ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する

ドライブの DLP ルールとコンテンツ検出項目

この機能に対応しているエディション: Frontline Standard および Frontline Plus、Enterprise Standard および Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus。エディションを比較する

Google Workspace ライセンス(Enterprise、Business、Education エディション)も保有する Cloud Identity Premium ユーザーは、ドライブの DLP と Chat の DLP も利用できます。

ドライブのデータ損失防止(DLP)機能を使用すると、トリガーと条件を組み合わせた複雑なルールを作成できます。ユーザーのコンテンツがブロックされた場合、その旨を伝えるメッセージをユーザーに送信する操作を指定することもできます。

ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する

ステップ 1: ルールを計画する

ルールの条件を決定する

DLP ルールの条件によって、ルールで検出される機密コンテンツの種類が決まります。基本的な例については、以下の DLP ルールの例をご覧ください。ルールに必要な条件は 1 つだけにすることも、AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。ネストされた条件の例については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。

  • 運転免許証番号や納税者番号などの標準的な個人情報を検出するには、ルールで定義済みコンテンツ検出項目を使用できます。利用可能な検出機能の一覧は、定義済みコンテンツ検出項目の使用方法でご確認ください。
  • ルールの条件では、自身で作成したカスタム コンテンツ検出項目(単語のリストや正規表現を含むコンテンツ検出項目など)を使用することもできます。手順については、手順 2. カスタム コンテンツ検出項目を作成するで説明します。

ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。

監査専用ルールを作成して、DLP で作成したルールをテストできます。これにより、Google ドライブのルールの潜在的影響をテストできます。すべてのルールと同様にこうしたルールもトリガーされますが、操作は一切実行されず、結果がルール監査ログと調査ツールに書き込まれるだけです。

ルールテスト環境の設定など、ルールテストを効率的に行うためのおすすめの方法については、ルールテストを迅速に行うための推奨事項をご覧ください。

監査専用ルールを作成、使用するには:

  1. 手順 3: ルールを作成するの手順に沿ってルールを作成します。
  2. ルール作成の [操作] では、操作を選択しないでください。操作は省略可能です。ルールは関連付けられた操作なしでトリガーされ、すべてのインシデントがルール監査ログに記録されます。この場合、対象は [操作] に [監査のみ] と表示されます。
  3. 操作を続け、ルール設定を完了します。ルールがアクティブになっていることを確認してください。
  4. 管理者自身で機能をテストするか、ドメイン内のユーザーが、このルールの影響を受けるデータを共有するまで待ちます。
  5. ルールの監査ログを表示します。詳しくは、ルールの監査ログまたは調査ツールをご覧ください。監査ログには、監査専用ルールを使用したときにトリガーされる、操作のないルールが一覧表示されます。

  6. ルールが希望どおりに設定されていることを確認したら、ルールに変更を加えて操作が適用されるようにします(手順 3: ルールを作成するを参照)。

おすすめのルールとは、データ保護に関する分析情報レポートの結果に基づいてユーザーに推奨される DLP ルールです。たとえば、組織内で共有されたデータの種類としてパスポート番号がレポートに表示される場合は、パスポート番号の共有を防止するルールがおすすめのルールとして表示されます。

おすすめのルールは、データ保護に関する分析情報レポートが有効になっている場合にのみ表示されます。詳しくは、データ保護のおすすめのルールを使用したデータ漏洩防止をご覧ください。

ルールの範囲に選択できるグループの種類

管理コンソールの [グループ] リストで、管理者またはユーザーが作成したグループを選択できます。グループ アドレスの末尾は組織のドメインである必要があります。つまり、ルールの範囲に外部グループを指定することはできません。
DLP ルールの対象として考慮すべきグループの種類を以下に示します。

