DLP ルールとコンテキストアウェア アクセスの条件を組み合わせる

この機能に対応しているエディション: Frontline Standard および Frontline Plus、Enterprise Standard および Enterprise Plus、Education Standard および Education Plus、Enterprise Essentials Plus。エディションを比較する

ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも保有する Cloud Identity Premium ユーザーがご利用いただけます。ドライブの DLP の場合、ライセンスにドライブのログイベントが含まれている必要があります。

どのユーザーやデバイスに機密コンテンツの転送を許可するかをより細かく制御するには、データ損失防止(DLP)ルールをコンテキストアウェア アクセスの条件と組み合わせるのが効果的です。ユーザーの所在地、デバイスのセキュリティ ステータス(管理対象、暗号化済み)、IP アドレスなどの条件を指定できます。コンテキストアウェア アクセスの条件を DLP ルールに追加すると、そのルールはコンテキストの条件が満たされた場合にのみ適用されます。

ユースケース

DLP ルールとコンテキストアウェア アクセスの条件を組み合わせると、次の操作を制御できます。

  • Chrome ブラウザ - ファイルのアップロードと添付、ウェブ コンテンツのアップロードと貼り付け、ダウンロード、印刷など。
  • Google ドライブ - コメント権限または閲覧権限を持つユーザーによるドライブのファイルをコピー、ダウンロード、印刷など。

詳細な例については、このページの DLP ルールとコンテキストアウェア アクセス ルールの例をご覧ください。

始める前に

DLP ルールとコンテキストアウェア アクセスの条件を組み合わせる前に、次の表に記載された要件を満たす必要があります。

Google Workspace アドオン

(Chrome の DLP では必須、ドライブの DLP では必須ではない)
Chrome ブラウザのバージョン

バージョンが 105 以降である。詳しくは、よくある質問をご覧ください。

(Chrome の DLP では必須、ドライブの DLP では必須ではない)
エンドポイントの確認

デスクトップ デバイスの場合、デバイスまたはデバイス OS ベースのコンテキストの条件を適用するには、エンドポイントの確認を有効にする必要があります。

(IP アドレス、リージョン、ブラウザ管理の状態など、デバイス以外の属性の場合は必須ではありません)
モバイル管理

モバイル デバイスには、基本管理または詳細管理が適用されている必要があります。

(IP アドレス、リージョン、ブラウザ管理の状態など、デバイス以外の属性の場合は必須ではありません)
アクセスレベルの管理者権限

アクセスレベルを作成するには、アクセスレベル管理の権限が必要です。DLP ルールでアクセスレベルを使用するには、アクセスレベル管理またはルール管理の権限が必要です。

詳しくは、データ セキュリティをご覧ください。

ステップ 1: ルールを適用するために Chrome ブラウザを設定する

DLP 機能と Chrome ブラウザを結びつけるには、Chrome Enterprise Connectors ポリシーを設定する必要があります。

ステップ 2: コンテキストアウェア アクセスの条件を含む DLP ルールを作成する

始める前に: これは、コンテキストアウェア アクセスの条件を使用して DLP ルールを作成する手順を示す一般的な手順です。具体的な例については、このページの DLP とコンテキストアウェア アクセス ルールの例をご覧ください。

アクセスレベルは、DLP ルールの作成前またはルール作成中に作成できます。以下の手順では、他の手順の前にアクセスレベルを作成します。

  1. 適切な条件で新しいアクセスレベルを作成します。手順については、アクセスレベルを作成するをご覧ください。1 つの DLP ルールにはアクセスレベルを 1 つ割り当てることができます。
  2. DLP ルールを新規に作成するか、定義済みのテンプレートを使用して作成します。手順については、データ保護ルールの作成をご覧ください。
変更には最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

DLP とコンテキストアウェア アクセス ルールの例

次の例は、DLP ルールとコンテキストアウェア アクセスレベルを組み合わせて、ユーザーの IP アドレス、ロケーション、デバイス ステータスに応じてルールを適用する方法を示しています。

例 1: 企業ネットワーク外のデバイスでのダウンロードをブロックする(Chrome ブラウザ)

