はじめに
Microsoft Purview を使用して、SharePoint Online や OneDrive に保存された機密情報を含むドキュメントの外部共有を制限する方法について紹介します。まず、機密情報の種類 (SIT) を正規表現で定義し、それに一致する内容を含むドキュメントをデータ損失防止 (DLP) の対象とします。次に、DLP ポリシーに一致した場合、ユーザーがポリシーオーバーライドを行う方法を解説します。最後に、Microsoft Purview DLP アラートからファイル共有を解除する手順についても説明します。これにより、機密情報の保護とデータのセキュリティを強化することができます。
DLP に関する関連記事
Exchange メール DLP の設定手順については以下の記事を参考にしてください。
Endpoint DLP (USB デバイス制御) については以下の記事を参考にしてください。
SharePoint (OneDrive) DLP に必要なライセンス
以下のいずれかのライセンスが必要です。
- Microsoft 365 E5/A5/G5/E3/A3/G3, Microsoft 365 Business Premium, SharePoint Online Plan 2, OneDrive for Business (Plan 2)
- Office 365 E5/A5/G5/E3/A3/G3
- Microsoft 365 E5/A5/G5/F5 Compliance and F5 Security & Compliance
- Microsoft 365 E5/A5/F5/G5 Information Protection and Governance
今回は Microsoft 365 Business Premium で SharePoint (OneDrive) DLP を実装しています。
機密情報の種類 (SIT) を作成しよう
1. Microsoft Purview コンプライアンスポータル (https://compliance.microsoft.com/) にアクセスし、ナビゲーションメニューの [データの分類]-[分類子] をクリックします。分類子のページの [機密情報の種類] タブを選択し [機密情報の種類を作成する] をクリックします。
2. SIT 作成画面が表示されるので、はじめに名前と説明を設定します。入力が完了したら [次へ] をクリックします。
3. SIT パターン作成の画面に遷移するので [パターンを作成する] をクリックします。新しいパターンの画面から [主要要素を追加する]-[正規表現] をクリックします。
4. 正規表現を追加するの画面が表示されるので ID と正規表現を設定します。正規表現は [単語の一致] を採用しています。これは、正規表現にヒットする文字列の前後に空白文字 (スペースやタブ、改行など) があったり、正規表現にヒットする文字列がドキュメントの文頭や文末に存在したりする場合に SIT で検出できるようにしています。単語の一致を選択すると (ここに正規表現をメンションします) と表示されるので、ここに正規表現を設定します。今回は [アルファベット大文字 3 文字 – 数字 5 文字] からなる従業員 ID (例: ABC-12345) を正規表現で設定しています。この場合 [A-Z]{3}-\d{5} と入力します。入力が完了したら [完了] をクリックします。
5. SIT パターンの定義が完了したので [次へ] をクリックします。
6. 信頼度レベルを選択します。SIT のパターンの信頼度で高 (high) のみを設定している場合は [高い信頼度] のみであるため、そのまま [次へ] をクリックします。
7. SIT の設定を確認して [作成] をクリックすることで SIT が作成されます。
作成した SIT をテストしよう
1. 作成した SIT を選択し [テスト] をクリックします。
2. [ファイルをアップロード] からテストファイルをアップロードし [テスト] をクリックします。
3. 照合結果の値を確認し、期待通りに検出されていることを確認します。確認が完了したら [完了] をクリックします。
SharePoint (OneDrive) DLP ポリシーを作成しよう
1. ナビゲーションメニューの [データ損失防止]-[ポリシー] をクリックします。ポリシー画面から [ポリシーを作成] をクリックします。
2. DLP ポリシー作成画面が表示され、カスタムポリシーを選択し [次へ] をクリックします。
3. DLP ポリシーの名前と説明を入力し [次へ] をクリックします。
4. 管理単位は規定値のまま [次へ] をクリックします。
5. ポリシーの適用先を SharePoint サイトと OneDrive アカウントにチェックを入れて [次へ] をクリックします。
6. ポリシーの設定の定義でそのまま [次へ] をクリックします。
7. [ルールを作成] をクリックし、ルール作成画面で名前と説明を入力します。
8. [条件の追加]-[コンテンツに含まれている] をクリックします。
9. コンテンツに含まれているのボックスから [追加]-[機密情報の種類] をクリックします。
10. 作成した SIT を選択し [追加] をクリックします。
11. [条件の追加]-[コンテンツが Microsoft 365 から共有されている] をクリックします。