  • 動的グループ - ユーザーが組織に入ったとき、移動したとき、退職したときに、メンバーを自動的に管理します。動的グループは管理コンソールまたは Cloud Identity API で利用できるため、グループのメンバー構成の変更を手動管理する手間を省くメリットがあります。DLP ルールに動的グループを使用するには、そのグループがセキュリティ グループ(セキュリティ ラベルが付いているもの)でもあることを確認してください。動的グループの詳細もご確認ください。

  • セキュリティ グループ - 標準グループまたは動的グループをセキュリティ グループに変換すると、権限管理とアクセス制御を行うためのグループを規制、監査、監視できるようになります。管理コンソールで、または Cloud Identity Groups API を使用してセキュリティ グループを作成するには、セキュリティ ラベルをグループに追加します。詳しくは、セキュリティ グループについての記事をご覧ください。

  • 移行されたグループ - Google Cloud Directory Sync(GCDS)を使用して、Microsoft Active Directory などのツールで作成したグループを Google Workspace と同期できます。同期されたグループを DLP ルールで使用します。詳しくは、GCDS の詳細をご覧ください。

ステップ 2: カスタム検出項目を作成する(省略可)

必要に応じてカスタム検出項目を作成する

ルール条件でカスタム検出項目を使用する必要がある場合に、そうした検出項目を作成するための一般的な手順を以下に示します。

ルールで使用する DLP 検出項目を作成する

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、表示と管理の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限カスタム管理者ロールの作成に関する記事をご確認ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [検出項目を管理] をクリックします。
  3. [検出項目を追加] をクリックします。名前と説明を追加します。

    次のいずれかを選択できます。

    • 正規表現 - 正規表現はテキストをパターンと照合する方法です。正規表現を確認するには、[正規表現をテスト] をクリックします。正規表現の例をご覧ください。
    • 単語リスト - 管理者自身で作成する単語リストです。検出対象となる単語をカンマ区切りのリストにして作成します。大文字と小文字の違いや記号は無視されます。完全な単語にのみ一致します。コンテンツが検出されたときに表示されるポップアップ メッセージを追加できます。単語リストの検出項目内の単語は、2 文字以上にする必要があります(文字が英字または数字のみの場合)。
  4. [作成] をクリックします。後でルールに条件を追加するときに、カスタム検出項目を使用します。

手順 3: ルールを作成する

ルールを作成する一般的な手順を以下に示します。

DLP ルールを作成する

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、表示と管理の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。

調査ツールでのみ必要な権限については、セキュリティ調査ツールの管理者権限をご覧ください。

詳しくは、管理者権限カスタム管理者ロールの作成に関する記事をご確認ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [ルールを管理] をクリックします。次に、[ルールを追加] 次に [新しいルール] をクリックするか、[ルールを追加] 次に [テンプレートから新しいルールを作成] をクリックします。テンプレートの場合は、[テンプレート] ページからテンプレートを選択します。
  3. ルールの名前と説明を追加します。
  4. [アプリ] セクションで、[Google ドライブ 次に ドライブのファイル] を選択します。
  5. [続行] をクリックします。
  6. [操作] で、スキャンで機密データが検出された場合に実行する操作を選択できます(省略可)。

    操作を追加する前にルールをテストしたい場合
    監査専用ルールを作成すれば、操作を行わずに監査ログに書き込みを行うルールをテストできます。操作の選択は省略可能です。詳しくは、監査専用ルールを使ってルールの結果をテストする(任意、推奨)をご覧ください。

    • 外部共有をブロック - ドキュメントの共有を禁止します。
    • 外部との共有を警告する - ユーザーがファイルを共有しようとすると、ファイルに機密コンテンツが含まれているという警告が表示されます。[キャンセル] または [このまま共有] を選択できます。

      注: この操作に対するアラートを有効にすると、ファイルが共有されたかどうかにかかわらず、機密コンテンツが検出されたときにアラートがトリガーされます。通常、検出はファイルの作成または更新後、またはファイルに適用されるルールの変更(ルールの作成または更新など)の後に行われます。また、システム アップグレードによって検出能力が向上したときにも実行されることがあります。検出イベントはルールログに記録されます。

