この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。 エディションの比較
Gmail の DLP は、Gmail を含む Google Workspace エディションのライセンスも付与されている Cloud Identity Premium ユーザーの方にもご利用いただけます。
Google 管理コンソールでデータ損失防止(DLP)ルールを作成すると、ユーザーがメールで共有する機密コンテンツを管理できます。Gmail の DLP では、ルールは組織内外のユーザーに送信されるメールに適用されます。ルールを使用して機密情報を特定し、組織内外での共有を防ぐことができます。
- Gmail の DLP の機能
- Gmail の DLP の仕組み
- 同期スキャンと非同期スキャンについて
- 同期スキャンと非同期スキャンの結果
- スキャン対象のデータ
- サポートされている添付ファイルの形式
- Gmail の DLP は他のルールとどのように併用できますか?
- 既知の制限事項
- Gmail のデータ保護ルールを作成する
- セキュリティ調査ツールを使用して DLP ルール違反を調査する
- BigQuery を使用して DLP 違反をエクスポートする
- フィードバックをお寄せください
Gmail の DLP の機能
Gmail の DLP を使用すると、管理者は次のことができます。
- Gmail または DLP を使用する、他の Google Workspace アプリ(Gmail、Google Chat、ドライブなど)のデータ保護ルールを作成します。
- ルール違反に対して異なるアクションを実装します。たとえば、メールの配信をブロックしてユーザーに通知を送信したり(メールをブロック)、メールで検出された機密情報についてユーザーに警告しつつ、送信を許可したり(ユーザーに警告)、メールの送信または返信の前に管理者による確認のためにメールを検疫したり(メールを検疫)、メールの送信後、新しいルールの影響を評価するため、将来の監査用として DLP イベントをログに記録したり(監査のみ)できます。
- テキスト文字列、定義済み検出項目、カスタム検出項目(キーワードや正規表現など)を使用して条件を定義します。
- 指定した条件に基づいて、新着メールに分類ラベルを自動的に追加するルールを追加します。たとえば、メールに機密情報、財務情報、個人を特定できる情報が含まれている場合は、分類ラベル「機密」を適用します。
- メールで情報保護モードが有効になっていることを検出し、条件として情報保護モードのステータスを使用して、機密性の高いコンテンツを含むメールをユーザーが送信できるようにします。
- 特定の組織部門やグループ、あるいは組織全体に対してルールを適用します。
- アラート センターでルール違反を管理者に通知して、調査できるようにします。
- 光学式文字認識(OCR)を使用して、すべてのメールの添付ファイルの画像テキストをスキャンします。
Gmail の DLP の仕組み
ユーザーがメールを送信すると、DLP によってメールに機密性の高いコンテンツが含まれていないかスキャンされます。メッセージまたは添付ファイルがルールに違反している場合、ルールで定義されているアクションがメッセージに適用されます。
フローの概要:
- 機密性が高く保護を必要とするコンテンツを定義する DLP ルールを作成します。
- ユーザーがメールを送信すると、DLP はルールに一致するコンテンツをスキャンします。
- ルールが一致すると、DLP はルールで定義されたアクションを適用します。
- すべてのイベントは、確認のためにルールのログイベントに記録されます。ルールのログイベントの詳細
同期スキャンと非同期スキャンについて
Gmail の DLP では、データ保護ルールを同期または非同期でスキャンできます。
- 同期スキャン - ユーザーが [送信] ボタンをクリックすると、データ保護ルールがスキャンされます。ウェブ版またはモバイルアプリ版の Gmail を使用している場合、メールがメールボックスから送信される前に、機密性の高いコンテンツについて通知されます。
- 非同期スキャン - データ保護ルールは、メールが送信者のメールボックスから送信された後にスキャンされます。受信者に送信される前に、メールがブロックまたは検疫されたことを知らせるメールがユーザーに表示されます。非同期スキャンは、ユーザーがサードパーティのメールアプリを使用してメールを送信したとき、および同期スキャンが失敗したときに行われます。
同期スキャンと非同期スキャンの結果
同期スキャン: ウェブ版またはモバイル版 Gmail
[メールをブロック] アクションを含むルールがトリガーされると、次のように処理されます。
- ダイアログ ボックスが開き、現在の状態ではメールを送信できないことをユーザーに通知します。このアラートのルールにカスタム メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあり、ユーザーはメールの編集に戻ることができます。
- ユーザーが編集後にメールを再送信すると、該当するすべてのルールに対してメールが再度スキャンされます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- ダイアログ ボックスが開き、メールにデリケートなコンテンツが含まれている可能性があることをユーザーに通知します。このアラートのルールにカスタム メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあり、必要に応じてメールの編集に戻ることができます。
- このボックスには [送信する] オプションがあり、ユーザーは現在の状態のままメールを送信できます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールに機密コンテンツが含まれている可能性があることを通知するダイアログ ボックスが開きます。このアラートのルールにカスタム メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあるため、必要に応じてメールの編集に戻ることができます。
- このボックスには [審査のために送信] ボタンがあり、ユーザーは管理者やその他の承認済みユーザーに確認してもらうためにメールを送信できます。管理者はメールを確認した後、受信者に送信するメールを承認するか、メールを拒否して送信をブロックできます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- ユーザーにはダイアログ ボックスは表示されず、メールは通常どおり受信者に配信されます。
