データ損失防止について

組織では、次のような機密情報が管理されています。

• 財務データ
• 財産的価値のあるデータ
• クレジット カード番号
• 医療記録
• 社会保障番号

機密データを保護し、過剰共有によるリスクを軽減するために、組織はユーザーが機密データを保持すべきではない人物と機密データを不適切に共有することを防ぐ必要があります。 この方法は、データ損失防止 (DLP) と呼ばれます。

Microsoft Purview では、DLP ポリシーを定義して適用することで、データ損失防止を実装します。 DLP ポリシーを使用すると、次の場所で機密アイテムを特定して監視し、自動的に保護できます:

• Teams、Exchange、SharePoint、OneDrive アカウントなどの Microsoft 365 サービス
• Word、Excel、PowerPoint などの Office アプリケーション
• Windows 10、Windows 11、macOS (最新の 3 つのリリース バージョン) エンドポイント
• Microsoft 以外のクラウド アプリ
• オンプレミスのファイル共有およびオンプレミスの SharePoint
• Fabric と Power BI のワークスペース
• Microsoft 365 Copilot (プレビュー)

DLP は、単純なテキスト スキャンだけではなく、詳細なコンテンツ分析を使用して機密アイテムを検出します。 コンテンツは次のように分析されます:

• キーワードに対するプライマリ データの一致
• 正規表現の評価
• 内部関数の検証
• プライマリ データの一致に近いセカンダリ データの一致
• DLP は、機械学習アルゴリズムやその他の方法も使用して、DLP ポリシーに一致するコンテンツを検出します

開始する前に

Microsoft Purview DLP を初めて使用する場合は、DLP を実装する際に以下の一覧にある主要な記事が必要となります。

1. 管理単位
2. Microsoft Purview データ損失防止に関する詳細 - 現在ご覧いただいている記事では、データ損失防止の規範と Microsoft による DLP の実装について説明しています。
3. データ損失防止 (DLP) の計画 - この記事を読み進めながら、次のことが行えます:
   1. 関係者の特定
   2. 保護する機密情報のカテゴリの定義
   3. 目標と戦略の設定
4. データ損失防止ポリシー リファレンス - この記事では、DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作に与える影響を紹介しています。
5. DLP ポリシーの設計 - この記事では、ポリシー インテント ステートメントを作成し、それを特定のポリシー構成にマッピングする方法について解説されています。
6. データ損失防止ポリシーの作成と展開 - この記事では、構成オプションにマッピングする一般的なポリシー インテント シナリオについて解説し、次に、それらのオプションの構成について説明しています。
7. データ損失防止アラートの調査に関する詳細情報 - この記事では、アラートのライフサイクルについて、作成から最終的な修復とポリシーの調整までが解説されています。 また、アラートの調査に使用するツールも紹介されています。

ライセンスとサブスクリプション

DLP をサポートするサブスクリプションの詳細については、「セキュリティとコンプライアンスに関する Microsoft 365 ガイダンス」を参照してください。

DLP は、より大きな Microsoft Purview オファリングの一部です

DLP は、機密アイテムをその保存場所や転送先にかかわらず保護するために使用できる Microsoft Purview ツールの 1 つに過ぎません。 Microsoft Purview ツール セットに他にどのようなツールがあるか、それらがどのように相互に関係しているか、それらを連携させるとより効果的になることを理解する必要があります。 情報保護プロセスの詳細については、「Microsoft Purview ツール」を参照してください。

DLP ポリシーの保護措置

DLP ポリシーは、ユーザーが保存中、転送中、または使用中の機密アイテムに対して実行するアクティビティを監視し、保護措置を実行する方法を指定します。 たとえば、機密アイテムを未承認の場所にコピーする、メールで医療情報を共有するなど、禁止されているアクションをユーザー行おうとした場合、DLP は次のことができます:

• 機密アイテムを不適切に共有しようとしている可能性があることを警告するポップアップ ポリシー ヒントをユーザーに表示する
• 共有をブロックし、ポリシー ヒントを使用してユーザーがブロックをオーバーライドし、ユーザーの正当な理由を記録できるようにする
• オーバーライドのオプションなしで共有をブロックする
• 保存データの場合、機密アイテムをロックし、セキュリティで保護された検疫場所に移動できます
• Teams チャットの場合、機密情報は表示されません

DLP で監視されるすべてのアクティビティは、既定で Microsoft 365 監査ログに記録され、アクティビティ エクスプローラーにルーティングされます。

DLP ライフサイクル

DLP の実装は、通常、次のような主要なフェーズに沿って行われます。

• DLP を計画する
• DLP の準備
• 運用環境へのポリシーの展開

DLP を計画する

DLP の監視と保護は、ユーザーが日常的に使用するアプリケーションにネイティブです。 これにより、ユーザーがデータ損失防止の考え方や慣行を熟知していなくても、組織の機密アイテムを危険なアクティビティから保護できます。 組織とユーザーにとってデータ損失防止の慣行が新しいものである場合、DLP を導入するにはビジネス プロセスを変更する必要がある可能性があり、ユーザーの文化の変革も伴います。 しかし、適切な計画やテスト、調整により、DLP ポリシーは機密アイテムを保護すると同時に、潜在的なビジネス プロセスの中断を最小限に抑えます。

DLP に合わせたテクノロジ計画

DLP は、Microsoft 365 サービス、Windows 10、Windows 11、macOS (最新の 3 つのリリース バージョン) のデバイス、オンプレミスのファイル共有、オンプレミスの SharePoint で保存データ、使用中のデータ、転送中のデータを監視および保護できるテクノロジであることを念頭に入れておいてください。 異なる場所、監視および保護するデータの種類、ポリシーとの一致が発生したときに実行されるアクションに応じて、計画上の影響があります。

DLP に合わせたビジネス プロセス計画

DLP ポリシーを使用すると、メールによる機密情報の不適切な共有など、禁止されているアクティビティをユーザーが実行することをブロックできます。 DLP ポリシーを計画するときは、機密アイテムに関与するビジネス プロセスを特定する必要があります。 許可すべき適切なユーザーの行動と、保護する対象となる不適切なユーザーの行動を特定するにあたり、ビジネス プロセスの所有者の協力を得ます。 ポリシーを計画したら、それをより制限の厳しいモードで実行する前にシミュレーション モードで展開し、その影響を評価する必要があります。

DLP に合わせた組織文化の計画

DLP の実装を成功させるには、ユーザーがデータ損失防止の慣行のトレーニングを受け、それに慣れることが、効果的に計画され調整されたポリシーと同じくらい重要です。 ユーザーの関与度が高いため、ユーザーのトレーニングも必ず計画します。 ポリシーの状態をシミュレーション モードからより制限の厳しいモードに変更する前に、ポリシー ヒントを戦略的に使用して、ユーザーによる認識を高めることができます。

DLP の準備

DLP ポリシーは、次の場所で保存データ、使用中のデータ、転送中のデータに適用できます:

• Exchange Online メール
• SharePoint サイト
• OneDrive アカウント
• Teams チャットおよびチャネル メッセージ
• インスタンス: Microsoft Defender for Cloud Apps
• デバイス: Windows 10、Windows 11、macOS (最新の 3 つのリリース バージョン)
• オンプレミスのリポジトリ
• Fabric と Power BI のワークスペース
• Microsoft 365 Copilot (プレビュー)

それぞれに異なる前提条件があります。 Exchange Online などの一部の場所にある機密アイテムは、適用されるポリシーを構成するだけで DLP の下に取り込むことができます。 オンプレミスのファイル リポジトリなど、他の場所では、Microsoft Purview Information Protection スキャナーの展開が必要です。 ブロック アクションを有効にする前に、環境を準備し、ポリシーの下書きをコーディングし、十分にテストする必要があります。