    • ダウンロード、印刷、コピーを無効にする - 「編集者」以上の権限がない限り、ダウンロード、印刷、コピーを禁止します。この機能は DLP の Information Rights Management(IRM)であり、ドライブの共有設定がポリシーとして使用されます。このため、ユーザーはどのプラットフォームからも、Google ドライブ内のドキュメント、スプレッドシート、スライドをダウンロード、印刷、コピーできません。詳しくは、IRM に関するよくある質問をご確認ください。
    • 分類ラベルを適用する - 既存の分類ラベルを一致するファイルに適用します。以下の手順に沿って設定します。
      1. [分類ラベル] プルダウン リストから使用可能なラベルを選択し、そのラベルに使用可能なフィールドフィールド オプションを選択します。項目の種類として [オプション リスト] が付いたバッジラベルと標準ラベルのみがサポートされています。詳しくは、分類のラベル管理者としての作業を開始するをご覧ください。
      2. (省略可)[ラベルを追加] をクリックして、ラベルを追加します。
      3. ユーザーに、自分のファイルに適用されるラベルやフィールドの値の変更を許可するかどうかを選択します。
  7. [アラート] で、重大度レベル([]、[]、[])を選択します。重大度は、インシデントが時間の経過とともに DLP インシデント ダッシュボードにどのように表示されるか(重大度が「高」、「中」、「低」のインシデントの数)に影響します。
  8. 必要に応じて、[アラート センター] をオンにして通知をトリガーします。アラートは Google ドライブでのみサポートされています。詳しくは、アラートの詳細を表示するをご覧ください。

    チェックボックスをオンにしてすべての特権管理者に通知するか、その他の受信者のメールアドレスを追加します。追加できるのは、登録されている受信者に限られます。外部の受信者は無視されます。受信者はユーザーまたはグループです。選択したグループがメールアラートを受信できるように、グループに対してアクセス権を設定する必要があります。メール通知のグループ アクセス権の設定について、詳しくは、アラート センターのメール通知を設定するをご覧ください。

    アラートはアラート センターに一覧表示されます。アラートが発生してからログに記録されるまでには時間差があります。アラートがアラート センターに表示されるタイミングと、ルール監査ログおよび DLP セキュリティ ダッシュボードが更新されるタイミングとの間にも時間差があります。アラートを受信してからアラートの概要を確認することもできますが、ダッシュボードまたは調査ツールの監査ログに表示されるインシデント数の更新には時間がかかります。ルールごとの 1 日あたりのアラート数は最大で 50 件です。このしきい値に達するまでアラートは発生します。

  9. [続行] をクリックします。
  10. [範囲] で、[ <ドメイン名domain.name> のすべて] を選択するか、選択した組織部門またはグループのユーザーにのみこのルールを適用することを選択します。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

    注: 動的グループにルールを適用する場合、そのグループにはセキュリティ ラベルも必要です。詳しくは、ルールの範囲に選択できるグループの種類をご覧ください。

  11. [Conditions] セクションで [Add Condition] をクリックします。
  12. [スキャンするコンテンツの種類] を選択します。
    • すべてのコンテンツ: ドキュメントのすべて(ドキュメントのタイトル、本文、編集の提案など)
    • 本文: ドキュメントの本文
    • 分類ラベル: ドキュメントに適用されているすべてのラベル。詳しくは、分類のラベル管理者としての作業を開始するをご覧ください。
    • 編集の提案: 提案モードでドキュメントに追加されたコンテンツ
    • タイトル: ドキュメントのタイトル
  13. [スキャン対象] を選択し、その種類のスキャンに必要な属性(下の表に記載)を入力します。

    [スキャン対象] オプションは、前のステップで選択した [スキャンするコンテンツの種類] によって異なります。たとえば、スキャンするコンテンツの種類として [タイトル] を選択した場合、[スキャン対象] の選択肢には [末尾が次と一致] と [先頭が次と一致] が含まれます。

