DLP ルールを使用してドライブのファイルに分類ラベルを自動的に適用する

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較する

ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも保有する Cloud Identity Premium ユーザーがご利用いただけます。ドライブの DLP の場合、ライセンスにドライブのログイベントが含まれている必要があります。

管理者はデータ損失防止(DLP)ルールを使用し、機密コンテンツの検出に基づいてドライブのファイルにラベルを自動的に適用できます。この記事の例で使用されるラベル名とデータ名は、実際のデータではなく、ラベル マネージャーまたは DLP に固有のものでもありません。

ドライブの DLP ルールの条件にラベルを使用する

ルールの条件には分類ラベルを使用できます。

次の条件がサポートされます。

  • ラベルの有無を確認します。
  • [オプション リスト] の設定で [複数選択できるようにする] が無効になっている場合は、[オプション リスト] の項目の値が 1 つ以上あるかを確認します。
  • 上記の条件を除外します。

以下の条件はサポートされていません。

  • [オプション リスト] の設定で [複数選択できるようにする] が有効になっている場合は、[オプション リスト] の項目の値を確認します。
  • 他の項目タイプ(数値、日付、テキスト、人物など)の値を確認します。

ドライブの DLP ルールの操作にラベルを使用する

分類ラベルを、自動適用される DLP 操作として適用します。DLP ルールがトリガーされると、DLP はルールの条件を満たすドライブ ファイルに操作としてラベルを適用します。

以下のルールの操作はサポートされています。

  • [オプション リスト] の設定で [複数選択できるようにする] が無効になっている場合は、ラベルと [オプション リスト] の項目の値を適用します。

以下のルールの操作はサポートされていません。

  • ラベルを適用しますが、項目の値は適用しません。ただし、デフォルトの分類を設定して、新しく作成されたファイルや、オーナー権限が変更されるファイルにラベルを適用することはできます。詳しくは、新しいファイルに分類ラベルを自動的に適用するをご覧ください。
  • [オプション リスト] の設定で [複数選択できるようにする] が有効になっている場合は、ラベルと [オプション リスト] の項目を適用します。
  • 数値、日付、テキスト、人物など、他の項目タイプでラベルを適用します。

始める前に

分類ラベルについて理解する、ラベルを作成する

ドライブの DLP ルールで分類ラベルを使用するには、次の準備が必要です。

  1. 分類ラベルの目的と機能について理解していること。詳しくは、分類ラベル管理者としての作業を開始するをご覧ください。
  2. ラベルを作成すること、または使用するラベルが既存であること。

DLP ルールまたはデフォルトの分類を使用してラベルを自動的に適用する

ラベルの適用に特定の条件や操作を使用する必要がある場合は、DLP ルールを使用してラベルを自動適用します。特定のユーザーが新規作成したファイルのみにラベルを適用する場合は、デフォルトの分類ラベルを使用します。

デフォルトの分類ラベルの仕組み

  • 新しいファイルやオーナー権限が変更されたファイルには、ラベルが適用されます。デフォルトの分類では、ファイルのオーナーが変更されない限り、既存のファイルにまでさかのぼってラベルが適用されることはありません。
  • ファイルのオーナーが所属する組織部門またはグループに基づいてラベルが適用されます。デフォルトの分類では、特定の条件を満たすファイルの内容やメタデータの検索は行われません。
  • ユーザーがラベルを変更する権限を持っている場合は、自動的に適用された後にラベルを変更または削除することができます。
  • デフォルトの分類では、項目としてオプション リストを含むラベルのみがサポートされます。
  • デフォルトの分類ラベルでは、データ分類値がオプション リストで高い場合でも、DLP で設定されたラベルによって上書きされます。

DLP ルールによるラベルの設定の仕組み

  • 新しいファイルと既存のファイルにラベルを適用します。
  • ファイル形式、単語の一致、文字列の一致などの条件に基づいてラベルを適用します。
  • ラベルの条件を使用する DLP ルールで、ラベルを適用することはできません。
  • ユーザーがラベルを変更する権限を持っている場合でも、ラベルを変更できないように設定することが可能です。変更があった場合、DLP は直ちにファイルを再スキャンし、DLP ルールのラベル設定に戻ります。
  • 組織で外部共有をブロックする DLP ルールが設定されている場合、組織外のユーザーは、DLP ルールが適用されたことがあるファイルの変更履歴を閲覧できません。この規定には、ラベルを適用するが外部共有をブロックしない DLP ルールも含まれます。
  • DLP ルールでは、バッジ付きラベルを含むオプション リスト フィールドを含むラベルを適用できます。

