- はじめに
- 前提条件
- 機密データに対するクラウドサービスドメインのホワイトリスト/ブラックリストを登録する
- 機密ファイルへのアクセスを制限するアプリケーションを登録する
- 機密情報の種類 (SIT) を定義する – マイナンバー (個人番号)
- エンドポイント DLP ポリシーを定義する
- 【動作確認】検証用データの準備
- 【動作確認】Outlook メールで機密ファイルを添付
- 【動作確認】クラウドサービスへの機密ファイルのアップロード
- 【動作確認】コピーした機密データの貼り付け (クリップボード)
- 【動作確認】USB デバイスへの機密ファイルのコピー
- 【動作確認】RDP セッションへの機密ファイルのコピー
- 【動作確認】機密ファイルの印刷
- 【動作確認】機密ファイルの共有フォルダへのコピー
- 終わりに
はじめに
Microsoft Purview Endpoint データ損失防止 (DLP) では、Microsoft Defender for Endpoint (MDE) や Microsoft Purview にオンボードされたデバイスにおける機密データを用いたアクティビティを監視または制限することができます。具体的に以下のことが可能です。
- ホワイトリスト/ブラックリストで指定したクラウドサービスドメインへの機密ファイルのアップロードを制限する
- クリップボードにある機密データの貼り付けを制限する
- リムーバブル USB デバイスへの機密ファイルのコピーを制限する
- ネットワーク共有のディレクトリに機密ファイルのコピーを制限する
- 機密データが含まれるファイルの印刷を制限する
- リモートデスクトップ (RDP) を使用した機密ファイルのコピーや移動を制限する
- 特定のアプリケーションに対して機密データを含むファイルの読み込みを制限する
本記事では、新しい Microsoft Purview ポータルでの Endpoint DLP のポリシーの作成手順を示し、Endpoint DLP の各種機能の動作を確認しようと思います。
前提条件
リムーバブル USB デバイスへの機密ファイルのコピーを制限する方法について、以前の記事でも紹介しているので、Endpoint DLP を導入するための前提条件は以下の記事をご参照ください。
機密データに対するクラウドサービスドメインのホワイトリスト/ブラックリストを登録する
1. Microsoft Purview ポータル (https://purview.microsoft.com) にアクセスし、左ペインの「設定」をクリックします。ナビゲーションメニューの「データ損失防止」を選択し、「エンドポイントの DLP 設定」ページの「機密データに対するブラウザーとドメインの制限」を展開します。
2. 展開した「機密データに対するブラウザーとドメインの制限」の「サービスドメイン」から「許可」もしくは「ブロック」を選択します。「許可」を選択した場合はホワイトリスト型、「ブロック」を選択した場合はブラックリスト型となります。本記事では「許可」のホワイトリスト型で紹介いたします。「許可」もしくは「ブロック」を選択したのち「クラウドサービスドメインの追加」をクリックします。
3. 本記事では SharePoint サイトおよび OneDrive をホワイトリストに追加したいと思います。ドメイン欄に「*.sharepoint.com」と入力し「+」をクリックするとリストに追加されます。リストに追加後「保存」をクリックします。
機密ファイルへのアクセスを制限するアプリケーションを登録する
1. 「設定」のナビゲーションメニューの「データ損失防止」を選択し、「エンドポイントの DLP 設定」ページの「制限されたアプリとアプリグループ」を展開します。
2. 展開した「制限されたアプリとアプリグループ」の「制限されたアプリ」から「制限されたアプリの追加または編集」をクリックします。
3. 本記事では Outlook メール作成時に機密データを含むファイルを添付できないようにするため、アプリ名には「Outlook」、実行可能ファイルの名前に「OUTLOOK.EXE」を入力し「+」をクリックします。
4. リストにアプリケーションが追加され、チェックが入った状態で「保存」をクリックします。
機密情報の種類 (SIT) を定義する – マイナンバー (個人番号)
1. 本記事では、マイナンバー (個人番号) を含むデータを機密データとして扱うことにします。Microsoft Purview ポータルのホーム画面から「データ損失防止」をクリックします。
