この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。 エディションを比較
Gmail のデータ損失防止(DLP)機能を使用すると、データ保護ルールを作成して、ユーザーがメールで共有するデリケートなコンテンツを管理できます。Gmail の DLP では、組織内外のユーザーとの間で送受信されるメールにルールが適用されます。
Gmail の DLP の仕組み
ユーザーがメール メッセージを送信または受信すると、DLP によってメッセージにデリケートなコンテンツが含まれていないかスキャンされます。メールまたは添付ファイルがルールに違反した場合、ルールで定義されたアクションがメールに適用されます。
Gmail の DLP のフロー
- デリケートなコンテンツと、デリケートなコンテンツが含まれるメッセージに対して行うアクションを定義するデータ保護ルールを追加します。
- ユーザーがメールを送信または受信すると、DLP はルールに一致するコンテンツをスキャンします。
- ルールが一致すると、DLP はルールで定義されたアクションを適用します。
- すべてのイベントは、確認のためにルールのログイベントに記録されます。
サポートされている添付ファイルの形式
データ保護ルールでは、次の種類の添付ファイルがスキャンされます。
- ドキュメントのファイル形式 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 画像ファイル形式(OCR を有効にしている場合)- EPS、BMP、GIF、JPEG、PNG、PDF ファイル内の画像
- 圧縮ファイル形式 - BZIP、RAR、TAR、ZIP
- カスタム ファイルの形式 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
複数の添付ファイル
メールに複数の添付ファイルがある場合、いずれかの添付ファイルがルールの条件に一致すると、ルールがトリガーされます。このため、NOT 条件を含むルールで予期しない結果が生じることがあります。たとえば、 条件除外(SSN を含むコンテンツ)が使用されており、添付ファイルの 1 つに SSNが含まれている場合、条件が正になるためルールはトリガーされません。
トリガーについて
ルールで検索するコンテンツを定義する前に、スキャン プロセスを開始するトリガー を指定します。Gmail の DLP の トリガーは次のとおりです。
- メールを送信—送信メールと添付ファイルがスキャンされます。
- メールを受信 \- 受信メールと添付ファイルがスキャンされます。
DLP のアクションについて
デリケートなコンテンツが検出された場合、ルールで次の表のアクションを適用できます。検出後の操作が異なる類似したルールがある場合は、より厳しいアクションが優先されます。たとえば、あるルールで社会保障番号(SSN)が見つかった場合に警告を表示し、別のルールで SSN の使用をブロックしている場合、ブロック ルールがトリガーされ、ユーザーはメールを送信または受信できません。
トリガーとして [メールを受信] を選択した場合、使用できるアクションは [監査のみ] と [分類ラベルを適用] のみです。
| アクション | 説明 |
|---|---|
| メッセージをブロック |
送信メールのみ。メールの配信をブロックし、 ユーザーに通知を送信します。必要に応じて、ユーザー向けのカスタム メッセージ を追加できます。イベントがログに記録されます。 |
| ユーザーに警告 |
送信メールのみ。警告メッセージが表示された後、ユーザーは続行できます。必要に応じて、ユーザー向けのカスタム警告メッセージを追加できます。ユーザーが続行を選択した場合、その選択はログイベントに記録されます。 |
| メールを検疫する |
送信メールのみ。メールを検疫し、送信または返信される前に管理者が確認できるようにします。必要に応じて、 検疫条件を適用したり、ユーザー向けのカスタム メッセージを追加したりできます。 詳しくは、 メールの検疫を設定するをご覧ください。 |
| 監査のみ |
ユーザーは中断することなく続行でき、イベントがログに記録されます。 外部送信者、内部 送信者、またはその両方のメールを監査できます。 |
| 分類ラベルを適用 |
一致するメールに既存の分類ラベルを適用します。項目の種類として [オプション リスト] が付いたバッジラベルと標準ラベルのみがサポートされています。外部送信者、内部送信者、またはその両方のメールに分類ラベルを適用できます。 データ保護ルールでは、分類ラベルを条件とアクションの両方に使用することはできません。 |
| カスタムメモを追加 |
送信メールのみ。一致するメールにカスタム ヘッダーまたはフッターを追加します。 詳しくは、 送信メールに分類メモを追加するをご覧ください。 |
DLP の条件について
データ保護ルールを作成する際に、スキャンするコンテンツやアクティビティを定義する条件を指定できます。
事前定義されたデータタイプを使用することも、独自のカスタム コンテンツ検出項目を作成することもできます。
AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。
詳しくは、定義済みコンテンツ検出項目の使用方法、カスタム検出項目を作成する、ネストされた条件演算子を使用した DLP ルールの例をご覧ください。
| スキャンするコンテンツの種類 | スキャン対象 | 詳細と使用方法 |
|---|---|---|
| すべてのコンテンツ |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
すべてのコンテンツをスキャンして機密情報がないか確認します。 [すべてのコンテンツ] オプションでは、件名、宛先、 From、Bcc、Cc の 5 種類のヘッダーのみがスキャンされます。これらのヘッダーは同期スキャンにすぐに使用できます。すべてのメールヘッダーをスキャンするには、次のいずれかのオプションを使用することをおすすめします。
|
| 本文 |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
メール本文と添付ファイルをスキャンして機密情報がないか確認します。 メール本文は同期的にスキャンされ、添付ファイルは非同期的にスキャンされます。 |
| 分類ラベル | 次の値に等しい |