    スキャン対象 属性
    事前定義されたデータの種類と一致する データの種類 - 事前定義されたデータの種類を選択します。事前定義されたデータの種類の詳細については、こちらをご覧ください。

    可能性のしきい値 - 可能性のしきい値を選択します。指定できるしきい値は次のとおりです。

    • 最低
    • 非常に高い

    こうしたしきい値は、照合結果に対する DLP システムの信頼度を反映しています。一般的に、「最高」では、照合するコンテンツの数が少ないため、精度が高くなります。「最低」では、より多くのファイルを対象に広範囲に照合しますが、精度は低くなります。

    一意に一致するテキストの最小数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に一意に出現する必要のある最小回数。

    最小一致数 - 操作がトリガーされるために、任意の一致結果がドキュメント内に出現する必要のある最小回数。

    「最小一致数」と「一意に一致するテキストの最低数」の仕組みたとえば、社会保障番号のリストが 2 つあると考えてください。最初のリストには 50 個のまったく同じ番号が含まれており、2 つ目のリストには 50 個の一意の番号が含まれています。

    この場合、[最小一致数] の値が 10 であれば、結果は両方のリストでトリガーされます。どちらのリストでも 10 個以上の一致があるからです。

    また、[一意に一致するテキストの最小数] の値が 10 で、[最小一致数] の値が 1 の場合、結果は 2 つ目のリストでのみトリガーされます。10 個の一致があり、それらはすべて一意の値に一致するからです。
    テキスト文字列を含む 照合するコンテンツを入力 - 検索する部分文字列、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。部分文字列の場合、ルールに「key」という単語が含まれていて、ドキュメントに「key」という単語が含まれる場合、一致と見なされます。
    語句を含む

    照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。

    アプリとして Gmail を選択した場合にのみ使用できます。
    正規表現に一致する 正規表現の名前 - 正規表現のカスタム検出項目。

    パターンが検出される最小回数 - 操作がトリガーされるために、正規表現で表されるパターンがドキュメント内に出現する必要のある最小回数。
    単語リスト内の単語に一致する 単語リストの名前 - カスタムの単語リストを選択します。

    一致モード - [いずれかの単語に一致する] または [最低数の一意の単語に一致する] を選択します。

    任意の単語が検出される合計回数の最小値 - 単語の検出回数がこの最小値に達すると、アクションがトリガーされます。

    検出される個別の単語の最小個数 - アクションをトリガーするために検出される必要がある異なる単語の最小数を指定します([最低数の一意の単語に一致する] オプションの場合のみ)。
    最後が一致 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。
    次で始まる 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。
    次に一致(コンテンツ タイプが分類ラベルの場合のみ) 分類ラベル - プルダウン リストから使用可能な分類ラベルを選択します。
    ラベル フィールド - 選択したドライブラベルで使用可能なラベル フィールドを選択します。
    フィールド オプション - 選択したフィールドで使用可能なフィールド オプションを選択します。

    条件では AND、OR、または NOT 演算子を使用できます。条件で AND、OR、NOT 演算子を使用する場合の詳細については、ドライブの DLP ルールにおけるネストされた条件演算子の使用例をご覧ください。

    注: 条件を指定せずに DLP ルールを作成すると、そのルールで定められた操作がすべてのドライブ ファイルに適用されます。

  14. [続行] をクリックしてルールの詳細を確認します。
  15. [ルールのステータス] セクションで、ルールの初期ステータスを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  16. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

手順 4: 新しいルールについてユーザーに通知する

新しいルールに関してユーザーに説明する

新しいルールの想定される動作と結果についてユーザーに説明します。たとえば機密データが共有される場合は、外部共有をブロックすることもあります。そうした場合は、ドキュメントを共有できなくなる可能性があることと、その理由をユーザーに伝えます。

