DLP ルールとコンテキストアウェア アクセスの条件を組み合わせる

どのユーザーやデバイスに機密コンテンツの転送を許可するかをより細かく制御するには、データ損失防止(DLP)ルールをコンテキストアウェア アクセスの条件と組み合わせるのが効果的です。ユーザーの所在地、デバイスのセキュリティ ステータス(管理対象、暗号化済み)、IP アドレスなどの条件を指定できます。コンテキストアウェア アクセス ポリシーを DLP ルールに追加すると、そのルールはコンテキスト条件が満たされた場合にのみ適用されます。

たとえば、ユーザーが次のケースに該当する場合に限り機密コンテンツのダウンロードをブロックする DLP ルールを作成できます。

  • 企業ネットワークに属していない
  • リスクの高い特定の国からログインしている
  • 管理者が承認していないデバイスを使用している

DLP ルールとコンテキスト条件を組み合わせると、以下の処理を管理できます。

Chrome - ファイルのアップロード(ファイルの添付など)、ウェブ コンテンツのアップロード(貼り付けたコンテンツ)、ダウンロード、ページの印刷。

ドライブ(ベータ版) - コメント権限または閲覧権限を持つユーザーが、ドライブのファイルをコピー、ダウンロード、印刷できます。

要件

Workspace エディション
Chrome Enterprise Premium

(Chrome の DLP では必須、ドライブの DLP では必須ではない)
Chrome のバージョン

Chrome 105 以降

(Chrome の DLP では必須、ドライブの DLP では必須ではない)
エンドポイントの確認 デスクトップ デバイスの場合、デバイスベースのコンテキスト条件を適用するには、エンドポイントの確認を有効にする必要があります。(IP アドレスやリージョンなど、デバイス以外の属性の場合は必須ではありません)。
モバイル デバイス管理 モバイル デバイスには、基本管理または詳細管理が適用されている必要があります。
管理者権限 アクセスレベルを作成するには:
[サービス] > [データ セキュリティ] > [アクセスレベルの管理]
DLP ルールでアクセスレベルを使用するには:
[サービス] > [データ セキュリティ] > [アクセスレベルの管理] または
[サービス] > [データ セキュリティ] > [ルールの管理]

ルールを適用するために Chrome を設定する

DLP 機能と Chrome を結びつけるには、Chrome Enterprise Connectors ポリシーを設定する必要があります。

アクセスレベルの作成

  • [セキュリティ] > [アクセスとデータ管理] > [コンテキストアウェア アクセス] > [アクセスレベル] に移動して、既存のアクセスレベルを確認してください。
  • アクセスレベルは、DLP ルールの作成前またはルール作成中に作成できます。DLP ルールより先にアクセスレベルを作成する場合は、アクセスレベルを作成する手順をご確認ください。以下は、DLP ルールの作成時にアクセスレベルを作成する例です。
  • 1 つの DLP ルールにはアクセスレベルを 1 つ割り当てることができます。複数のアクセスレベルを含む複雑な条件を作成するには、詳細モードを使用します。

DLP とコンテキストアウェア アクセス ルールの例

次の例は、DLP ルールとコンテキストアウェア アクセスレベルを組み合わせて、ユーザーの IP アドレス、ロケーション、デバイス ステータスに応じてルールを適用する方法を示しています。

これらの例には、DLP ルールの作成時にアクセスレベルを作成するために必要な手順が含まれています。アクセスレベルをすでに作成してある場合は、ルールの作成時にこの手順を省略できます。

例 1: 企業ネットワーク外のデバイスへの機密データのダウンロードをブロックする(Chrome)
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. [ルール] 次に [ルールを作成] 次に [データの保護] に移動します。
  3. ルールの名前と説明を入力します。
  4. [範囲] で [<ドメイン名> のすべて] を選択するか、ルールの適用先となる組織部門またはグループを検索し、それを含めるか除外します。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
  5. [続行] をクリックします。
  6. [アプリ] で、[Chrome] の [ファイルのダウンロード] をオンにします。
  7. [続行] をクリックします。
  8. [条件] で、[条件を追加] をクリックします。
  9. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
  10. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックして既存のアクセスレベルを表示します。
  12. [新しいアクセスレベルを作成] をクリックします。
  13. 新しいアクセスレベルの名前と説明を入力します。
  14. [コンテキストの条件] で、[条件を追加] をクリックします。
  15. [1 つ以上の属性と一致しない] を選択します。
  16. [属性を選択] 次に [IP サブネット] をクリックして、会社のネットワークの IP アドレスを入力します。これは、IPv4 アドレスもしくは IPv6 アドレス、または CIDR のブロック表記のルーティング プレフィックスです。
    • プライベート IP アドレスには対応していません(ユーザーのホーム ネットワークを含む)。
    • 静的 IP アドレスに対応しています。
    • 動的 IP アドレスを使用するには、アクセスレベルに静的 IP サブネットを定義する必要があります。動的 IP アドレスの範囲がわかっていて、アクセスレベルで定義された静的 IP アドレスがその範囲に対応している場合は、コンテキスト条件が満たされています。動的 IP アドレスが定義済みの静的 IP サブネット内にない場合、コンテキスト条件は満たされません。
  17. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
  18. [続行] をクリックします。
  19. [操作] ページで、[Chrome アクション] として [ブロック] を選択します。

