Exchange 2013 で独自の DLP テンプレートと情報の種類を定義する
製品: Exchange Server 2013
データ損失防止 (DLP) ポリシー テンプレートは、Microsoft Exchange Server 2013 とは無関係に XML ファイルとして開発し、Exchange 管理センターまたは Exchange 管理シェルを使用してインポートできます。 ここでは、DLP ソリューション内部で使用するための DLP XML ファイルの作成とチューニングのプロセスおよび詳細について説明します。 Exchange 管理センターでは、メッセージをスキャンするために、既存の DLP ポリシー テンプレートとトランスポート ルールをすばやく使用する方法が用意されているため、独自の DLP XML ファイルを開発する必要はありません。
DLP ポリシー テンプレートに関連する管理タスクをお探しですか? DLP の手順に関するページを参照してください。
注:
Exchange 2013: DLP は、Exchange エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 CAL とサーバー ライセンスの詳細については、「 Exchange ライセンスに関する FAQ」を参照してください。
重要
機密情報ルールのビジネス モデルまたはファイル パッケージ化または展開ガイドラインに関する情報を推奨したり、そのような規則を配布する方法について説明したりするには、このドキュメントの範囲を超えています。 さらに、このドキュメントでは、カスタム開発ルールの暗号化などの保護メカニズムについては説明しません。また、そのようなメカニズムがどのように採用されるかについても説明しません。
ユーザーのニーズを満たすために情報タイプを拡張する
ここでは、Exchange 2013 にインポートして DLP ポリシーとして使用できる DLP ポリシー テンプレートと機密情報ルール パッケージ用の独自の XML ファイルの作成を開始するに当たって理解しておく必要があるコンセプトと XML スキーマ定義について説明します。
Microsoft Exchange の DLP を使用すると、組織固有のポリシーを機密情報に円滑に適用できます。 DLP ソリューションの強さの主要な要因は、組織、規制ニーズ、地理またはその他のビジネス局面に固有の機密情報を正しく識別できることです。 Microsoft は、ユーザーが簡単に操作を開始できるように製品内部でポリシー テンプレートや機密情報タイプを提供していますが、固有のビジネス ニーズによりカスタム データ損失防止ソリューションが必要になる場合があります。 このため、Microsoft はユーザー独自の DLP ポリシー テンプレートを作成してインポートする方法や分類ルール パッケージ内部で独自の機密情報定義を作成してインポートする方法を提供しています。 DLP ソリューションの精度は、誤検知 (正常なメッセージを異常と判断するか、異常なメッセージを正常と判断する) を最小化しながら高度な保護を提供する、機密情報検出エンジン用に正しいルール セットが構成されるかどうかによって決まります。
独自のDLP ポリシー テンプレートを開発する
独自の DLP ポリシー テンプレート XML ファイルを作成してインポートできます。 Exchange で提供される DLP ソリューション拡張のためのこのアプローチにより、自身の DLP 要件をより完璧に満たす DLP ポリシーを作成できます。
カスタム テンプレートとそれに関連したポリシーを管理することは、Microsoft 提供のテンプレートに基づいて作成した DLP ポリシーを管理することに似ています。 標準的な DLP ポリシー ライフサイクルでは、次の操作が行われます。
独自の DLP ポリシー テンプレート、つまり、カスタム XML ファイルを作成します。 詳しくは、「DLP ポリシー テンプレート ファイルの作成」を参照してください。
カスタム テンプレートをインポートします。 詳しくは、「ファイルからカスタムの DLP ポリシー テンプレートをインポートする」を参照してください。
カスタム テンプレートに基づいて DLP ポリシーを作成します。 詳しくは、「テンプレートからの DLP ポリシーの作成」を参照してください。
手順 1 と 2 を繰り返すことによって、カスタム テンプレートを更新します。
カスタム テンプレートを削除します。 詳しくは、「Remove-DlpPolicyTemplate」を参照してください。
独自のテンプレート開発に関わる XML スキーマ定義とコンセプトの詳細については、「DLP ポリシー テンプレート ファイルの作成」を参照してください。
分類ルール パッケージで独自の機密情報タイプと照合ロジックを開発する
XML ファイルである分類ルール パッケージに独自の機密情報定義を記述し、DLP ソリューションの一部としてインポートできます。 機密情報検出エンジンは、クレジット カード番号、社会保障番号、会社の知的財産などの機密情報を識別するためのディープ コンテンツ分析機能を提供します。 エンジンは、コンテンツのスキャンと分析のために構成可能な一連の命令 (ルール) によって制御されます。 ルールは、標準化されたルール パッケージ XML スキーマ定義に準拠する XML ドキュメントである分類ルール パッケージにまとめられます。 独自の開発方法を次に示します。
独自の機密情報タイプ、つまり、カスタム XML ファイルを作成します。 詳しくは、「機密情報のルール パッケージの作成」を参照してください。
機密情報タイプをインポートします。 詳しくは、「New-ClassificationRuleCollection」を参照してください。
情報タイプに基づいてカスタム テンプレートを作成します。 詳しくは、「機密情報のルール パッケージの作成」を参照してください。
手順 1 と 2 を繰り返すことによって、カスタム テンプレートを更新します。
カスタム テンプレートを削除します。 詳しくは、「Remove-ClassificationRuleCollection」を参照してください。
ルール パッケージの詳細については、「機密情報のルール パッケージの作成」および「ルール パッケージの照合の方法と手法」を参照してください。
ルール パッケージでのルール タイプの理解
ルール パッケージ内のルールは、適切に定義されたコンテンツ特性を検出するためのプロセスを構成します。たとえば、運転免許証番号を見つけるためのルールなどです。 エンティティとアフィニティの 2 つの主要なルールの種類を使用できます。
エンティティ ルールは、米国の社会保障番号など、(多くの場合、法的に規定され) 明確に定義された識別子を対象にしています。 エンティティは、カウントが可能なパターンの集まりで表現されます。 パターンは、明示的なプライマリ照合識別子との一致の集合を定義します。 エンティティの例は、ドライバーの免許です。
アフィニティ ルールは、企業の財務報告など特定のタイプのドキュメントを対象にしています。 アフィニティは、独立した証拠の集合で表現されます。 証拠は、特定の近さになっている、必要な一致物の集計です。 アフィニティの例としては、米国のサーベンス・オクスリー法があります。
関連情報
ファイルからカスタムの DLP ポリシー テンプレートをインポートする