DLP ルールの例

定義済みの分類、カスタム検出項目、ルール テンプレートの使用例。

例 1: 定義済みの分類を使用して社会保障番号を保護する

次の例では、定義済みの分類を使用して、特定の組織やグループのユーザーが機密データを共有できないようにする方法を示します。定義済みの分類を使用することで、よく入力されるデータを指定できます。この例でのデータは社会保障番号です。

始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [ルールを管理] をクリックします。[ルールを追加次に新しいルール] をクリックします。
  3. ルールの名前と説明を追加します。
  4. [アプリ] セクションで、[Google ドライブ] 次に [ドライブのファイル] を選択します。
  5. [続行] をクリックします。
  6. [操作] セクションの [Google ドライブ] で、[外部共有をブロック] を選択します。
  7. [アラート] セクションで、重大度レベルとして [] を選択します。[アラート センター] ボックスをオンにしてアラートを有効にし、メールの受信者を指定します。

    アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。

  8. [続行] をクリックします。
  9. [範囲] で、[すべての <ドメイン名> に適用domain.name] を選択するか、ルールの適用先となる組織部門またはグループを検索して、それを含めるか除外することもできます。含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。
  10. [コンテンツの条件] で、[条件を追加] をクリックし、次の値を選択します。
    • スキャンするコンテンツの種類 - すべてのコンテンツ
    • スキャン対象 - [事前定義されたデータの種類と一致する(推奨)]
    • データの種類 - [アメリカ合衆国 - 社会保障番号]
    • 可能性のしきい値 - [最高]。(メッセージによって操作がトリガーされるかどうかを判断するために使用する追加の基準)。
    • 一意に一致するテキストの最低数 - 1(操作がトリガーされるために、一意の一致がドキュメント内に出現する必要のある最小回数)。
    • 最小一致数 - 1(操作がトリガーされるために、コンテンツがメッセージ内に出現する必要のある回数)。たとえば「2」を選択した場合、操作がトリガーされるためには、コンテンツがメッセージ内に 2 回以上出現する必要があります。
  11. [続行] をクリックします。
  12. [続行] をクリックしてルールの詳細を確認します。
  13. [ルールのステータス] セクションで、ルールの初期ステータスを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  14. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 2: カスタム検出項目を使用して社内の名称を保護する

次の例では、カスタム検出項目の設定方法を示します。カスタム検出項目で検出される単語を登録できます。ルール内のトリガー設定を使用して、社内のプロジェクト名などの機密データを含むドキュメントが外部の受信者と共有されないようにします。

始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [検出項目を管理] をクリックします。[検出項目を追加] 次に [単語リスト] をクリックします。
  3. 検出項目の名前と説明を入力します。
  4. 検出対象の単語をカンマで区切って入力します。カスタム単語リストでは、次のルールが適用されます。
    • 大文字と小文字は区別されません。たとえば、「BAD」は「bad」、「Bad」、「BAD」と一致します。
    • 完全な単語にのみ一致します。たとえば、カスタム単語リストに「bad」を追加した場合、「badminton」は一致しません。
  5. [作成] をクリックします。
  6. [ルールを管理] をクリックします。[ルールを追加次に新しいルール] をクリックします。
  7. [名前] で、ルールの名前と、必要であれば説明を入力します。
  8. [アプリ] セクションで、[Google ドライブ] 次に [ドライブのファイル] を選択します。
  9. [操作] セクションの [Google ドライブ] で、[外部共有をブロック] を選択します。
  10. [アラート] セクションで、重大度レベルとして [] を選択します。[アラート センター] ボックスをオンにしてアラートを有効にし、メールの受信者を指定します。

    アラートが発生してからログに記録されるまでには時間差があります。管理者はルールごとに 1 日あたり最大で 50 件のアラートを受信でき、このしきい値に達するまでアラートは発生します。

