この機能に対応しているエディションは Business Standard、Business Plus、Enterprise Starter、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Essentials、Enterprise Essentials、Enterprise Essentials Plus です。 エディションの比較
ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも保有する Cloud Identity Premium ユーザーがご利用いただけます。ドライブの DLP の場合、ライセンスにドライブのログイベントが含まれている必要があります。
管理者はデータ損失防止(DLP)ルールを使用し、機密コンテンツの検出に基づいてドライブのファイルにラベルを自動的に適用できます。この記事の例で使用されるラベル名とデータ名は、実際のデータではなく、ラベル マネージャーまたは DLP に固有のものでもありません。
ドライブの DLP ルールの条件にラベルを使用する
ルールの条件には分類ラベルを使用できます。
以下の条件はサポートされています。
- ラベルの有無を確認します。
- [オプション リスト] の設定で [複数選択できるようにする] が無効になっている場合は、[オプション リスト] の項目の値が 1 つ以上あるかを確認します。
- 上記の条件を除外します。
以下の条件はサポートされていません。
- [オプション リスト] の設定で [複数選択できるようにする] が有効になっている場合は、[オプション リスト] の項目の値を確認します。
- 他の項目タイプ(数値、日付、テキスト、人物など)の値を確認します。
ドライブの DLP ルールの操作にラベルを使用する
分類ラベルを、自動適用される DLP 操作として使用できます。DLP ルールがトリガーされると、DLP はルールの条件を満たすドライブ ファイルに操作としてラベルを適用します。
以下のルールの操作はサポートされています。
- [オプション リスト] の設定で [複数選択できるようにする] が無効になっている場合は、ラベルと [オプション リスト] の項目の値を適用します。
以下のルールの操作はサポートされていません。
- ラベルを適用しますが、項目の値は適用しません。ただし、デフォルトの分類を設定して、新しく作成されたファイルや、オーナー権限が変更されるファイルにラベルを適用することはできます。詳しくは、新しいファイルに分類ラベルを自動的に適用するをご確認ください。
- [オプション リスト] の設定で [複数選択できるようにする] が有効になっている場合は、ラベルと [オプション リスト] の項目を適用します。
- 数値、日付、テキスト、人物など、他の項目タイプでラベルを適用します。
始める前に
ドライブの DLP ルールで分類ラベルを使用するには、次の準備が必要です。
- 分類ラベルの目的と機能について理解する必要があります。詳しくは、分類ラベル管理者としての作業を開始するをご確認ください。
- ラベルを作成すること、または使用するラベルが既存であること。
ラベルの適用に特定の条件や操作を使用する必要がある場合は、DLP ルールを使用してラベルを自動適用します。特定のユーザーが新規作成したファイルのみにラベルを適用する場合は、データ分類設定を使用します。
デフォルトの分類ラベルの仕組み
- 新しいファイルとファイルのオーナー権限が変更されたときに、ラベルを適用します。デフォルトの分類では、ファイルのオーナーが変更されない限り、既存のファイルにまでさかのぼってラベルが適用されることはありません。
- ファイルのオーナーが所属する組織部門またはグループに基づいてラベルが適用されます。デフォルトの分類では、特定の条件でファイルの内容やメタデータは検索されません。
- ユーザーがラベルを変更する権限を持っている場合は、自動的に適用された後にラベルを変更または削除することができます。
- デフォルトの分類では、項目としてオプション リストを含むラベルのみがサポートされます。
- デフォルトの分類ラベルでは、データ分類値がオプション リストで高い場合でも、DLP で設定されたラベルによって上書きされます。
DLP ルールによって設定されるラベルの仕組み
- 新しいファイルと既存のファイルにラベルを適用します。
- ファイル形式、単語の一致、文字列の一致などの条件に基づいてラベルを適用します。DLP ルールの条件として組織部門またはグループを指定することはできません。
- ラベルの条件を使用する DLP ルールで、ラベルを適用することはできません。
- ユーザーがラベルを変更する権限を持っている場合でも、ラベルを変更できないように設定することが可能です。変更があった場合、DLP は直ちにファイルを再スキャンし、DLP ルールのラベル設定に戻ります。
- 外部ユーザーは、DLP ルールによってラベルが適用されたファイルの変更履歴を閲覧することはできません。
- DLP ルールでは、オプション リストの項目を使用してラベル(バッジラベルを含む)を適用できます。
AI 分類ラベルの仕組み
- 新しいファイルと既存のファイルにラベルを適用します。
- AI 分類でサポートされているのは、項目として 2~4 個の値からなるオプション リストが 1 つだけ付いたラベルに限られます。
