データ損失防止ポリシーの作成と展開

Microsoft Purview データ損失防止 (DLP) ポリシーには、多くの構成オプションが含まれています。 各オプションで、ポリシーの動作を変更します。 このシリーズの記事では、最も一般的な DLP ポリシー シナリオについて説明します。 これらのオプションを構成して、DLP ポリシー作成プロセスを実践的に体験できるようにします。 これらのシナリオについて理解すると、DLP ポリシー作成 UX を使用して独自のポリシーを作成するために必要な基本的なスキルが得られます。

ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 ポリシーの展開をコントロールするための複数のオプション があります。 この記事では、これらのオプションを使用して、コストのかかる業務中断を回避しながらポリシーで目的を達成できるようにする方法について説明します。

プレビュー中 DLP ポリシーとルールの表示名を変更できます。 ポリシーまたはルールの名前を変更すると、既存のレコードはアクティビティ エクスプローラーのエバンス、アラート、監査レコードに以前の名前を保持します。 新しいレコードには、アクティビティ エクスプローラー イベント、アラート、監査レコードの新しい名前が反映されます。 これらの名前は、項目がシステムから期限切れになるまで残ります。

DLP に向ける

Microsoft Purview DLP を初めて使用する場合は、DLP を実装する際に以下の一覧にある主要な記事に目を通してください。

1. 管理単位
2. Microsoft Purview データ損失防止の詳細 - データ損失防止規範と Microsoft による DLP の実装について説明します。
3. データ損失防止 (DLP) の計画 - この記事で以下の作業を行います。
   1. 関係者の特定
   2. 保護する機密情報のカテゴリの定義
   3. 目標と戦略の設定
4. データ損失防止ポリシーリファレンス - DLP ポリシーのすべてのコンポーネントと、それぞれがポリシーの動作にどのように影響するかを紹介します。
5. DLP ポリシーの設計 - ポリシー意図ステートメントを作成し、それを特定のポリシー構成にマッピングする手順について説明します。
6. データ損失防止ポリシーの作成と展開 - 一般的なポリシー意図のシナリオを調べ、構成オプションへの接続方法を確認します。 次に、手順ガイドに従ってこれらのオプションを設定し、ポリシーをスムーズにデプロイするための役立つヒントを得ます。
7. データ損失防止アラートの調査について学習する - 作成から最終的な修復とポリシーのチューニングまで、アラートの進行状況を把握します。 また、途中でアラートを調査するのに役立つツールも見つかります。

SKU /サブスクリプションライセンス

ライセンスの詳細については、次を参照してください。

• Microsoft 365 Enterprise プラン
• Microsoft 365 サービスの説明

アクセス許可

ポリシーの作成と展開に使用するアカウントは、次のいずれかのロール グループのメンバーである必要があります。

• コンプライアンス管理者
• コンプライアンス データ管理者
• 情報保護
• Information Protection 管理者
• セキュリティ管理者

詳細な役割と役割グループ

これらのロールとロール グループを使用して、アクセス制御を微調整できます。

該当する役割の一覧を次に示します。 詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。

• DLP コンプライアンス管理
• Information Protection 管理者
• Information Protection アナリスト
• Information Protection 調査員
• Information Protection 閲覧者

該当する役割グループの一覧を次に示します。 詳細については、「Microsoft Purview ポータルのアクセス許可」を参照してください。

• 情報保護
• Information Protection レベル
• Information Protection アナリスト
• Information Protection 調査担当者
• Information Protection 閲覧者

ポリシーの作成シナリオ

前の記事「 DLP ポリシーを設計する」では、ポリシー意図ステートメントを作成し、その意図ステートメントをポリシー構成オプションにマッピングする方法について説明します。

• 電子メールを使用してクレジット カード番号を共有できないようにする
• SharePoint と OneDrive を介して機密性の高いアイテムを外部ユーザーと共有できないようにする
• エンドポイント データ損失防止がスキャンに失敗するファイルを保護する
• エンドポイント データ損失防止でスキャンされないファイルの保護に役立つ
• サポートされていないファイルの定義されたセットの共有から保護するのに役立ちます
• サポートされている一部のファイルの Microsoft Purview データ損失防止スキャンを無効にし、コントロールを適用する
• 管理対象デバイスからアンマネージド AI アプリへのMicrosoft Edge for Businessによる共有を防ぐ
• クレジット カード番号を使用して Power BI レポートを共有できないようにする
• ユーザーがビジネス向け Edge のクラウド アプリと機密情報を共有できないようにする

展開

成功したポリシーの展開は、ユーザー アクションに対するコントロールを強化するために環境にポリシーを取り込むだけではありません。 計画的で急いでデプロイすると、ビジネス プロセスに悪影響を及ぼし、ユーザーを困らせる可能性があります。 これらの結果、組織での DLP テクノロジの受け入れと、促進される安全な動作に遅れがでます。 最終的には、これらの結果により、機密性の高いアイテムの安全性が長期的に低下します。

デプロイを開始する前に、 ポリシーのデプロイを読み取っていることを確認してください。 ポリシーの展開プロセスの概要と一般的なガイダンスを提供します。

このセクションでは、運用環境でポリシーを管理するために一緒に使用する 3 種類のコントロールについて詳しく説明します。 これらのコントロールは、ポリシーの作成時だけでなく、いつでも変更できます。

展開管理に関する 3 つの軸

ポリシーの展開プロセスを制御するには、スコープ、状態、アクションの 3 つの軸を使用します。 影響の少ない シミュレーション モード から完全な適用まで、ポリシーのデプロイに対して常に段階的なアプローチを講じます。

