この機能を使用するには、Chrome Enterprise Premium アドオンが必要です。
データ損失防止(DLP)ルールを備えた Chrome Enterprise Premium を使用すると、Chrome ブラウザと Windows、Mac、Linux、ChromeOS デバイスでのユーザーの操作をモニタリングできます。ファイル内の最大 10 MB のテキスト コンテンツをスキャンして、開く、アップロード、ダウンロード、貼り付け、転送が行われたデータを自動的に検出できます。Chrome Enterprise Premium で DLP ルールを使用すると、社会保障番号やクレジット カード番号などの機密情報を管理できます。
このページの内容
- 始める前に
- ユーザー イベント(トリガー)について
- DLP の条件について
- DLP のアクションについて
- データのリージョンを選択する
- OCR を有効にする
- DLP ルールを作成する
- 一般的なユースケース
- アラートを確認、モニタリング、調査する
始める前に
Chrome Enterprise Connectors ポリシーを設定します。手順については、Chrome Enterprise Premium 向け Chrome Enterprise Connectors ポリシーを設定するをご覧ください。
ユーザー イベント(トリガー)について
ルールで検索するコンテンツやコンテキストを定義する前に、スキャン プロセスを開始するユーザー イベントを指定する必要があります。このイベントが、ルール全体のトリガーになります。選択したイベントによって、ルールで使用できる [スキャンするコンテンツの種類] のオプションが決まります。
次のいずれかのユーザー イベントを選択できます。
- ファイルをアップロードしました - ユーザーが Chrome ブラウザでデバイスからファイルをアップロードします。
- ファイルをダウンロードしました - ユーザーがファイルをデバイスにダウンロードします。
- コンテンツを貼り付けました - ユーザーがウェブページにコンテンツを貼り付けます。
- コンテンツを印刷しました - ユーザーがウェブページのコンテンツを印刷します。
- URL にアクセスしました - ユーザーが URL にアクセスします。
DLP の条件について
DLP ルールを作成するときに、スキャンするコンテンツまたはアクティビティを定義する条件を指定します。複数の条件を組み合わせて、特定のルールを作成できます。
[スキャンするコンテンツの種類] で選択できるオプションは、スキャンを開始するために選択したユーザー イベントによって異なります。オプションには、[ファイルをアップロードしました]、[ファイルをダウンロードしました]、[コンテンツを貼り付けました]、[コンテンツを印刷しました]、[URL にアクセスしました] などがあります。
| スキャンするコンテンツの種類 | スキャン対象 | 詳細と使用方法 |
|---|---|---|
| すべてのコンテンツ | 事前定義されたデータの種類と一致する | すべてのコンテンツをスキャンして、海外 - メールアドレスや米国 - 社会保障番号などの事前定義されたデータ型に一致する機密情報を検出します。一意または合計の一致の可能性のしきい値と最小値を設定できます。 |
| 本文 |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
ウェブページまたはファイルのメイン テキスト コンテンツ(本文)をスキャンして、特定のテキスト、カスタムリストの単語、正規表現で定義されたパターンをチェックします。 |
| ファイルサイズ |
Is greater than Is less than Is equal to |
比較に基づいてルールをトリガーするファイルサイズのしきい値(バイト単位)を設定します。 |
| ファイル形式 |
システム ファイルのカテゴリと一致 特定の MIME タイプと一致 |
スキャン対象を、画像や実行可能ファイルなどの事前定義されたファイル カテゴリまたは特定の MIME タイプでフィルタします。詳しくは、ファイル カテゴリ別の MIME タイプをご覧ください。 |
| 取得元の Chrome のコンテキスト | Chrome ブラウザに関連する特定の属性 | 内部の Chrome 属性をスキャンして、ブラウザの環境または状態を定義します。このルールは、コンテキストが シークレット モード、クリップボード、その他のプロファイルのいずれかの値の場合に適用されます。 |
| ソース URL |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
コンテンツの送信元 URL をスキャンし、特定のテキスト、カスタムリストの単語、パターンが含まれているかをチェックします。 |
| ウェブアプリにログインしているアカウント |
ドメイン名と一致 次のメールアドレスと一致 次のメールアドレスの正規表現に一致 |
イベントの発生時に、Google ウェブアプリ(Gmail やドライブなど)にアクティブにログインしていたユーザー アカウントをスキャンします。この条件は、貼り付け、アクセスした URL、ファイルのダウンロード、ファイルのアップロード、印刷の各イベントによってトリガーされるルールに適用されます。現在は、個人用アカウントと管理対象の Google アカウントのみがサポートされています。 |
