ドキュメント フィンガープリンティング

ドキュメントフィンガープリントは、Microsoft Purview 機能であり、指定した標準フォームを使用し、そのフォームに基づいて機密情報の種類 (SIT) を作成します。 ドキュメントフィンガープリントを使用すると、organization全体で使用される標準フォームを識別することで、機密情報を簡単に保護できます。 この記事では、ドキュメントフィンガープリントの背後にある概念と、ユーザー インターフェイスまたは PowerShell を使用してドキュメント フィンガープリントを作成する方法について説明します。

ドキュメントフィンガープリントには、次の利点があります。

• ドキュメントフィンガープリントから作成された SID は、Exchange、SharePoint、OneDrive、Teams、デバイスを対象とした DLP ポリシーの検出方法として使用できます。
• MIP 自動ラベル付け では、Exchange、SharePoint、OneDrive の検出方法としてドキュメントフィンガープリントを使用できます。
• ドキュメントフィンガープリント機能は、Microsoft Purview ユーザー インターフェイスを使用して管理できます。
• 部分一致 がサポートされています。
• 完全一致 がサポートされています。
• 検出精度の向上
• 中国語、日本語、韓国語などの 2 バイト言語を含む複数の言語での検出のサポート。

重要

E5 のお客様の場合は、完全なドキュメント フィンガープリント機能セットを利用するために、既存の指紋を更新することをお勧めします。 E3 のお客様の場合は、E5 ライセンスにアップグレードすることをお勧めします。 そうしないと、2023 年 4 月以降に既存の指紋を変更したり、新しい指紋を作成したりすることはできません。

ドキュメントフィンガープリントの基本的なシナリオ

前述のように、ドキュメントフィンガープリント機能は、標準的な形式の情報を機密情報の種類 (SIT) に変換します。これは、DLP ポリシーのルールで使用できます。 たとえば、空白の特許テンプレートに基づいてドキュメント フィンガープリントを作成し、機密性の高いコンテンツが入力されているすべての送信特許テンプレートを検出してブロックする DLP ポリシーを作成できます。 必要に応じて、機密情報を送信している可能性があり、送信者が受信者が特許を受け取る資格があることを確認する必要があることを送信者に通知する ポリシー ヒント を設定できます。 このプロセスは、organizationで使用されるテキスト ベースのフォームで動作します。 アップロードできるフォームのその他の例を次に示します。

• 政府機関フォーム
• Health Insurance Portability and Accountability Act (HIPAA) 準拠フォーム
• 人事部門の従業員情報フォーム
• 組織用に特別に作成されたカスタム フォーム

組織で機密情報を送信するときに特定のフォームを使用するという業務習慣が既に確立されていることが理想的です。 検出を有効にするには、ドキュメントフィンガープリントに変換する空のフォームをアップロードします。 次に、対応するポリシーを設定します。 これらの手順を完了すると、DLP はそのフィンガープリントに一致する送信メール内のドキュメントを検出します。

DLP ポリシーの設計の詳細については、「 データ損失防止ポリシーの設計」を参照してください。

DLP ポリシーの作成と展開について詳しくは、「 データ損失防止ポリシーの作成と展開」をご覧ください。

ドキュメントフィンガープリントのしくみ

ドキュメントに実際の指紋がないことをご存知ですが、名前は機能の説明に役立ちます。 人の指紋が一意のパターンを持っているのと同じように、頻繁に使用されるフォーム(テンプレート)には、それらに固有の単語のパターンを持つことができます。 このパターンに基づく SIT を使用して、同じテンプレートを使用して作成されたファイルを検出できます。 このため、フォームまたはテンプレートをアップロードすると、最も効果的な種類のドキュメント フィンガープリントが作成されます。 フォームに入力するすべてのユーザーは、同じ元の単語セットを使用し、ドキュメントに独自の単語を追加します。 スキャンするドキュメントはパスワードで保護できないため、元のフォームのすべてのテキストを含める必要があります。

