データ損失防止ポリシーの作成と管理
組織は機密情報を保護し、不注意による情報漏えいを防ぐ必要があります。 データ保護に関する規制は、随時変更されます。 データ損失防止 (DLP) の目的は、機密データが失われたり、悪用されたり、権限のないユーザーによってアクセスされたりしないようにすることです。
Microsoft Purview データ損失防止ポリシーを使用すると、組織は Microsoft 365 環境全体で機密情報を識別、監視、および自動的に保護できます。
DLP ポリシーは、次の作業に役立ちます。
複数の保管場所での機密情報の識別 (Exchange Online、SharePoint、OneDrive、Microsoft Teams)
機密情報の偶発的な共有の防止
デスクトップ バージョンの Excel、PowerPoint、Word 内の機密情報の監視と保護
DLP レポートの表示 (組織の DLP ポリシーと一致するコンテンツを含む)
Microsoft Teams の DLP ポリシー
組織にデータ損失防止 (DLP) がある場合は、Microsoft Teams チャネルまたはチャット セッションで機密情報を共有できないようにするポリシーを定義できます。 Microsoft Teams の DLP は、ゲスト アクセス または 外部アクセス を持つ Microsoft Teams ユーザーと共有すると機密コンテンツをブロックします。 この保護のしくみの例を次に示します。
メッセージ内の機密情報の保護: 誰かが Teams のチャットまたはチャネルで機密情報をゲストと共有しようとしていたとします。 この状況を防ぐために DLP ポリシーが定義されている場合、ゲストに送信される機密情報を含むメッセージは削除されます。 削除は、DLP ポリシーの構成内容に応じて、自動的に数秒以内に実行します。
ドキュメント内の機密情報の保護: 誰かが Microsoft Teams チャネルまたはチャットでゲストとドキュメントを共有しようとしていて、ドキュメントに機密情報が含まれているとします。 これを防ぐために DLP ポリシーが定義されている場合、ドキュメントはそれらのユーザーには開きません。 保護を適用するには、DLP ポリシーに SharePoint と OneDrive を含める必要があります。
例: Teams チャットとチャネル メッセージで社会保障番号を保護する
Contoso の Teams 管理者として、Teams チャットとチャネル メッセージの社会保障番号を保護するための DLP ポリシーを作成して適用しました。
その後、ユーザーが Microsoft Teams チャネルで社会保障番号を送信しようとしました。 メッセージがブロックされ、どうしたらいいのでしょうか? というヘルプ リンクが表示されます。 このリンクは、送信者が問題を解決するためのオプションを提供するダイアログ ボックスを表示します。
管理者は、組織内の DLP ポリシーのオーバーライドをユーザーに許可することを選択できます。 DLP ポリシーを構成するときに、既定のポリシー ヒントを使用するか、ポリシー ヒントをカスタマイズできます。 次の例では、送信者はポリシーをオーバーライドするか、管理者に確認して解決するよう通知するオプションを持っています。
次の図のように、受信者は画面上で異なるメッセージを表示しています。
受信者は、機密性の高いコンテンツが原因でメッセージがブロックされたことを示す情報を受信しており、これは何ですか? というメッセージのすぐ横にリンクがあることに気付くかもしれません。DLP ポリシーに関する記事が開き、ユーザーはメッセージがブロックされた理由の説明を見つけることができます。
DLP ポリシー構成の概要
DLP ポリシーの作成と構成は柔軟に行うことができます。 定義済みのテンプレートから始めて、数回のクリックでポリシーを作成することも、独自に設計することもできます。 どの DLP ポリシーを選択しても、すべての DLP ポリシーに同じ情報が必要です。
監視する対象を選択: Microsoft Purview には、作業を開始するのに役立つ定義済みのポリシー テンプレートが多数付属しています。また、カスタム ポリシーを作成することもできます。
定義済みのポリシー テンプレート: 財務データ、医療と保健データ、プライバシー データなど、さまざまな国と地域に対応しています。 詳細については、「DLP ポリシー テンプレート」を参照してください。
