データ損失防止についてLearn about data loss prevention

組織には、財務データ、専有データ、クレジット カード番号、健康記録、社会保障番号などの機密情報が管理されています。Organizations have sensitive information under their control such as financial data, proprietary data, credit card numbers, health records, or social security numbers. この機密データを保護し、リスクを軽減するために、ユーザーがそれを持つべきではないユーザーと不適切に共有するのを防ぐ方法が必要です。To help protect this sensitive data and reduce risk, they need a way to prevent their users from inappropriately sharing it with people who shouldn't have it. この方法は、データ損失防止 (DLP) と呼ばれています。This practice is called data loss prevention (DLP).

このMicrosoft 365、DLP ポリシーを定義して適用することで、データ損失防止を実装します。In Microsoft 365, you implement data loss prevention by defining and applying DLP policies. DLP ポリシーを使用すると、次に示す間で機密性の高いアイテムを特定、監視、および自動的に保護できます。With a DLP policy, you can identify, monitor, and automatically protect sensitive items across:

  • Microsoft 365、Teams、Exchange、SharePointなどのOneDriveMicrosoft 365 services such as Teams, Exchange, SharePoint, and OneDrive
  • Office、Word、Excel、PowerPointOffice applications such as Word, Excel, and PowerPoint
  • Windows 10エンドポイントWindows 10 endpoints
  • Microsoft 以外のクラウド アプリnon-Microsoft cloud apps
  • オンプレミスのファイル共有とオンプレミス のSharePoint。on-premises file shares and on-premises SharePoint.

Microsoft 365単純なテキスト スキャンではなく、ディープ コンテンツ分析を使用して機密性の高いアイテムを検出します。Microsoft 365 detects sensitive items by using deep content analysis, not by just a simple text scan. コンテンツは、キーワードに一致するプライマリ データ、正規表現の評価、内部関数の検証、プライマリ データの一致に近いセカンダリ データの一致によって分析されます。Content is analyzed for primary data matches to keywords, by the evaluation of regular expressions, by internal function validation, and by secondary data matches that are in proximity to the primary data match. その他の DLP では、機械学習アルゴリズムや他の方法を使用して、DLP ポリシーに一致するコンテンツを検出します。Beyond that DLP also uses machine learning algorithms and other methods to detect content that matches your DLP policies.

DLP は、大規模なコンプライアンスMicrosoft 365の一部ですDLP is part of the larger Microsoft 365 Compliance offering

Microsoft 365DLP は、機密性の高いMicrosoft 365場所や旅行場所の保護に役立つコンプライアンス ツールの 1 つにすすめることができます。Microsoft 365 DLP is just one of the Microsoft 365 Compliance tools that you will use to help protect your sensitive items wherever they live or travel. コンプライアンス ツール セットの他のツールMicrosoft 365、そのツールがどのようにインテレートし、より良い作業を行うのかについて理解する必要があります。You should understand the other tools in the Microsoft 365 Compliance tools set, how they interrelate, and work better together. 情報保護プロセスMicrosoft 365詳細については、「コンプライアンス ツール」を参照してください。See, Microsoft 365 compliance tools to learn more about the information protection process.

DLP ポリシーの保護アクションProtective actions of DLP policies

Microsoft 365DLP ポリシーは、ユーザーが安静時に機密性の高いアイテム、転送中の機密性の高いアイテム、または使用されている機密性の高いアイテムに対して行うアクティビティを監視し、保護アクションを実行する方法です。Microsoft 365 DLP policies are how you monitor the activities that users take on sensitive items at rest, sensitive items in transit, or sensitive items in use and take protective actions. たとえば、ユーザーが機密アイテムを未承認の場所にコピーしたり、ポリシーに記載されている電子メールや他の条件で医療情報を共有したりなど、禁止されたアクションを実行しようとすると、DLP は次の処理を実行できます。For example, when a user attempts to take a prohibited action, like copying a sensitive item to an unapproved location or sharing medical information in an email or other conditions laid out in a policy, DLP can:

  • 機密性の高いアイテムを不適切に共有しようとしている可能性があるという警告を表示するポップアップ ポリシー ヒントをユーザーに表示するshow a pop-up policy tip to the user that warns them that they may be trying to share a sensitive item inappropriately
  • 共有をブロックし、ポリシー ヒントを使用して、ユーザーがブロックを上書きしてユーザーの正当性を取得できます。block the sharing and, via a policy tip, allow the user to override the block and capture the users' justification
  • オーバーライド オプションなしで共有をブロックするblock the sharing without the override option
  • 保存中のデータの場合、機密アイテムをロックして安全な検疫場所に移動できますfor data at rest, sensitive items can be locked and moved to a secure quarantine location
  • チャットTeams、機密情報は表示されませんfor Teams chat, the sensitive information will not be displayed

