データ マスキングを使用して Chrome の DLP を強化する

データ マスキングは、Chrome Enterprise Premium を購入されたお客様のみご利用いただけます。Chrome Enterprise Premium でのデータ損失防止(DLP)統合について詳しくは、Chrome Enterprise Premium を使用して DLP を Chrome と統合するをご覧ください。

管理者は、Chrome の DLP ルールでデータ マスキングを使用して、元の文字や数字を非表示にすることで機密情報を保護できます。

データ マスキングについて

データ マスキングは、Chrome の DLP URL ナビゲーション ルールと連携して、機密データの文字や数字を非表示(マスキング)にします。たとえば、管理対象外のデバイスが特定の URL にアクセスした場合、社会保障番号を「REDACTED」という単語に置き換えることができます。データ マスキングは、スクリーンショット保護や透かしなどのカスタマイズされた DLP ルールと連携して機能します。

始める前に

データ マスキング ルールを設定するには、特権管理者アカウントまたは管理者アカウントに次の権限があることを確認します。

  • 組織部門
  • グループ
  • DLP ルールの表示
  • DLP ルールの管理
  • メタデータと属性の表示

詳しくは、管理者権限カスタム管理者ロールの作成に関する記事をご確認ください。

データ マスキングの使用

Secure Enterprise Browser 拡張機能をインストールする

Chrome で URL ナビゲーション ルールを使用してデータをマスキングするには、エンドユーザーのデバイスまたはプロファイルに Secure Enterprise Browser 拡張機能をインストールする必要があります。

この拡張機能をインストールするには:

  1. 管理コンソールで、[Chrome ブラウザ] 次に [アプリと拡張機能] に移動し、[ユーザーとブラウザ] タブを選択します。
  2. [アプリと拡張機能] で、組織部門、グループ、ユーザー、ブラウザを選択します。
  3. 追加アイコン 次に 「Chrome アプリや拡張機能を ID で追加」アイコン をクリックします。
  4. 開いたパネルの [拡張機能 ID] に「ekajlcmdfcigmdbphhifahdfjbkciflj」と入力し、[Chrome ウェブストアから] を選択します。ekajlcmdfcigmdbphhifahdfjbkciflj
  5. [保存] をクリックします。

    [ユーザーとブラウザ] タブに、Secure Enterprise Browser アプリが表示されます。

  6. (省略可)[アプリリスト] で、設定するアプリをクリックします。
    • [インストール ポリシー] で、次のいずれかを選択します。
      • 自動インストールする
      • 自動インストールしてブラウザのツールバーに固定する

    自動インストール ポリシーが選択されていない場合、ユーザーは Secure Enterprise Browser 拡張機能を手動でインストールする必要があります。

例: データ マスキング ルールを使用したマスキング

データ マスキング ルールは、他の DLP URL ナビゲーション ルールと同じ方法で定義できます(その他の例については、Chrome Enterprise Premium を使用して DLP を Chrome と統合するをご覧ください)。

この例は、生成 AI ウェブサイトへの移動を報告し、社会保障番号(生成 AI ツールへの入出力を含む)を秘匿するデータ マスキング ルールを作成する方法を示しています。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [データ保護ルールと検出項目] セクションで、[ルールを管理] 次に [ルールを追加] 次に [新しいルール] をクリックします。
  3. ルールの名前と、必要に応じて説明を入力します。
  4. [アプリ] セクションの [Chrome] で、[アクセスした URL] チェックボックスをオンにします。
  5. [続行] をクリックします。
  6. [操作] の [Chrome] で、[監査のみ] を選択します。ユーザーは URL に移動できますが、この操作は Chrome ログに記録されます。
  7. [ページ上の機密テキストをマスキングする] を選択します。
  8. [マスク方法] セクションで、[テキストを部分的にぼかす] を選択します。
  9. [正規表現を選択] をクリックし、[定義済み正規表現/社会保障番号] を選択します。
  10. [続行] をクリックします。
  11. [範囲] で、次のいずれかを選択します。
    • ルールを組織全体に適用するには、[domain.name 内のすべてdomain.name] を選択します。
    • 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。