- トレーニング期間後にラベルを適用します。トレーニング期間中、指定されたラベル付け担当者が、項目ごとに少なくとも 100 個のファイルへトレーニング ラベルを適用します。
- AI 分類ラベルは DLP で設定されたラベルには上書きされますが、デフォルトの分類ラベルは上書きします。
DLP ルールで設定されたラベル値は AI 分類よりも優先され、どちらもデフォルトの分類に対して優先されます。
同じファイルに対して、2 つ以上の同種類のルールが異なるラベル値を適用した場合、ラベルのオプション リストで値の大きい方が適用されます。たとえば、ラベル マネージャーに次の 3 つのオプションがリストされた項目を持つラベルがあるとします。
- 社外秘
- 内部
- 一般公開
同じファイルに対して、ルール 1 がラベルを [機密] に設定し、ルール 2 がラベルを [公共] に設定した場合、[機密](ルール 1)が適用されます。ルールを設定する前に、ラベルの項目が優先度の高い順にリストされていることを確認してください。
分類ラベルを適用するドライブの DLP ルールを設定する
- ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する手順に沿って操作を開始します。
- [トリガー] セクションでは、[Google ドライブ] を選択して [続行] をクリックします。
- 条件を設定し、[続行] をクリックします。注: ドライブのラベルを適用するルールの条件として、ドライブのラベルを使用することはできません。
- [操作] で、[ドライブラベルの適用] を選択します。 このオプションが表示されない場合は、条件としてドライブのラベルが入力されていないことを確認します。
- 適用するドライブラベルの詳細を設定します。項目の種類として [オプション リスト] が付いたバッジラベルと標準ラベルのみがサポートされています。詳しくは、ドライブのラベルの管理者向けスタートガイドをご覧ください。
- ラベルを変更する権限を持つユーザーに対して、DLP ルールで適用されるラベルと項目の値の変更を許可するかを選択します。単一の項目があるラベルでのみ設定できます。また、ユーザーはラベル マネージャーでラベルを変更する権限が必要です。
- [許可] に設定した場合、ユーザーが設定したラベルと項目の値は DLP で変更されません。ただし、ユーザーが削除したラベルと項目の値は DLP によって再適用されます。
- [許可しない] に設定した場合、DLP ルールで適用されたラベルをユーザーが変更または削除すると、DLP はファイルを再スキャンし、DLP ルールのラベル設定に戻ります。
- ルールの設定を続行します。必要に応じて、[ラベルを追加] をクリックしてラベルを追加してください。
DLP ルールと分類ラベルの活用法
DLP ルールに関連付けられているラベル、フィールド、フィールド オプションは、ラベル マネージャーでロックがかかります。ラベルやフィールドを編集できなくなるので、ビジネス ポリシー違反の予防になります。すべての DLP ルールから削除されたラベル、フィールド、フィールド オプションは、ロック対象から外れます。
ラベル マネージャーでの編集は次のようになります。
- フィールドまたはフィールド オプションの名前変更や新規追加はできます。
- DLP ルールで使用されているラベル、フィールド、フィールド オプションの無効化や削除はできません。[ラベルの管理] 権限を持つ管理者は、ルールでラベルが使用されているかどうかを確認できますが、必要な権限がない限り、ルール自体を確認することはできません。
公開済みラベルの下書きであっても、無効化されたラベル、フィールド、フィールド オプションを使用して DLP ルールを作成することはできません。
DLP ルールを介して誤ってラベル(またはラベルとフィールド値)を広範囲のファイルに適用してしまった場合でも、DLP を使用して修正できます。
そのためには、変更を適用した DLP ルールを無効にします。これにより、該当するラベルとすべてのフィールド値が自動削除されます。または、変更を適用した DLP ルールを編集して、[ラベルを適用] 操作を削除します。これにより、ルールによって適用されたラベルとフィールド値も削除されます。更新が必要なドキュメントの数によっては、この変更の適用に数分、数時間、またはそれ以上かかる場合があります。
ただし、[ユーザーに、自分のファイルに適用されるラベルやフィールドの値の変更を許可するかどうかを選択します] で [許可] をオンにしていた場合は、この方法で修正できないことがあります。DLP ルールによって変更されたラベルとフィールドは削除されますが、そのラベルとフィールドの値をユーザーが変更していた場合はそのまま残ります。
ファイルの変更内容を調査するには、ドライブの監査ログを確認します。イベントの [説明] 列には、「DLP ルールがラベル「契約」を付けました」のように、DLP 操作が表示されます。詳しくは、ドライブの監査ログに関する記事をご確認ください。
DLP を使用してラベルを自動適用すると、ドライブの複数のドキュメントに変更を加えることができるようになります。このため、影響を受けるファイルの数が想定より多くなる場合があります。多数のファイルを更新するルールは、少数のファイルのみを更新するルールよりも処理に時間がかかることがあります。ラベルを操作するルールを大規模に適用する前に、少数のサンプルでテストすることをおすすめします。