12. 条件式を [および] に設定し、コンテンツが Microsoft 365 から共有されているのボックスを [組織外の連絡先] に設定します。
13. [処理の追加]-[Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する] をクリックします。
14. Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化するのボックスの [組織外のユーザーのみをブロックします] を選択します。
15. ユーザー通知のトグルを [オン] にし [Office 365 サービスのユーザーにポリシーヒントの通知を表示する] にチェックを入れ [コンテンツを送信、共有、または最後に変更したユーザーに通知します] を選択します。
16. 誤検知対策など必要に応じてユーザーによる上書き (ポリシーオーバーライド) を許可します。
17. アラートの重要度レベルを設定します。
18. 追加のオプションは規定値のままとし [保存] をクリックします。
【参考】複数の DLP ポリシーやルールが定義されている場合、優先度が小さい順 (0~) に制御設定が参照され、最も強い DLP ポリシーが適用される仕組みになっています。優先して処理したい DLP ポリシーやルールがあれば優先度を小さく設定し、制御設定が強い DLP ポリシーやルールにオーバーライドされないために [このルールに一致する場合は、追加の DLP ポリシーとルールの処理を停止します] にチェックを入れる場合があります。
19. ルールの作成が完了し [次へ] をクリックします。
20. ポリシーモードでは、検証環境ですぐにポリシーを有効にしたい場合は [ポリシーをすぐに有効にする] を選択します。運用環境に適用する場合は [シミュレーションモードでポリシーを実行する] を選択し、影響範囲を確認してからポリシーを有効にすることをお勧めします。
21. DLP ポリシーの設定を確認し [送信] をクリックすることで DLP ポリシーの作成が完了します。
SharePoint サイトで DLP 動作を確認しよう
1. SIT に一致する文字列を含むドキュメントを SharePoint サイトにアップロードすると、ファイル名の右側に赤色の - マークが表示され、制限情報が表示されるようになります。
2. 赤色 - マークが表示されている状態で、外部のユーザーにファイルを共有しようした場合、共有リンクを送信することができません。ポリシーをオーバーライドして外部のユーザーに共有リンクを送信したい場合は [ポリシーのヒントを表示] をクリックします。
3. ポリシーのヒントが表示され [無視] をクリックします。
4. ポリシーのオーバーライドの理由を記入して [送信] をクリックすると、外部共有が可能になります。
5. 外部共有後に DLP ポリシーのオーバーライドが解除されて外部ユーザーのアクセスがブロックされることがあります。ユーザー通知を有効にしている場合、Access Blocked のメールが配信され、Open the item のリンクから再度 DLP ポリシーのオーバーライドが可能です。(2024年3月時点)
6. ポリシーのヒントが表示され [無視] をクリックし、オーバーライドの理由を記入して送信することで、外部共有が再開されます。
オーバーライドで共有されたファイルを管理者で操作しよう
1. DLP ポリシーのオーバーライドの理由は Microsoft Purview コンプライアンスポータルのアクティビティエクスプローラーで確認することができます。ナビゲーションメニューの [データ損失防止]-[アクティビティエクスプローラー] をクリックし、アクティビティの [DLP rule undo] を選択します。アクティビティの詳細が表示され、理由を確認することができます。
2. ポリシーのオーバーライドで外部共有されたファイルを管理者側で共有解除することも可能です。ナビゲーションメニューの [データ損失防止]-[アラート] から該当のアラートを選択し [詳細を表示] をクリックします。
3. イベントタブを選択し [処理] のプルダウンマークをクリックします。共有の解除を行うには [共有の解除] をクリックします。共有の停止で [確認] をクリックすることで共有リンクが削除されます。ただし、この操作は内部ユーザーの共有も解除する動作となり、SharePoint サイトの場合、サイト所有者だけがファイルを閲覧できるようになり、メンバーはファイルを閲覧できなくなるので注意してください。
終わりに
Microsoft Purview SharePoint (OneDrive) DLP を使用して、SharePoint Online や OneDrive に保存された機密情報を含むドキュメントの外部共有を制限する方法について紹介しました。動作確認では SharePoint サイトにおける DLP の動作を記載しましたが、OneDrive でも同様の動作が確認できております。DLP ポリシーの設計はポリシーの数やルールの数が増えると複雑になりますが、これまでの記事で紹介した SharePoint (OneDrive) DLP や Exchange メール DLP、Endpoint DLP を活用して機密情報の保護とデータのセキュリティを強化を図ってみてください。
コメント