- メールイベントは監査ログに記録されます。ルールのログイベントの詳細
注: 同期でスキャンされたメールは、追加のセキュリティ対策として、非同期でもう一度スキャンされる場合があります。これにより、同期スキャン中にダイアログ ボックスが表示されなかった場合でも、メールがブロックされる可能性があります。
非同期スキャン: Gmail(SMTP とサードパーティのメールアプリを使用)
[メールをブロック] アクションを含むルールがトリガーされると、次のように処理されます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようになります。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者は、送信直後にメールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
-
SMTP で Gmail に接続されたサードパーティ製メールアプリを使用して送信されたメールの場合、[ユーザーに警告] アクションを含むルールは、[メールをブロック] アクションを含むルールと同じように動作します。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 管理者がメールをブロックした場合、メールが検疫されたことを示すアラートが送信者に表示されることがあります。このアラートのルールにカスタム メッセージを追加できます。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者には通知が届かず、メールは通常どおり受信者に配信されます。
非同期スキャン: ウェブ版またはモバイル版 Gmail
ウェブ版またはモバイルアプリ版の Gmail を使用すると、追加のセキュリティ対策として、メールが非同期でもう一度スキャンされます。
[メールをブロック] アクションを含むルールがトリガーされると、次のように処理されます。
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、次のようなメールが送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メールの送信が審査担当者によってブロックされた場合は、後で通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- 送信者には通知が届かず、メールは受信者に配信されます。
他の Google サービスによって自動的に作成されたメール
[メールをブロック] アクションを含むルールがトリガーされた場合
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。この通知のルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがトリガーされると、メールが送信されます
- メールは正常に送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます
- メール イベントがルールのログイベントに記録されます
[メールを検疫] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールの送信が審査担当者によってブロックされた場合は、後で送信者に通知が届くことがあります。
[監査のみ] アクションを含むルールがトリガーされると、次の処理が行われます。
- メールは正常に送信されます。
- 送信者には通知が送信されません。
スキャン対象のデータ
送信メッセージのみがスキャンされます。ルールで選択した [スキャンするコンテンツの種類] によって、メールのうち、以下のどの部分がスキャンされるかが決まります。
- すべてのコンテンツ - メールの件名、宛先、From、Bcc、Cc、本文が同期的にスキャンされます。添付ファイルは非同期でスキャンされます。添付ファイルにはファイルおよび画像が含まれます。添付ファイルのファイル名もスキャンされます。このページのサポートされているファイル形式をご覧ください。
重要: [すべてのコンテンツ] 条件では、同期スキャンにすぐに使用できる 5 種類のヘッダー(件名、宛先、From、Bcc、Cc)のみがスキャンされます。すべてのメールヘッダーをスキャンするには、次のいずれかのオプションを使用することをおすすめします。- OR 演算子を使用して条件を追加し、メールヘッダーをスキャンする
- メールヘッダーをスキャンするための個別のルールを作成する
- メールのヘッダー - メールのヘッダーのすべてのコンテンツ(件名、宛先、From、Bcc、Cc 以外)。一部のメール ヘッダーが同期スキャンに対応していないため、すべてのメール ヘッダーが非同期でスキャンされます。
- 本文 - メール本文は同期的にスキャンされ、添付ファイルは非同期的にスキャンされます。
- 件名 - 件名は同期的にスキャンされます。
- 分類ラベル - ユーザーが手動で適用した、または DLP ルールで自動的に適用された分類ラベル。ルールでは、条件としての [分類ラベル] と、アクションとしての [分類を適用] ラベルの両方を使用できません
- 情報保護モードのステータス - メールで情報保護モードが有効になっているかどうか。この条件は、他のルール条件と組み合わせて使用することをおすすめします。たとえば、メール本文に納税者番号が含まれていて、そのメールで情報保護モードが使用されていない場合、そのメールは送信されなくなります。詳しくは、情報保護モードについてのページをご覧ください。
サポートされている添付ファイルの形式
データ保護ルールでは、次の種類の添付ファイルがスキャンされます。
- ドキュメントのファイル形式 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 画像ファイル形式(OCR を有効にしている場合)- EPS、BMP、GIF、JPEG、PNG、PDF ファイル内の画像
- 圧縮ファイル形式 - BZIP、RAR、TAR、ZIP
- カスタム ファイルの形式 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
DLP は他のメールルールとどのように連携しますか?