  11. [続行] をクリックします。

  12. [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
  13. [コンテンツの条件] で、[条件を追加] をクリックし、次の値を選択します。
    • スキャンするコンテンツの種類 - すべてのコンテンツ
    • スキャン対象 - 単語リスト内の単語に一致する
    • 単語リストの名前 - リストをスクロールして、先に作成した検出項目を探します。
    • 一致モード - 次のいずれかの一致モードを選択します。
      • いずれかの単語に一致する - 定義済み単語リスト内の任意の単語との一致数をカウントします。
      • 最低数の一意の単語に一致する - 検出される個別の単語の最小個数と、(定義済み単語リスト内の)任意の単語が検出される合計回数の最小値を指定します
    • 任意の単語が検出される合計回数の最小値 - 1
  14. [続行] をクリックしてルールの詳細を確認します。
  15. [ルールのステータス] セクションで、ルールの初期ステータスを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  16. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 3: ルール テンプレートを使用して個人情報を保護する

ルール テンプレートに用意された一連の条件は、多くの一般的なデータ保護シナリオに対応しています。ルール テンプレートを使用すれば、データ保護が必要となる日常的な状況を対象にポリシーを設定できます。

次の例では、ルール テンプレートを使用して、米国人の個人情報(PII)を含むドライブ ドキュメントやメールの送信または共有をブロックしています。

始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [ルールを管理] をクリックします。
  3. [ルールを追加次にテンプレートから新しいルールを作成] をクリックします。
  4. [テンプレート] ページで、[個人情報(PII)の共有の防止(米国)] をクリックします。
  5. ルールのデフォルトの名前と説明をそのまま使用するか、新しい値を入力します。
  6. [続行] をクリックします。
  7. アクションとアラートの設定を確認し、必要に応じて編集します。Google ドライブについて、[外部共有をブロック] が選択されています。共有をブロックすると、ユーザーは条件に一致するファイルを組織外のユーザーと共有できなくなります。セキュリティは「低」に設定され、アラートは無効になっています。
  8. [続行] をクリックします。
  9. ルール テンプレートの条件が事前に選択されています。必要に応じて、ルールに適用される特定の条件を確認します。
  10. [続行] をクリックしてルールの詳細を確認します。
  11. [ルールのステータス] セクションで、ルールの初期ステータスを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  12. [作成] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

例 4: iOS または Android デバイスでの機密コンテンツのダウンロードをブロックする

この例では、DLP ルールとコンテキストアウェア アクセスの条件を組み合わせています。DLP ルールとコンテキスト条件を組み合わせると、ルールは条件が満たされた場合にのみ適用されます。

この例では、DLP ルールにより、コメント権限または閲覧権限しか持たない Google ドキュメント ユーザーが機密コンテンツをダウンロード、印刷、コピーするのをブロックします。コンテキスト条件では、ユーザーが iOS デバイスまたは Android デバイスからコンテンツにアクセスしていることを指定します。

重要: モバイル デバイスに対して、デバイスのコンテキスト条件、またはデバイスの OS ベースのコンテキスト条件を適用するには、デバイスの基本管理または詳細管理が有効になっている必要があります。

始める前に、上記の DLP ルールを作成するに記載されている権限を持つ特権管理者アカウントまたは代理管理者アカウントにログインしていることを確認してください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [ルールを管理] をクリックします。[ルールを追加] 次に [新しいルール] をクリックします。
  3. ルールの名前と説明を入力します。
  4. [アプリ] セクションで、[Google ドライブ] 次に [ドライブのファイル] を選択します。
  5. [続行] をクリックします。
  6. [操作] セクションの [Google ドライブ] で、[ダウンロード、印刷、コピーを無効にする] を選択し、[コメント投稿者と閲覧者のみ] を選択します。

