この機能を使用するには、Chrome Enterprise Premium アドオンが必要です。
データ保護ルールを備えた Chrome Enterprise Premium を使用すると、Chrome ブラウザと Windows、Mac、Linux、ChromeOS デバイスでのユーザーの操作をモニタリングできます。Chrome でデータ損失防止(DLP)を使用すると、ファイル内の最大 10 MB のテキスト コンテンツをスキャンして、開く、アップロード、ダウンロード、貼り付け、転送が行われたデータを自動的に検出できます。Chrome Enterprise Premium でデータ保護ルールを使用すると、社会保障番号やクレジット カード番号などの機密情報を管理できます。
始める前に
- Chrome Enterprise Connectors ポリシーを設定します。手順については、Chrome Enterprise Premium 向け Chrome Enterprise Connectors ポリシーを設定するをご覧ください。
- ルールの範囲をユーザーが作成したグループに制限する場合は、関連するすべてのユーザーとブラウザをグループに追加します。たとえば、Chrome ブラウザにルールを適用する場合は、ブラウザをターゲット グループに追加します。詳しくは、 ルールの範囲として選択できるグループの種類 とグループベースのポリシーを管理するをご覧ください。
トリガーについて
ルールで検索するコンテンツを定義する前に、スキャン プロセスを開始するトリガー を指定します。選択したトリガー によって、ルールで使用できる [スキャンするコンテンツの種類] のオプションが決まります。
次のいずれかを選択できます。
- ファイルをアップロードしました - ユーザーが Chrome ブラウザでデバイスからファイルをアップロードします。
- ファイルをダウンロードしました - ユーザーがファイルをデバイスにダウンロードします。
- コンテンツを貼り付けました - ユーザーがウェブページにコンテンツを貼り付けます。
- コンテンツを印刷しました - ユーザーがウェブページのコンテンツを印刷します。
- URL にアクセスしました - ユーザーが URL にアクセスします。
DLP のアクションについて
デリケートなコンテンツが検出された場合、ルールで次の表のアクションを適用できます。| アクション(Chrome ブラウザと ChromeOS の場合) | 説明 | オプションの設定 |
|---|---|---|
| ブロック | ユーザーがファイルのアップロードなどの操作を完了できないようにします。ユーザーにエラー メッセージまたはカスタム メッセージが表示されます。 | メッセージをカスタマイズする: アクションがブロックされた理由を説明するカスタム メッセージ(最大 300 文字、ハイパーリンクをサポート)をユーザーに表示します。 |
| 許可して警告を表示 | 警告メッセージの後にユーザーが続行できるようにします。ユーザーが続行を選択した場合、その選択はログイベントに記録されます。 |
メッセージをカスタマイズする: カスタム警告メッセージを表示します。 ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
| 監査のみ | ユーザーは中断することなく続行でき、イベントはレビュー用に記録されます。 |
ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
重要: [ファイルをアップロードしました] トリガーと [コンテンツを貼り付けました] トリガーでは、ブロックの動作は Chrome Enterprise Connectors ポリシーの [ファイルのアップロードを遅らせる] と [テキストの入力を遅らせる] の設定によって異なります。詳しくは、アップロード コンテンツの分析 と テキスト コンテンツの一括 分析をご覧ください。
DLP の条件について
データ保護ルールを作成するときに、スキャンするコンテンツまたはアクティビティを定義する条件 を指定できます。事前定義済みのデータ型を使用できます。独自のカスタム コンテンツ検出項目を作成することもできます。AND、OR、NOT 演算子を使用して複数の条件を組み合わせることもできます。
詳しくは、定義済みコンテンツ検出項目の使用方法、カスタム検出項目を作成する、ネストされた条件演算子を使用した DLP ルールの例をご覧ください。
[**スキャンするコンテンツの種類**] で選択できるオプションは、スキャンを開始するために選択したトリガー によって異なります。オプションには、[**ファイルをアップロードしました**]、[**ファイルを ダウンロードしました**]、[**コンテンツを貼り付けました**]、[**コンテンツを印刷しました**]、[**URL にアクセスしました**] などが あります。
