この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較
Chat 用 DLP を使用すると、チャットの会話に含まれる機密データの共有について管理できます。Google Chat のデータ損失防止(DLP)機能を使用すると、データ保護ルールを作成して、Google Chat や添付ファイル(アップロードされたファイルや画像など)からのデータ漏洩を防ぐことができます。
Chat 用 DLP の仕組み
ユーザーが Chat メッセージを送信すると、作成したルールを使用して、そのメッセージに機密コンテンツが含まれていないかどうかが DLP スキャンでチェックされます。メッセージまたは添付ファイルが ルールに違反している場合、メッセージの送信時にルールのアクション(警告やブロックなど)が適用されます。
Chat 専用のデータ保護ルールを作成することも、Chat と他の Google アプリ(Google ドライブや Gmail など)に共通して適用されるルールを作成することも可能です。
Chat 用 DLP のフロー
- データ保護ルールを作成して、デリケートなコンテンツを含む機密コンテンツを保護します。ルールに違反した場合のアクションも設定できます。これらのルールはメッセージと添付ファイルの両方に適用できます。
- ユーザーが Chat メッセージを送信すると、DLP がルールを使用してメッセージをスキャンします。 添付ファイルはアップロード時にスキャンされます。
- メッセージまたは添付ファイルがルールに違反している場合、ルールを作成したときに 設定したアクションが DLP によってトリガーされます。
スキャン対象のデータ
- 送信されたメッセージのみがスキャンされます。受信メッセージはスキャンされません。
- メッセージと添付ファイル(ファイルや画像を含む)の両方がスキャンされます。 ファイル名、拡張子、添付ファイルの形式を個別に評価するルールを作成することもできます。
- 1 対 1 のチャット、グループ チャット、スペース内のメッセージは、チャット の履歴が無効であってもスキャン対象です。詳しくは、Google Chat で履歴をオンまたはオフにするをご覧ください。
- Chat 用 DLP で発生したインシデントは、ルールの監査
ログに記録されます。場合によっては、メッセージの内容も記録されていることがあります。ログでメッセージの内容を閲覧できる期間は、チャットの履歴設定と、Chat 用に設定したメッセージの保持期間に応じて異なります。
- チャットの履歴が有効になっている場合、設定した保持期間中はメッセージの内容を閲覧できます。
- チャットの履歴が無効になっている場合、メッセージの内容は 24 時間閲覧可能です。
スキャン対象のファイル形式
次のファイル形式のコンテンツはスキャン対象です。
- ドキュメントのファイル形式: .txt、.doc、.docx、.rtf、.html、.xhtml、.xml、.pdf、.ppt、 .pptx、.odp、.ods、.odt、.xls、.xlsx、.ps、.css、.csv、.json、.sh
画像ファイルの形式: .eps
注: 光学文字認識(OCR)が有効になっている場合は、.bmp、.gif、 .jpeg、.png ファイル、および PDF ファイル内の画像もスキャンされます。
圧縮ファイルの形式: .zip
カスタム ファイルの形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.wml、.xps
注: DLP では、ファイルの内容のスキャンに加えて、ファイル名やファイル拡張子などのファイル メタデータも評価されます。
コンテンツの上限
詳しくは、Google Chat の DLP のコンテンツの上限をご覧ください。
既知の制限事項
リンクされたコンテンツはスキャンされない
基本的に、リンクはスキャンされますが、リンクされたコンテンツはスキャンされません。
ドライブのファイルにはドライブのルールが適用される
ドライブで共有されたファイルには、ドライブのデータ保護ルールが適用されます。 詳しくは、DLP についてをご覧ください。
Chat とレイテンシ
Chat はレイテンシの影響を受けやすいアプリケーションです。そのため、Chat はエンドユーザーのエクスペリエンスを損なわないように設計されています。
- メッセージに対しては、DLP がスキャンを実行するための一定の時間が設けられています。検出項目の複雑さや数によっては、その一部の処理が時間内に完了せず、適用されない場合があります。送信されたメッセージとアップロードされた添付ファイルについての DLP スキャンのステータスは、Google Chat の監査ログに記載されています。
- 次の定義済み検出項目はスキャンに時間がかかることがあります。
