルールのログイベントに記録されます。詳しくは、ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するステップ 1: ルールを計画するをご覧ください。

DLP の使用例

DLP を使用すると、次のことができます。

  • ユーザーがすでに共有している可能性のあるドライブ内の機密コンテンツの使用状況を監査し、ユーザーがアップロードした機密ファイルに関する情報を収集する。
  • ドメイン外のユーザーと機密コンテンツを共有しないようにユーザーに直接警告する
  • 機密データ(個人識別番号など)を外部ユーザーと共有できなくする
  • ポリシー違反または DLP インシデントについて管理者などにアラートを送信する。
  • インシデントの詳細とポリシー違反に関する情報を調査する

DLP の機能

次の表は、DLP の機能をまとめたものです。

DLP の機能 詳細
範囲、条件、アクションを指定して DLP ルールを作成する

範囲

  • 組織部門またはグループに基づいてポリシーを作成する
  • 組織部門とグループの追加と除外 - 環境内の組織部門に基づいてポリシーを定義。このルールにより、選択した組織またはグループ内のユーザーが所有するファイルがスキャンされるようになります。(ドライブの DLP に関するよくある質問も参照)

条件

操作

  • アラートと通知のルールを設定する
  • 外部共有リンクをブロックする
  • エンドユーザーに警告する
  • ドライブ ファイルのコンテンツ違反を監査する
インシデント管理
  • DLP 管理者にアラートの概要が届き、DLP インシデント違反に偽陽性がないかすばやく確認できる(アラートの詳細を表示するで詳細を参照)
  • DLP ルールがトリガーされると、アラート センターに DLP アラートが表示されます。アラート センターにアクセスするには、管理コンソールのホームページから [セキュリティ] 次に [アラート センター] をクリックします。(アラートの詳細を表示するで詳細を参照)
  • ポリシー違反(DLP インシデントと上位ポリシー インシデント)のレポートと調査ダッシュボード詳しくは、セキュリティ ダッシュボードについてをご覧ください。
ルールの調査
  • ルールの調査には、セキュリティ調査ツールを使用する詳しくは、セキュリティ調査ツールについてをご覧ください。
  • 調査ツールにアクセスするには、[セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の 表示] 権限が必要です。
  • 調査ツールを使用して、ドメイン内のセキュリティおよびプライバシーの問題を特定、分類、対処する
管理者権限
  • DLP ルールの表示 - DLP ルールの表示を委任管理者に許可する
  • DLP ルールの管理 - DLP ルールの作成、編集、調査を委任管理者に許可する

ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。

調査ツールにアクセスするには、[セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] の権限が必要です。

DLP のスキャン対象となるアプリケーションとファイル形式

スキャン対象のアプリケーション

次のアプリケーションがスキャン対象となります。

  • Google スプレッドシート
  • Google ドキュメント
  • Google スライド
  • Google フォーム - 次のコンテンツがスキャンされます。
    • ファイルのアップロードが必要な質問に応じて送信されたファイル。回答者が機密コンテンツをアップロードしようとすると、警告が表示されたり、回答の送信がブロックされたりすることがあります。
    • フォームのコンテンツ(質問と選択肢)。
  • Google Vids

DLP のスキャン対象とならないコンテンツ:

  • ドキュメント、スプレッドシート、スライド、Google 図形描画のコメント
  • コメントのメール通知
  • サイト コンテンツ
  • フォームの回答(ファイル アップロード以外)

スキャン対象のファイル形式

次のファイル形式のコンテンツはスキャン対象です。

  • ドキュメント ファイル形式: .doc、.docx、.html、.pdf、.ppt、.pptx、.txt、.wpd、.xls、.xlsx、.xml
  • 画像ファイル形式: .bmp、.eps、.fif、.gif、.img_for_ocr、.jpeg、.png、.ps、.tif
  • 圧縮ファイル形式: .bzip、.gzip、.rar、.tar、.zip
  • カスタム ファイル形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.ttf、.wml、.xps

動画および音声のファイル形式はスキャンされません。

注: 実際にスキャンされるファイルは、アプリケーションによって異なる場合があります。たとえば、ドライブ向け DLP でサポートされているファイル形式については、各ドライブ ファイルでスキャン対象となるのはどのようなコンテンツですか?をご覧ください。

管理者の要件

DLP ルールとコンテンツ検出項目を作成、設定するには、特権管理者であるか、次の権限を持つ委任管理者である必要があります。

  • 組織部門を表示する管理者権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、「表示」と「管理」の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限カスタム管理者ロールの作成に関する記事をご確認ください。