| スキャンするコンテンツの種類 | スキャン対象 | 詳細と使用方法 |
|---|---|---|
| すべてのコンテンツ |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
すべてのコンテンツをスキャンして、次のいずれかに一致する機密情報を検出します。
|
| 本文 |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む 正規表現に一致する 単語リスト内の単語に一致する |
ウェブページまたはファイルのメイン テキスト コンテンツ(本文)をスキャンします。 |
| ファイルサイズ |
等しい 次より大きい 以下 |
比較に基づいてルールをトリガーするファイルサイズのしきい値(バイト単位)を設定します。 |
| ファイル形式 |
一般的な MIME タイプと一致 カスタム MIME タイプと一致 システム ファイルのカテゴリと一致 |
スキャン対象を、画像や実行可能ファイルなどの事前定義されたファイル カテゴリまたは特定の MIME タイプでフィルタします。詳しくは、ファイル カテゴリ別の MIME タイプをご覧ください。 |
| 取得元の Chrome のコンテキスト | Chrome ブラウザに関連する特定の属性 | 内部の Chrome 属性をスキャンして、ブラウザの環境または状態を定義します。このルールは、コンテキストが シークレット モード 、クリップボード 、その他のプロファイル のいずれかの値の場合に適用されます。 |
| 移行元の URL |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
コンテンツの送信元 URL をスキャンし、特定のテキスト、カスタムリストの単語、パターンが含まれているかをチェックします。 |
| 取得元の URL のカテゴリ |
カテゴリを選択 |
トリガー(「コンテンツを貼り付けました」など)と連携して、送信元 URL がソーシャル ネットワークやニュースなどの定義済みカテゴリに属するかどうかを確認します。 |
| タイトル |
事前定義されたデータの種類と一致する テキスト文字列を含む 語句を含む で終わる 正規表現に一致する 単語リスト内の単語に一致する で始まる |
アクションに関連するウェブページまたはドキュメントのタイトルをスキャンします。 |
| URL |
テキスト文字列を含む で終わる URL リストの URL と一致 正規表現に一致する 単語リスト内の単語に一致する で始まる |
アクションに関連する URL をスキャンします。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
| URL のカテゴリ | カテゴリを選択 | アクションに関連する URL が、ソーシャル ネットワーク、ゲーム、ギャンブルなどの定義済みカテゴリに属するかどうかを確認します。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
| ウェブアプリにログインしているアカウント |
ドメイン名と一致 次のメールアドレスと一致 次のメールアドレスの正規表現に一致 |
トリガーの発生時に、ウェブアプリ(Gmail やドライブなど)にアクティブにログインしていたユーザー アカウントをスキャンします。この条件は、[貼り付け]、[アクセスした URL]、[ファイルのダウンロード]、[ファイルのアップロード]、[印刷] の各イベントによってトリガーされるルールに適用されます。現在は、個人用アカウントと管理対象の Google アカウントのみがサポートされています。 |
| ソースのウェブアプリにログインしているアカウント |
ドメイン名と一致 次のメールアドレスと一致 次のメールアドレスの正規表現に一致 |
コンテンツのソースが含まれるウェブアプリ(ユーザーがコンテンツをコピーしたアプリ)にログインしているユーザー アカウントをスキャンします。この条件は、コンテンツ貼り付けイベントによってトリガーされるルールにのみ適用されます。現在は、個人用アカウントと管理対象の Google アカウントのみがサポートされています。 |
注: [アクセスした URL] トリガーは、埋め込み iframe 内の URL や対応するカテゴリをスキャンしません。
データのリージョンを選択する
DLP とマルウェア スキャンは、特定のリージョン(米国やヨーロッパなど)に保存できます。多くのコンプライアンス契約で要件となっているデータ所在地を実現するために、リージョンを選択できます。詳しくは、 データの地理的なリージョンを選択する をご覧ください。
ルールの作成
ルールの動作を決定したら、ルールを作成します。詳しくは、データ保護ルールの作成をご覧ください。一般的なユースケース