2. ナビゲーションメニューの「分類子」から「機密情報の種類」を選択します。本記事では、事前に作成済みの SIT を使用します。正規表現の「単語の一致」で 12 桁の整数を定義しており、正規表現の検証ツールに Microsoft が提供している関数「Func_japanese_my_number_personal」を使用しています。これによりマイナンバーを含むデータを機密データとして判定することができます。
エンドポイント DLP ポリシーを定義する
1. データ損失防止のナビゲーションメニューの「ポリシー」を選択し、ポリシー画面の「ポリシーを作成」をクリックします。
2. 「カスタム」から「カスタムポリシー」を選択し「次へ」をクリックします。
3. DLP ポリシーの名前を入力し「次へ」をクリックします。
4. 管理単位は基本的にデフォルトのまま「次へ」をクリックします。
5. ポリシーの適用先で「デバイス」を選択した状態で「次へ」をクリックします。
6. ポリシーの設定の定義画面で「次へ」をクリックします。
7. 詳細な DLP ルールのカスタマイズ画面で「ルールを作成」をクリックします。
8. DLP ルール名を入力します。
9. 条件から「条件の追加」をクリックし、「コンテンツに含まれている」を選択します。
10. 「追加」から「機密情報の種類」を選択します。
11. 定義済みの SIT を選択し「追加」をクリックします。
12. インスタンス数はデフォルトのまま 1 以上とします。
13. 操作の「処理の追加」から「デバイスでアクティビティを監査または制限する」を選択します。
14. 各項目にチェックを入れ「禁止」を選択します。
15. インシデントレポートで重要度レベルを設定します。本記事では「高」に設定します。設定後「保存」をクリックします。
16. 詳細な DLP ルールのカスタマイズ画面に戻るので「次へ」をクリックします。
17. ポリシーモードを選択します。本記事では「ポリシーをすぐに有効にする」を選択し、「次へ」をクリックします。
18. 確認と完了画面で「送信」をクリックします。
【動作確認】検証用データの準備
本記事では、検証用ダミーデータを以下から生成しています。
個人情報テストデータジェネレーター (userlocal.jp)
【動作確認】Outlook メールで機密ファイルを添付
1. ダミーのマイナンバーを含むファイルを Outlook メールに添付しようとするとエンドポイント DLP のバルーンが表示され、メール添付できないことが確認できます。
2. マイナンバーではない 12 桁の整数を含むファイルの場合、Outlook メールへの添付は可能であることは確認できます。
3. Exchange メール DLP を使用することで、メッセージ本文に機密データが入力されている場合、メール送信を防止することが可能です。
【動作確認】クラウドサービスへの機密ファイルのアップロード
1. ホワイトリストに登録していないクラウドサービスドメイン (Google Drive など) に機密ファイルをアップロードしようとすると、エンドポイント DLP のメッセージが表示され、ファイルがアップロードできないことが確認できます。
2. ホワイトリストに登録した SharePoint サイトでは、機密ファイルをアップロードできることが確認できます。
【動作確認】コピーした機密データの貼り付け (クリップボード)
1. 機密データをコピーして、別のアプリケーションに貼り付けしようとするとエンドポイント DLP のバルーンが表示され、貼り付けできないことが確認できます。
【動作確認】USB デバイスへの機密ファイルのコピー
1. 機密ファイルをリムーバブル USB デバイスにコピーしようとするとエンドポイント DLP のバルーンが表示され、機密ファイルがコピーできないことが確認できます。
【動作確認】RDP セッションへの機密ファイルのコピー
1. 機密ファイルを RDP セッションにコピーしようとするとエンドポイント DLP のバルーンが表示され、機密ファイルがコピーできないことが確認できます。
【動作確認】機密ファイルの印刷
1. 機密ファイルを印刷しようとするとエンドポイント DLP のバルーンが表示され、機密ファイルが印刷できないことが確認できます。
【動作確認】機密ファイルの共有フォルダへのコピー
1. 機密ファイルを共有フォルダにコピーしようとするとエンドポイント DLP のバルーンが表示され、機密ファイルがコピーできないことが確認できます。
終わりに
本記事では、新しい Microsoft Purview ポータルでの Endpoint DLP のポリシーの作成手順を示し、Endpoint DLP の各種機能の動作を確認しました。今回はエンドポイント DLP のすべての機能を「禁止」にして動作確認しましたが、エンドポイント DLP の設定で除外設定など細かい制御が可能であるため試してみてください。
コメント