運用環境へのポリシーの展開

ポリシーを設計する

まず、制御の目標と、それぞれのワークロードにどのように適用するかを定義します。 目標を具体化するポリシーを作成します。 一度に 1 つのワークロードずつ開始することも、すべてのワークロードで開始することもでき、現段階では影響はありません。 詳細については、「データ損失防止ポリシーの作成と展開」を参照してください。

ポリシーをシミュレーション モードで実装する

DLP ポリシーを使用して制御をシミュレーション モードで実装し、その影響を評価します。 ポリシーがシミュレーション モードの間、ポリシーで定義されたアクションは適用されません。 すべての結果を得られるよう、シミュレーション モードでポリシーをすべてのワークロードに適用することができますが、必要に応じて 1 つのワークロードから始めることもできます。 詳細については、「ポリシーの展開」を参照してください。

結果を監視し、ポリシーを微調整する

シミュレーション モードでは、有効なユーザー ワークフローや生産性に悪影響を及ぼしたり、気付かずに影響を与えたりしないようにしながら、ポリシーの結果を監視し、制御の目標を満たすようにポリシーを微調整します。 微調整の内容の例を次に示します:

• 範囲内外の場所やユーザーの調整
• アイテムとその処理がポリシーと一致するかどうかを判断するために使用される条件の調整
• 機密情報の定義
• 新しい制御の追加
• 新しいユーザーの追加
• 新しい制限付きアプリの追加
• 新しい制限付きサイトの追加

制御を有効にしてポリシーを調整する

ポリシーがすべての目標を満たしたら、有効にします。 引き続きポリシー適用後の結果を監視し、必要に応じて調整します。

DLP ポリシー構成の概要

DLP ポリシーの作成と構成は柔軟に行うことができます。 定義済みのテンプレートから始めて、数回のクリックでポリシーを作成することも、独自に設計することもできます。 どの DLP ポリシーを選択しても、すべての DLP ポリシーに同じ情報が必要です。

1. 監視対象の選択 - DLP には、開始するのに役立つ定義済みのポリシー テンプレートが多数付属しています。また、カスタム ポリシーを作成することもできます。

   • 財務データ、医療と保健データ、プライバシー データなどの定義済みのポリシー テンプレート。すべてさまざまな国と地域に対応しています。
   • 使用可能な機密情報の種類 (SIT)、保持ラベル、秘密度ラベルを使用するカスタム ポリシー。

2. 管理範囲の選択 - DLP は、ポリシーへの管理単位の割り当てをサポートしています。 管理単位に割り当てられている管理者は、自身に割り当てられているユーザー、グループ、配布グループ、アカウントのポリシーのみを作成および管理できます。 そのため、制限のない管理者がすべてのユーザーとグループにポリシーを適用することも、管理単位に範囲を設定することもできます。 DLP 固有の詳細については、「ポリシーの範囲指定」を参照してください。 Microsoft Purview Information Protection 全体の管理単位の詳細については、「管理単位」を参照してください。

3. 監視する場所の選択 - DLP が機密情報を監視する場所を 1 つまたは複数選択します。 次の情報を監視できます。

   場所	包含 / 除外
   Exchange メール	配布グループ
   SharePoint サイト	sites
   OneDrive アカウント	アカウントまたは配布グループ
   Teams チャットおよびチャネル メッセージ	アカウントまたは配布グループ
   Windows 10、Windows 11、macOS (最新の 3 つのリリース バージョン) のデバイス	ユーザーまたはグループ
   Microsoft Cloud App Security	インスタンス
   オンプレミスのリポジトリ	リポジトリ ファイルのパス
   ファブリックと Power BI	ワークスペース
   Microsoft 365 Copilot (プレビュー)	アカウントまたは配布グループ

4. アイテムにポリシーを適用するために一致する必要がある条件の選択 - 事前構成済みの条件を受け入れることも、カスタム条件を定義することもできます。 次に例を示します。

   • アイテムに、特定のコンテキストで使用されている指定された種類の機密情報が含まれている。 たとえば、組織外の受信者に電子メールで送信される 95 件の社会保障番号です。
   • アイテムに、指定された秘密度ラベルが適用されている
   • 機密情報を含むアイテムが内部でまたは外部と共有されている

