この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus。エディションを比較する
Gmail の DLP は、Gmail を含む Google Workspace エディションのライセンスも付与されている Cloud Identity Premium ユーザーの方にもご利用いただけます。
Google 管理コンソールでデータ損失防止(DLP)ルールを作成すると、ユーザーがメールで共有する機密コンテンツを管理できます。Gmail の DLP では、ルールは組織内外のユーザーに送信されるメールに適用されます。ルールを使用して機密情報を特定し、不適切な共有を防ぐことができます。
このページの内容
- Gmail の DLP の機能
- Gmail の DLP の仕組み
- 同期スキャンと非同期スキャンについて
- 同期スキャンと非同期スキャンの結果
- スキャン対象のデータ
- サポートされている添付ファイルの形式
- 複数の添付ファイル
- DLP は他のメールルールとどのように連携しますか?
- Gmail DLP とグループ
- Gmail の DLP ルールを作成する
- セキュリティ調査ツールを使用して DLP ルールイベントを調査する
- BigQuery を使用して DLP 違反をエクスポートする
- フィードバックをお寄せください
Gmail の DLP の機能
Gmail の DLP を使用すると、次のことができます。
- Google Chat や Google ドライブなど、Gmail を含む DLP 対応の Google Workspace アプリ用に DLP ルールを作成します。
- DLP ルールを使用して、ルール違反に対する適切なアクションをトリガーします。
- メールをブロック - メールの配信をブロックし、ユーザーに通知を送信します。
- ユーザーに警告する - メールで検出された機密情報についてユーザーに警告しますが、ユーザーはメールを送信できます。
- メールを検疫 - メールを検疫し、送信または返信の前に管理者が確認できるようにします。
- 監査のみ - メールを送信し、新しいルールの影響を評価するため、将来の監査用として DLP イベントをログに記録します。
- テキスト文字列、定義済み検出項目、カスタム検出項目(キーワードや正規表現など)を使用して条件を定義します。
- 指定した条件に基づいて、新着メールに分類ラベルを自動的に追加するルールを追加します。たとえば、メールに機密情報、財務情報、個人を特定できる情報が含まれている場合は、分類ラベル「機密」を適用します。
- メールで情報保護モードが有効になっていることを検出し、条件として情報保護モードのステータスを使用して、機密性の高いコンテンツを含むメールをユーザーが送信できるようにします。
- 特定の組織部門やグループ、あるいは組織全体に対してルールを適用します。
- アラート センターでルール違反を管理者に通知して、調査できるようにします。
- 光学式文字認識(OCR)を使用して、すべてのメッセージの添付ファイルの画像テキストをスキャンします。
Gmail の DLP の仕組み
ユーザーがメールを送信すると、DLP によってメールに機密性の高いコンテンツが含まれていないかスキャンされます。メールまたは添付ファイルがルールに違反している場合、ルールで定義されているアクションがメールに適用されます。
フローの概要:
- 機密コンテンツと、機密コンテンツが含まれるメールに対して行うアクションを定義する DLP ルールを追加します。
- ユーザーがメールを送信すると、DLP はルールに一致するコンテンツをスキャンします。
- ルールが一致すると、DLP はルールで定義されたアクションを適用します。
- すべてのイベントは、確認のためにルールのログイベントに記録されます。
同期スキャンと非同期スキャンについて
Gmail の DLP では、ルールを同期または非同期でスキャンできます。
同期スキャン - ユーザーが [送信] をクリックすると、DLP ルールがスキャンされます。メールがメールボックスから送信される前に、機密性の高いコンテンツについてユーザーに通知されます。ウェブ版 Gmail と Gmail モバイルアプリは同期スキャンを行います。
非同期スキャン - DLP ルールは、メールが送信者のメールボックスから送信された後にスキャンされます。受信者に配信される前に、メールがブロックまたは検疫されたことを知らせるメールがユーザーに表示されます。非同期スキャンは、ユーザーがサードパーティのメールアプリを使用してメールを送信したとき、および同期スキャンが失敗したときに行われます。
同期スキャンと非同期スキャンの結果
同期スキャン: ウェブ版またはモバイル版 Gmail
[メールをブロック] アクションを含むルールがトリガーされると、次の処理が行われます。
- 現在の状態ではメールを送信できないことを示すアラートが表示されます。このアラートのルールにカスタム メッセージを追加できます。
- アラートには [編集に戻る] オプションがあるため、ユーザーはメールの編集に戻って機密情報を更新または削除できます。