    注: アクションが適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。

  20. (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
  21. [続行] をクリックしてルールの詳細を確認します。
  22. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ]、[アクセスとデータ管理]、[データの保護]、[ルールを管理] の順に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  23. [Create(作成)] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。 詳細

例 2: リスクのある特定の国からログインしているユーザーによる機密コンテンツのダウンロードをブロックする(Chrome)
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. [ルール] 次に [ルールを作成] 次に [データの保護] に移動します。
  3. ルールの名前と説明を入力します。
  4. [範囲] で [<ドメイン名> のすべて] を選択するか、ルールの適用先となる組織部門またはグループを検索し、それを含めるか除外します。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
  5. [続行] をクリックします。
  6. [アプリ] で、[Chrome] の [ファイルのダウンロード] をオンにします。
  7. [続行] をクリックします。
  8. [条件] で、[条件を追加] をクリックします。
  9. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
  10. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックして既存のアクセスレベルを表示します。
  12. [新しいアクセスレベルを作成] をクリックします。
  13. 新しいアクセスレベルの名前と説明を入力します。
  14. [コンテキストの条件] で、[条件を追加] をクリックします。
  15. [すべての属性と一致する] を選択します。
  16. [属性を選択] 次に [地域] をクリックし、プルダウン リストから国を選択します。
  17. (省略可)国を追加するには、[条件を追加] をクリックして、手順 16 を繰り返します。
  18. (省略可)複数の国を選択した場合は、[複数の条件を結合] の切り替えボタン([条件] の上)を [OR] に設定します。こうすることで、選択した国のいずれかからログインしたユーザーに DLP ルールが適用されます。
  19. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
  20. [続行] をクリックします。
  21. [操作] ページで、[Chrome アクション] として [ブロック] を選択します。

    注: アクションが適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。

  22. (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
  23. [続行] をクリックしてルールの詳細を確認します。
  24. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ]、[アクセスとデータ管理]、[データの保護]、[ルールを管理] の順に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  25. [Create(作成)] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。 詳細

例 3: 管理者の承認を得ていないデバイスへの機密コンテンツのダウンロードをブロックする(ドライブ)(ベータ版)
  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. [ルール] 次に [ルールを作成] 次に [データの保護] に移動します。
  3. ルールの名前と説明を入力します。
  4. [範囲] で [<ドメイン名> のすべて] を選択するか、ルールの適用先となる組織部門またはグループを検索し、それを含めるか除外します。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
  5. [続行] をクリックします。
  6. [アプリ] の [Google ドライブ] で、[ドライブのファイル] をオンにします。
  7. [続行] をクリックします。
  8. [条件] で、[条件を追加] をクリックします。
  9. [スキャンするコンテンツの種類] で [すべてのコンテンツ] を選択します。
  10. [スキャン対象] で、DLP スキャンのタイプを選択し、属性を選択します。使用可能な属性の詳細については、DLP ルールを作成するをご覧ください。
  11. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックして既存のアクセスレベルを表示します。
  12. [新しいアクセスレベルを作成] をクリックします。
  13. 新しいアクセスレベルの名前と説明を入力します。
  14. [コンテキストの条件] で、[条件を追加] をクリックします。
  15. [1 つ以上の属性と一致しない] を選択します。
  16. [属性を選択] 次に [デバイス] をクリックし、プルダウン リストから [管理者によって承認されている] を選択します。
  17. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
  18. [続行] をクリックします。
  19. [操作] ページの [Google ドライブ アクション] で、[「閲覧者(コメント可)」または「閲覧者」権限のユーザーに対して、ダウンロード、印刷、コピーを無効にする] を選択します。

