Exchange のデータ損失防止機能がさらに便利に
(この記事は 2014 年 2 月 25 日に The Exchange Team Blog に掲載された記事の翻訳です)
このたび Exchange 2013 のデータ損失防止 (DLP)機能が新しくなりました。詳細なコンテンツ分析に基づき、機密情報を特定、監視、および保護するために役立つ機能です。マイクロソフトは今後も、継続して DLP 機能を拡充していきます。今回は、ドキュメントのフィンガープリント機能と、Outlook Web App (OWA) のポリシー ヒントを追加しました。どちらの機能も、Office 365 のユーザーはすぐにお使いになれます。オンプレミスのユーザーには、Exchange Server 2013 SP1 リリースの一部として提供する予定です (SP1 の詳細については、別途お知らせします)。
これまでの DLP の機能に加え、2 つの新機能が、企業のコンプライアンス向上にいかに効果的かをビデオにまとめましたので、ぜひご覧ください。 (英語)
それでは、2 つの新機能について詳しく見てみましょう。
ドキュメントのフィンガープリント機能
ドキュメントのフィンガープリント機能は、同じテンプレートから作成された複数のファイルを照合する機能です。標準の様式やテンプレートを頻繁に使用する組織に役立つでしょう。たとえば、次のような用途が考えられます。
- 病院: 患者が記入する保険の用紙。それぞれ保険の運用元が異なります。
- 税務処理サービス: 標準の納税申告用紙。幅広い状況に応じて、各種の用紙が使用されます。
- 法律事務所: 依頼人に代わって提出する特許出願書類を作成するための標準テンプレート。
ここからは、機能のしくみをご説明します。次の例で考えてみましょう。
Contoso Pharma 社は、研究部門を抱える製薬会社です。研究部門の従業員は、社内全部門の同僚と連携して新製品やサービスを開発し、知的財産権を守るために特許を申請しています。同社が特許申請を依頼している法律事務所では、特許出願書類の標準テンプレートが使用されています。
では、皆さんは Contoso Pharma 社の管理者だと思ってお読みください。ドキュメントのフィンガープリント機能を使用すると、"Patent" という機密情報のカスタム タイプを定義することができます。具体的な手順としては、新しい管理インターフェイスの Exchange 管理センター (EAC) を使用して、ドキュメントのフィンガープリントを新規で作成します。フィンガープリントを定義するファイルを選択し、そのファイルについて従業員が使用した標準テンプレートを指定します。この例では、特許出願書類を選択します。
EAC で対象ファイルとその機密情報タイプを選択し、ドキュメントのフィンガープリントを作成します。
これで、該当するタイプのドキュメントのテンプレートが作成され、このテンプレートを基に作成された他のドキュメントを検出するために使用されるようになります。
ドキュメントのフィンガープリントを定義すると、該当するタイプのドキュメントのテンプレートが作成され (1)、それを基に作成されたドキュメントを検出できます (2)。
引き続き、Contoso Pharma 社の例を見ていきましょう。特許用テンプレートのフィンガープリントを定義したら、皆さん (管理者) は、Exchange の既存のトランスポート ルールと DLP インフラストラクチャを使用し、"Patent" タイプの機密情報を含む電子メールを検出するためのルールを作成して、DLP でサポートされるアクションを実行するように定義できます。たとえば、特許文書を添付した電子メールをブロックし、外部への送信を防ぐことができます。Contoso Pharma 社が外部の弁護士に特許申請を依頼している場合は、ポリシー ヒントの上書きオプションを使用すれば、特許文書を添付した電子メールの送信を許可できます (詳細については、次の「OWA のポリシー ヒント」の項で紹介します)。
ここでは特許の例を取り上げましたが、既にご紹介したとおり、ドキュメントのフィンガープリント機能は、他の幅広い場面における機密情報の検出にも使用できます。たとえば、病院で患者の診療情報を記入する専用フォームに利用する場合や、米国の税務処理サービスで 1040 EZ (税務申告書) フォームや W2 (源泉徴収票) フォームのフィンガープリントを作成する場合が考えられます。
