Microsoft Purview Endpoint DLP を活用して USB メモリを使った機密情報の持ち出しを防ごう

アイキャッチ (M365) Microsoft 365
スポンサーリンク

はじめに

Microsoft Purview の機能の一つ、エンドポイントデータ損失防止 (Endpoint DLP) を活用して、USB メモリを使った機密情報の持ち出しを防ぐ方法を紹介します。Endpoint DLP を活用することで機密情報の種類や秘密度ラベルの有無に応じて、データの移動制御が可能です。

Microsoft Purview Endpoint DLP とは

エンドポイント上の機密情報の保護に役立つ Microsoft 365 の機能です。 主要な機能の一つにMicrosoft Purview Information Protection を使用してデータにラベルを付けて分類し、機密サービスドメインでのユーザーアクティビティを監視または制限できるようにします。たとえば、制限されたクラウドサービスドメインへの機密データのアップロードをブロックまたは監査できます。

前提条件

ライセンス

以下のいずれかのライセンスが必要です。

  • Microsoft 365 E5/A5/G5
  • Microsoft 365 E5/A5/F5/G5 Compliance and F5 Security & Compliance
  • Microsoft 365 E5/A5/F5/G5 Information Protection & Governance

今回は以下のライセンスの組み合わせで Endpoint DLP を実装しています。

  • Microsoft 365 Business Premium
  • Microsoft 365 E5 Information Protection & Governance

オンボーディング

Microsoft Defender for Endpoint (MDE) もしくは Purview コンプライアンスセンターにオンボードする必要があります。また、Entra 登録/Entra 参加/ハイブリッド Entra 参加のいずれかが必要です。

今回は MDE をオンボードした Entra 参加端末を使用しています。

MDE のオンボードについては以下の記事をご参照ください。

端末のセキュリティを強化したい vol.1 - Windows 端末に MDE をオンボードしよう
今回から端末のセキュリティを強化したいと題して、Microsoft Defender for Endpoint (以下、MDE) について紹介していきたいと思います。MDE は、高度な脅威の防止、検出、調査、および応答を支援するエンドポイントセキュリティプラットフォームとなっています。
smejpsec.com
2023.05.07

DLP ポリシーを作成しよう

1. Microsoft Purview コンプライアンスポータル (https://compliance.microsoft.com) にアクセスし [データ損失防止]-[ポリシー] から [ポリシーを作成] をクリックします。

2. カスタムポリシーを選択して [次へ] をクリックします。

3. DLP ポリシーの名前を入力します。

4. 管理単位を必要に応じて割り当てます。

5. ポリシーを選択する場所で [デバイス] を選択します。

6. [詳細な DLP ルールを作成またはカスタマイズします] を選択の上 [次へ] をクリックします。

7. [ルールを作成] をクリックします。

8. ルールの作成で名前を入力します。

9. 条件の追加で [コンテンツに含まれている] を選択します。

10. 追加から [機密情報の種類] を選択します。

11. 本検証ではクレジットカード番号を選択し [追加] をクリックします。

12. 続いて追加から [秘密度ラベル] を選択します。

13. USB 持ち出しを禁止する秘密度ラベルを選択します。

14. アクションの処理を追加から [デバイスでアクティビティを監視または制限する] を選択します。

15. すべてのアプリ向けファイルアクティビティで [特定のアクティビティに制限を適用する] から [リムーバブル USB デバイスにコピーする] のチェックボックスを [オン] にし、アクションを [禁止] に設定します。

16. [次へ] をクリックします。

17. ポリシーモードで [すぐに有効にする] を選択し [次へ] をクリックします。

18. ポリシーの確認と作成で [送信] をクリックします。

19. [完了] をクリックします。

動作確認をしよう

個人情報テストデータを作成しよう

個人情報テストデータジェネレーター (userlocal.jp) からクレジットカード番号のチェックをオンにしたものを生成・ダウンロードします。

クレジットカード番号あり・秘密度ラベルなしの場合

1. ローカルドライブから USB ドライブへコピーします。

2. 組織で許可されていませんのダイアログが表示され、同時にデータ損失防止のポップアップが表示されます。

クレジットカード番号なし・秘密度ラベルありの場合

1. ローカルドライブから USB ドライブへコピーします。

2. 組織で許可されていませんのダイアログが表示され、同時にデータ損失防止のポップアップが表示されます。

クレジットカード番号なし・秘密度ラベルなしの場合

1. ローカルドライブから USB ドライブへコピーします。

2. USB デバイスにコピーできました。

終わりに

今回は、Microsoft Purview の機能の一つ、エンドポイントデータ損失防止 (Endpoint DLP) を活用して、USB メモリを使った機密情報の持ち出しを防ぐ方法を紹介しました。機密情報の持ち出しや流失等を未然に防ぐためにも Endpoint DLP をぜひ活用してみてください。

コメント

タイトルとURLをコピーしました