DLP ルールをトリガーするコンテンツを表示する

この機能に対応しているエディション: Frontline Standard、Frontline Plus、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Education Plus、Enterprise Essentials Plus、Chrome Enterprise Premium。エディションを比較する

Google Workspace ライセンスも保有する Cloud Identity Premium ユーザーは、ドライブ、Gmail DLP、Chat の DLP を利用できます。ドライブの DLP の場合、ライセンスにドライブのログイベントが含まれている必要があります。

管理者は、データ損失防止(DLP)スニペットを使用して、DLP ルール違反が実際のインシデントか誤検出かを調査できます。DLP スニペットは、ルールに違反するコンテンツをキャプチャします。スニペットは、セキュリティ調査ツールと監査と調査のページで確認できます。

このページの内容

調査ツールでスニペットにアクセスする

調査ツールでスニペットにアクセスするには:

始める前に

デリケートなコンテンツの保存をオンにするには:

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [アクセスとデータ管理] 次に [データの保護] にアクセスします。

    DLP ルールを表示および管理する管理者権限が必要です。

  2. [デリケートなコンテンツの保存] で、状態を [オン] に変更します。
  3. [保存] をクリックします。

デリケートなコンテンツの保存を無効にすると、DLP スニペットはログに記録されなくなります。

DLP スニペットについて

DLP スニペットには、DLP ルールのコンテンツ条件に一致する、DLP ルールによってフラグが付けられたコンテンツが含まれます。たとえば、次のようになります。

  • スキャンしたファイルの内容
  • 再利用可能なコンテンツ検出項目
  • キーワードと単語リスト
  • 正規表現
  • 定義済みコンテンツ検出項目

ログ内の DLP スニペットは 180 日間確認できます。この期間中にソース コンテンツが削除または変更されても、スニペットは削除されません。DLP スニペットは、DLP ルールで検出された一致するコンテンツと周囲のテキスト(両側に最大 100 文字(Unicode))をキャプチャし、DLP スキャンのコンテキストを提供します。

DLP スニペットの制限事項

  • 500 文字(Unicode)を超えるスニペット コンテンツは切り捨てられます。
  • DLP ルールのログイベント データの場合、スニペット パラメータの合計サイズは 50 KB に制限されています。スニペット インスタンスは、全体のサイズが 50 KB 未満になるまで削除されます。
  • Google Chat では、オフレコのメッセージ(チャットの履歴が無効)や、組織外のユーザーがオーナーになっているスペースに送信された会話のスニペットは収集されません。
  • Google ドライブから抽出された DLP スキャンされたコンテンツやスニペットは、ドキュメントの元のソース コンテンツと異なる場合があります。

手順 1: 調査を開始する

方法 1: 調査ツールでデリケートなコンテンツのスニペットを表示する

  1. Google 管理コンソールで、メニュー アイコン 次に [セキュリティ] 次に [セキュリティ センター] 次に [調査ツール] に移動します。

    調査ツールを開くには、セキュリティ センターの管理者権限が必要です。

  2. [データソース] をクリックし、[ルールのログのイベント] を選択します。
  3. [条件を追加] をクリックします。
  4. [属性] メニューから [ルールの種類] を選択し、演算子が [次に一致](デフォルトのオプション)に設定されていることを確認します。
  5. [ルールの種類] メニューから [DLP] を選択します。
  6. [検索] をクリックします。

方法 2: 監査と調査のページでデリケートなコンテンツのスニペットを表示する

  1. Google 管理コンソールで、メニュー アイコン 次に [レポート] 次に [監査と調査] 次に [ルールのログイベント] に移動します。

    アクセスするには、監査と調査の管理者権限が必要です。

  2. [フィルタを追加] 次に [ルールの種類] をクリックします。
  3. [ルールの種類] ボックスで [次に一致] 次に [DLP] を選択し、[適用] をクリックします。
  4. [検索] をクリックします。

