この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus、Enterprise Essentials Plus。エディションの比較
ドライブの DLP と Chat の DLP は、Google Workspace ライセンスも使用している Cloud Identity Premium ユーザーにご利用いただけます。ドライブの DLP の場合は、ライセンスにドライブのログイベントが含まれている必要があります。
DLP のルール
データ損失防止(DLP)機能を使用してルールを作成、適用することで、ユーザーが組織外の相手と共有できるファイルのコンテンツを管理することができます。DLP を使用すると、ユーザーが共有できるコンテンツを管理者が指定することができ、クレジット カード番号や個人識別番号といった機密情報の意図せぬ漏洩を防ぐことができます。
DLP ルールの設定後にファイルがスキャンされ、機密性の高いコンテンツが検出されると、ユーザーはそのコンテンツを共有することができなくなります。ルールによって DLP インシデントの性質が決定され、インシデントが発生すると、指定コンテンツのブロックなどのアクションがトリガーされます。
ドメイン、組織部門、またはグループのメンバーに対して共有方法を指定することができます。
DLP フローの概要:
- 管理者が DLP ルールを定義します。ルールを通じて、機密性が高く保護を必要とするコンテンツを定義します。DLP ルールはマイドライブと共有ドライブの両方に適用されます。
- コンテンツがスキャンされ、DLP インシデントをトリガーする DLP ルール違反の有無が確認されます。
- 定義したルールが適用され、違反があればアラートなどのアクションがトリガーされます。
- DLP ルール違反に関するアラートが管理者に届きます。
詳しくは、以下をご覧ください。
- ドライブの DLP については、ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するをご覧ください。
- Chat の DLP については、Chat のメッセージと添付ファイルからのデータ漏洩を防止するをご覧ください。
監査専用ルールを使用して新しい DLP ルールをテストする
ユーザーをブロックする、ユーザーに警告するといった任意の対応を定義しない DLP ルールを作成し、ルールをテストすることができます。これらのルールがトリガーされると、そのインシデントに関連するデータがルール監査ログに記録されます。ドライブの DLP ルールとカスタム コンテンツ検出項目を作成するの「手順 1. ルールを計画する」の「監査専用ルールを使ってルールの結果をテストする」をご覧ください。
DLP の使用例
DLP を使用すると次のことができます。
- ユーザーがすでに共有している可能性のあるドライブ内の機密コンテンツの使用状況を監査し、ユーザーがアップロードした機密ファイルに関する情報を収集する
- ドメイン外のユーザーと機密コンテンツを共有しないようにユーザーに直接警告する
- 機密データ(個人識別番号など)を外部ユーザーと共有できなくする
- ポリシー違反または DLP インシデントについて管理者などにアラートを送信する
- インシデントの詳細とポリシー違反に関する情報を調査する
新旧の DLP ルール管理の比較
過去に旧バージョンの DLP を使用したことがある方のために、以前の DLP と現在の DLP の違いについて表にまとめました。現在の DLP の機能と仕様を把握するのにお役立てください。
| 従来の DLP | 現在の DLP |
|---|---|
| 既存の DLP サービス | 機能拡張版 DLP サービス |
| DLP ルールへのアクセス方法: 管理コンソールの [ルール] | DLP ルールへのアクセス方法: 管理コンソールの [セキュリティ]  [データの保護] |
| DLP ポリシーを設定できるのは、特権管理者のみ | DLP ポリシーを設定するには、DLP ルールと検出項目に関する特定の管理者権限が必要。DLP ポリシーを管理するのに、すべてのドライブ設定を管理する権限は必要ない。 |
| マッチ数は、定義済み検出項目でのみ指定できる | マッチ数は、次の方法を使用するすべての条件で指定できる。
|
2 段階の検出しきい値
|
細分化された検出しきい値
|
| レポートは、監査ログとドライブ関連のレポートに限定されている | レポートに DLP インシデント管理ダッシュボードが含まれ、[セキュリティ] [ダッシュボード] からアクセスできる。
レポートにドキュメントの共有相手の情報が記載されるようになった。 |
現在の DLP の機能
次の表は、DLP の機能をまとめたものです。
| DLP の機能 | 説明 |
|---|---|
| 範囲、条件、アクションを指定して DLP ルールを作成する |
範囲
アクション
|
| インシデント管理 |
|
| ルールの調査 |
|
| 管理者権限 |
ルールを作成、編集するための完全なアクセス権限を得るには、表示と管理の両権限を有効にする必要があります。 調査ツールにアクセスするには、[セキュリティ センター] |
DLP のスキャン対象となるアプリケーションとファイル形式
スキャン対象のアプリケーション
次のアプリケーションがスキャン対象となります。
- スプレッドシート
- ドキュメント
- スライド
- フォーム - 次のコンテンツがスキャンされます。
- ファイルのアップロードが必要な質問に応じて送信されたファイル。回答者が機密コンテンツをアップロードしようとすると、警告が表示されたり、回答の送信がブロックされたりすることがあります。
- フォームの内容(質問とオプション)
DLP のスキャン対象とならないコンテンツ:
- ドキュメント、スプレッドシート、スライド、図形描画のコメント
- コメントのメール通知
- サイト コンテンツ
- フォームの回答(ファイルのアップロード以外)
スキャン対象のファイル形式
次のファイル形式のコンテンツはスキャン対象です。
- ドキュメント ファイル形式: .doc、.docx、.html、.pdf、.ppt.、.wpd、.xls、.xlsx、.xml
- 画像ファイル形式: .bmp、.eps、.fif、.gif、.img_for_ocr、.jpeg、.png、.ps、.tif
- 圧縮ファイル形式: .bzip、.gzip、.rar、.tar、.zip
- カスタム ファイル形式: .hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.ttf、.wml、.xps
動画および音声のファイル形式はスキャンされません。
注: スキャンされる実際のファイルはアプリケーションによって異なる場合があります。
管理者の要件
DLP ルールとコンテンツ検出項目を作成、設定するには、特権管理者であるか、次の権限を持つ委任管理者である必要があります。
- 組織部門を表示する管理者権限。
- グループ管理者の権限。
- DLP ルールを表示および管理する権限。ルールを作成、編集するための十分な権限を取得するには、表示権限と管理権限の両方を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
- メタデータと属性を表示する権限(調査ツールを使用する場合にのみ必要): [セキュリティ センター]
[調査ツール]
詳しくは、管理者権限と管理者のカスタムの役割の作成に関する記事をご覧ください。
次のステップ: ルールとコンテンツ検出項目を作成する
ドライブの DLP ルールとカスタム コンテンツ検出項目を作成する
