次の方法で共有


デバイス上のファイル アクティビティの証拠収集の詳細

Microsoft Purview データ損失防止 (DLP) インシデントを調査する場合、または DLP ポリシーのトラブルシューティングを行う場合は、参照するポリシーに一致するアイテムの完全なコピーを作成すると便利です。 DLP は、DLP ポリシーに一致するアイテムをオンボードされた Windows デバイスから Azure ストレージ アカウントにコピーできます。 Azure ストレージ BLOB に対する適切なアクセス許可が付与されている DLP インシデント調査担当者と管理者は、ファイルにアクセスできます。

この機能の構成と使用を開始するには、「 デバイスからのデータ損失防止ポリシーに一致するファイルの収集の概要」を参照してください。

ヒント

Microsoft Copilot for Security の使用を開始して、AI の力を使用して、よりスマートかつ迅速に作業するための新しい方法を探ります。 Microsoft Purview の Microsoft Copilot for Security の詳細については、こちらをご覧ください。

Microsoft Purview DLP を初めて使用する場合は、DLP を実装するときに必要なコア記事の一覧を次に示します。

  1. 管理単位
  2. Microsoft Purview データ損失防止の詳細 - この記事では、データ損失防止規範と Microsoft による DLP の実装について説明します。
  3. データ損失防止 (DLP) を計画 する - この記事を使用して、次の作業を行います。
    1. 利害関係者を特定する
    2. 保護する機密情報のカテゴリについて説明する
    3. 目標と戦略を設定する
  4. データ損失防止ポリシーリファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します。
  5. DLP ポリシーの設計 - この記事では、ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について説明します。
  6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマップする一般的なポリシー意図シナリオについて説明します。その後、これらのオプションを構成する手順について説明します。

デバイス上のファイル アクティビティの証拠収集が Purview に収まる場所

エンドポイント DLP は、 より大規模な DLP オファリング の一部であり、 Microsoft Purview で提供される幅広いサービスの一部です。 デバイス上のファイル アクティビティの証拠収集が、より大規模なサービス オファリングのセットにどのように適合するかを理解する必要があります。

デバイスと電子情報開示でのファイル アクティビティの証拠収集

この機能は、オンボードされた Windows デバイス上の DLP ポリシーに一致するアイテムのコピーを作成し、それらのコピーを Azure ストレージ アカウントに配置します。 これらのコピーは変更のない状態に保持されず、用語の法的な意味での証拠ではありません。 法的な目的でアイテムを検索して保持する必要がある場合は、 Microsoft Purview 電子情報開示ソリューションを使用する必要があります。 電子情報開示 (eDiscovery) とは、訴訟で証拠として使用できる電子的情報を特定および提供するプロセスです。

デバイス上のファイル アクティビティとコンテキストの概要に関する証拠の収集

ユーザーがそのアイテムに対して受け取るアイテムとアクティビティが DLP ポリシーで定義されている条件と一致すると、アクティビティ エクスプローラーDLPRuleMatch イベントが表示されます。 これは、DLP がサポートするすべての場所に当てはまります。 DLPRuleMatch イベントには、一致するコンテンツを囲むテキストの量が限られています。 この限られた量のテキストは、 コンテキスト サマリーと呼ばれます。

デバイス上のファイル アクティビティの証拠収集とコンテキストの概要の違いを理解することが重要です。 デバイス上のファイル アクティビティの証拠収集は、オンボードされた Windows デバイスでのみ使用できます。 ポリシーと一致したアイテム全体のコピーが Azure ストレージ アカウントに保存されます。 コンテキストの概要は、DLP ポリシー ルールの一致ごとにキャプチャされ、一致をトリガーしたターゲット テキストを囲む限られた量のテキストのみが含まれます。

対象ユーザー アクティビティ

ユーザーが一致したアイテムに対してこれらのアクティビティのいずれかを実行しようとしたときに、一致したアイテムのコピーを Azure ストレージ アカウントに保存するように、デバイス上のファイル アクティビティの証拠収集を構成できます。

  • リムーバブル USB にコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • RDP をコピーまたは移動する
  • クラウド サービス ドメインにアップロードするか、許可されていないブラウザーからアクセスする
  • サポートされているブラウザーに貼り付ける

これらのアクティビティの検出は、DLP ポリシーで構成されます。 DLP ポリシーを作成する方法の詳細については、「データ損失防止ポリシーの作成と展開」および「エンドポイントデータ損失防止の使用」を参照してください。

対象となるアクション

エンドポイント DLP 設定でデバイス上のファイル アクティビティに対して証拠収集を有効にし、この機能を使用するように DLP ポリシーを構成すると、一致した項目のコピーがこれらのアクションに保存されます。

  • 監査のみ
  • オーバーライド付きブロック
  • ブロック

これらのアクションは、DLP ポリシーで構成されます。 DLP ポリシーを作成する方法の詳細については、「データ損失防止ポリシーの作成と展開」および「エンドポイントデータ損失防止の使用」を参照してください。

設計上の考慮事項

Azure Storage アカウントのリージョン

規制要件に準拠するには、使用する Azure ストレージ アカウントが、コピー元のデバイスと同じ地政学的または規制上の境界にあることを確認します。 また、保存後に機密アイテムにアクセスする DLP 調査担当者の地政学的な場所にも注意してください。 管理単位を使用して、DLP ポリシーごとにユーザーとデバイスの管理のスコープを適切に設定することを検討してください。 データ損失防止を使用してデータプライバシー規制に準拠する方法については、「 Microsoft Purview を使用してデータプライバシー規制の情報保護を展開する」を参照してください。 デバイス上のファイル アクティビティの証拠収集では、最大 10 個の Azure ストレージ アカウントがサポートされます。