    注: アクションが適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。

  20. (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
  21. [続行] をクリックしてルールの詳細を確認します。
  22. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ]、[アクセスとデータ管理]、[データの保護]、[ルールを管理] の順に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  23. [Create(作成)] をクリックします。

変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。 詳細

例 4: 管理対象外のデバイスへの「salesforce.com/admin」への Chrome のナビゲーションをブロックする

この例では、ユーザーが管理対象外のデバイスで Salesforce 管理コンソール(salesforce.com/admin)にアクセスしようとすると、ブロックされます。ユーザーは引き続き Salesforce アプリケーションの他の部分にアクセスできます。

  1. Google 管理コンソールログインします。

    管理者アカウント(末尾が @gmail.com でないもの)でログインします。

  2. [ルール] 次に [ルールを作成] 次に [データの保護] に移動します。
  3. ルールの名前と説明を入力します。
  4. [範囲] で [<ドメイン名> のすべて] を選択するか、ルールの適用先となる組織部門またはグループを検索し、それを含めるか除外します。含める対象や除外する対象について組織部門とグループに競合がある場合は、グループが優先されます。
  5. [続行] をクリックします。
  6. [アプリ] の [Chrome] で、[アクセスした URL] をオンにします。
  7. [続行] をクリックします。
  8. [条件] で、[条件を追加] をクリックし、次の値を選択します。
    1. スキャンするコンテンツの種類 - URL
    2. スキャン対象 - [テキスト文字列を含む]
    3. 照合するコンテンツ - salesforce.com/admin
  9. [コンテキストの条件] セクションで、[アクセスレベルを選択] をクリックして既存のアクセスレベルを表示します。
  10. [新しいアクセスレベルを作成] をクリックします。
  11. 新しいアクセスレベルの名前と説明を入力します。
  12. [コンテキストの条件] で、[詳細] タブをクリックします。
  13. テキスト ボックスに以下を入力します。
    device.chrome.management_state != ChromeManagementState.CHROME_MANAGEMENT_STATE_BROWSER_MANAGED

    詳しくは、詳細モードの説明をご覧ください。

  14. [作成] をクリックします。[ルールを作成] ページに戻ります。新しいアクセスレベルがリストに追加され、その属性が右側に表示されます。
  15. [続行] をクリックします。
  16. [操作] ページで、[Chrome アクション] として [ブロック] を選択します。

    注: アクションが適用されるのは、コンテンツ条件とコンテキスト条件の両方が満たされている場合のみです。

  17. (省略可)アラートの重要度([低]、[中]、[高])と、アラート通知とメール通知アラートを送信するかどうかを選択します。
  18. [続行] をクリックしてルールの詳細を確認します。
  19. ルールのステータスを以下から選択します。
    • アクティブ - ルールはすぐに適用されます。
    • 無効 - ルールは存在していますが、無効です。このオプションにより、ルールを確認して、チームメンバーと共有してから実装することができます。後でルールを有効にするには、[セキュリティ]、[アクセスとデータ管理]、[データの保護]、[ルールを管理] の順に移動します。ルールの [無効] ステータスをクリックし、[アクティブ] を選択します。ルールは有効にすると適用され、DLP によって機密コンテンツがスキャンされます。
  20. [Create(作成)] をクリックします。

注: フィルタした URL に最近アクセスしていた場合、そのキャッシュは数分間キャッシュに保存されます。そのため、その URL のキャッシュが削除されるまでは、新しい URL(または変更されたルール)で正常にフィルタリングされないことがあります。約 5 分待ってから、新しいルールまたは変更したルールをテストします。

よくある質問

古いバージョンの Chrome ではコンテキストアウェア アクセス + DLP ルールの組み合わせはどのように動作しますか?

古いバージョンの Chrome では、コンテキスト条件は無視されます。ルールは、コンテンツの条件のみが設定されているかのように動作します。

管理対象ブラウザのルールはシークレット モードで動作しますか?

いいえ。シークレット モードではルールは適用されません。管理者は、ログイン時にコンテキストアウェア アクセスを適用することで、Chrome のシークレット モードから Workspace または SaaS アプリケーションにログインできないようにすることができます。

ルールを適用するには、管理対象ブラウザと管理対象ユーザーが同じ企業内に属している必要がありますか?

