Share via

ドキュメント フィンガープリンティング

  • [アーティクル]

組織内のインフォメーション ワーカーは、日常的にさまざまな種類の機密情報を処理します。 Microsoft Purview コンプライアンス ポータルでは、ドキュメントフィンガープリントを使用すると、organization全体で使用される標準フォームを識別することで、この情報を簡単に保護できます。 この記事では、ドキュメントフィンガープリントの背後にある概念と、コンプライアンス ポータルまたは PowerShell を使用してドキュメントフィンガープリントを作成する方法について説明します。

ドキュメントフィンガープリントには、次の機能が含まれます。

  • DLP では、Exchange、SharePoint、OneDrive、Teams、デバイスの検出方法としてドキュメントフィンガープリントを使用できます。
  • ドキュメントフィンガープリント機能は、Microsoft Purview コンプライアンス ポータルを介して管理できます。
  • 部分一致 がサポートされています。
  • 完全一致 がサポートされています。
  • 検出精度の向上
  • 中国語、日本語、韓国語などの 2 バイト言語を含む複数の言語での検出のサポート。

重要

E5 のお客様の場合は、完全なドキュメント フィンガープリント機能セットを利用するために、既存の指紋を更新することをお勧めします。 E3 のお客様の場合は、E5 ライセンスにアップグレードすることをお勧めします。 そうしないと、2023 年 4 月以降に既存の指紋を変更したり、新しい指紋を作成したりすることはできません。

ドキュメントフィンガープリントの基本的なシナリオ

ドキュメントフィンガープリントは、標準フォームを機密情報の種類 (SIT) に変換するMicrosoft Purview データ損失防止 (DLP) 機能であり、DLP ポリシーのルールで使用できます。 たとえば、空白の特許テンプレートに基づいてドキュメント フィンガープリントを作成し、機密性の高いコンテンツが入力されているすべての送信特許テンプレートを検出してブロックする DLP ポリシーを作成できます。 必要に応じて、機密情報を送信している可能性があり、送信者が受信者が特許を受け取る資格があることを確認する必要があることを送信者に通知する ポリシー ヒント を設定できます。 このプロセスは、organizationで使用されるテキスト ベースのフォームで動作します。 アップロードできるフォームのその他の例を次に示します。

  • 政府機関フォーム
  • Health Insurance Portability and Accountability Act (HIPAA) 準拠フォーム
  • 人事部門の従業員情報フォーム
  • 組織用に特別に作成されたカスタム フォーム

組織で機密情報を送信するときに特定のフォームを使用するという業務習慣が既に確立されていることが理想的です。 検出を有効にするには、ドキュメントフィンガープリントに変換する空のフォームをアップロードします。 次に、対応するポリシーを設定します。 これらの手順を完了すると、DLP はそのフィンガープリントに一致する送信メール内のドキュメントを検出します。

ドキュメントフィンガープリントのしくみ

おそらく、ドキュメントには実際の指紋がないと推測されていますが、名前は機能を説明するのに役立ちます。 人間の指紋に固有のパターンがあるように、ドキュメントにも固有の単語パターンがあります。 ファイルをアップロードすると、DLP はドキュメント内の一意の単語パターンを識別し、そのパターンに基づいてドキュメント フィンガープリントを作成し、そのドキュメント フィンガープリントを使用して、同じパターンを含む送信ドキュメントを検出します。 これにより、フォームまたはテンプレートをアップロードすると、ドキュメント フィンガープリントの最も有効なタイプが作成されます。 フォームに入力するすべてのユーザーは、同じ元の単語セットを使用し、ドキュメントに独自の単語を追加します。 送信ドキュメントがパスワードで保護されておらず、元のフォームのすべてのテキストが含まれている場合、DLP はドキュメントがドキュメントフィンガープリントと一致するかどうかを判断できます。

ドキュメントのフィンガープリントの図。

特許テンプレートには、空白のフィールド "Patent title"、"Inventors"、および "Description" と、それらの各フィールドの説明が含まれています。これは単語パターンです。 元の特許テンプレートをアップロードすると、サポートされているファイルの種類の 1 つとプレーン テキストになります。 DLP は、この単語パターンをドキュメント フィンガープリントに変換します。これは、元のテキストを表す一意のハッシュ値を含む小さな Unicode XML ファイルです。 指紋は、Active Directory のデータ分類として保存されます。 (セキュリティ対策として、元のドキュメント自体はサービスに格納されません。ハッシュ値のみが格納されます。元のドキュメントをハッシュ値から再構築することはできません)。その後、特許指紋は、DLP ポリシーに関連付けることができる SIT になります。 指紋を DLP ポリシーに関連付けた後、DLP は特許指紋と一致するコンテンツを含む送信メールを検出し、organizationのポリシーに従って処理します。