| ソースのウェブアプリにログインしているアカウント |
ドメイン名と一致 次のメールアドレスと一致 次のメールアドレスの正規表現に一致 |
コンテンツのソースが含まれる Google ウェブアプリ(ユーザーがコンテンツをコピーしたアプリ)にログインしているユーザー アカウントをスキャンします。この条件は、コンテンツ貼り付けイベントによってトリガーされるルールにのみ適用されます。現在は、個人用アカウントと管理対象の Google アカウントのみがサポートされています。 |
| 取得元の URL のカテゴリ |
カテゴリの選択 |
ユーザー イベント(「コンテンツを貼り付けました」など)と連携して、送信元 URL がソーシャル ネットワークやニュースなどの定義済みカテゴリに属するかどうかを確認します。 |
| タイトル |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
アクションに関連するウェブページまたはドキュメントのタイトルをスキャンして、特定のテキスト、カスタムリストの単語、パターンをチェックします。 |
| URL |
テキスト文字列を含む 単語リスト内の単語に一致する 正規表現に一致する |
アクションに関連する URL をスキャンして、特定のテキスト、カスタムリストの単語、パターンをチェックします。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
| URL のカテゴリ | カテゴリの選択 | アクションに関連する URL が、ソーシャル ネットワーク、ゲーム、ギャンブルなどの定義済みカテゴリに属するかどうかを確認します。このスキャンには、埋め込まれた iframe 内で読み込まれたコンテンツの URL が含まれます。 |
注: [アクセスした URL] トリガーは、埋め込み iframe 内の URL や対応するカテゴリをスキャンしません。
DLP アクションについて
条件が満たされた場合、ルールで次のいずれかのアクションを適用できます。
| アクション(Chrome ブラウザと ChromeOS の場合) | 説明 | オプションの設定 |
|---|---|---|
| ブロック | ユーザーがファイルのアップロードなどの操作を完了できないようにします。ユーザーにエラー メッセージまたはカスタム メッセージが表示されます。 | メッセージをカスタマイズする: アクションがブロックされた理由を説明するカスタム メッセージ(最大 300 文字、ハイパーリンクをサポート)をユーザーに表示します。 |
| 許可して警告を表示 | 警告メッセージの後にユーザーが続行できるようにします。ユーザーが続行を選択した場合、その選択はログイベントに記録されます。 |
メッセージをカスタマイズする: カスタム警告メッセージを表示します。 ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
| 監査のみ | ユーザーは中断することなく続行でき、イベントはレビュー用に記録されます。 |
ページのコンテンツに透かしを追加する: URL にアクセスしたアクションについて、半透明の透かしと「Confidential」というテキストまたはカスタム メッセージをウェブページに重ねて表示します。 スクリーンショットと画面共有のコンテンツを制限する: Mac と Windows で URL にアクセスしたアクションについて、関連するページでスクリーンショットと画面共有をブロックします。スクリーンショットでコンテンツが黒く塗りつぶされる(Windows)か、表示されなくなります(Mac)。 |
重要: [ファイルをアップロードしました] と [コンテンツを貼り付けました] のユーザー イベントでは、ブロックの動作は Chrome Enterprise Connectors ポリシーの [ファイルのアップロードを遅らせる] と [テキストの入力を遅らせる] の設定によって異なります。詳しくは、アップロード コンテンツの分析とテキスト コンテンツの一括分析をご覧ください。
データのリージョンを選択する
DLP とマルウェア スキャンは、特定のリージョン(米国やヨーロッパなど)に保存できます。多くのコンプライアンス契約で要件となっているデータ所在地を実現するために、リージョンを選択できます。詳しくは、データの地理的なリージョンを選択するをご覧ください。
OCR をオンにする
Chrome でファイルや PDF 内の画像に機密コンテンツが含まれていないかどうかをスキャンするには、光学式文字認識(OCR)をオンにする必要があります。OCR は、アップロード、ダウンロード、印刷された BMP、GIF、JPEG、PNG、TIF ファイルをスキャンします。OCR をオンにすると、すべての DLP ルールに適用されます。特定のルールに個別に OCR を適用することはできません。
OCR をオンにするには:
-
Google 管理コンソールで、メニュー アイコン
[セキュリティ] [アクセスとデータ管理] [データの保護] にアクセスします。DLP ルールを表示および管理する管理者権限が必要です。