このため、Chat のデータ保護ルールで使用すると、スキャンがタイムアウトするリスクが高まります。
- 生年月日
- 個人名
- 添付ファイルに対しては、より長いスキャン時間が設けられています。
.csv ファイルの表形式データは書式なしテキストとして扱われる
カンマ区切り値(.csv)ファイルは書式なしテキストとして扱われます。そのため、ファイルのデータを確認するときに、列内の明らかな違反が DLP で検出されないことがあります。
最新バージョンの Gmail と Chat を使用する必要がある
ユーザーが使用する Gmail と Google Chat のアプリケーションは最新バージョンにしておく必要があります。 旧バージョンの Gmail と Chat では、警告のトリガーとなるコンテンツのみがブロックされます。
トリガーについて
ルールで検索するコンテンツを定義する前に、DLP スキャン プロセスを開始するトリガー を指定します。
- メッセージを送信した \- ユーザーが Google Chat を使用してメッセージを送信します。
- ファイルをアップロードした \- ユーザーが Google Chat を使用してファイルをアップロードします。
DLP のアクションについて
デリケートなコンテンツが検出された場合、ルールでアクションが適用されます。次の表に記載されているアクションから選択できます。
検出後の操作が異なる類似したルールがある場合は、より厳しいアクションが優先されます。たとえば、あるルールで社会保障番号(SSN)が見つかった場合に警告を表示し、別のルールで SSN の使用をブロックしている場合、ブロックルールが適用され、ユーザーはメッセージを送信できません。
| アクション | 説明 |
|---|---|
| メッセージをブロック |
Chat のメッセージと添付ファイルの配信をブロックし、ユーザーに通知を送信します。必要に応じて、カスタム メッセージを追加できます。イベントがログに記録されます。 |
| ユーザーに警告 |
警告メッセージを表示したうえで、ユーザーに操作の続行を許可します。必要に応じて、カスタム警告メッセージを追加できます。 ユーザーの選択がログに記録されます。 |
| 監査のみ |
ユーザーは操作を中断することなく続行でき、イベントはログに記録されます。 |
データ保護ルールのアクションを選択した後、使用する会話の種類(外部組織がオーナーとなっているスペース、ゲストアクセスが有効になっている会話など)を選択できます。 スペース、グループ チャット、1 対 1 のチャットにルールを適用するかどうかも選択できます。
DLP の条件について
条件を指定せずにデータ保護ルールを作成できます。この場合、選択したトリガーに応じて、 送信されたすべてのメッセージ、アップロードされたすべてのファイル、またはその両方にルールが適用されます。
または、スキャンするコンテンツやアクティビティを定義する条件をデータ保護ルールで指定することもできます。事前定義されたデータタイプを使用することも、独自のカスタム コンテンツ検出項目を作成することもできます。
AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。
近接一致を使用してデータの機密性を定義し、他のキーワードやパターンから特定の距離内にある場合にのみコンテンツを検出できます。
詳しくは、定義済みコンテンツ検出機能の使用方法、 カスタム検出機能を作成する、 および ネストされた条件演算子を使用したルールの例をご覧ください。
| スキャンするコンテンツの種類 | スキャン対象 | 詳細と使用方法 |
|---|---|---|
| すべてのコンテンツ |
事前定義されたデータの種類と一致する テキスト文字列を含む 正規表現に一致する 単語リスト内の単語に一致する |
すべてのコンテンツをスキャンし、次のいずれかに一致する機密情報が見つかった場合は、アクションを実行します。
|
| ファイル名 |
テキスト文字列を含む 語句を含む |
Chat の添付ファイルのファイル名をスキャンします。この条件では、Chat メッセージはスキャンされません。 |
| ファイル拡張子 |
次のいずれかのテキスト文字列に等しい |
Chat の添付ファイルのファイル拡張子をスキャンします。 ピリオドは含めないでください(.pdf ではなく pdf と入力します)。 |
| ファイル形式 |
一般的な MIME タイプと一致 カスタム MIME タイプと一致 システム ファイルのカテゴリと一致 |
Chat の添付ファイルの構造的なファイル形式(MIME タイプ)をスキャンして、拡張子のテキストに関係なく、特定のメディア形式またはシステム ファイルクラスを識別します。この条件では、Chat メッセージはスキャンされません。 |