データ保護ルールは、コンテンツ コンプライアンス ルールとルーティング ルールよりも前に評価されます。
データ保護ルールでメールに対してブロックまたは検疫のアクションが実行されなかった場合、メールはコンテンツ コンプライアンス ルールとルーティング ルールによって評価されます。コンテンツ コンプライアンス ルールまたはルーティング ルールで、メールの別のコピーを作成するアクション(新しい受信者の追加など)が適用された場合、DLP は送信前にメールの新しいコピーをスキャンします。
コンテンツ コンプライアンス ルールについて詳しくは、高度なメール コンテンツ フィルタリングに関するルールの設定をご覧ください。
既知の制限事項
- ベータ版では、[分類ラベルを適用] アクションを含むデータ保護ルールは、非同期でのみ適用されます。
- ルールで [警告] アクションを使用しないでください。ベータ版では、このアクションは無視されます。
- メールに適用された分類ラベルは送信者に通知されず、[送信済み] メールボックスにも表示されません。
- グループのエイリアス メールアドレスは内部受信者として扱われます。グループに外部メンバーが含まれている場合、外部メール向けのルールは適用されません。
- ルールはグループには適用されません。グループの代理でメールを送信した場合、ルールは適用されません。
メールのスキャンの制限については、Gmail コンテンツの DLP に関する制限をご覧ください。
Gmail のデータ保護ルールを作成する
-
-
管理コンソールで、メニュー アイコン
[ルール] にアクセスします。
- [機密コンテンツの分類と保護] ページで、[ルールを作成] をクリックします。
- [名前] をクリックし、ルールの名前を入力します。必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
- ルールを組織全体に適用するには、[<ドメイン名> 内のdomain.nameすべて] を選択します。
- 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。
- [続行] をクリックします。
- (省略可)OCR が有効になっていることを確認するには、[チェック] をクリックし、[Gmail] チェックボックスをオンにして Gmail に対して OCR を有効にします。
- Gmail の下にある [送信したメッセージ] チェックボックスをオンにします。
- [続行] をクリックします。
- 条件を追加するには、[条件を追加] をクリックし、スキャンされるメールの部分を選択します。
条件なしでルールを作成すると、指定したアクションはすべての Gmail メールとメールのすべての部分に適用されます。
- すべてのコンテンツ - メールのヘッダー、件名、本文、添付ファイルをスキャンします。
- 本文 - メール本文と添付ファイルをスキャンします。
- メールのヘッダー - メールのヘッダーと件名をスキャンします。Google Workspace クライアントサイド暗号化(CSE)を使用してメールを送信する場合は、メールのヘッダーの内容(件名を含む)のみをスキャンできます。
- 件名 - メールの件名のみをスキャンします。
- 分類ラベル(ベータ版)- メールに適用されている分類ラベルをスキャンします。ベータ版では、この条件を含むルールは非同期で適用されます。[警告] アクションは、ルールの条件として使用しないでください。このアクションは同期オペレーション専用です。
- 情報保護モードのステータス(ベータ版)- メールで情報保護モードがオンになっているかどうかをスキャンします。
- [続行] をクリックします。
- [操作] をクリックし、次のいずれかのオプションを選択します。
すべてのアクションはルールのログイベントに記録されます。
- メールをブロック - メールをすぐに送信せず、メールに機密情報の可能性があることを送信者に警告します。送信者はメールを編集して再送信を試すことができます。
- ユーザーに警告する(ベータ版ではサポートされていません) - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信するか、メールを編集して再送信するかを選択できます。