5. ポリシー条件が満たされたときに実行するアクションの選択 - アクションは、アクティビティが発生している場所によって異なります。 次に例を示します。

   • SharePoint/Exchange/OneDrive: 組織外のユーザーがコンテンツにアクセスできないようにブロックする。 ユーザーにヒントを表示し、DLP ポリシーにより禁止されているアクションを実行しようとしていることを示すメール通知を送信する。
   • Teams チャットとチャネル: 機密情報がチャットまたはチャネルで共有されないようにブロックする。
   • Windows 10、Windows 11、macOS (最新の 3 つのリリース バージョン) のデバイス: リムーバブル USB デバイスへの機密アイテムのコピーを監査または制限する。
   • Office アプリ: ユーザーが危険な行動を取っていることをユーザー通知するポップアップを表示し、ブロックするか、ブロックするが上書きを許可する。
   • オンプレミスのファイル共有: ファイルを保存場所から検疫フォルダーに移動する。

   注:

   条件と実行するアクションは、rule と呼ばれるオブジェクトで定義されます。

DLP ポリシーを作成して展開する

すべての DLP ポリシーは、Microsoft Purview コンプライアンス ポータルで作成および管理されます。 詳細については、「データ損失防止ポリシーの作成と展開」を参照してください。

コンプライアンス ポータルで DLP ポリシーを作成すると、セントラル ポリシー ストアに格納され、次のものを含む各種コンテンツ ソースと同期されます:

• Exchange、そこから Outlook for the web および Outlook
• OneDrive
• SharePoint サイト
• Office デスクトップ プログラム (Excel、PowerPoint、Word)
• Microsoft Teams チャネルおよびチャット メッセージ

ポリシーは、適切な場所に同期されると、コンテンツの評価とアクションの適用を開始します。

ポリシー アプリケーションの結果を表示する

DLP は、監視ポリシーの一致とアクションからユーザー アクティビティまで、Microsoft Purview に膨大な量の情報を報告します。 ポリシーを調整し、機密アイテムに対して実行されたアクションをトリアージするには、その情報を使用して対処する必要があります。 診断データは、最初に Microsoft 365 監査ログに記録され、処理され、各種レポート ツールに転送されます。 レポート ツールにはそれぞれ異なる目的があります。

外部で共有または保存された大量の機密情報

Microsoft 365 では、DLP ポリシーの範囲外における危険なユーザー アクティビティを把握できます。 DLP ホームページの [外部で共有または保存された大量の機密情報] カードには、ユーザーが次のアクティビティを行った機密アイテムの数が表示されます:

• 疑わしいドメインにアップロードしたもの
• 疑わしいアプリケーションを使用してアクセスしたもの
• リムーバブル ドライブにコピーしたもの

Microsoft 365 は、リスクの高いアクティビティについて監査ログをスキャンし、それらを相関エンジンにかけ、発生数の多いアクティビティを見つけます。 DLP ポリシーは必要ありません。

ユーザーが組織外にコピーまたは移動しているアイテム (エグレス アクティビティまたは流出情報と呼ばれる) の詳細を取得するには、カードの [詳細] リンクを選択し、詳細ウィンドウを開きます。 Microsoft Purview データ損失防止 (DLP) のインシデントは、Microsoft Defender ポータルの [インシデントとアラート]>[インシデント] から調査できます。 「Microsoft Defender XDR を使用してデータ損失インシデントを調査する」および「Microsoft Defender XDR でアラートを調査する」を参照してください。

DLP アラート

DLP は、ユーザーが DLP ポリシーの条件を満たすアクションを実行し、かつ、アラートを生成するようにインシデント レポートが構成されている場合、アラートを生成します。 DLP は、調査が必要なアラートを DLP アラート ダッシュボードに表示します。 DLP アラート ダッシュボードを使用して、アラートの表示、トリアージ、調査状態の設定、解決の追跡を行います。 また、アラートは Microsoft Defender ポータルにもルーティングされ、そこからすべてのアラート ダッシュボード タスクに加え、さらに多くの操作が行えます。