ルールの作成
ルールで実行する操作を決定したら、ルールを作成します。詳しくは、データ保護ルールの作成をご覧ください。
一般的なユースケース
次の表に、トリガー(ユーザーの操作)、条件(チェックされる内容)、 特定のアクション(実行内容)を組み合わせて DLP ポリシーを定義する方法の例を示します。この表を使用するには、次の操作を行う必要があります。
- トリガーを選択する。
- 条件値を対応するオプションにマッピングする。
- アクションを選択する。
| ユースケース | トリガー | 条件 | アクション |
|---|---|---|---|
| 米国社会保障番号を共有するときに Chat メッセージをブロックする | Google Chat 、 Google Chat |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する データの種類: 米国の社会保障番号 可能性のしきい値: 高 一意に一致するテキストの最低数: 1 最小一致数: 1 |
メッセージをブロック |
| パスポート番号を含むドライブの外部共有と Chat メッセージの添付ファイルをブロックする | Google Chat 、 Google Chat |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する データの種類: あらゆる場所におけるパスポート番号 可能性のしきい値: 高 一意に一致するテキストの最低数: 1 最小一致数: 1 |
Google ドライブ: 外部共有をブロック Google Chat: メッセージをブロック |
| Chat メッセージにプロジェクトのコードネームや頭字語が記されている場合に記録する | Google Chat [File uploaded] |
条件 1: 一致: テキスト文字列を含む 値: SpiderWeb
条件 2: 一致: テキスト文字列を含む 値: SpdW |
監査のみ |
ユーザーに説明する
Chat 用 DLP のルールを設定するにあたり、その影響について事前にエンドユーザーに説明しておいてください。Chat メッセージで共有できる情報の種類に関する組織のポリシーを確認するよう伝えます。これらのポリシーに反するメッセージはブロックされたり、警告メッセージのトリガーとなったりすることを説明します。これにより、メッセージがブロックされたり、警告が表示されたりしても、ユーザーは驚かずに済みます。
ブロックされたメッセージについてのユーザー エクスペリエンス
Chat のメッセージや添付ファイルがブロックされると、次のようなデフォルトのアラートがユーザーに届きます。
- メッセージを送信できませんでした
- メッセージを更新できませんでした
このメッセージには、組織のポリシーによって共有を禁じられている機密情報(クレジット カード番号など)が含まれている可能性があります。必要に応じて編集するか、間違っていると思われる場合は管理者の方にお問い合わせください。
メッセージがブロックされた場合は、ダイアログを閉じるか、メッセージ テキストを編集するか、または違反している添付ファイルを削除できます。
警告のトリガーとなったメッセージについてのユーザー エクスペリエンス
Chat のメッセージや添付ファイルが警告のトリガーとなった場合、次のようなデフォルトのアラートがユーザーに届きます。
- メッセージを確認してください
このメッセージには、組織のポリシーによって共有を禁じられている機密情報(クレジット カード番号など)が含まれている可能性があります。必要に応じて編集するか、間違っていると思われる場合は管理者の方にお問い合わせください。
警告を受け取ったら、メッセージ テキストを編集するか、テキストをそのまま送信するか、またはダイアログを閉じることができます。
Chat の DLP 違反を調査する
Chat のデータ保護ルールを設定すると、ルールの違反がルール ログに記録されます。セキュリティ調査ツールを使用してルールのログを検索し、違反した Chat メッセージまたは添付ファイルに関する以下のような特定の情報を取得できます。
- トリガーされたデータ保護ルールの名前
- メッセージの送信者
- メッセージが送信された日付
- 会話の種類(1 対 1 のチャット、スペースなど)
- メッセージのコンテンツ(メッセージ保持 設定によって異なる)
詳しい手順については、Chat メッセージの調査による組織のデータの保護をご覧ください 。
調査ツールの制限
次の場合、違反したメッセージや添付ファイルを確認できません。
- 送信されていない(ブロックされた)。閲覧できるのは、送信され、「監査のみ」ルールに違反しているコンテンツに限られます。
- 別の組織が所有する会話で送信された。
- メッセージの保持期間を過ぎている。