使用可能な機密情報の種類、保持ラベル、および秘密度ラベルを使用するカスタム ポリシー。
監視する場所を選択: DLPが機密情報を監視する場所を 1 つ以上選択します。 次の情報を監視できます。
場所 包含 / 除外 Exchange メール 配布グループ SharePoint サイト sites OneDrive アカウント アカウントまたは配布グループ Teams チャットおよびチャネル メッセージ アカウント Windows 10 デバイス ユーザーまたはグループ Microsoft Defender for Cloud Apps インスタンス オンプレミスのリポジトリ リポジトリ ファイルのパス アイテムにポリシーを適用するために一致する必要がある条件を選択: 事前構成済みの条件を受け入れるか、カスタム条件を定義できます。 次に例を示します。
アイテムには、特定のコンテキストで使用されている指定された種類の機密情報が含まれています。 たとえば、組織外の受信者に電子メールで送信される 95 件の社会保障番号です。
アイテムには、指定された感度ラベルがあります。
機密情報を含むアイテムは、内部または外部で共有されます。
ポリシー条件が満たされたときに実行するアクションを選択: アクションは、アクティビティが発生している場所によって異なります。 次に例を示します。
SharePoint/Exchange/OneDrive - 組織外のユーザーがコンテンツにアクセスできないようにブロックします。 ユーザーにヒントを表示し、DLP ポリシーで禁止されているアクションを実行していることを示す電子メール通知を送信します。
Teams チャットとチャネル - 機密情報がチャットまたはチャネルで共有されないようにブロックします。
条件と実行するアクションは、Rule と呼ばれるオブジェクトで定義されます。 特定の保護要件を適用するためのルールが作成されます。 DLP ポリシーは、一般的な保護要件をグループ化するために使用されます。
Microsoft Teams の新しい DLP ポリシーを作成する
DLP ポリシーは、データ損失防止 の下の Microsoft Purview コンプライアンス ポータルで管理できます。 Teams の場所の新しい DLP ポリシーを作成するには、次の手順に従います。
Microsoft Purview コンプライアンス ポータルから、[ポリシー] > [データ損失防止] の順に選択します。
[ポリシー] タブを選択し、[+ ポリシーの作成] を選択してウィザードを開始します。
[テンプレートの使用を開始するか、カスタム ポリシーを作成する] ページで、さまざまな機密情報の種類のテンプレートから選択することも、カスタム ポリシー の作成を選択することもできます。 選択したら、[次へ] を選択します。
[ポリシーに名前を付ける] ページで、わかりやすい 名前 と、この DLP ポリシーの目的を説明する、説明 を入力します。 [次へ] を選択します。
[ポリシーを適用する場所の選択] ページで、DLP ポリシーで保護する場所を選択します。 DLP ポリシーには、Teams と Teams 以外の場所を同時に含めることができます。
[ポリシー設定の定義] ページで、ラジオ ボタンのいずれかを選択し、[次へ] を選択します。
テンプレートの既定の設定を確認してカスタマイズする
高度な DLP ルールを作成またはカスタマイズする
前の選択内容に応じて、ポリシー設定 を構成します。
[高度な DLP ルールの作成またはカスタマイズ] を選択した場合は、次の設定で新しいルールを構成します。
条件
例外
操作
ユーザー通知
ユーザー上書き
インシデント レポート
追加オプション
必要な設定を構成したら、[次へ] を選択します。
[ポリシーのテストまたは有効化] ページで、さまざまな設定から選択して、新しい DLP ポリシーを有効にすることができます。
[最初にテストする] - ポリシーを適用しません。 テスト モード中にポリシー ヒントを表示することもできます。
[すぐにオンにする] - 作成直後にポリシーをアクティブにします。
[オフにする] - ポリシーを非アクティブのままにします。
[次へ] を選択し、[設定の確認] ページで、[送信] を選択します。