    注: アクションが適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。

  7. (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
  8. [続行] をクリックします。
  9. [範囲] で、ルールの適用先となる組織部門またはグループを検索して選択します。
  10. [アプリ] の [Google ドライブ] で、[ドライブのファイル] をオンにします。
  11. [コンテンツの条件] で、[条件を追加] をクリックします。
  12. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
  13. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
  14. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックして既存のアクセスレベルを表示します。
  15. [新しいアクセスレベルを作成] をクリックします。
  16. 新しいアクセスレベルの名前と説明を入力します。
  17. [コンテキストの条件] で、[条件を追加] をクリックします。
  18. [すべての属性と一致する] を選択します。
  19. [属性を選択] 次に [デバイスの OS] をクリックし、[OS を選択] をクリックして、プルダウン リストから iOS を選択します。
  20. [最小バージョン] で、デフォルトの [どのバージョンでも可] のままにするか、特定のバージョンを選択します。
  21. [条件を追加] をクリックし、ステップ 20 ~ 21 を繰り返し、デバイスの OS として Android を選択します。
  22. [複数の条件を結合] の切り替えボタン([条件] の上)を [OR] に設定します。こうすることで、ユーザーが iOS デバイスまたは Android デバイスで機密コンテンツにアクセスした場合に DLP ルールが適用されます。
  23. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
  24. [続行] をクリックしてルールの詳細を確認します。
  25. [ルールのステータス] セクションで、ルールの初期ステータスを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  26. [作成] をクリックします。

変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

その他の例については、DLP ルールとコンテキストアウェア アクセスの条件を組み合わせるをご覧ください。

DLP ルールとカスタム コンテンツ検出項目を管理する

作成した DLP ルールまたはカスタム検出項目は、表示、編集、有効化、無効化、あるいは管理できます。

既存のルールとカスタム検出項目を表示する

まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。

  • 組織部門管理者の権限。
  • グループ管理者の権限。
  • DLP ルールを表示および管理する権限。ルールを作成および編集するための完全なアクセス権限を持つためには、表示と管理の両方の権限を有効にする必要があります。両方の権限を持つカスタムロールを作成することをおすすめします。
  • メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定します。

詳しくは、管理者権限カスタム管理者ロールの作成に関する記事をご確認ください。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [ルールを管理] または [検出項目を管理] をクリックします。[セキュリティ] > [データの保護] > [ルールを管理] をクリックすると、ルールのページに移動します。[セキュリティ] > [データの保護] > [検出項目を管理] をクリックすると、検出項目のページに移動します。

DLP ルールを操作する

並べ替えルール

[名前] 列または [最終更新] 列では、ルールを昇順または降順に並べ替えることができます。

  1. ルールのページで、[名前] または [最終更新] の列名をクリックします。
  2. 上矢印または下矢印をクリックすると、列が並べ替えられます。

ルールを有効または無効にする

ルールを有効にすると、そのルールを使用するドキュメントのスキャンが DLP によって実行されます。

  1. ルールのページで、ルールの [ステータス] 列の [アクティブ] または [無効] を選択します。
  2. ルールを有効または無効にすることを確認します。

ルールを削除する

ルールを削除すると、元に戻すことができません。

  1. ルールのページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン が表示されます。
  2. ゴミ箱アイコン をクリックします。
  3. ルールを削除することを確認します。

エクスポート ルール

ルールを .txt ファイルに書き出すことができます。

  1. ルールのページで [ルールをエクスポート] をクリックします。
  2. ルールのリストがテキスト ファイルにダウンロードされます。左下にある .txt ファイルをクリックすると、ダウンロードしたルールが表示されます。

ルールの詳細を編集する

ルールを編集すると、そのルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

  1. ルールのリストで、編集するルールをクリックします。
  2. [ルールを編集] をクリックします。
  3. 必要に応じてルールを編集します。作業の流れはルールを作成するときと同じです。
  4. 完了したら、[更新] をクリックし、次のいずれかを選択します。
    • アクティブ - ルールがすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このオプションにより、実装する前にルールを確認して、チームメンバーと共有する時間の余裕が生まれます。ルールを後で有効にするには、[セキュリティ] 次に [データの保護] 次に [ルールを管理] に移動します。ルールの [無効] ステータスをクリックし、[有効] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  5. [完了] をクリックします。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細