メールに分類ラベルが適用されているかどうか。詳しくは、 Gmail DLP と自動分類ラベルをご覧ください。 データ保護ルールでは、分類ラベルを条件とアクションの両方に使用することはできません。 |
| 情報保護モードのステータス | 有効 無効 |
メールで情報保護モードが有効になっているかどうか。詳しくは、 情報保護モードで Gmail のメールを保護するをご覧ください。 |
| メールヘッダー |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
メールヘッダーをスキャンして機密情報がないか確認します。 ほとんどのヘッダーは非同期でスキャンされますが、件名、宛先、From、 Bcc、Cc のヘッダーは非同期的にも同期的にもスキャンされます。 ユーザーの利便性を損なわないよう、利用できないメール ヘッダーに除外キーワード条件( |
| 件名 |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
メールの件名を同期的にスキャンして機密情報がないか確認します。 |
ルールの作成
ルールの動作を決定したら、ルールを作成します。詳しくは、データ保護ルールの作成をご覧ください。一般的なユースケース
次の表に、トリガー(ユーザーの操作)、条件(チェックされる内容)、特定のアクション(実行内容)を組み合わせて DLP ポリシーを定義する方法の例を示します。この表を使用するには、次の操作を行う必要があります。
- トリガーを選択する。
- 条件値を対応するオプションにマッピングする。
- アクションを選択します。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細
| ユースケース | トリガー | 条件 | アクション |
|---|---|---|---|
| Gmail のメールまたは添付ファイルにクレジット カード番号が含まれている場合にユーザーに警告する | Google Gmail  [Message sent] |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する データの種類: グローバル — クレジット カード番号 可能性のしきい値: 高 一意に一致するテキストの最低数: 1 最小一致数: 1 |
ユーザーに警告 |
| メール本文に米国の個人納税者番号が含まれていて、そのメールで情報保護モードが使用されていない場合、Gmail のメールをブロックする | Google Gmail [Message sent] |
条件 1: コンテンツの種類: 本文 一致: 事前定義されたデータの種類と一致する データの種類: 米国 — 個人納税者番号
条件 2: コンテンツの種類: 情報保護モードのステータス 値: 無効 |
メッセージをブロック |
| 受信メールを監査する | Google Gmail [Message received] |
コンテンツの種類: メールヘッダー 一致: 正規表現に一致する 値: 内部 — ツール パターンが繰り返される最小回数: 1 |
監査のみ |
同期スキャンと非同期スキャンについて
Gmail のメールが送信される際、ルールは同期的にスキャンすることも 非同期的にスキャンすることもできます。
同期スキャン—ユーザーが [**送信**] をクリックすると、データ保護ルールがスキャンされます。メールがメールボックスから送信される前に、デリケートなコンテンツについてユーザーに通知されます。ウェブ版 Gmail と Gmail モバイルアプリは同期スキャンを行います。
注: ユーザーが下書きとして保存したメールもスキャンされ、デリケートなコンテンツについてユーザーに通知されます。
非同期スキャン—データ保護ルールは、 メールが送信者のメールボックスから送信された後にスキャンされます。メールが受信者に配信される前に、メールが ブロックまたは検疫されたことを示すメッセージがユーザーに届きます。非同期 スキャンは、ユーザーがサードパーティのメールアプリを使用してメールを送信したとき、 および同期スキャンが失敗したときに行われます。
Gmail のメールが受信される際、メールが受信者のメールボックスに 配信される前にルールがスキャンされます。
送信メールに対する同期スキャンと非同期スキャンの結果
同期スキャン: ウェブ版またはモバイル版 Gmail
[メールをブロック] アクションを含むルールがトリガーされると、次のようになります。
- メールを現在の状態で送信できないことを示すアラートが表示されます。このアラートのルールにカスタム メッセージを追加できます。
- アラートには [編集に戻る] オプションがあるため、ユーザーはメールの編集に戻って機密情報を更新または削除できます。
- ユーザーが編集後にメールを再送信すると、メールが再度スキャンされ、該当するすべてのルールに対して検証されます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- アラートには [編集に戻る] オプションがあり、ユーザーはメールの編集に戻って機密コンテンツを更新または削除できます。
- アラートには [このまま送信] オプションがあり、ユーザーは現在の状態のままメールを送信できます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあるため、必要に応じてメールの編集に戻り、機密性の高いコンテンツを更新または削除できます。
- このボックスには [審査のために送信] ボタンがあり、ユーザーは管理者やその他の承認済みユーザーに確認してもらうためにメールを送信できます。管理者はメールを確認した後、受信者に送信するメールを承認するか、メールの送信をブロックできます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- ユーザーにアラートは表示されず、メールは受信者に配信されます。
- メールイベントは監査ログに記録されます。
注: 同期でスキャンされたメールは、追加のセキュリティ対策として、非同期でもう一度スキャンされる場合があります。これにより、同期スキャン中にダイアログ ボックスが表示されなかった場合でも、メールがブロックされる可能性があります。
非同期スキャン: Gmail(SMTP とサードパーティのメールアプリを使用)
[メールをブロック] アクションを含むルールがトリガーされた場合
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