DLP 監視対象のすべてのアクティビティは、既定で監査Microsoft 365に記録され、アクティビティ エクスプローラーにルーティングされますAll DLP monitored activities are recorded to the Microsoft 365 Audit log by default and routed to Activity explorer. ユーザーが DLP ポリシーの条件を満たすアクションを実行し、アラートが構成されている場合、DLP は DLP アラート管理ダッシュボードにアラート を提供しますWhen a user performs an action that meets the criteria of a DLP policy, and you have alerts configured, DLP provides alerts in the DLP alert management dashboard.

DLP ライフサイクルDLP lifecycle

DLP の実装は、通常、これらの主要なフェーズに従います。A DLP implementation typically follows these major phases.

DLP を計画するPlan for DLP

Microsoft 365DLP の監視と保護は、ユーザーが毎日使用するアプリケーションにネイティブです。Microsoft 365 DLP monitoring and protection are native to the applications that users use every day. これにより、ユーザーがデータ損失防止の考え方やプラクティスに慣れていなくても、組織の機密性の高いアイテムを危険なアクティビティから保護できます。This helps to protect your organizations' sensitive items from risky activities even if your users are unaccustomed to data loss prevention thinking and practices. 組織とユーザーがデータ損失防止の実践に新しい場合、DLP の導入にはビジネス プロセスの変更が必要になる場合があります。また、ユーザーにはカルチャの変化が生じます。If your organization and your users are new to data loss prevention practices, the adoption of DLP may require a change to your business processes and there will be a culture shift for your users. ただし、適切な計画、テスト、チューニングを行う場合、DLP ポリシーは機密アイテムを保護し、ビジネス プロセスの中断を最小限に抑えることができます。But, with proper planning, testing and tuning, your DLP policies will protect your sensitive items while minimizing any potential business process disruptions.

DLP のテクノロジ計画Technology planning for DLP

テクノロジとしての DLP は、Microsoft 365 サービス、Windows 10 デバイス、オンプレミスのファイル共有、およびオンプレミス SharePoint 全体で、保存中のデータ、使用中のデータ、および動作中のデータを監視および保護できます。Keep in mind that DLP as a technology can monitor and protect your data at rest, data in use and data in motion across Microsoft 365 services, Windows 10 devices, on-premises file shares, and on-premises SharePoint. さまざまな場所、監視および保護するデータの種類、およびポリシーの一致が発生した場合に実行するアクションに対する計画上の影響があります。There are planning implications for the different locations, the type of data you want to monitor and protect, and the actions to be taken when a policy match occurs.

DLP のビジネス プロセス計画Business processes planning for DLP

DLP ポリシーでは、電子メールによる機密情報の不適切な共有など、禁止されているアクティビティをブロックできます。DLP policies can block prohibited activities, like inappropriate sharing of sensitive information via email. DLP ポリシーを計画する場合は、機密性の高いアイテムに触れるビジネス プロセスを特定する必要があります。As you plan your DLP policies, you must identify the business processes that touch your sensitive items. ビジネス プロセスの所有者は、許可する必要がある適切なユーザーの動作と、保護すべき不適切なユーザーの動作を特定するのに役立ちます。The business process owners can help you identify appropriate user behaviors that should be allowed and inappropriate user behaviors that should be protected against. ポリシーを計画し、テスト モードで展開し、より制限の厳しいモードで適用する前に、まずアクティビティ エクスプローラーを介して影響を評価する必要があります。You should plan your policies and deploy them in test mode, and evaluate their impact via activity explorer first, before applying them in more restrictive modes.

DLP の組織のカルチャ計画Organizational culture planning for DLP

DLP の実装の成功は、ユーザーが十分に計画され調整されたポリシーと同じ量のデータ損失防止プラクティスをトレーニングし、慣れ親しんだものに依存します。A successful DLP implementation is as much dependent on getting your users trained and acclimated to data loss prevention practices as it is on well planned and tuned policies. ユーザーの関与が大きすぎるので、ユーザーのトレーニングも計画してください。Since your users are heavily involved, be sure to plan for training for them too. ポリシーの適用をテスト モードから制限の厳しいモードに変更する前に、ポリシー ヒントを戦略的に使用してユーザーに対する認識を高めます。You can strategically use policy tips to raise awareness with your users before changing the policy enforcement from test mode to more restrictive modes.