Windows 10 デバイスでのポリシーの一致とアクティビティによって生成されるアラートの例を次に示します。

同じダッシュボードで、関連イベントの詳細をリッチ メタデータと共に表示することもできます。

アラートの詳細については、こちらを参照してください:

• DLP ポリシーのアラート: DLP ポリシーにおけるアラートについて説明します。
• データ損失防止アラートの概要: DLP アラートとアラート リファレンスの詳細に必要なライセンス、アクセス許可、前提条件について説明します。
• データ損失防止ポリシーの作成と展開: DLP ポリシーの作成におけるアラート構成に関するガイダンスが含まれています。
• データ損失防止アラートの調査: DLP アラートを調査するためのさまざまな方法について説明します。
• Microsoft Defender XDR によるデータ損失インシデントの調査: Microsoft Defender ポータルで DLP アラートを調査する方法。

DLP アクティビティ エクスプローラーとレポート

DLP ページの [アクティビティ エクスプローラー] タブには、DLP イベントの表示に使用できる複数のフィルターがあります。 このツールを使用して、機密情報を含むコンテンツやラベルが適用されているコンテンツに関連するアクティビティ (変更されたラベル、変更されたファイル、ルールに一致したラベルなど) を確認します。

アクティビティ エクスプローラーではこれらの事前構成済みフィルターを使用して、過去 30 日間の DLP 情報を表示できます:

• エンドポイントの DLP アクティビティ
• 機密情報の種類を含むファイル
• エグレス アクティビティ
• アクティビティを検出した DLP ポリシー
• アクティビティを検出した DLP ポリシー ルール

また、Security & Compliance PowerShell でこれらのコマンドレットを使用して DLP レポートにアクセスすることもできます。

1. セキュリティ/コンプライアンス PowerShell に接続する

次のコマンドレットを使用します:

• Get-DlpDetailReport
• Get-DlpDetectionsReport
• Get-DlpSiDetectionsReport

ただし、DLP レポートは、Exchange を含む Microsoft 365 全体からデータをプルする必要があります。 そのため、Exchange PowerShell では、DLP レポートに次のコマンドレットを使用できます。 これらの DLP レポートにコマンドレットを使用するには、次の手順を実行します:

1. リモート PowerShell による Exchange への接続

次のコマンドレットを使用します:

• Get-DlpDetailReport
• Get-MailDetailDlpPolicyReport

コンテキストに応じた概要

アクティビティ エクスプローラーの DLPRuleMatch イベントでは、クレジット カード番号など、一致したコンテンツを囲むテキストを確認できます。

DLPRuleMatch イベントは、"CopyToClipboard" や "CloudEgress" などのユーザー エグレス アクティビティとペアになっています。 アクティビティ エクスプローラーでは、隣 (または少なくとも非常に近く) に表示されます。 user activity には一致したポリシーに関する詳細が含まれており、DLPRuleMatch イベントには、一致したコンテンツを囲むテキストに関する詳細が含まれているため、両方を確認する必要があります。

エンドポイントの場合は、Windows 10 デバイスは KB5016688、Windows 11 以降のデバイスは KB5016691 を適用していることを確認します。

詳細については、「アクティビティ エクスプローラーの概要」を参照してください。

Microsoft Purview DLP の詳細については、こちらを参照してください:

• エンドポイント データ損失防止について
• Microsoft Teams の既定のデータ損失防止ポリシーについての詳細情報 (プレビュー)
• データ損失防止のオンプレミス スキャナーの詳細
• Microsoft Compliance Extension の詳細情報
• データ損失防止アラート ダッシュボードの概要

データ損失防止を使用してデータ プライバシー規制に準拠する方法については、「Microsoft Purview によるデータ プライバシー規制用の情報保護の展開」 (aka.ms/m365dataprivacy) を参照してください。