たとえば、通常の従業員が特許を含む送信メッセージを送信できないように DLP ポリシーを設定した場合、DLP は特許指紋を使用して特許を検出し、それらのメールをブロックします。 または、法務部門が特許を他の組織に送ることができるようにすることもできます。これは、ビジネス上のニーズがあるためです。 特定の部門が機密情報を送信できるようにするには、DLP ポリシーでそれらの部門の例外を作成します。 または、ポリシー ヒントをビジネス上の正当な理由で上書きすることを許可することもできます。

重要

埋め込みドキュメント内のテキストは、指紋の作成には考慮されません。 埋め込みドキュメントを含まないサンプル テンプレート ファイルを指定する必要があります。

サポートされているファイルの種類

ドキュメントフィンガープリントは、メール フロー ルール (トランスポート ルールとも呼ばれます) でサポートされているのと同じファイルの種類をサポートします。 サポートされているファイルの種類の一覧については、「 メール フロー ルールのコンテンツ検査でサポートされているファイルの種類」を参照してください。 ファイルの種類に関する 1 つの簡単な注意: メール フロー ルールもドキュメント フィンガープリントも、Microsoft Wordのテンプレート ファイルである .dotx ファイルの種類はサポートしません。 この記事やその他のドキュメント フィンガープリント記事に "template" という単語が表示されると、テンプレート ファイルの種類ではなく、標準フォームとして確立したドキュメントを参照します。

ドキュメント フィンガープリンティングの制限

ドキュメントフィンガープリントでは、次の場合に機密情報は検出されません。

  • パスワードで保護されたファイル
  • イメージのみを含むファイル
  • ドキュメント フィンガープリントの作成に使用されたオリジナルのフォームのテキストがすべて含まれていないドキュメント
  • 4 MB を超えるファイル

注:

デバイスでドキュメントフィンガープリントを使用するには、 高度な分類スキャンと保護を 有効にする必要があります。

指紋は別のルール パックに格納されます。 このルール パックの最大サイズ制限は 1 から 150 KB です。 この制限により、テナントごとに約 50 個のフィンガープリントを作成できます。

次の例は、特許テンプレートに基づいてドキュメント フィンガープリントを作成した場合の動作を示しています。 ただし、ドキュメント フィンガープリントを作成するための基礎として、任意のフォームを使用できます。

特許テンプレートのドキュメント フィンガープリントに一致する特許文献のコンプライアンス ポータルの例

  1. Microsoft Purview コンプライアンス ポータルで、[データ分類] を選択し、[分類子] を選択します。
  2. [分類子] ページで、[機密情報の種類>] [指紋ベースの SIT の作成] を選択します。
  3. 新しい SIT の名前と説明を入力します。
  4. 指紋テンプレートとして使用するファイルをアップロードします。
  5. 省略可能: 各信頼レベルの要件を調整し、[ 次へ] を選択します。 詳細については、「 部分一致」 と「 完全一致」を参照してください。
  6. 設定 [作成] > を確認します。
  7. 確認ページが表示されたら、[完了] を選択 します

特許テンプレートのドキュメント フィンガープリントに一致する特許文献の PowerShell の例

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

部分一致

ドキュメントフィンガープリントの部分照合を構成するには、信頼度レベルを構成するときに、[ ]、[ 中] 、または [高 ] を選択し、ファイル内のテキストの量が指紋と一致する必要がある割合を 30% から 90% の割合で指定します。

信頼度が高いレベルでは、最も少ない誤検知が返されますが、偽陰性が多くなる可能性があります。 低または中程度の信頼度レベルは、より多くの誤検知を返しますが、偽陰性は少ないからゼロに戻ります。

  • 低信頼度: 一致した項目には、最も少ない偽陰性が含まれますが、最も誤検知が含まれます。 低信頼度は、すべての低、中、高の信頼度の一致を返します。
  • 中程度の信頼度: 一致した項目には、誤検知と偽陰性の平均数が含まれます。 中程度の信頼度は、すべての中程度の一致と高い信頼度の一致を返します。
  • 高信頼度: 一致した項目には、最も少ない誤検知が含まれますが、最も偽陰性が含まれます。

完全一致

ドキュメント フィンガープリントの正確な照合を構成するには、高信頼度の値として [正確] を選択します。 高信頼度を Exact に設定すると、指紋とまったく同じテキストを持つファイルのみが検出されます。 ファイルが指紋から少しでも逸脱している場合は、検出されません。

指紋 SID を既に使用していますか?