DLP の準備Prepare for DLP

DLP ポリシーは、保存中のデータ、使用されているデータ、次のような場所で動作中のデータに適用できます。You can apply DLP policies to data at rest, data in use, and data in motion in locations, such as:

  • Exchange OnlineメールExchange Online email
  • SharePoint Online サイトSharePoint Online sites
  • OneDrive アカウントOneDrive accounts
  • Teams チャットおよびチャネル メッセージTeams chat and channel messages
  • Microsoft Cloud App SecurityMicrosoft Cloud App Security
  • Windows 10 デバイスWindows 10 devices
  • オンプレミス リポジトリOn-premises repositories

それぞれの前提条件は異なります。Each one has different pre-requisites. 一部の場所 (Exchange オンラインなど) の機密性の高いアイテムは、該当するポリシーを構成するだけで DLP の傘下に持ち込む可能性があります。Sensitive items in some locations, like Exchange online, can be brought under the DLP umbrella by just configuring a policy that applies to them. オンプレミスのファイル リポジトリなど、他のユーザーには Azure Information Protection (AIP) スキャナーの展開が必要です。Others, such as on-premises file repositories require a deployment of Azure Information Protection (AIP) scanner. ブロックアクションをアクティブ化する前に、環境を準備し、下書きポリシーをコード化し、それらを徹底的にテストする必要があります。You'll need to prepare your environment, code draft policies, and test them thoroughly before activating any blocking actions.

実稼働環境でのポリシーの展開Deploy your policies in production

ポリシーを設計するDesign your policies

まず、コントロールの目標を定義し、それぞれのワークロードに適用する方法を定義します。Start by defining your control objectives, and how they apply across each respective workload. 目標を具現化するポリシーを作成します。Draft a policy that embodies your objectives. 一度に 1 つのワークロードから、またはすべてのワークロードで自由に開始できます。まだ影響はありません。Feel free to start with one workload at a time, or across all workloads - there's no impact yet.

テスト モードでのポリシーの実装Implement policy in test mode

コントロールをテスト モードで DLP ポリシーで実装して、コントロールの影響を評価します。Evaluate the impact of the controls by implementing them with a DLP policy in test mode. テスト モードですべてのワークロードにポリシーを適用して、結果を得ることができますが、必要に応じて 1 つのワークロードから開始できます。It's ok to apply the policy to all workloads in test mode, so that you can get the full breadth of results, but you can start with one workload if you need to.

結果を監視し、ポリシーを微調整するMonitor outcomes and fine-tune the policy

テスト モードでは、ポリシーの結果を監視し、コントロールの目標を満たして調整しながら、有効なユーザー ワークフローと生産性に悪影響を及ぼしたり、不注意に影響を与えなかったりします。While in test mode, monitor the outcomes of the policy and fine-tune it so that it meets your control objectives while ensuring you aren't adversely or inadvertently impacting valid user workflows and productivity. 微調整する例を次に示します。Here are some examples of things to fine-tune:

  • スコープ内またはスコープ外の場所と人/場所を調整するadjusting the locations and people/places that are in or out of scope
  • アイテムがポリシーと一致するかどうかを判断するために使用される条件と例外を調整するtune the conditions and exceptions that are used to determine if an item and what is being done with it matches the policy
  • 機密情報の定義/sthe sensitive information definition/s
  • アクションthe actions
  • 制限のレベルthe level of restrictions
  • 新しいコントロールを追加するadd new controls
  • 新しいユーザーを追加するadd new people
  • 新しい制限付きアプリを追加するadd new restricted apps
  • 新しい制限付きサイトを追加するadd new restricted sites

コントロールを有効にしてポリシーを調整するEnable the control and tune your policies

ポリシーがすべての目標を満たしたら、有効にしてください。Once the policy meets all your objectives, turn it on. 引き続きポリシー アプリケーションの結果を監視し、必要に応じて調整します。Continue to monitor the outcomes of the policy application and tune as needed. 一般に、ポリシーは有効になってから約 1 時間後に有効になります。In general, policies take effect about an hour after being turned on.

DLP ポリシー構成の概要DLP policy configuration overview

DLP ポリシーを作成および構成する方法に柔軟性があります。You have flexibility in how you create and configure your DLP policies. 定義済みのテンプレートから開始し、わずか数クリックでポリシーを作成するか、最初から独自のテンプレートを設計できます。You can start from a predefined template and create a policy in just a few clicks or you can design your own from the ground up. どちらを選んでも、すべての DLP ポリシーは、ユーザーから同じ情報を必要とします。No matter which you choose, all DLP policies require the same information from you.

