Exchange Server でのデータ損失防止
ビジネス上重要な電子メール通信には機密データExchange Serverが含まれる場合が多いので、データ損失防止 (DLP) は重要です。 DLP 機能を使用すると、コンプライアンス要件のバランスを取って、従業員の生産性を不必要に妨げることなく、電子メール メッセージ内の機密データをこれまで以上に簡単に管理できます。 DLP の概念的な概要については、次のビデオをご覧ください。
DLP ポリシーは、コンテンツに基づいてメッセージと添付ファイルをフィルター処理する特定の条件、アクション、および例外を含むメール フロー ルール (トランスポート ルールとも呼ばれる) のコレクションである単純なパッケージです。 DLP ポリシーを作成することもできますが、アクティブ化は行いません。 これにより、メール フローに影響を与えることなくポリシーをテストできます。 詳細については、「メール フロー ルール のテスト」を参照してください。
DLP ポリシーでは、メール フロー ルールのフル パワーを使用して、転送中のメッセージを検出して処理できます。 たとえば、メール フロー ルールは、キーワードの一致、辞書の一致、正規表現によるテキスト パターンの一致、および組織の DLP ポリシーに違反するコンテンツを検出するためのその他のコンテンツ検査手法を使用して、深いコンテンツ分析を実行できます。 ドキュメントフィンガープリントは、標準フォームで機密情報を検出するのにも役立ちます。 詳細については、次のトピックをご覧ください。
カスタマイズ可能な DLP ポリシー自体に加えて、機密情報を含むメッセージを送信する前に、メール送信者がポリシーの 1 つに違反する場合も通知できます。 これを行うには、ポリシー サーバーを構成ヒント。 ポリシー ヒント Outlook 2013 以降、Outlook on the web (以前は Outlook Web App)、およびデバイスの Outlook on the web で発生する可能性があるポリシー違反に関する簡単なメモを示します。 詳細については、「ポリシー ヒント」を参照してください。
注:
DLP は、Exchange エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 CALs とサーバー ライセンスの詳細については、「ライセンスに関するよくあるExchangeを参照してください。
一部のメールボックスがオンプレミス Exchange に、一部が Exchange Online にあるハイブリッド環境では、DLP ポリシーは Exchange Online でのみ適用されます。 オンプレミス ユーザー間で送信されるメッセージには、メッセージがオンプレミス環境から離れないので、DLP ポリシーが適用されません。
データ損失防止に関連する管理タスクをお探しですか? 「DLP プロシージャ」を参照してください。
機密データを保護するポリシーの確立
データ損失防止機能を使用すると、ポリシーの条件内で定義した多数のカテゴリの機密情報 (個人識別番号やクレジット カード番号など) の特定と監視に役に立ちます。 独自のカスタム ポリシーとメール フロー ルールを定義するか、または Exchange に含まれている DLP ポリシー テンプレートを使用してすばやく開始できます。 ポリシー テンプレートは 、メッセージの検査に役立つ実際の DLP ポリシーを作成および保存するために選択できる、さまざまな条件、ルール、およびアクションを含むモデルです。 含まれているポリシー テンプレートの詳細については、「DLP Policy Templates Supplied in the Exchange」 を参照してください。
DLP を実装するには、次の 3 つの方法を使用できます。
Exchange で提供される標準テンプレートを適用する: DLP ポリシーの使用を開始する最も簡単な方法は、テンプレートを使用して新しいポリシーを作成して実装する方法です。 テンプレートを使用することで、新しいルールのセットを一から作成する手間を省けます。 確認するデータの種類、または対応するコンプライアンス規制を知る必要があります。 また、このデータの処理に対する組織の期待を知る必要があります。 詳細については、「DLP ポリシー テンプレート」および「テンプレートExchange DLP ポリシーを作成する」を参照してください。
組織外から事前に作成されたポリシー ファイルをインポートする: 独立したソフトウェア ベンダーによって作成されたポリシーをインポートできます。 この方法で、ビジネス要件を満たした DLP ソリューションを拡張できます。 詳細については、「独自の DLP テンプレートと 情報の種類を定義する」および「 ファイルから DLP ポリシーをインポートする」を参照してください。