    含めるか除外するかの指定において組織部門とグループとの間で競合が発生する場合は、グループが優先されます。

  12. [コンテンツの条件] で、[条件を追加] をクリックします。
  13. [スキャンするコンテンツの種類] で [URL のカテゴリ] を選択します。
  14. [カテゴリを選択] で、[インターネットとテクノロジー/生成 AI] を選択します。
  15. [続行] をクリックします。
  16. [ルールの詳細] ページで、ルールのステータスを選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在しますが、すぐには適用されません。このステータスでは、ルールを適用する前にその内容を確認したりユーザーと共有したりできます。[データ保護ルール] ページに移動して、ステータスを [有効] に変更することでルールを有効にすることができます。
  17. [作成] をクリックします。

: DLP データ マスキング ルールは iframe をサポートしていません。次の例のように、Secure Enterprise Browser 拡張機能を使用してマスキングする際にポリシーを指定することで、iframe をターゲットにできます。

例: Secure Enterprise Browser 拡張機能の設定を使用したマスキング

マスキングは、JSON 構文を使用して Secure Enterprise Browser で設定することもできます。この例では、生成 AI ウェブサイトへの移動を報告し、社会保障番号(生成 AI ツールへの入出力を含む)を秘匿するデータ マスキング ルールを作成する方法を示しています。

  1. 管理コンソールで、[Chrome ブラウザ] 次に [アプリと拡張機能] に移動し、[ユーザーとブラウザ] タブを選択します。
  2. [アプリと拡張機能] で、組織部門を選択します。
  3. アプリの一覧で、[Secure Enterprise Browser] を選択します。
  4. [拡張機能のポリシー] で、次の形式で設定を指定します。
    • すべての iframe をキャプチャするには、オリジン URL(例: https://originUrl.com/*")が必要です。
    • 次のいずれかの値(email、ssn、date、time、common-currency-amount、common-currency-amount-suffix、ip-address、cc-number、4-digit-cc-number、payment-statement-link、intl-phone-number)を使用して、定義済み検出項目を作成します。
    • 独自の名前(上記の定義済み検出項目の名前のいずれでもない)を使用して、パターンを指定することで、カスタム正規表現を作成します。

    下記の展開可能な例のテンプレートをご覧ください。

展開可能な例のテンプレート

{
  "dataMasking": {
    "Value": {
      "rules": [
        {
          "name": "DLP Test Light-Obfuscation",
          "urls": [
            "https://dlptest.com/sample-data/namessndob/",
            "https://dlptest.com/*"
          ],
          "detectors": [
            {
              "name": "ssn",
              "maskType": "LIGHT_OBFUSCATION"
            },
            {
              "name": "date",
              "maskType": "HARD_OBFUSCATION"
            },
            {
              "name": "Custom regex to redact ip address",
              "maskType": "REDACT",
              "regex": {
                "pattern": "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
              }
            }
          ]
        }
      ]
    }
  }
}

地域表現の検出項目を作成する

データ マスキング ルールで定義済みリージョン表現を使用することも、独自の地域表現の検出項目を作成して使用し、そのリージョン表現に一致するコンテンツをマスキングすることもできます。

地域表現の検出項目を作成するには:

: RE2 構文のみがサポートされています。正規表現では、デフォルトで大文字と小文字が区別されます。

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [データ保護ルールと検出項目] セクションで、[検出項目を管理] をクリックします。
  3. [検出項目を追加] 次に [正規表現] をクリックします。
  4. [正規表現を追加] ボックスに、検出項目の名前と、必要に応じて説明を入力します。
  5. RE2 構文を使用して正規表現を入力します。詳しくは、正規表現の例をご覧ください。
    • 正規表現では、デフォルトで大文字と小文字が区別されます。
    • |(OR)演算子を使用して、複数の地域表現パターンを組み合わせることができます。これにより、さまざまな種類の機密情報を検出してマスキングできる単一のルールを作成できます。たとえば、正規表現を組み合わせる一般的な形式は次のとおりです: (regex1)|(regex2)|(regex3)|..
  6. 正規表現を確認するには、[正規表現をテスト] をクリックします。
  7. [作成] をクリックします。

データ マスキング条件を選択するときに、カスタム検出項目を使用できます。