  1. 監視対象を選択します。 - Microsoft 365に役立つ多くの定義済みポリシー テンプレートが付属しているか、カスタム ポリシーを作成できます。Choose what you want to monitor - Microsoft 365 comes with many predefined policy templates to help you get started or you can create a custom policy.
    • 定義済みのポリシー テンプレート: 財務データ、医療および健康データ、さまざまな国および地域のプライバシー データ。A predefined policy template: Financial data, Medical and health data, Privacy data all for various countries and regions.
    • 使用可能な機密情報の種類、保持ラベル、および機密ラベルを使用するカスタム ポリシー。A custom policy that uses the available sensitive information types, retention labels, and sensitivity labels.
  2. 監視する場所を選択する - DLP で機密情報を監視する 1 つ以上の場所を選択します。Choose where you want to monitor - You pick one or more locations that you want DLP to monitor for sensitive information. 次の情報を監視できます。You can monitor:
場所location 包含 / 除外include/exclude by
Exchange メールExchange email 配布グループdistribution groups
SharePoint サイトSharePoint sites sitessites
OneDrive アカウントOneDrive accounts アカウントまたは配布グループaccounts or distribution groups
Teams チャットおよびチャネル メッセージTeams chat and channel messages アカウントaccounts
Windows 10 デバイスWindows 10 devices ユーザーまたはグループuser or group
Microsoft Cloud App SecurityMicrosoft Cloud App Security インスタンスinstance
オンプレミス リポジトリOn-premises repositories リポジトリ ファイルのパスrepository file path
  1. アイテムに適用する ポリシーに一致する必要がある条件を選択します。事前に構成された条件を受け入れるか、カスタム条件を定義できます。Choose the conditions that must be matched for a policy to be applied to an item - you can accept pre-configured conditions or define custom conditions. 次に例を示します。Some examples are:
  • アイテムには、特定のコンテキストで使用されている特定の種類の機密情報が含まれる。item contains a specified kind of sensitive information that is being used in a certain context. たとえば、組織外の受信者に電子メールで送信される 95 の社会保障番号。For example, 95 social security numbers being emailed to recipient outside your org.
  • アイテムの感度ラベルが指定されているitem has a specified sensitivity label
  • 機密情報を含むアイテムは、内部または外部で共有されます。item with sensitive information is shared either internally or externally
  1. ポリシー条件が満たされた場合 に実行するアクションを選択します。アクションは、アクティビティが発生している場所によって異なります。Choose the action to take when the policy conditions are met - The actions depend on the location where the activity is happening. 次に例を示します。Some examples are:
  • SharePoint/Exchange/OneDrive: コンテンツにアクセスする組織フォーム外のユーザーをブロックします。SharePoint/Exchange/OneDrive: Block people who are outside your organization form accessing the content. ヒントをユーザーに表示し、DLP ポリシーで禁止されているアクションを実行しているという電子メール通知を送信します。Show the user a tip and send them an email notification that they are taking an action that is prohibited by the DLP policy.
  • Teamsチャットとチャネル: 機密情報がチャットまたはチャネルで共有されるのをブロックするTeams Chat and Channel: Block sensitive information from being shared in the chat or channel
  • Windows 10デバイス: 機密性の高いアイテムの削除可能な USB デバイスへのコピーを監査または制限するWindows 10 Devices: Audit or restrict copying a sensitive item to a removeable USB device
  • Officeアプリ: 危険な動作を行っているユーザーに通知するポップアップを表示し、オーバーライドをブロックまたはブロックします。Office Apps: Show a popup notifying the user that they are engaging in a risky behavior and block or block but allow override.
  • オンプレミスのファイル共有: ファイルを保存場所から検疫フォルダーに移動するOn-premises file shares: move the file from where it is stored to a quarantine folder

注意

条件と実行するアクションは、Rule と呼ばれるオブジェクトで定義されます。The conditions and the actions to take are defined in an object called a Rule.

コンプライアンス センターで DLP ポリシーを作成すると、そのポリシーは中央ポリシー ストアに格納され、次に示すさまざまなコンテンツ ソースに同期されます。After you create a DLP policy in the Compliance Center, it's stored in a central policy store, and then synced to the various content sources, including:

  • Exchange Online、そこから Outlook on the web、Outlook。Exchange Online, and from there to Outlook on the web and Outlook.
  • OneDrive for Business サイト。OneDrive for Business sites.
  • SharePoint Online サイト。SharePoint Online sites.
  • Office デスクトップ プログラム (Excel、PowerPoint、Word)。Office desktop programs (Excel, PowerPoint, and Word).
  • Microsoft Teams チャネルおよびチャット メッセージ。Microsoft Teams channels and chat messages.