既存の条件 なしでカスタム ポリシーを作成する: メッセージング システム内に存在することが知られている特定の種類のデータを監視する独自の要件が企業にある場合があります。 カスタム ポリシーを完全に独自に作成して、独自の一意のメッセージ データを見つけて処理できます。 効果的なカスタム ポリシーを作成するには、DLP ポリシーが適用される環境の要件と制約を知る必要があります。 詳細については、「Create a Custom DLP Policy」を参照してください。
ポリシーを追加したら、そのルールを確認して変更したり、ポリシーを非アクティブ化したり、完全に削除することができます。 詳細については、「 MANAGE DLP Policies」を参照してください。
DLP ポリシー内の機密情報の種類
DLP ポリシーを作成または変更する場合は、機密情報を検索するルールを含めできます。 トピック「機密情報の種類」に記載されている機密情報の種類Exchange Serverポリシーで使用できます。 アクションを実行する前に何かを見つけた回数や実行するアクションなど、ポリシー内の条件をカスタマイズできます。 DLP ポリシーの作成の詳細については、「Create a Custom DLP Policy」を参照してください。 メール フロー ルールの詳細については、「メール フロー ルール」を参照Exchange Server。
機密情報を探すルールを簡単に使用するために、Exchange情報の種類の一部が既に含まれるポリシー テンプレートが付属しています。 すべての機密情報の種類に条件を追加できません。テンプレートは、組織内で最も一般的な種類のコンプライアンス関連データに集中するように設計されています。 事前構築されたテンプレートの詳細については、「DLP ポリシー テンプレート」を参照Exchange。
組織に対して多数の DLP ポリシーを作成し、それらをすべて有効にして、さまざまな種類の情報を検索できます。 既存のテンプレートに基づいてない DLP ポリシーを作成することもできます。 このようなポリシーを作成するには、「Create a Custom DLP Policy」を参照してください。 使用可能な機密情報の種類の詳細については、「機密情報の種類」を参照Exchange Server。
ドキュメントの指紋による機密フォーム データの検出
Exchangeを使用すると、ドキュメント フィンガープリントを使用して、標準フォームに基づく機密情報の種類を簡単に作成できます。
機密コンテンツの可能性についてユーザーに通知するポリシー ヒント
ポリシー ヒントの通知メッセージを使用すると、電子メール送信者が電子メール メッセージを作成しているときに、その送信者にコンプライアンスに関する潜在的な問題について通知できます。 DLP ポリシーでポリシー ヒントを構成すると、送信者の電子メール メッセージの何かがポリシーに記載されている条件と一致する場合にのみ、通知メッセージが表示されます。 ポリシー ヒントは、2010 年に導入されたメール ヒントExchange似ています。 詳細については、「ポリシー ヒント」を参照してください。
従来のメッセージ分類に沿った機密情報の検出
DLP ソリューションの強さの重要な要素は、組織、規制上のニーズ、地域、その他のビジネス ニーズに固有の機密または機密性の高いコンテンツを正しく識別する機能です。 DLP Exchangeは、DLP ポリシーのルールを通じて確立する検出基準と組み合わせ、ディープ コンテンツ分析を使用します。 Exchange のデータ損失を防ぐには、高い保護を提供する機密情報ルールの適切なセットを構成し、誤検知やマイナスによるメール フローの中断を最小限に抑える必要があります。 これらの種類のルール (DLP 情報全体を機密情報検出と呼 ばれます) は、DLP 機能を有効にするメール フロー ルールのフレームワーク内で機能します。 これらの機能の詳細については、「機密情報ルールとメール フロー ルールの 統合」を参照してください。
従来のメッセージ分類をメッセージに適用することもできますが、これらの分類と機密情報の検出を組み合わせて使用できます。 これらの機能は、単一の DLP ポリシー内で一緒に使用するか、独立して (同時に) 操作できます。 2010 年の従来のメッセージExchange詳細については、「メッセージの分類について」を参照してください。
DLP 処理メッセージに関する情報
環境内の DLP ポリシー検出を含むメッセージに関する情報については、「 DLP ポリシー検出レポートの表示」および「DLP ポリシー検出用のインシデント レポートの作成 」を参照してください。 DLP 検出に関連するデータは、配信レポートに高度に統合されています。