セキュリティ調査ツールでルールを調査する

この機能に対応しているエディション: Frontline Standard および Frontline Plus、Enterprise Standard および Enterprise Plus、Education Standard および Education Plus、Enterprise Essentials Plus。エディションを比較する

DLP では、セキュリティ調査ツールを使用することで、ルールがトリガーされる頻度がわかるようになっています。調査ツールによってルールの検索結果が一覧表示され、各インシデントでトリガーされた操作が示されます。

調査ツールを使用するには、メタデータと属性を表示する権限が必要です([セキュリティ センター] 次に [調査ツール] 次に [ルール] 次に [メタデータと属性の表示] で設定)。

ルールを調査するには:

  1. ルールのリストで、行にカーソルを合わせて、次に [ルールの調査] をクリックします。
  2. ルールの検索結果が表示されます。ルールがトリガーされてからログが更新されるまでには時間差があります。詳しくは、調査ツールをご覧ください。

ヒント: 調査ツールからルールを有効または無効にできます。結果の表で、列見出し [ルール ID] にカーソルを合わせます。クリックしてから [操作] 次に [ルールを有効にする] または [操作] 次に [ルールを無効にする] を選択します。

ヒント: すべての DLP ルールの結果を表示するには、閉じるアイコン X をクリックして特定のルールを削除します。

カスタム検出項目を操作する

カスタム検出項目をフィルタする

カスタム検出項目のリストを、検出項目の名前と種類を基準にしてフィルタできます。

  1. カスタム検出項目のページで、[フィルタを追加] をクリックします。
  2. 検出項目の名前または種類でフィルタします。
    • 検出項目の名前 - 検索する文字列を入力します
    • 検出項目の種類 - 検出項目の種類を選択します
  3. [適用] をクリックします。フィルタは、閉じるまで保持されます。

検出器をエクスポートする

検出項目を .txt ファイルに書き出すことができます。

  1. 検出項目のページで [検出項目をエクスポート] をクリックします。
  2. 検出項目のリストがテキスト ファイルにダウンロードされます。左下にある .txttxt ファイルをクリックすると、ダウンロードした検出項目が表示されます。

単語リストのカスタム検出項目を編集する

ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

カスタム検出項目の名前と説明を編集するには:

  1. リスト内にある単語リストのカスタム検出項目をクリックします。
  2. [情報を編集] をクリックします。
  3. タイトルと説明を編集します。
  4. [保存] をクリックします。

リストに単語を追加するには:

  1. リスト内にある単語リストのカスタム検出項目をクリックします。
  2. [単語を追加] をクリックします。
  3. 単語のリストに単語を追加します。
  4. [保存] をクリックします。

リスト内の単語を編集するには:

  1. リスト内にあるカスタム単語のカスタム検出項目をクリックします。
  2. [単語を編集] をクリックします。
  3. リスト内の単語を編集します。
  4. [保存] をクリックします。

正規表現のカスタム検出項目を編集する

ルールで使用されるカスタム検出項目を編集すると、変更した検出項目を含むルールの影響を受けるドキュメントの新規スキャンがトリガーされます。

正規表現のカスタム検出項目の名前、説明、または正規表現を編集するには:

  1. カスタム検出項目のページで、正規表現のカスタム検出項目をクリックします。
  2. ポップアップで、タイトル、説明、または正規表現を編集します。
  3. 正規表現を編集した場合は、[正規表現をテスト] をクリックします。テストデータを入力して確認します。
  4. [保存] をクリックします。

カスタム検出項目を削除する

検出項目を削除すると、元に戻すことができません。

  1. カスタム検出項目のページで、行にカーソルを合わせると、行の末尾にゴミ箱アイコン が表示されます。
  2. ゴミ箱アイコン を選択します。
  3. 検出項目を削除することを確認します。