- ユーザーが編集後にメールを再送信すると、メールが再度スキャンされ、該当するすべてのルールに対して検証されます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- アラートには [編集に戻る] オプションがあり、ユーザーはメールの編集に戻って機密コンテンツを更新または削除できます。
- アラートには [このまま送信] オプションがあり、ユーザーは現在の状態のままメールを送信できます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあるため、必要に応じてメールの編集に戻り、機密性の高いコンテンツを更新または削除できます。
- このボックスには [審査のために送信] ボタンがあり、ユーザーは管理者やその他の承認済みユーザーに確認してもらうためにメールを送信できます。管理者はメールを確認した後、受信者に送信するメールを承認するか、メールの送信をブロックできます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- ユーザーにはアラートは表示されず、メールは受信者に配信されます。
- メールイベントは監査ログに記録されます。
注: 同期でスキャンされたメールは、追加のセキュリティ対策として、非同期でもう一度スキャンされる場合があります。これにより、同期スキャン中にダイアログ ボックスが表示されなかった場合でも、メールがブロックされる可能性があります。
非同期スキャン: Gmail(SMTP とサードパーティのメールアプリを使用)
[メールをブロック] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
- SMTP で Gmail に接続されたサードパーティ製メールアプリを使用して送信されたメールの場合、[ユーザーに警告] アクションを含むルールは、[メールをブロック] アクションを含むルールと同じように動作します。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- メールが送信されなかった場合、メールが検疫されたことを示すアラートが送信者に表示されます。このアラートのルールにカスタム メッセージを追加できます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者には通知が届かず、メールは受信者に配信されます。
非同期スキャン: ウェブ版またはモバイル版 Gmail
ウェブ版またはモバイルアプリ版の Gmail を使用すると、追加のセキュリティ対策として、メールが非同期でもう一度スキャンされます。
[メールをブロック] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようなメールが送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メールの送信が審査担当者によってブロックされた場合は、後で通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者には通知が届かず、メールは受信者に配信されます。
他の Google サービスによって自動的に作成されたメール
Gmail は、Google カレンダー、ドキュメント、ドライブなどの他の Google サービスや Google Workspace サービスによって作成された自動通知とメールを送信します。たとえば、Google カレンダーでイベントを作成してゲストを招待すると、イベントの詳細を含む Gmail のメールが作成され、イベントの参加者に送信されます。メールはサーバー側でスキャンされます。メールのコンテンツがいずれかのルールの条件を満たしている場合、ルールの操作が適用されます。
[メールをブロック] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールが届きます。この通知のルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- メッセージが送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールの送信が審査担当者によってブロックされた場合は、後で送信者に通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- メッセージが送信されます。
- 送信者には通知が送信されません。
スキャン対象のデータ
送信メッセージのみがスキャンされます。ルールで追加した、スキャンするコンテンツの種類の条件によって、メールのどの部分がスキャンされるかが決まります。
すべてのコンテンツ - メールの件名、宛先、From、Bcc、Cc、本文が同期的にスキャンされます。添付ファイルは非同期でスキャンされます。添付ファイルにはファイルと画像が含まれます。添付ファイルのファイル名もスキャンされます。詳しくは、このページのサポートされているファイル形式をご覧ください。