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

  1. Google 管理コンソールで、メニュー アイコン 次に [ルール] 次に [ルールを作成] 次に [データ保護] に移動します。

    DLP ルールを表示および管理する権限が必要です。

  2. ルールの名前と、必要に応じて説明を入力します。
  3. [アプリ] セクションの [Chrome] で、[ファイルをダウンロードしました] チェックボックスをオンにします。
  4. [続行] をクリックします。
  5. [操作] セクションの [Chrome] で、[ブロック] を選択します。
  6. (省略可)インシデントが DLP インシデント ダッシュボードにどのように表示されるかを指定するには、[アラート] セクションで重大度レベル([低、中、高])を選択します。
  7. (省略可)アラート センターで通知をトリガーするには、[アラート センター] チェックボックスをオンにします。管理者に通知を送信するには、[すべての特権管理者] チェックボックスをオンにするか、受信者のメールアドレスを追加します。
  8. [続行] をクリックします。
  9. [範囲] で、次のいずれかを選択します。
    • ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
    • 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。

    含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

  10. [条件] で、[条件を追加] をクリックし、次のように条件を設定します。
  11. [コンテキストの条件] で、[アクセスレベルを選択] をクリックします。
    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 19 に進みます。
  12. [新しいアクセスレベルを作成] をクリックします。
  13. 名前(「企業ネットワークの外部」など)と、必要に応じて説明を入力します。
  14. [コンテキストの条件] セクションで、[条件を追加] をクリックします。
  15. [1 つ以上の属性と一致しない(OR)] を選択します。
  16. [属性を選択] 次に [IP サブネット(パブリック)] をクリックして、会社のネットワークの IP アドレスを入力します。IP アドレスは、IPv4 アドレスもしくは IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックスである必要があります。
    • プライベート IP アドレスには対応していません(ユーザーのホーム ネットワークを含む)。
    • 静的 IP アドレスに対応しています。
    • 動的 IP アドレスを使用するには、アクセスレベルに静的 IP サブネットを定義する必要があります。動的 IP アドレスの範囲がわかっていて、アクセスレベルで定義された静的 IP アドレスがその範囲に対応している場合は、コンテキスト条件が満たされています。動的 IP アドレスが定義済みの静的 IP サブネット内にない場合、コンテキスト条件は満たされません。
  17. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
  18. [続行] をクリックしてルールの詳細を確認します。
  19. [ルールのステータス] で、次のいずれかを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。後でルールを有効にするには、[セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  20. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 2: 特定の国からログインしているユーザーによるダウンロードをブロックする(Chrome ブラウザ)

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

  1. Google 管理コンソールで、メニュー アイコン 次に [ルール] 次に [ルールを作成] 次に [データ保護] に移動します。

    DLP ルールを表示および管理する権限が必要です。

  2. ルールの名前と、必要に応じて説明を入力します。
  3. [アプリ] セクションの [Chrome] で、[ファイルをダウンロードしました] チェックボックスをオンにします。
  4. [続行] をクリックします。
  5. [操作] セクションの [Chrome] で、[ブロック] を選択します。
  6. (省略可)インシデントが DLP インシデント ダッシュボードにどのように表示されるかを指定するには、[アラート] セクションで重大度レベル([低、中、高])を選択します。
  7. (省略可)アラート センターで通知をトリガーするには、[アラート センター] チェックボックスをオンにします。管理者に通知を送信するには、[すべての特権管理者] チェックボックスをオンにするか、受信者のメールアドレスを追加します。
  8. [続行] をクリックします。
  9. [範囲] で、次のいずれかを選択します。
    • ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
    • 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。

    含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

  10. [条件] で、[条件を追加] をクリックし、次のように条件を設定します。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。

    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 20 に進みます。

  12. [新しいアクセスレベルを作成] をクリックします。
  13. 名前(「中国」など)と、必要に応じて説明を入力します。
  14. [コンテキストの条件] セクションで、[条件を追加] をクリックします。
  15. [すべての属性と一致する(AND)] を選択します。
  16. [属性を選択] 次に [地域] をクリックし、リストから国を選択します。
  17. (省略可)国を追加して、その国からログインするユーザーにルールを適用するには、次の手順を実施します。
    1. [条件を追加] をクリックし、[すべての属性と一致する(AND)] を選択します。
    2. [条件] の上部で、[複数の条件を結合] を [OR] に設定します。
  18. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
  19. [続行] をクリックしてルールの詳細を確認します。
  20. [ルールのステータス] で、次のいずれかを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。後でルールを有効にするには、[セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  21. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 3: 管理者が承認していないデバイスでのダウンロードをブロックする(ドライブ)