次の表に、トリガー(ユーザーの操作)、条件(チェックされる内容)、特定のアクション(実行内容)を組み合わせて DLP ポリシーを定義する方法の例を示します。この表を使用するには、次の操作を行う必要があります。
- トリガーを選択する。
- 条件値を対応するオプションにマッピングする。
- アクションを選択する。
変更が反映されるまでに最長で 24 時間ほどかかることがありますが、通常はこれより短い時間で完了します。詳細
| ユースケース | ユーザー イベント | 条件 | アクション |
| Google ドライブからのファイルのダウンロードをブロックする | ファイルをダウンロードしました |
コンテンツの種類: URL* 一致: テキスト文字列を含む 値: drive.google.com |
ブロック |
| ダウンロードしたファイルに 30 個を超えるメールアドレスが含まれている場合にユーザーに警告する | ファイルをダウンロードしました |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 海外 - メールアドレス、中程度の可能性、一意に一致するテキストの最小数: 30 |
許可して警告を表示 |
| ソーシャル メディア サイトへのファイルのアップロードをブロックする | ファイルのアップロード |
コンテンツの種類: URL カテゴリ 一致: カテゴリを選択します 値: ソーシャル ネットワーク |
ブロック |
| 10 KB を超える画像ファイルのダウンロードをブロックする | ファイルをダウンロードしました |
条件 1: ファイルサイズ 一致: 次より大きい 値: 10,000 バイト AND 条件 2: ファイル形式 一致: システム ファイルのカテゴリと一致 値: 画像 |
ブロック |
| ChromeOS のファイルで米国の社会保障番号が転送されたインスタンスをログに記録する | ファイル転送 |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 米国 - 社会保障番号、可能性: 中、一意に一致するテキストの最小数: 1、最小一致数: 1 |
監査のみ |
| Gmail(mail.google.com)からコピーしたコンテンツのユーザーによる貼り付けをブロックする | コンテンツを貼り付けました |
コンテンツの種類: ソース URL* 一致: テキスト文字列を含む 値: mail.google.com |
ブロック |
| ユーザーが指定された機密性の高いウェブサイトにアクセスしたときに、透かしを適用する、またはスクリーンショットを制限する | アクセスした URL |
コンテンツの種類: URL* または URL のカテゴリ 一致: 適切な一致を選択します 値: 特定のセンシティブな URL またはカテゴリ |
許可して警告を表示 / 監査のみ ([透かしを追加] および/または [スクリーンショットを制限] が選択されている場合) |
| 個人用 Google ドライブ アカウントへのファイルのアップロードをブロックする | ファイルをアップロードしました |
条件 1: 一致: テキスト文字列を含む 値: drive.google.com AND 条件 2: 一致: ドメイン名と一致しない 値: your-organization-domain-name.com |
ブロック |
*フィルタした URL に最近アクセスしていた場合、その URL は数分間キャッシュに保存されます。そのため、キャッシュが削除されるまでは、新しいルール(または変更されたルール)で正常にフィルタされないことがあります。5 分ほど待ってから、新しいルールまたは変更後のルールをテストします。
アラートを確認、モニタリング、調査する
データ保護ルールを作成した後、Chrome ブラウザでのデータのアップロードやダウンロード、コピーして貼り付けなどのユーザー操作を確認できます。次の手順を行います。
- セキュリティ ダッシュボードでレポートを表示 します。Chrome Enterprise Premium に関連するレポートには、次のものがあります。
- Chrome の脅威対策に関する概要レポート
- Chrome のデータ保護に関する概要レポート
- リスクの高い Chrome ユーザー レポート
- リスクの高い Chrome ドメイン レポート
- 詳しくは、セキュリティ ダッシュボードを使用するをご覧ください。
- セキュリティ調査ツールを使用して、データ共有のインシデントを示すアラートを調査 します。詳しくは、セキュリティ調査 ツールについてをご確認ください。
- ルールのログのイベントでインシデントの詳細を表示 します。
- ルール違反を調査 して、実際のインシデントか誤検出かを判断します。詳しくは、DLP ルールをトリガーするコンテンツを表示するをご覧ください。