添付ファイルは常に非同期でスキャンされるため、[警告] アクションを適用する条件として使用できません。重要: [すべてのコンテンツ] オプションでは、件名、宛先、From、Bcc、Cc の 5 種類のヘッダーのみがスキャンされます。これらのヘッダーは同期スキャンにすぐに使用できます。すべてのメールヘッダーをスキャンするには、次のいずれかのオプションを使用することをおすすめします。
- OR 演算子を使用して条件を追加し、メールヘッダーをスキャンする
- メールヘッダーをスキャンするための個別のルールを作成する
メールのヘッダー - メールヘッダーの内容。ほとんどのヘッダーは非同期でスキャンされますが、件名、宛先、From、Bcc、Cc のヘッダーは非同期的にも同期的にもスキャンされます。ユーザーの利便性を損なわないよう、利用できないメール ヘッダーに除外条件(NOT 条件)を設定しないでください。メールのヘッダーがスキャンされ、機密情報がチェックされます。
本文 - メール本文は同期的にスキャンされ、添付ファイルは非同期的にスキャンされます。
件名 - 件名は同期的にスキャンされます。
分類ラベル - ユーザーが手動で適用した、または DLP ルールで自動的に適用された分類ラベル。ルールでは、条件としての [分類ラベル] と、アクションとしての [分類を適用] ラベルの両方を使用できません。
情報保護モードのステータス - メールで情報保護モードが有効になっているかどうか。この条件は、他のルール条件と組み合わせて使用することをおすすめします。たとえば、メール本文に納税者番号が含まれていて、そのメールで情報保護モードが使用されていない場合、そのメールは送信されなくなります。詳しくは、情報保護モードで Gmail のメールを保護するをご覧ください。
サポートされている添付ファイルの形式
DLP ルールでは、次の種類の添付ファイルがスキャンされます。
- ドキュメントのファイル形式 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 画像ファイル形式(OCR を有効にしている場合)- EPS、BMP、GIF、JPEG、PNG、PDF ファイル内の画像
- 圧縮ファイル形式 - BZIP、RAR、TAR、ZIP
- カスタム ファイルの形式 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
複数のアタッチメント
メールに複数の添付ファイルがある場合、いずれかの添付ファイルがルールの条件に一致すると、ルールがトリガーされます。このため、NOT 条件を含むルールで予期しない結果が生じることがあります。たとえば、「除外(SSN を含むコンテンツ)」という条件が使用されており、添付ファイルの 1 つに SSN が含まれている場合、条件が正になるためルールはトリガーされません。
DLP は他のメールルールとどのように連携しますか?
DLP ルールは、コンテンツ コンプライアンス ルールとルーティング ルールよりも前に評価されます。
DLP ルールがメールに対するブロックまたは検疫のアクションを受け付けなかった場合、メールはコンテンツ コンプライアンス ルールとルーティング ルールによって評価されます。コンテンツ コンプライアンス ルールまたはルーティング ルールで、メールの別のコピーを作成するアクション(新しい受信者の追加など)が適用された場合、DLP は送信前にメールの新しいコピーをスキャンします。
詳しくは、高度なメール コンテンツ フィルタリングに関するルールの設定をご覧ください。
Gmail DLP とグループ
このセクションでは、Gmail DLP ルールがグループとどのように連携するかについて説明します。
DLP ルールは、ルールが組織全体に設定されている場合にのみグループに適用されます。DLP ルールでは、グループに対する [拒否] アクションのみがサポートされます。グループに対する [警告] アクションと [隔離] アクションはサポートされません。
Gmail の DLP ルールを作成する
-
メニュー アイコン
[ルール] > [ルールを作成] > [データの保護] に移動します。
DLP ルールを表示および管理する権限が必要です。
- ルールの名前と、必要に応じて説明を入力します。
- [アプリ] の [Gmail] で、[送信したメール] チェックボックスをオンにします。
- (省略可)OCR が有効になっていることを確認するには、[チェック] をクリックし、[Gmail] チェックボックスをオンにして Gmail に対して OCR を有効にします。
- [続行] をクリックします。
[操作] セクションの [Gmail] で、オプションを選択します。
すべてのアクションはルールのログイベントに記録されます。
- メールをブロック - メールをすぐに送信せず、メールに機密情報の可能性があることを送信者に警告します。送信者はメールを編集して再送信できます。