特許テンプレートには、空白のフィールド [特許タイトル]、[ 発明者]、[ 説明] と、それらの各フィールドの説明が含まれています。これは単語パターンです。 元の特許テンプレートをアップロードすると、サポートされているファイルの種類の 1 つとプレーン テキストになります。 MIcrosoft Purview は、この単語パターンをドキュメント フィンガープリントに変換します。これは、元のテキストを表す一意のハッシュ値を含む小さな Unicode XML ファイルです。 セキュリティ対策として、元のドキュメント自体は格納されません。ハッシュ値のみが格納されます。 元のドキュメントをハッシュ値から再構築することはできません。 特許指紋は、DLP ポリシーの条件として使用できる SIT で表されます。

たとえば、通常の従業員が特許を含む送信メッセージを送信できないように DLP ポリシーを設定した場合、DLP は特許指紋 SIT を使用して特許を検出し、それらのメールをブロックします。 または、法務部門が特許を他の組織に送ることができるようにすることもできます。これは、ビジネス上のニーズがあるためです。 特定の部門が機密情報を送信できるようにするには、DLP ポリシーでそれらの部門の例外を作成します。 または、ポリシー ヒントをビジネス上の正当な理由で上書きすることを許可することもできます。

重要

埋め込みドキュメント内のテキストは、指紋の作成には考慮されません。 埋め込みドキュメントを含まないサンプル テンプレート ファイルを指定する必要があります。

ドキュメント フィンガープリンティングの制限

ドキュメントフィンガープリントでは、次の場合に機密情報は検出されません。

• パスワードで保護されたファイル
• イメージのみを含むファイル
• ドキュメント フィンガープリントの作成に使用されたオリジナルのフォームのテキストがすべて含まれていないドキュメント
• 4 MB を超えるファイル

注:

デバイスでドキュメントフィンガープリントを使用するには、 高度な分類スキャンと保護を 有効にする必要があります。

指紋は別のルール パックに格納されます。 このルール パックの最大サイズ制限は 150 KB です。 この制限により、テナントごとに約 50 個のフィンガープリントを作成できます。

注:

指紋の作成に使用するテンプレートには、少なくとも 4,096 文字が必要です。 指紋テンプレートでサポートされている抽出テキストの長さは、4,096 ~ 204,800 文字である必要があります。

次の例は、特許テンプレートに基づいてドキュメント フィンガープリントを作成した場合の動作を示しています。 ただし、ドキュメント フィンガープリントを作成するための基礎として、任意のフォームを使用できます。

例: 特許テンプレートのドキュメント フィンガープリントに一致する特許文献を作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft 365 プランによっては、Microsoft Purview コンプライアンス ポータルは廃止されるか、間もなく廃止されます。

Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

Microsoft Purview ポータル

1. Microsoft Purview ポータルで、[データ損失防止] または [Information Protection>Classifiers>Sensitive info types] に移動します。
2. [ 機密情報の種類 ] ページで、[ + 指紋ベースの SIT の作成] を選択します。
3. 新しい SIT の名前と説明を入力します。
4. 指紋テンプレートとして使用するファイルをアップロードします。
5. 省略可能: 各信頼レベルの要件を調整します。 (詳細については、「 部分一致」 と「 完全一致」を参照してください)。
6. [次へ]を選択します。
7. 設定を確認し、[ 作成] を選択します。
8. 確認ページが表示されたら、[完了] を選択 します。

コンプライアンス ポータル

1. コンプライアンス ポータルで、[ データ分類 ] を選択し、[ 分類子] を選択します。
2. [分類子] ページで、[機密情報の種類] を選択します>指紋ベースの SIT を作成します。
3. 新しい SIT の名前と説明を入力します。
4. 指紋テンプレートとして使用するファイルをアップロードします。
5. 省略可能: 各信頼レベルの要件を調整します。 (詳細については、「 部分一致」 と「 完全一致」を参照してください)。
6. [次へ]を選択します。
7. [作成] >設定を確認します。
8. 確認ページが表示されたら、[完了] を選択 します。