推奨される展開コントロールの構成

状態コード

状態は、ポリシーのロール アウトに使用するプライマリ コントロールです。 ポリシーの作成が完了したら、ポリシーの状態を [オフにする] に設定します。 ポリシー構成の作業中、および最終的なレビューを受けてサインオフするまで、この状態のままにしておきます。 状態を 次のように設定します。

• [シミュレーション モードでポリシーを実行する]: ポリシー アクションは適用されません。イベントは監査されます。 この状態では、DLP シミュレーション モードの概要と DLP アクティビティ エクスプローラー コンソールでポリシーの影響を監視できます。
• [シミュレーション モードでポリシーを実行し、シミュレーション モード中ポリシー ヒントを表示する]: アクションは適用されませんが、ユーザーはポリシー ヒントと通知メールを受け取って意識を高め、学習することになります。
• [すぐに有効にする]: これは完全適用モードです。
• [無効にしておく]: ポリシーは非アクティブです。 ポリシー展開中、および展開前の確認段階で、この状態を使用します。

ポリシーの状態はいつでも変更できます。

アクション

アクションとは、機密性の高いアイテムに対するユーザー アクティビティに対するポリシーの動作です。 これらのアクションはいつでも変更できるため、最も影響が少ない [ 許可 ] (デバイスの場合) と [監査のみ ] (その他のすべての場所) から開始し、監査データを収集して確認し、それを使用してポリシーを調整してから、より制限の厳しいアクションに移行できます。

• [許可]: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスは影響を受けなくなります。 監査データが取得され、ユーザー通知やアラートはありません。

  注:

  [許可] アクションは、[デバイス] の場所にスコープが設定されているポリシーでのみ使用できます。

• [監査のみ]: ユーザー アクティビティの実行が許可されているため、ビジネス プロセスは影響を受けなくなります。 監査データを取得し、通知とアラートを追加して認識を高め、ユーザーが行っていることが危険な動作であることを知らせることができます。 組織が後でさらに制限の厳しいアクションを適用する予定の場合は、ユーザーにもその旨を伝えることができます。

• [オーバーライドを使用してブロックする]: ユーザー アクティビティは既定でブロックされます。 イベントを監査し、アラートと通知を送信することができます。 このアクションはビジネス プロセスに影響を与えますが、ユーザーにはブロックをオーバーライドし、オーバーライドの理由を提供するオプションがユーザーに付与されます。 ユーザーから直接フィードバックを受け取るため、このアクションは誤検知の一致を特定するのに役立ちます。これは、ポリシーをさらに調整するために使用できます。

  注:

  Microsoft 365 の Exchange Online と SharePoint の場合は、ユーザー通知セクションでオーバーライドを構成します。

• [ブロックする]: ユーザー アクティビティは、いずれの場合もブロックされます。 イベントを監査し、アラートと通知を送信することができます。

ポリシーの範囲

すべてのポリシーの範囲は、Exchange、Microsoft 365 の SharePoint、Teams、デバイスなど、1 つ以上の場所に設定されます。 既定では、場所を選択すると、その場所のすべてのインスタンスがスコープに該当し、いずれも除外されません。 場所の包含/除外オプションを構成して、ポリシーが適用される場所のインスタンス (サイト、グループ、アカウント、配布グループ、メールボックス、デバイスなど) をさらに絞り込むことができます。 包含/除外のスコープ設定オプションの詳細については、「場所」を参照してください。

一般に、ポリシーが シミュレーション モードで実行されている 状態のときは、アクションが実行されないため、スコープの柔軟性が高くなります。 まず、ポリシーを設計したスコープから始めるか、範囲を広めて、ポリシーが他の場所の機密アイテムにどのように影響するかを確認してください。

状態を [ シミュレーション モードでポリシーを実行する] に変更し、ポリシーのヒントを表示する場合は、フィードバックを提供できるパイロット グループにスコープを絞り込み、オンボード時に他のユーザーのリソースとなる可能性のある早期導入者になります。

ポリシーを [すぐに有効にする] に移動させたら、ポリシーの設計時に意図したすべての場所のインスタンスが含まれるようにスコープを広げます。

ポリシーの展開手順

1. ポリシーを作成し、その状態を [無効にしておく] に設定したら、関係者と最終的なレビューを行います。
2. 状態を [シミュレーション モードでポリシーを実行する] に変更します。 場所のスコープはこの時点で広めることができ、複数の場所にわたるポリシーの動作に関するデータを収集したり、単一の場所から開始したりすることができます。
3. 行動データに基づいてポリシーを調整し、ビジネスの意図をより適切に満たすようにします。
4. 状態を [シミュレーション モードでポリシーを実行して、ポリシー ヒントを表示する] に変更します。 必要に応じてパイロット グループをサポートできるように場所のスコープを絞り込み、包含/除外を利用して、ポリシーがまずそのパイロット グループにロールアウトされるようにします。
5. ユーザーのフィードバックとアラートとイベント データを収集します。 必要に応じて、ポリシーとプランを調整します。 ユーザーが持ち出すすべての問題に必ず対処してください。 ほとんどの場合、ユーザーが問題に遭遇し、設計フェーズでは考えられなかったことについて質問します。 この時点でスーパー ユーザーのグループを開発します。 ポリシーの範囲が広がり、オンボードするユーザーが増えるにつれて、他のユーザーをトレーニングするのに役立つリソースになる可能性があります。 展開の次の段階に進む前に、ポリシーがコントロール目標を達成していることを確認してください。
6. 状態を [すぐに有効にする] に変更します。 ポリシーは完全に展開されています。 DLP アラートと DLP アクティビティ エクスプローラーを監視します。 アラートに対処します。