- SMTP で Gmail に接続されたサードパーティ製メールアプリを使用して送信されたメールの場合、[ユーザーに警告] アクションを含むルールは、[メールをブロック] アクションを含むルールと同じように動作します。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- メールが送信されなかった場合、メールが検疫されたことを示すアラートが送信者に届きます。このアラートのルールにカスタム メッセージを追加できます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者に通知は届かず、メールは受信者に配信されます。
非同期スキャン: ウェブ版またはモバイル版 Gmail
ウェブ版またはモバイルアプリ版の Gmail を使用すると、追加のセキュリティ対策として、メールが非同期でもう一度スキャンされます。
[メールをブロック] アクションを含むルールがトリガーされた場合
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようなメールが送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メールの送信が審査担当者によってブロックされた場合は、後で通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者に通知は届かず、メールは受信者に配信されます。
他の Google サービスによって自動的に作成されたメール
Gmail は、Google カレンダー、ドキュメント、ドライブなどの他の Google サービスや Google Workspace サービスによって作成された自動通知とメールを送信します。たとえば、Google カレンダーでイベントを作成してゲストを招待すると、イベントの詳細を含む Gmail のメールが作成され、イベントの参加者に送信されます。メールはサーバー側でスキャンされます。メールのコンテンツがいずれかのルールの条件を満たしている場合、ルールの操作が適用されます。
[メールをブロック] アクションを含むルールがトリガーされた場合
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。この通知のルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- メールが送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールの送信が審査担当者によってブロックされた場合は、後で通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールが送信されます。
- 送信者には通知が送信されません。
Gmail の DLP の連携
DLP は他のメールルールとどのように連携しますか?
データ保護ルールは、コンテンツ コンプライアンス ルールとルーティング ルールよりも前に評価されます。
データ保護ルールがメールに対するブロックまたは検疫のアクションを受け付けなかった場合、メールはコンテンツ コンプライアンス ルールとルーティング ルールによって評価されます。コンテンツ コンプライアンス ルールまたはルーティング ルールで、メールの別のコピーを作成するアクション(新しい受信者の追加など)が適用された場合、DLP はメールの新しいコピーをスキャンしてから送信します。
詳しくは、高度な メール コンテンツ フィルタリングに関するルールの設定をご覧ください。
Gmail の DLP はグループとどのように連携しますか?
データ保護ルールは、ルールが組織全体に設定されている場合にのみグループに適用されます。送信メールの場合、データ保護ルールでは、グループに対する [メールをブロック] アクションのみがサポートされます。グループに対する [ユーザーに警告] アクションと [メールを検疫] アクションはサポートされません。
受信メールの場合、データ保護ルールはグループが受信した元のコピーに適用されます 。メールに分類ラベルが適用されている場合、受信したメールのグループ メンバーのコピーにはすべて同じ分類が適用されます。
セキュリティ調査ツールを使用してデータ保護ルールイベントを調査する
ルールのログイベントの検索を実行する
次の例では、データ保護ルールをトリガーした Gmail のメールを調査するための検索を実行します。他の条件で検索したり、条件を指定せずに検索したりすることもできます。
-
Google 管理コンソールで、メニュー アイコン
[**セキュリティ**]
[**セキュリティ センター**]
[**調査ツール**] に移動します。調査ツールを開くには、セキュリティ センターの管理者権限が必要です。
- [データソース] [ルールのログのイベント] をクリックします。
- [条件作成ツール] [条件を追加] [属性] [ルールの種類] をクリックします。
- [DLP] を選択します。
- [検索] をクリックします。
ページ下部の検索結果には、各イベントの詳細を含むイベントのリストが表示されます。注: デリケートなコンテンツのスニペットは、Gmail DLP ではサポートされていません。そのため、データ保護ルールをトリガーした機密コンテンツがメールに含まれていても、[デリケートなコンテンツが含まれている] 列には False と表示されます。
- [**リソース ID**] 列までスクロールし、メニュー アイコン
をクリックして、[**Gmail のログイベント**] と [**メール ID**] を表示します。 - [検索] をクリックして、[Gmail のログイベント] がデータソースの新しい検索ページを開きます。
- 詳細を表示するには、検索結果でいずれかの行の [メール ID] をクリックします。調査の詳細を示すサイドパネルが表示されます。
- プロンプトが表示されたら、Gmail コンテンツを閲覧するビジネス上の理由を入力し、[確認] をクリックします。
BigQuery を使用して DLP 違反をエクスポートする
ルールのログイベントに記録された DLP 違反をカスタム テーブルにエクスポートして、さらに詳しく調査できます。詳しくは、サービスログの BigQueryへの書き出しを設定するをご覧ください。
フィードバックをお寄せください
管理コンソールのデータ保護ページで、[フィードバックを送信] をクリックします。