ポリシーが適切な場所に同期されると、コンテンツの評価とアクションの適用が開始されます。After the policy's synced to the right locations, it starts to evaluate content and enforce actions.

ポリシー アプリケーションの結果の表示Viewing policy application results

DLP は、監視、ポリシーの一致Microsoft 365アクション、およびユーザー アクティビティから、膨大な量の情報をレポートします。DLP reports a vast amount of information into Microsoft 365 from monitoring, policy matches and actions, and user activities. 機密アイテムに対して行うポリシーとトリアージアクションを調整するには、その情報を使用して処理する必要があります。You'll need to consume and act on that information to tune your policies and triage actions taken on sensitive items. テレメトリは、コンプライアンス センター監査ログMicrosoft 365最初に処理され、さまざまなレポート ツールに移動します。The telemetry goes into the Microsoft 365 Compliance center Audit Logs first, is processed, and makes its way to different reporting tools. 各レポート ツールの目的は異なります。Each reporting tool has a different purpose.

DLP アラート ダッシュボードDLP Alerts Dashboard

DLP が機密性の高いアイテムに対してアクションを実行すると、構成可能なアラートを介してそのアクションの通知を受け取る可能性があります。When DLP takes an action on a sensitive item, you can be notified of that action via a configurable alert. コンプライアンス センターでは、これらのアラートをメールボックスに重ね合せするのではなく 、DLP アラート管理ダッシュボードで利用できます。Rather than having these alerts pile up in a mailbox for you to sift through, the Compliance center makes them available in the DLP Alerts Management Dashboard. DLP アラート ダッシュボードを使用して、アラートの構成、確認、トリアージ、DLP アラートの解決の追跡を行います。Use the DLP Alerts dashboard to configure alerts, review them, triage them and track resolution of DLP Alerts. ポリシーの一致と、デバイスからのアクティビティによって生成されるアラートのWindows 10します。Here's an example of alerts generated by policy matches and activities from Windows 10 devices.

警告情報Alert info

同じダッシュボードで、リッチ メタデータに関連付けられたイベントの詳細を表示することもできますYou can also view details of the associated event with rich metadata in the same dashboard

イベント情報event info

レポートReports

DLP レポートは、時間の流れによって広い傾向を示し、以下に関する具体的な分析情報を提供します。The DLP reports show broad trends over time and give specific insights into:

  • DLP ポリシー 時間の間に 一致し、日付範囲、場所、ポリシー、またはアクションでフィルター処理するDLP Policy Matches over time and filter by date range, location, policy, or action
  • DLP インシデントの一致 では、時間の長い間一致が表示されますが、ポリシー ルールではなくアイテムのピボットが表示されます。DLP incident matches also shows matches over time, but pivots on the items rather than the policy rules.
  • DLP の誤検知と上書 きは、誤検知の数と、構成されている場合は、ユーザーの正当性と共にユーザーオーバーライドを示します。DLP false positives and overrides shows the count of false positives and, if configured, user-overrides along with the user justification.

DLP アクティビティ エクスプローラーDLP Activity Explorer

DLP ページの [アクティビティ エクスプローラー]タブには 、DLPRuleMatch に対するアクティビティ フィルターのプリセットがありますThe Activity explorer tab on the DLP page has the Activity filter preset to DLPRuleMatch. このツールを使用して、機密情報を含むコンテンツやラベルが適用されているコンテンツに関連するアクティビティ (ラベルの変更、ファイルの変更、ルールの一致など) を確認します。Use this tool to review activity related to content that contains sensitive info or has labels applied, such as what labels were changed, files were modified, and matched a rule.

DLPRuleMatch スコープアクティビティ エクスプローラーのスクリーンショットscreenshot of the DLPRuleMatch scoped activity explorer

詳細については、「アクティビティ エクスプローラーの 使用を開始する」を参照してください。For more information, see Get started with activity explorer

DLP の詳細についてはMicrosoft 365参照してください。To learn more about Microsoft 365 DLP, see:

データ損失防止を使用してデータ プライバシー規制に準拠する方法については、「データプライバシー規制に関する情報保護を展開する (Microsoft 365 (aka.ms/m365dataprivacy)」を参照してください。To learn how to use data loss prevention to comply with data privacy regulations, see Deploy information protection for data privacy regulations with Microsoft 365 (aka.ms/m365dataprivacy).