- メールを検疫 - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信するか、管理者またはその他の適格なユーザーに確認してもらうために送信するかを選択できます。[検疫の条件] メニューからオプションを選択する必要があります。
- 監査のみ - メールは通常どおり送信されます。アラートは表示されません。メールはルールと照合され、管理者が後で確認できるイベントとしてログに記録されます。
- 分類ラベルを適用 - 条件に一致するメールに分類ラベルを適用します。[ラベル フィールド] メニューと [フィールド オプション] メニューからオプションを選択する必要があります。ベータ版では、このアクションを含むルールは非同期でのみ適用されます。
- [この操作を適用するタイミングを選択します] で、内部メール、外部メール、またはその両方に操作を適用するかを選択します。
- (省略可)カスタム アラートを作成するには、[メールをカスタマイズする] チェックボックスをオンにして、アラート テキストを入力します。アラートの長さは 300 文字(URL の文字を含む)までで、URL を含めることができます。カスタム メッセージを作成しない場合、ボックスにはデフォルトのメールが表示されます。
- (省略可)[アラート] メニューで、報告されたメール イベントの重大度レベル([低]、[中]、[高])を選択します。重大度はルールのログイベントに記録され、インシデントの調査に使用できます。
- (省略可)メール イベント(このルールによってトリガーされたメール)に関するアラートを送信するには、[アラート センターに送信する] チェックボックスをオンにします。[すべての特権管理者] オプションを使用して、特権管理者にアラート通知を送信することもできます。他の受信者への別のアラート通知を入力します。
- [続行] をクリックしてルールの詳細を確認します。
- ルールのステータスを以下から選択します。
- 有効 - ルールはすぐに適用されます。
- 無効 - ルールは追加されていますが、すぐには適用されません。このオプションを使うと、ルールを確認して、他のユーザーと共有してから実装することができます。後でルールを有効にするには、管理コンソールで [セキュリティ]
[アクセスとデータ管理]
- [作成] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
セキュリティ調査ツールで DLP ルールイベントを調査する
ルールのログイベントの検索を実行する
次の例では、DLP ルールをトリガーした Gmail のメールを調査するために検索を実行します。他の条件で検索したり、条件を指定せずに検索したりすることもできます。
-
管理コンソールで、メニュー アイコン
[セキュリティ]
- [データソース] をクリックし、[ルールのログのイベント] を選択します。
- [条件を追加]
- [DLP] を選択します。
- [検索] をクリックします。
ページの下部にある検索結果で、イベントのリストと各イベントの詳細を確認できます。注: 機密性の高いコンテンツのスニペットは、Gmail DLP(ベータ版)ではサポートされていません。そのため、DLP ルールをトリガーした機密コンテンツがメールに含まれていても、[デリケートなコンテンツが含まれている] 列には False と表示されます。
- [リソース ID] 列までスクロールし、メニュー アイコン
をクリックして、[Gmail のログイベント] > [メッセージ ID] に切り替えます。
- [検索] をクリックして、[Gmail のログイベント] がデータソースの新しい検索ページを開きます。
- 詳細を表示するには、検索結果でいずれかの行の [メール ID] をクリックします。調査の詳細を示すサイドパネルが表示されます。
- プロンプトが表示されたら、Gmail コンテンツを閲覧するビジネス上の理由を入力し、[確認] をクリックします。
BigQuery を使用して DLP 違反をエクスポートする
ルールのログイベントに記録された DLP 違反をカスタム テーブルにエクスポートして、さらに詳しく調査できます。詳しくは、サービスログの BigQuery への書き出しを設定するをご覧ください。
フィードバックをお寄せください
管理コンソールのデータ保護ページで、[フィードバックを送信] をクリックします。