ドキュメントのフィンガープリントは、企業が機密情報を検出する方法の一例にすぎません。次に、機密情報を検出するさまざまな方法とその用途を簡単に紹介します。
- マイクロソフトが既定でサポートする、標準化された対象物の検出: クレジット カードやデビット カードなど、標準的な対象物を検出する場合、目的の対象物を検出する機能がマイクロソフトによってサポートされている可能性があります。既定の機能リストを確認し、サポートされていれば使用してください。この検出方法はカスタマイズ可能です。詳細については、こちらの TechNet の記事を参照してください。
- パッケージの作成 : 自社固有の対象物 (保険番号や従業員番号など) を検出する必要がある場合は、正規表現とキーワードを組み合わせてカスタム ルールを作成できます。詳細については、こちらの TechNet の記事を参照してください。
- : ビジネス上の慣例で、標準の様式またはテンプレート (特許申請書、健康保険の用紙、納税申告用紙など) を使用するように定められている場合は、ドキュメントのフィンガープリント機能により、そのテンプレートから作成されたフォームを検出できます。詳細については、ドキュメントのフィンガープリント機能に関する TechNet の記事 (英語) を参照してください。
OWA のポリシー ヒント
ポリシー ヒント は、電子メールで機密情報を送信しようとしている組織内のユーザーに、メッセージで通知する役割を果たします。ポリシー ヒントは、メール ヒントと同様の機能です。Outlook で使用でき、いくつかの方法によって、ユーザー電子メールを通じて機密情報を誤送信することを防止できます。たとえば、次のような使い方があります。
- 電子メールに機密情報が含まれていることをユーザーに通知し、メールの送信をブロックします。
- 電子メールに機密情報が含まれている場合に、通知ポリシー ヒントによってユーザーに知らせます。
- 機密情報のポリシーの上書きを許可し、ユーザーが状況に応じて対応を判断できるようにします。上書きの際、業務上の正当な理由の証明を求めることも可能です。
今回、Office 365 サービスが更新され、Exchange Server 2013 SP1 がリリースされたことにより、これまでは Outlook 2013 で提供されていた豊富なポリシーヒント機能が、すべて OWA のインターフェイスからも利用できるようになります。
管理者の皆様は、ご紹介したポリシーヒントの各種の使用方法を、ビジネス要件に合わせて自由に設定することができます。たとえば、電子メールに 1 つか 2 つの社会保障番号が記載されている場合は、メッセージで通知するだけにし、50 以上の社会保障番号を含むスプレッドシートが添付されている場合は、電子メールの送信をブロックして、業務上の正当な理由の証明を求めるようにポリシーを設定できます。
OWA および各種デバイス用 OWA での DLP ポリシー ヒントの利用
Exchange 2013 SP1 のリリース時には、OWA および各種デバイス用の OWA の両方で、ポリシーヒントがサポートされるようになります。Outlook 2013 と同様の機能や操作性が提供され、管理者が設定した DLP ルールに従って、ユーザーにポリシー ヒントが表示されます。既に DLP ポリシーを定義し、ポリシー ヒントを有効化している場合は、OWA にも自動的に適用されます。つまり、管理者が改めて設定を定義したり、OWA でこの機能を有効化したりする必要はありません。
電子メールに機密情報が含まれている場合は、メールを送信する前に、DLP のポリシーヒントによって警告メッセージが表示されます。
OWA のポリシーヒントには、電子メール内で検出された機密情報の内容も表示されます。Outlook では、通知されたコンテンツが機密情報ではないと判断される場合、ユーザーはその旨を管理者に折り返し報告できます。これにより、そのデータについて最もよく理解しているユーザーから、機密情報検出の有効性に関してフィードバックすることが可能になります。
吹き出しに、電子メール内で検出された機密情報が表示され、誤検知の場合は報告することができます。
