はじめに
Microsoft Purview の機能の一つ、エンドポイントデータ損失防止 (Endpoint DLP) を活用して、USB メモリを使った機密情報の持ち出しを防ぐ方法を紹介します。Endpoint DLP を活用することで機密情報の種類や秘密度ラベルの有無に応じて、データの移動制御が可能です。
Microsoft Purview Endpoint DLP とは
エンドポイント上の機密情報の保護に役立つ Microsoft 365 の機能です。 主要な機能の一つにMicrosoft Purview Information Protection を使用してデータにラベルを付けて分類し、機密サービスドメインでのユーザーアクティビティを監視または制限できるようにします。たとえば、制限されたクラウドサービスドメインへの機密データのアップロードをブロックまたは監査できます。
前提条件
ライセンス
以下のいずれかのライセンスが必要です。
- Microsoft 365 E5/A5/G5
- Microsoft 365 E5/A5/F5/G5 Compliance and F5 Security & Compliance
- Microsoft 365 E5/A5/F5/G5 Information Protection & Governance
今回は以下のライセンスの組み合わせで Endpoint DLP を実装しています。
- Microsoft 365 Business Premium
- Microsoft 365 E5 Information Protection & Governance
オンボーディング
Microsoft Defender for Endpoint (MDE) もしくは Purview コンプライアンスセンターにオンボードする必要があります。また、Entra 登録/Entra 参加/ハイブリッド Entra 参加のいずれかが必要です。
今回は MDE をオンボードした Entra 参加端末を使用しています。
MDE のオンボードについては以下の記事をご参照ください。
DLP ポリシーを作成しよう
1. Microsoft Purview コンプライアンスポータル (https://compliance.microsoft.com) にアクセスし [データ損失防止]-[ポリシー] から [ポリシーを作成] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192042-1024x380.png)
2. カスタムポリシーを選択して [次へ] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192046-1024x504.png)
3. DLP ポリシーの名前を入力します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192051-1024x496.png)
4. 管理単位を必要に応じて割り当てます。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192054-1024x499.png)
5. ポリシーを選択する場所で [デバイス] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192055-1024x502.png)
6. [詳細な DLP ルールを作成またはカスタマイズします] を選択の上 [次へ] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192056-1024x499.png)
7. [ルールを作成] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192058-1024x498.png)
8. ルールの作成で名前を入力します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192100-1024x496.png)
9. 条件の追加で [コンテンツに含まれている] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192101-1024x497.png)
10. 追加から [機密情報の種類] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192103-1024x497.png)
11. 本検証ではクレジットカード番号を選択し [追加] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192105-1024x496.png)
12. 続いて追加から [秘密度ラベル] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192106-1024x499.png)
13. USB 持ち出しを禁止する秘密度ラベルを選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192108-1024x500.png)
14. アクションの処理を追加から [デバイスでアクティビティを監視または制限する] を選択します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192111-1024x499.png)
15. すべてのアプリ向けファイルアクティビティで [特定のアクティビティに制限を適用する] から [リムーバブル USB デバイスにコピーする] のチェックボックスを [オン] にし、アクションを [禁止] に設定します。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192114-1024x498.png)
16. [次へ] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192117-1024x497.png)
17. ポリシーモードで [すぐに有効にする] を選択し [次へ] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192118-1024x499.png)
18. ポリシーの確認と作成で [送信] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192119-1024x499.png)
19. [完了] をクリックします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192120-1024x500.png)
動作確認をしよう
個人情報テストデータを作成しよう
個人情報テストデータジェネレーター (userlocal.jp) からクレジットカード番号のチェックをオンにしたものを生成・ダウンロードします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192130-1024x542.png)
クレジットカード番号あり・秘密度ラベルなしの場合
1. ローカルドライブから USB ドライブへコピーします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192154-1024x499.png)
2. 組織で許可されていませんのダイアログが表示され、同時にデータ損失防止のポップアップが表示されます。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192157-1024x511.png)
クレジットカード番号なし・秘密度ラベルありの場合
1. ローカルドライブから USB ドライブへコピーします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192205-1024x500.png)
2. 組織で許可されていませんのダイアログが表示され、同時にデータ損失防止のポップアップが表示されます。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192207-1024x501.png)
クレジットカード番号なし・秘密度ラベルなしの場合
1. ローカルドライブから USB ドライブへコピーします。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192212-1024x507.png)
2. USB デバイスにコピーできました。
![](https://smejpsec.com/wp-content/uploads/2023/10/202310192214.png)
終わりに
今回は、Microsoft Purview の機能の一つ、エンドポイントデータ損失防止 (Endpoint DLP) を活用して、USB メモリを使った機密情報の持ち出しを防ぐ方法を紹介しました。機密情報の持ち出しや流失等を未然に防ぐためにも Endpoint DLP をぜひ活用してみてください。
コメント