- ユーザーに警告する - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信できます。または、メールを編集して再送信することも可能です。
注: 添付ファイルは常に非同期でスキャンされるため、ルールで [ユーザーに警告] アクションの条件として使用することはできません。 - メールを検疫 - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信できます。または、管理者やその他の適格なユーザーに確認してもらうために送信することも可能です。[検疫条件] メニューからオプションを選択する必要があります。
- 監査のみ - メールは送信されます。アラートは表示されません。メールはルールと照合され、管理者が後で確認できるイベントとしてログに記録されます。
- 分類ラベルを適用 - 条件に一致するメールに分類ラベルを適用します。[ラベル フィールド] メニューと [フィールド オプション] メニューからオプションを選択する必要があります。
- カスタムメモを追加 - 一致するメールにカスタム ヘッダーまたはフッターを追加します。
[この操作を適用するタイミングを選択します] で、内部メール、外部メール、またはその両方に操作を適用するかを選択します。
(省略可)カスタム アラートを作成するには、[ユーザーへのメール] で [メールをカスタマイズする] チェックボックスをオンにして、アラート テキストを入力します。アラートには、URL と最大 300 文字(URL の文字を含む)を含めることができます。カスタム メールを作成しない場合、ボックスにはデフォルトのメールが表示されます。
(省略可)報告されたメール イベントの重要度を設定するには、[アラート] で重要度レベル([低]、[中]、[高])を選択します。重大度はルールのログイベントに記録され、インシデントの調査に使用できます。
(省略可)メールイベント(このルールによってトリガーされたメール)に関するアラートを送信するには、[アラート センターに送信する] チェックボックスをオンにします。[すべての特権管理者] オプションを使用して、特権管理者にアラート通知を送信することもできます。他の受信者への別のアラート通知を入力します。
[続行] をクリックします。
[範囲] で、次のいずれかを選択します。
- ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
- 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。
[コンテンツの条件] で、[条件を追加] をクリックし、スキャンされるメールの部分を選択します。
重要: 条件を指定せずに DLP ルールを作成すると、ルールはメールのすべての部分をスキャンし、指定されたアクションを Gmail の各メールに適用します。
- すべてのコンテンツ - メールのヘッダー、件名、本文、添付ファイルをスキャンします。
- 本文 - メール本文と添付ファイルをスキャンします。
- 分類ラベル - メールに適用されている分類ラベルをスキャンします。
- 情報保護モードのステータス - メールで情報保護モードがオンになっているかどうかをスキャンします。
- メールのヘッダー - メールのヘッダーと件名をスキャンします。Google Workspace クライアントサイド暗号化(CSE)を使用してメールを送信する場合は、メールのヘッダーの内容(件名を含む)のみをスキャンできます。
- 件名 - メールの件名のみをスキャンします。
[スキャン対象] をクリックし、スキャンのオプションと属性を選択します。各フィールドの詳細については、このページの [スキャン対象] のオプションと属性についてをご覧ください。
[続行] をクリックしてルールの詳細を確認します。
ルールのステータスを選択します。
- 有効 - ルールはすぐに適用されます。
- 無効 - ルールは追加されていますが、すぐには適用されません。このオプションを使うと、ルールを確認して、他のユーザーと共有してから適用することができます。後でルールをトリガーするには、管理コンソールで [セキュリティ] [アクセスとデータ管理] [データ保護] [ルールの管理] に移動し、ステータスを [有効] に変更 [確定] をクリックします。
[作成] をクリックします。
[スキャン対象] のオプションと属性について
[スキャン対象] オプションは、スキャン対象として選択したコンテンツ タイプによって異なります。Gmail のルール条件では、次にあてはまるものをスキャンできます。
- 事前定義されたデータの種類と一致する(推奨)
- テキスト文字列を含む
- 語句を含む
- 正規表現に一致する
- 単語リスト内の単語に一致する
- 分類ラベルである
- 有効か無効か(情報保護モードのステータスのみ)
条件では AND、OR、または NOT 演算子を使用できます。条件でこれらの演算子を使用する方法の詳細については、ネストされた条件演算子を使用した DLP ルールの例をご覧ください。
| スキャン対象 | 属性 |
|---|---|