AI 分類ラベルの仕組み

  • 新しいファイルと既存のファイルにラベルを適用します。
  • AI 分類でサポートされているのは、項目として 2 ~ 7 個の値からなるオプション リストが 1 つだけ付いたラベルに限られます。
  • トレーニング期間後にラベルを適用します。トレーニング期間中、指定されたラベル付け担当者が、項目ごとに少なくとも 100 個のファイルへトレーニング ラベルを適用します。
  • AI 分類ラベルは DLP で設定されたラベルには上書きされますが、デフォルトの分類ラベルは上書きします。

ルール同士の競合を解決する方法

DLP ルールで設定されたラベル値は AI 分類よりも優先され、どちらもデフォルトの分類に対して優先されます。

同じファイルに対して、2 つ以上の同種類のルールが異なるラベル値を適用した場合、ラベルのオプション リストで値の大きい方が適用されます。たとえば、ラベル マネージャーに次の 3 つのオプションがリストされた項目を持つラベルがあるとします。

  1. 機密
  2. 内部
  3. 公開

同じファイルに対して、ルール 1 がラベルを [機密] に設定し、ルール 2 がラベルを [公開] に設定した場合、[機密](ルール 1)が適用されます。ルールを設定する前に、ラベルの項目が優先度の高い順にリストされていることを確認してください。

分類ラベルを適用するドライブの DLP ルールを設定する

ラベルのロックについて

DLP ルールに関連付けられているラベル、フィールド、フィールド オプションは、ラベル マネージャーでロックされます。ラベルやフィールドを編集できなくなるので、ビジネス ポリシー違反の予防になります。すべての DLP ルールから削除されたラベル、フィールド、フィールド オプションは、ロック対象から外れます。

ラベル マネージャーでの編集は次のようになります。

  • フィールドまたはフィールド オプションの名前変更や新規追加はできます。
  • DLP ルールで使用されているラベル、フィールド、フィールド オプションの無効化や削除はできません。[ラベルの管理] 権限を持つ管理者は、ルールでラベルが使用されているかどうかを確認できますが、必要な権限がない限り、ルール自体を確認することはできません。

公開済みラベルの下書きであっても、無効化されたラベル、フィールド、フィールド オプションを使用して DLP ルールを作成することはできません。

ドライブラベルの全体的な変更を元に戻す

DLP ルールを介して誤ってラベル(またはラベルとフィールド値)を広範囲のファイルに適用してしまった場合でも、DLP を使用して修正できます。

そのためには、変更を適用した DLP ルールを無効にします。これにより、該当するラベルとすべてのフィールド値が自動削除されます。または、変更を適用した DLP ルールを編集して、[ラベルを適用] 操作を削除します。これにより、ルールによって適用されたラベルとフィールド値も削除されます。更新が必要なドキュメントの数によっては、この変更の適用に数分、数時間、またはそれ以上かかる場合があります。

ただし、[ユーザーに、自分のファイルに適用されるラベルやフィールドの値の変更を許可するかどうかを選択します] で [許可] をオンにしていた場合は、この方法で修正できないことがあります。DLP ルールによって変更されたラベルとフィールドは削除されますが、そのラベルとフィールドの値をユーザーが変更していた場合はそのまま残ります。

ドライブのログイベントで操作を確認する

ファイルの変更内容を調査するには、ドライブの監査ログを確認します。イベントの [説明] 列には、「DLP ルールがラベル「契約」を付けました」のように、DLP 操作が表示されます。詳しくは、ドライブのログイベントをご覧ください。

DLP スキャンに予想より時間がかかっています。どうしましたか?

DLP を使用してラベルを自動適用すると、ドライブの複数のドキュメントに変更を加えることができるようになります。このため、影響を受けるファイルの数が想定より多くなる場合があります。多数のファイルを更新するルールは、少数のファイルのみを更新するルールよりも処理に時間がかかることがあります。ラベルを操作するルールを大規模に適用する前に、少数のサンプルでテストすることをおすすめします。