特許テンプレートのドキュメント フィンガープリントに一致する特許文献の PowerShell の例

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

部分一致

ドキュメントフィンガープリントの部分一致を構成するには、テンプレートのアップロード中に構成オプションを設定するときに、信頼度レベルを設定し、[ 低]、[ 中]、または [高] を選択し、ファイル内のテキストの量が指紋と一致する必要がある量を 30% から 90% の割合で指定します。

信頼度が高いレベルでは、最も少ない誤検知が返されますが、偽陰性が多くなる可能性があります。 低または中程度の信頼度レベルは、より多くの誤検知を返しますが、偽陰性は少ないからゼロに戻ります。

• 低信頼度: 一致した項目には、最も少ない偽陰性が含まれますが、最も誤検知が含まれます。 低信頼度は、すべての低、中、高の信頼度の一致を返します。
• 中程度の信頼度: 一致した項目には、誤検知と偽陰性の平均数が含まれます。 中程度の信頼度は、すべての中程度の一致と高い信頼度の一致を返します。
• 高信頼度: 一致した項目には、最も少ない誤検知が含まれますが、最も偽陰性が含まれます。

完全一致

ドキュメント フィンガープリントの正確な照合を構成するには、高信頼度の値として [正確] を選択します。 高信頼度を Exact に設定すると、指紋とまったく同じテキストを持つファイルのみが検出されます。 ファイルが指紋から少しでも逸脱している場合は、検出されません。

指紋 SID を既に使用していますか?

これらの指紋の既存の指紋とポリシー/ルールは引き続き機能する必要があります。 最新の指紋機能を使用したくない場合は、何もする必要はありません。

E5 ライセンスをお持ちで、最新の指紋機能を使用する場合は、次の 2 つの選択肢があります。

• 新しい指紋を作成します。
• ポリシーを 新しいバージョンに移行します。

注:

指紋が既に存在するテンプレートを使用した新しいフィンガープリントの作成はサポートされていません。

PowerShell を使用してドキュメントフィンガープリントに基づいてカスタム機密情報の種類を作成する

現時点では、 セキュリティ & コンプライアンス PowerShell でのみドキュメント フィンガープリントを作成できます。

ドキュメント フィンガープリントに基づいてカスタム SIT を作成するには、 New-DlpSensitiveInformationType コマンドレットを使用します。 次の例では、ファイル C:\My Documents\Contoso Customer Form.docx に基づいて、"Contoso Customer Confidential" という名前の新しいドキュメント フィンガープリントを作成します。

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

最後に、"Contoso Customer Confidential" 機密情報の種類をMicrosoft Purview コンプライアンス ポータルの DLP ポリシーに追加します。 次の使用例は、"ConfidentialPolicy" という名前の既存の DLP ポリシーにルールを追加します。

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

次の例に示すように、Exchange のメール フロー ルールでフィンガープリント SIT を使用することもできます。 このコマンドを実行するには、まず Exchange PowerShell に接続する必要があります。 また、SID が Exchange 管理センターと同期するまでに時間がかかることに注意してください。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP は、Contoso Customer Form.docx ドキュメント フィンガープリントと一致するドキュメントを検出できるようになりました。

構文とパラメーターの情報については、次を参照してください。

• New-DlpFingerprint
• New-DlpSensitiveInformationType
• Remove-DlpSensitiveInformationType
• Set-DlpSensitiveInformationType
• Get-DlpSensitiveInformationType

ドキュメント フィンガープリントを編集、テスト、または削除する

Microsoft Purview ポータルでこれを行うには、編集、テスト、または削除する指紋 SIT を開き、適切なアイコンを選択します。

PowerShell を使用してこれを行うには、次のコマンドを実行します。

ドキュメントフィンガープリントを編集する

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

ドキュメントフィンガープリントをテストする

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

ドキュメントフィンガープリントを削除する

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

Microsoft Purview ポータルを使用して既存の指紋 SIT を に移行する

1. Microsoft Purview ポータル >Information Protection>Classifiers>Sensitive info types を開きます。
2. 移行する指紋を含む SIT を開きます。
3. [ 編集] を選択します。
4. 同じ指紋ファイルをもう一度アップロードします。
5. 指紋設定 >Done を確認します。

PowerShell を使用して指紋を移行する

次のコマンドを入力します:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"