| 事前定義されたデータの種類と一致する |
データの種類 - 事前定義されたデータの種類を選択します。詳しくは、定義済みコンテンツ検出項目の使用方法をご覧ください。 可能性のしきい値 - 可能性のしきい値を選択します。指定できるしきい値は次のとおりです。
こうしたしきい値は、照合結果に対する DLP システムの信頼度を反映しています。一般的に、「最高」では、照合するコンテンツの数が少ないため、精度が高くなります。「最低」のしきい値では、より多くのファイルを対象に照合しますが、精度は低くなります。 一意に一致するテキストの最小数 - アクションがトリガーされるために、一致結果がドキュメント内に一意に出現する必要のある最小回数を入力します。 最小一致数 - アクションがトリガーされるために、任意の一致結果がドキュメント内に出現する必要のある最小回数を入力します。 「最小一致数」と「一意に一致するテキストの最低数」の仕組みたとえば、社会保障番号のリストが 2 つあると考えてください。最初のリストには 50 個の同じ番号が含まれており、2 つ目のリストには 50 個の一意の番号が含まれています。[最小一致数] の値が 10 であれば、結果は両方のリストでトリガーされます。どちらのリストでも 10 個以上の一致があるからです。一方、[一意に一致するテキストの最小数] の値が 10 で、[最小一致数] の値が 1 の場合、結果は 2 つ目のリストでのみトリガーされます。10 個の一致があり、それらはすべて一意の値に一致するからです。 |
| テキスト文字列を含む | 照合するコンテンツを入力 - 検索する部分文字列、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。部分文字列の場合、ルールに「key」という単語が含まれていて、ドキュメントに「key」という単語が含まれる場合、一致と見なされます。 |
| 語句を含む | 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。 |
| 正規表現に一致する |
正規表現の名前 - 正規表現のカスタム検出項目。 パターンが検出される最小回数 - 操作がトリガーされるために、正規表現で表されるパターンがドキュメント内に出現する必要のある最小回数を入力します。 |
| 単語リスト内の単語に一致する |
単語リストの名前 - カスタムの単語リストを選択します。 一致モード - [いずれかの単語に一致する] または [最低数の一意の単語に一致する] を選択します。 任意の単語が検出される合計回数の最小値 - アクションがトリガーされるために、任意の単語が検出される最小回数を入力します。 検出される個別の単語の最小個数 - アクションがトリガーされるために、検出される必要のある一意の単語の最小個数を入力します([最低数の一意の単語に一致する] オプションの場合のみ)。 |
セキュリティ調査ツールを使用して DLP ルールイベントを調査する
ルールのログイベントの検索を実行する
次の例では、DLP ルールをトリガーした Gmail のメールを調査するために検索を実行します。他の条件で検索したり、条件を指定せずに検索したりすることもできます。
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [セキュリティ センター] [調査ツール] に移動します。調査ツールを開くには、セキュリティ センターの管理者権限が必要です。
- [データソース] [ルールのログのイベント] をクリックします。
- [条件作成ツール] [条件を追加] [属性] [ルールの種類] をクリックします。
- [DLP] を選択します。
- [検索] をクリックします。
ページの下部にある検索結果で、イベントのリストと各イベントの詳細を確認できます。注: 機密性の高いコンテンツのスニペットは、Gmail DLP ではサポートされていません。そのため、DLP ルールをトリガーした機密コンテンツがメールに含まれていても、[デリケートなコンテンツが含まれている] 列には False と表示されます。
- [リソース ID] 列までスクロールし、メニュー アイコン
をクリックして、[Gmail のログイベント] と [メール ID] を表示します。 - [検索] をクリックして、[Gmail のログイベント] がデータソースの新しい検索ページを開きます。
- 詳細を表示するには、検索結果でいずれかの行の [メール ID] をクリックします。調査の詳細を示すサイドパネルが表示されます。
- プロンプトが表示されたら、Gmail コンテンツを閲覧するビジネス上の理由を入力し、[確認] をクリックします。
BigQuery を使用して DLP 違反をエクスポートする
ルールのログイベントに記録された DLP 違反をカスタム テーブルにエクスポートして、さらに詳しく調査できます。詳しくは、サービスログの BigQuery への書き出しを設定するをご覧ください。
フィードバックをお寄せください
管理コンソールのデータ保護ページで、[フィードバックを送信] をクリックします。