- [データ保護の設定] に移動し、[光学式文字認識(OCR)] をクリックします。
- [Google Chrome の場合] をオンにします。
- [保存] をクリックします。
DLP ルールを作成する
OCR を有効にして、ルールの条件とアクションを決定したら、DLP ルールを作成します。詳細については、DLP ルールを作成するをご覧ください。
一般的なユースケース
次の表に、ユーザー イベント(トリガー)、条件(チェックされる内容)、特定のアクション(適用対象)を組み合わせて DLP ポリシーを定義する方法の例を示します。この表を使用するには、次の操作を行う必要があります。
- ユーザー イベントを選択します。
- 条件値を対応するオプションにマッピングする。
- アクションを選択します。
| ユースケース | ユーザー イベント | 条件 | アクション |
| Google ドライブからのファイルのダウンロードをブロックする | ファイルがダウンロードされた |
コンテンツの種類: URL* 一致: テキスト文字列を含む 値: drive.google.com |
ブロック |
| ダウンロードしたファイルに 30 個を超えるメールアドレスが含まれている場合にユーザーに警告する | ファイルがダウンロードされた |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 海外 - メールアドレス、中程度の可能性、一意に一致するテキストの最小数: 30 |
許可して警告を表示 |
| ソーシャル メディア サイトへのファイルのアップロードをブロックする | ファイルのアップロード |
コンテンツの種類: URL カテゴリ 一致: カテゴリを選択します 値: ソーシャル ネットワーク |
ブロック |
| 10 KB を超える画像ファイルのダウンロードをブロックする | ファイルがダウンロードされた |
条件 1: ファイルサイズ 一致: 次より大きい 値: 10,000 バイト さらに 条件 2: ファイル形式 一致: システム ファイルのカテゴリと一致 値: 画像 |
ブロック |
| ChromeOS のファイルで米国の社会保障番号が転送されたインスタンスをログに記録する | ファイル転送 |
コンテンツの種類: すべてのコンテンツ 一致: 事前定義されたデータの種類と一致する 設定: データの種類: 米国 - 社会保障番号、可能性: 中、一意に一致するテキストの最小数: 1、最小一致数: 1 |
監査のみ |
| Gmail(mail.google.com)からコピーしたコンテンツのユーザーによる貼り付けをブロックする | コンテンツを貼り付けました |
コンテンツの種類: ソース URL* 一致: テキスト文字列を含む 値: mail.google.com |
ブロック |
| ユーザーが指定された機密性の高いウェブサイトにアクセスしたときに、透かしを適用する、またはスクリーンショットを制限する | アクセスした URL |
コンテンツの種類: URL* または URL のカテゴリ 一致: 適切な一致を選択します 値: 特定のセンシティブな URL またはカテゴリ |
許可して警告を表示 / 監査のみ([透かしを追加] および/または [スクリーンショットを制限] が選択されている場合) |
| 個人の Google ドライブ アカウントへのファイルのアップロードをブロックする | ファイルがアップロードされました |
条件 1: 一致: テキスト文字列を含む 値: drive.google.com さらに 条件 2: 一致: ドメイン名と一致しない 値: your-organization-domain-name.com |
ブロック |
*フィルタした URL に最近アクセスしていた場合、その URL は数分間キャッシュに保存されます。そのため、キャッシュが削除されるまでは、新しいルール(または変更されたルール)で正常にフィルタされないことがあります。5 分ほど待ってから、新しいルールまたは変更後のルールをテストします。
アラートを確認、モニタリング、調査する
DLP ルールを作成した後、Chrome ブラウザでのデータのアップロードやダウンロード、コピーして貼り付けなどのユーザー操作を確認できます。パートナー オペレーション担当者の確認後、次の処理に進むことができます。
- セキュリティ ダッシュボードでレポートを表示します。Chrome Enterprise Premium に関連するレポートには、次のものがあります。
- Chrome の脅威対策に関する概要レポート
- Chrome のデータ保護に関する概要レポート
- リスクの高い Chrome ユーザー レポート
- リスクの高い Chrome ドメイン レポート
- 詳しくは、セキュリティ ダッシュボードを使用するをご覧ください。
- セキュリティ調査ツールを使用して、データ共有のインシデントを示すアラートを調査します。詳しくは、セキュリティ調査ツールについてをご確認ください。
- ルールのログのイベントでインシデントの詳細を表示します。
- DLP ルール違反を調査して、実際のインシデントか誤検出かを判断します。詳しくは、DLP ルールをトリガーするコンテンツを表示するをご覧ください。