管理対象ブラウザと管理対象プロファイルのユーザーが同じ企業に属している場合、ブラウザレベルの DLP ルールとユーザーレベルの DLP ルールの両方が適用されます。

管理対象ブラウザと管理対象プロファイルのユーザーが異なる企業に属している場合、ブラウザレベルの DLP ルールのみが適用されます。コンテキストの条件は常に一致とみなされ、最も厳しい結果が適用されます。IP ベースやリージョン ベースの条件には影響しません。

管理コンソールと Google Cloud Platform コンソールでは同じアクセスレベルをサポートしていますか?

管理コンソールのコンテキストアウェア アクセスは、GCP コンソールでサポートされているすべての属性をサポートしているわけではありません。そのため、GCP コンソールで作成されたそのような属性を含む基本アクセスレベルを管理コンソールで割り当てることはできますが、編集することはできません。

管理コンソールの [ルール] ページでは、GCP で作成されたアクセスレベルを割り当てることができます。ただし、サポートされていない属性を含むアクセスレベルの条件の詳細を表示することはできません。

ルールの作成時にコンテキスト条件カードが表示されないのはなぜですか?
  • DLP ルールの作成時にコンテキスト条件を表示するには、[サービス] > [データ セキュリティ] > [アクセスレベルの管理] の管理者権限が必要です。
  • コンテキストの条件カードは、ルールの作成時に Chrome トリガーを選択した場合にのみ表示されます。
割り当てたアクセスレベルを削除した場合はどうなりますか?

割り当てたアクセスレベルが削除されると、コンテキストの条件はデフォルトで true になり、ルールはコンテンツのみのルールと同様に動作します。この場合、当初意図していたよりも多くのデバイスやユースケースにルールが適用されることに注意してください。

コンテキストの条件をルールで機能させるには、コンテキストアウェア アクセスを有効にする必要がありますか?

いいえ。ルールにおけるアクセスレベルの評価は、コンテキストアウェア アクセスの設定とは関係ありません。コンテキストアウェア アクセスの有効化と割り当てがルールに影響することはありません。

ルール条件が空の場合はどうなりますか?

空の条件はデフォルトで true と評価されます。つまり、コンテキストアウェア アクセスのみのルールについては、コンテンツの条件を空白のままにしておくことができます。コンテンツとコンテキストの条件を両方とも空のままにすると、常にルールがトリガーされます。

いずれかの条件のみが満たされた場合、ルールはトリガーされますか?

いいえ。ルールはコンテンツとコンテキストの条件の両方が満たされた場合にのみトリガーされます。

DLP が適用されなかったというログイベントが表示されるのはなぜですか?

DLP とコンテキストアウェア アクセスはどちらもバックグラウンド サービスに依存しているため、定期的に中断が発生する可能性があります。ルールの適用中にサービスの中断が発生した場合、適用は行われません。この場合、ルールログChrome ログの両方にイベントが記録されます。

Endpoint Verification をインストールしていない場合、コンテキストの条件はどうなりますか?

デバイスベースの属性の場合、コンテキストの条件は一致とみなされ、最も厳しい結果となるよう適用されます。デバイス以外の属性(IP アドレス、リージョンなど)の場合、変更はありません。

トリガーされたルールのアクセスレベル情報をセキュリティ調査ツールで表示できますか?

はい。アクセスレベルの情報を表示するには、検索結果の [アクセスレベル] 列で [ルールのログのイベント] または [Chrome のログのイベント] のいずれかを検索します。

ルールでコンテキストの条件に対してエンドユーザー修復機能を使用できますか?

いいえ。現在のところ、これらのフローではエンドユーザー修復機能を使用できません。

関連トピック

Workspace の DLP を使用してデータの損失を防止する

コンテキストアウェア アクセスの概要

Chrome Enterprise Premium を使用して DLP を Chrome に統合する

この情報は役に立ちましたか?

改善できる点がありましたらお聞かせください。

さらにサポートが必要な場合

次の手順をお試しください。

ヘルプ コミュニティに投稿する コミュニティ メンバーから回答を得る
お問い合わせ 詳しい情報をお知らせください。解決に向けてサポートいたします
true
14 日間の無料試用を今すぐ開始してください

ビジネス向けのメール、オンライン ストレージ、共有カレンダー、ビデオ会議、その他多数の機能を搭載。G Suite の無料試用を今すぐ開始してください。

検索
検索をクリア
検索を終了
Google アプリ
メインメニュー
2989782016663471022
true
ヘルプセンターを検索
true
true
true
true
true
73010
false
false