  1. Google 管理コンソールで、メニュー アイコン 次に [ルール] 次に [ルールを作成] 次に [データ保護] に移動します。

    DLP ルールを表示および管理する権限が必要です。

  2. ルールの名前と、必要に応じて説明を入力します。
  3. [アプリ] セクションの [Google ドライブ] で、[ドライブ ファイル] チェックボックスをオンにします。
  4. [続行] をクリックします。
  5. [アクション] セクションの [Google ドライブ] で、[ダウンロード、印刷、コピーを無効にする] 次に [コメント投稿者と閲覧者のみ] を選択します。
  6. (省略可)インシデントが DLP インシデント ダッシュボードにどのように表示されるかを指定するには、[アラート] セクションで重大度レベル([低、中、高])を選択します。
  7. (省略可)アラート センターで通知をトリガーするには、[アラート センター] チェックボックスをオンにします。管理者に通知を送信するには、[すべての特権管理者] チェックボックスをオンにするか、受信者のメールアドレスを追加します。
  8. [続行] をクリックします。
  9. [範囲] で、次のいずれかを選択します。
    • ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
    • 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。

    含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

  10. [条件] で、[条件を追加] をクリックし、次のように条件を設定します。
    • [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
    • [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。
  12. 適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 18 に進みます。
  13. [新しいアクセスレベルを作成] をクリックします。
  14. 名前(「承認されていないデバイス」など)と、必要に応じて説明を入力します。
  15. [コンテキストの条件] セクションで、[条件を追加] をクリックし、次のように条件を設定します。
    • [1 つ以上の属性と一致しない(OR)] を選択します。
    • [属性を選択] 次に [デバイス] 次に [管理者承認済み] をクリックします。
  16. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
  17. [続行] をクリックしてルールの詳細を確認します。
  18. [ルールのステータス] で、次のいずれかを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。後でルールを有効にするには、[セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  19. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 4: 管理対象外のデバイスでの「salesforce.com/admin」へのナビゲーションをブロックする(Chrome ブラウザ)

この例では、ユーザーが管理対象外のデバイスで Salesforce 管理コンソール(salesforce.com/admin)にアクセスしようとすると、ブロックされます。ユーザーは引き続き Salesforce アプリケーションの他の部分にアクセスできます。

Chrome ブラウザのルールを作成するには、Chrome Enterprise Premium が必要です。

  1. Google 管理コンソールで、メニュー アイコン 次に [ルール] 次に [ルールを作成] 次に [データ保護] に移動します。

    DLP ルールを表示および管理する権限が必要です。

  2. ルールの名前と、必要に応じて説明を入力します。
  3. [アプリ] セクションの [Chrome] で、[アクセスした URL] チェックボックスをオンにします。
  4. (省略可)インシデントが DLP インシデント ダッシュボードにどのように表示されるかを指定するには、[アラート] セクションで重大度レベル([低、中、高])を選択します。
  5. (省略可)アラート センターで通知をトリガーするには、[アラート センター] チェックボックスをオンにします。管理者に通知を送信するには、[すべての特権管理者] チェックボックスをオンにするか、受信者のメールアドレスを追加します。
  6. [続行] をクリックします。
  7. [操作] セクションの [Chrome] で、[ブロック] を選択します。
  8. [続行] をクリックします。
  9. [範囲] で、次のいずれかを選択します。
    • ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
    • 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。

    含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

  10. [条件] で、[条件を追加] をクリックし、次のように条件を設定します。
    • [スキャンするコンテンツの種類] で [URL] を選択します。
    • [スキャン対象] で [テキスト文字列を含む] を選択します。
    • [照合するコンテンツ] に「salesforce.com/admin」と入力します。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックします。
    適切なアクセスレベルをすでに作成している場合は、[コンテキストの条件] セクションでアクセスレベルを選択し、ステップ 18 に進みます。
  12. [新しいアクセスレベルを作成] をクリックします。
  13. 名前(「Salesforce 管理者」など)と、必要に応じて説明を入力します。
  14. [コンテキストの条件] セクションで、[詳細] タブをクリックします。
  15. テキスト ボックスに以下を入力します。
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED
  16. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルとその属性がリストに追加されます。
  17. [続行] をクリックしてルールの詳細を確認します。
  18. [ルールのステータス] で、次のいずれかを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。後でルールを有効にするには、[セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  19. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

注: フィルタした URL に最近アクセスしていた場合、その URL は数分間キャッシュに保存されます。そのため、キャッシュが削除されるまでは、新しいルール(または変更されたルール)で正常にフィルタリングされないことがあります。5 分ほど待ってから、新しいルールまたは変更後のルールをテストします。

よくある質問

古いバージョンの Chrome では、コンテキストアウェア アクセスの条件を含む DLP ルールはどのように動作しますか?