これらの指紋の既存の指紋とポリシー/ルールは引き続き機能する必要があります。 最新の指紋機能を使用したくない場合は、何もする必要はありません。

E5 ライセンスがあり、最新のフィンガープリント機能を使用する場合は、新しい指紋を作成するか、 ポリシーを 新しいバージョンに移行できます。

注:

指紋が既に存在するテンプレートを使用した新しいフィンガープリントの作成はサポートされていません。

コンプライアンス ポータルを使用して指紋 SIT を使用して新しいポリシーを作成する

  1. Microsoft Purview コンプライアンス ポータルで、[データ損失防止>ポリシー] [機密情報の>種類>] + [ポリシー>の作成] [カスタム] の順に選択して、新しいポリシーを作成します。
  2. お使いの地域または国 > [次へ] を選択します。
  3. ポリシーに名前を付け、[次へ] という説明>を入力します。
  4. [ 管理ユニットの割り当て] ページで、次の 2 つのオプションのいずれかを選択します。
    • すべてのユーザーとグループ>にポリシーを適用します。次へ
      または
    • ポリシー >[次へ] の対象にする特定のユーザーとグループを追加します。
  5. ポリシーを適用>する場所を選択します。次へ
  6. [ポリシー設定の定義] ページで、[高度な DLP ルール>のカスタマイズの作成] [次へ] の順に選択します。
  7. [ 高度な DLP ルールのカスタマイズ ] ページで、[ ルールの作成] を選択します。
  8. ルールの名前と説明を入力します。
  9. [条件] で、[コンテンツに含まれる条件>の追加] を選択します。
  10. 新しい DLP ルールのセットに、グループ名> [機密情報の種類の追加] を指定>します。
  11. 指紋 > SIT Add の名前を検索して選択します。
  12. 信頼度レベル > [アクションの追加] を選択します
  13. ルールがトリガーされたときに実行するアクションを選択し、[次に保存]> アクションの詳細>を指定します。
  14. 次の 2 つのオプションのいずれかを選択します。
    • ポリシー>をテストする 次へ
      または
    • すぐにポリシー>をオンにする 次へ
  15. 設定>を確認し、[送信完了] を>確認します

PowerShell を使用してドキュメントフィンガープリントに基づいてカスタム機密情報の種類を作成する

現時点では、 セキュリティ & コンプライアンス PowerShell でのみドキュメント フィンガープリントを作成できます。

DLP では、機密情報の種類 (SIT) を使用して機密性の高いコンテンツを検出します。 ドキュメント フィンガープリントに基づいてカスタム SIT を作成するには、 New-DlpSensitiveInformationType コマンドレットを使用します。 次の例では、ファイル C:\My Documents\Contoso Customer Form.docx に基づいて、"Contoso Customer Confidential" という名前の新しいドキュメント フィンガープリントを作成します。

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

最後に、"Contoso Customer Confidential" 機密情報の種類をMicrosoft Purview コンプライアンス ポータルの DLP ポリシーに追加します。 次の使用例は、"ConfidentialPolicy" という名前の既存の DLP ポリシーにルールを追加します。

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

次の例に示すように、Exchange のメール フロー ルールでフィンガープリント SIT を使用することもできます。 このコマンドを実行するには、まず Exchange PowerShell に接続する必要があります。 また、SID がMicrosoft Purview コンプライアンス ポータルから Exchange 管理センターに同期されるまでに時間がかかることに注意してください。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP では、Contoso Customer Form.docx ドキュメント フィンガープリントと一致するドキュメントが検出されるようになりました。

構文とパラメーターの情報については、次を参照してください。

ドキュメント フィンガープリントを編集、テスト、または削除する

ユーザー インターフェイスを使用してこれを行うには、編集、テスト、または削除する指紋 SIT を開き、適切なアイコンを選択します。

PowerShell を使用してこれを行うには、次のコマンドを実行します。

ドキュメントフィンガープリントを編集する

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

ドキュメントフィンガープリントをテストする

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

ドキュメントフィンガープリントを削除する

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

コンプライアンス ポータルを使用して指紋 SIT を使用して新しいポリシーを移行する

  1. Microsoft Purview コンプライアンス ポータルで、[データ損失防止>ポリシー] [機密情報>種類] を選択します。
  2. 移行する指紋を含む SIT を開きます。
  3. [ 編集] を選択します
  4. 同じ指紋ファイルをもう一度アップロードします。
  5. [完了] の指紋設定>を確認します

PowerShell を使用して指紋を移行する

次のコマンドを入力します:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"