ステップ 2: デリケートなコンテンツを表示する

  1. 検索結果の [デリケートなコンテンツが含まれている] 列で True を探します。
  2. [説明] 列のテキストをクリックして、[ログの詳細] パネルを開きます。
  3. [デリケートなコンテンツを表示] をクリックします。
  4. 必要に応じて、デリケートなコンテンツを確認する必要がある理由を入力 次に [確認] をクリックします。

パネルが更新され、調査中のルールによってスニペットがトリガーされたスニペットのある [デリケートなコンテンツのスニペット] 行が更新されます。

ステップ 3: デリケートなコンテンツを確認する

[ログの詳細] パネルで、[デリケートなコンテンツのスニペット] の横にある右矢印 をクリックして、デリケートなコンテンツを含む行を展開します。

次の属性を確認できます。

属性 説明
コンテンツ コンテンツ(コンテキストに使用される周囲のテキストを含む)が DLP ルールに一致しました
一致コンテンツの開始文字 ルールに一致したコンテンツの先頭。開始インデックスは 0 から始まります。一致コンテンツの開始文字は、ソース ドキュメントではなくコンテンツ スニペットに対応します。
一致コンテンツの長さ 一致する長さ
一致した検出項目の ID 一致した検出項目(存在する場合)
行番号 (CSV 形式のチャット ファイル)コンテンツ行のゼロベースのインデックス(ある場合)
フィールド名 (CSV 形式のチャット ファイル)コンテンツの列名(ある場合)

例: DLP ルールによる社会保障番号のスキャン

この例では、スプレッドシートに社会保障番号が含まれている場合、属性は次のように入力されます。

  • コンテンツ: SSN 123-45-6789
  • 一致したコンテンツの先頭の文字数: 4
  • 一致したコンテンツの長さ: 11
  • 一致した検出項目 ID: US_SOCIAL_SECURITY_NUMBER
  • 行番号: 2
  • フィールド名: header2

BigQuery を使用してデリケートなコンテンツをエクスポートする

デリケートなコンテンツのスニペットをカスタム テーブルにエクスポートして、さらに詳しく調査できます。詳細については、BigQuery Export の設定をご覧ください。

ログからデリケートなコンテンツを削除する

インシデントを調査した後、データが不必要に漏洩しないように、ログからデリケートなコンテンツを削除できます。ログからコンテンツを削除しても、コンテンツが見つかった実際のファイルやリソース、またはカスタム BigQuery テーブルからコンテンツは削除されません。コンテンツを削除すると、調査ツールまたは監査と調査のページで使用できなくなり、BigQuery にエクスポートできなくなります。

この操作を実施するには、特権管理者としてログインする必要があります。
  1. デリケートなコンテンツを表示するには、このページの上記のステップ 1、2、3 を繰り返します。
  2. [デリケートなコンテンツの削除] をクリックします。
  3. [デリケートなコンテンツの削除] ボックスで、[削除] をクリックして確定します。

機密コンテンツを復元する

必要に応じて、180 日間の保持期間内であれば機密コンテンツをログに復元できます。

この操作を実施するには、特権管理者としてログインする必要があります。
  1. デリケートなコンテンツを表示するには、このページの上記のステップ 1、2、3 を繰り返します。
  2. [ログの詳細] パネルの上部にある [復元] をクリックします。
  3. [デリケートなコンテンツを表示] をクリックします。
  4. [ログの詳細] パネルで、[デリケートなコンテンツのスニペット] の横にある右矢印 をクリックして、デリケートなコンテンツを含む行を展開します。

DLP スニペットは、復元したかどうかにかかわらず、元の 180 日間の保持期間が経過すると削除されます。

管理データの操作のログイベント

管理データの操作のログイベントを検索して、デリケートなコンテンツにアクセス、削除、復元した管理者を追跡できます。詳しくは、管理データ アクションのログイベントをご覧ください。

定義済みコンテンツ検出項目の使用方法