管理者は、大量の機密情報 (50 件を超えるクレジットカード番号が記載された Excel の添付ファイルなど) を含んだ電子メールをブロックすることもできます。Outlook 2013 と同様に、機密情報を含む添付ファイルが強調表示されるため、ユーザーは問題点を簡単に特定できます。組織のポリシーによっては、ユーザーによるポリシーの上書きを許可し、こうした電子メールの送信を認めることも可能です (オプションで、業務上の正当な理由の証明を求めることもできます)。
ポリシーヒントでは、大量の機密情報の送信をブロックするように設定できます。機密情報を含む添付ファイルは、ユーザーに対して強調表示されます。
こうした機能と操作性は、Windows Phone や iOS/Android 搭載デバイスといった、モバイルデバイスでも再現されます。
モバイルデバイスでもポリシーヒントを設定し、ユーザーに通知できます。
電子メールに含まれる機密データの量などを条件として、各種のポリシーヒントを表示させることができます。Outlook で既に DLP が有効化されていれば、新たな設定は必要ありません。
設定の共有
Outlook 2013 のポリシーヒントは、ポリシーヒントによるエンドユーザーへの通知アクションについて管理者がルールを作成するか、作成したルールに基づいて DLP ポリシーを設定することで有効化されます。Exchange 2013 ではこうしたルールが、サーバーとクライアント (Outlook 2013) の両方に適用されます。そしてこのたび、OWA でもまったく同じ方法で同じルールが適用されるようになります。つまり、Exchange、Outlook、OWA のすべてで、次に挙げる設定が共有されるのです。
- Exchange のトランスポート ルール : 電子メール内の機密情報を検出するようにトランスポートルールを設定し、ポリシーヒントベースのアクションを定義すると、Outlook および OWA に一律で適用されます。これには、送信者のグループ メンバーシップや、それ以外の受信者のプロパティを検出する述語を含みます。具体的には、Exchange のトランスポート ルールで NotifySender アクションを指定すると、Outlook および OWA の両方でポリシー ヒントが表示されます。
条件に応じて、さまざまな種類のポリシー ヒント オプションを適用できます。たとえば上図の例では、機密情報が含まれることをユーザーに通知しますが、メッセージの送信は許可されます。
- 機密情報の定義: 既定の機密情報を検出するためにトランスポート ルールを定義するか、機密情報のカスタム タイプを定義すると、Exchange、Outlook、OWA ではそれぞれまったく同じ方法で定義の評価が行われます。具体的には、Exchange のトランスポート ルールで MessageContainsDataClassifications という述語を指定すると、Outlook と OWA の両方で機密情報を定義できます。
トランスポートルールを設定すると、Outlook および OWA の機密情報を定義できます。
- ポリシー ヒントの設定 : ポリシーヒントの設定を編集し、ポリシーヒントで表示されるテキストをカスタマイズしたり、コンプライアンス URL を変更したりすると、Outlook 2013、OWA、各種デバイス用の OWA で、これらの情報が更新されます。
コンプライアンス URL やカスタマイズした通知テキストといった、ポリシーヒントのカスタム設定は、Outlook、OWA、各種デバイス用の OWA に一律で適用されます。
DLP の計画や実装は、組織全体および機密データを扱うすべてのユーザーに影響を及ぼすため、多くの組織にとってきわめて重要な作業です。Office 365 の DLP では、ユーザーの生産性を損なうことなく機密情報を保護することを主原則としており、ポリシー ヒントおよびドキュメントのフィンガープリント機能を活用することで、生産性と保護の両立が可能になります。マイクロソフトは、これらの機能を追加して DLP をさらに拡充したことで、ユーザーの皆様がより簡単に DLP を管理できるようになることを願っています。今後も当チームでは、コンプライアンスに関する取り組みを続けてまいりますので、ぜひご期待ください。
Shobhit Sahay