データ損失防止を使用してデータプライバシー規制に準拠する方法については、「 Microsoft Purview を使用してデータプライバシー規制の情報保護を展開する」を参照してください。

ローカル ストレージと帯域幅

既定では、一致した項目のコピーは、既存のネットワーク接続経由で構成された Azure ストレージ アカウントに非同期的に保存されます。 デバイスに接続がない場合、一致した項目は 500 MB の制限までローカルに保存されます。 アイテムは最大 60 日間ローカルに保存できます。

デバイスには Azure ストレージ アカウント URL への接続がありますが、帯域幅の使用に制限はありません。 デバイス上のファイル アクティビティの収集に関する証拠として使用される帯域幅は、 高度な分類スキャンと保護の既定または構成された帯域幅の制限には影響しません。

Azure ストレージ アカウント

お客様は、独自の Azure ストレージ アカウントの作成と管理を担当します。 Azure Storage を初めて使用する場合は、次を参照してください。

ポリシーに一致する項目は、ログインしたユーザーのセキュリティ コンテキストで、ユーザーのデバイスから Azure ストレージ アカウント BLOB にコピーされます。 そのため、ポリシーのスコープ内のすべてのユーザーは、BLOB ストレージに対する読み取りおよび書き込みアクセス許可を持っている必要があります。 詳細については、「デバイスからのデータ損失防止ポリシーに一致するファイルの収集の概要」を参照してください。

同様に、保存済みアイテムを確認するすべての管理者は、Azure ストレージ アカウント BLOB に対する read アクセス許可を持っている必要があります。 詳細については、「 デバイスからのデータ損失防止ポリシーに一致するファイルの収集の概要」を参照してください。

機密情報が検出されたときに証拠を格納する (プレビュー)

サポートされているファイルの種類

サポートされているファイルの種類の詳細については、「 証拠を格納およびプレビューするためのサポートされているファイルの種類」を参照してください。

サポートされているストレージの種類

Purview がコンテンツ内の機密情報を検出したときに収集される証拠を格納するには、2 つのオプションがあります。 カスタマー マネージド データ ストアまたは Microsoft マネージド データ ストア (プレビュー) を使用できます。 使用する必要があるオプションは、要件とユース ケースによって異なります。 決定に役立てるには、次の比較表を確認してください。

ストレージの種類の比較

一致したファイルは、ロールベースのアクセス制御 (RBAC) アクセス許可がそのまま残っている限り、ストレージの種類を変更した後でもアラートの結果に含まれ続けます。 カスタマー マネージド ストレージは顧客が所有しているため、DLP 管理者は引き続きファイルごとにストレージから直接ファイルをダウンロードできます。

次の表は、コンテンツで検出された機密情報の証拠を収集するためのカスタマー マネージド ストレージと Microsoft が管理するストレージの違いを示しています。

Feature 要素 カスタマー マネージド Microsoft マネージド (プレビュー)
ファイルの保持期間 必要に応じてファイルを保持できます。 ファイルは最大 120 日間保持されます。
エンドポイント設定 エンドポイント設定に BLOB ストレージ (コンテナー URL) を追加し、 Microsoft Entra 管理センター を使用して、スコープ内ユーザーの BLOB に対する明示的なユーザーアクセス許可を構成する必要があります。 すべての構成とアクセス許可は、エンドポイント設定を構成するときに 1 回のクリックで処理されます。
ポリシーと場所の構成 ポリシーが適用される場所ごとに、ポリシーごとにストレージ BLOB を追加して構成する必要があります。 特定のポリシーの場所にストレージを選択する必要はありません。
データ ストアの場所/リージョン お客様が選んだ Microsoft Purview テナントと同じリージョン。
料金 ストレージ コストは、Entra サブスクリプションのコストに加えて課金されます。 プレビュー中は、ストレージの追加コストは発生しません。
ネットワーク構成 ストレージ BLOB がネットワーク ファイアウォールを通過するためのコンテナー URL を許可する必要があります。 ネットワーク ファイアウォールを通過できるように、 compliancedrive.microsoft.com を "許可" リストに含める必要があります。

ストレージの種類の変更

お客様はいつでもストレージの種類を切り替えることができます。 ただし、長期的に必要なストレージの種類を慎重に計画し、ユース ケースに適したオプションを選択することをお勧めします。 2 種類のストレージの違いの詳細については、 ストレージの種類の比較表を参照してください。

注:

ストレージの種類を切り替える場合は、ポリシーを更新して、新しいデータ ストア内のファイルに適用されるようにする必要があります。

証拠ファイルに対するストレージの種類の変更の影響

ロールベースのアクセス制御 (RBAC) のアクセス許可が変更されない場合、ストレージ管理の種類を変更した後でも、一致したファイルは引き続きアラートの結果に含まれます。

ユーザーがカスタマー マネージド ストレージ ソリューションを所有しているため、DLP 管理者は、Microsoft が管理するストレージ ソリューションに移動した後も、ファイルごとにファイルを直接ダウンロードできます。

次の手順

次の手順では、デバイス上のファイル アクティビティの証拠収集を構成します。

詳細については、「 デバイスからのデータ損失防止ポリシーに一致するファイルの収集の概要」を参照してください。