古いバージョンの Chrome では、コンテキストの条件は無視されます。ルールは、コンテンツの条件のみが設定されているかのように動作します。

管理対象ブラウザのルールはシークレット モードでも機能しますか?

いいえ。シークレット モードではルールは適用されません。管理者は、ログイン時にコンテキストアウェア アクセスを適用することで、Chrome のシークレット モードから Workspace または SaaS アプリケーションにログインできないようにすることができます。

ルールを適用するには、管理対象ブラウザと管理対象ユーザーが同じ企業内に属している必要がありますか?

管理対象ブラウザと管理対象プロファイルのユーザーが同じ企業に属している場合、ブラウザレベルの DLP ルールとユーザーレベルの DLP ルールの両方が適用されます。

管理対象ブラウザと管理対象プロファイルのユーザーが異なる企業に属している場合、ブラウザレベルの DLP ルールのみが適用されます。コンテキストの条件は常に一致とみなされ、最も厳しい結果が適用されます。IP ベースやリージョン ベースの条件には影響しません。

管理コンソールと Google Cloud コンソールでは同じアクセスレベルをサポートしていますか?

管理コンソールのコンテキストアウェア アクセスは、Google Cloud コンソールでサポートされているすべての属性をサポートしているわけではありません。そのため、Google Cloud コンソールで作成されたそのような属性を含む基本アクセスレベルを管理コンソールで割り当てることはできますが、編集することはできません。

管理コンソールの [ルール] ページでは、Google Cloud コンソールで作成されたアクセスレベルを割り当てることができます。ただし、サポートされていない属性を含むアクセスレベルの条件の詳細を表示することはできません。

ルールの作成時にコンテキスト条件カードが表示されないのはなぜですか?

  • DLP ルールの作成時にコンテキストの条件を表示するには、[サービス] > [データ セキュリティ] > [アクセスレベルの管理] の管理者権限が必要です。
  • コンテキストの条件カードは、ルールの作成時に Chrome トリガーを選択した場合にのみ表示されます。

割り当てたアクセスレベルを削除した場合はどうなりますか?

割り当てたアクセスレベルが削除されると、コンテキストの条件はデフォルトで true になり、ルールはコンテンツのみのルールと同様に動作します。この場合、当初意図していたよりも多くのデバイスやユースケースにルールが適用されることに注意してください。

ルールでコンテキストの条件を機能させるには、コンテキストアウェア アクセスを有効にする必要がありますか?

いいえ。ルールにおけるアクセスレベルの評価は、コンテキストアウェア アクセスの設定とは関係ありません。コンテキストアウェア アクセスの有効化と割り当てがルールに影響することはありません。

ルール条件が空の場合はどうなりますか?

空の条件はデフォルトで true と評価されます。つまり、コンテキストアウェア アクセスのみのルールについては、コンテンツの条件を空白のままにしておくことができます。コンテンツとコンテキストの条件を両方とも空のままにすると、常にルールがトリガーされます。

いずれかの条件のみが満たされた場合、ルールはトリガーされますか?

いいえ。ルールはコンテンツの条件とコンテキストの条件の両方が満たされた場合にのみトリガーされます。

DLP が適用されなかったというログイベントが表示されるのはなぜですか?

DLP とコンテキストアウェア アクセスはどちらもバックグラウンド サービスに依存しているため、定期的に中断が発生する可能性があります。ルールの適用中にサービスの中断が発生した場合、適用は行われません。この場合、ルールのログのイベントChrome のログイベントの両方にイベントが記録されます。

Endpoint Verification をインストールしていない場合、コンテキストの条件はどうなりますか?

デバイスベースの属性の場合、コンテキストの条件は一致とみなされ、最も厳しい結果となるよう適用されます。デバイス以外の属性(IP アドレス、リージョンなど)の場合、変更はありません。

トリガーされたルールのアクセスレベル情報をセキュリティ調査ツールで表示できますか?

はい。アクセスレベルの情報を表示するには、検索結果の [アクセスレベル] 列で [ルールのログのイベント] または [Chrome のログイベント] のいずれかを検索します。

ルールでコンテキストの条件に対してユーザー修復機能を使用できますか?

いいえ。現在のところ、これらのフローではユーザー修復機能を使用できません。


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。