どうも、株式会社ソフトクリエイト で情報屋やってます。山口です。
普段は企業様向けに Microsoft 365 活用のご支援をおこなっています。
Teams や SharePoint など、連絡や情報共有が便利になった分、「あ、間違えて社外に機密情報送っちゃった…」 みたいな"うっかり事故"のリスクも増えているわけです(^^;
そんな場面で活躍するのが、Microsoft Purview の「データ損失防止(DLP)」 という機能で、組織の機密情報を識別し、データ流出の検知や防止を行うことができます。
Microsoft Purview で「個人情報の外部送信」をブロック!DLPポリシーの作り方を解説
■ Microsoft Purview DLP(データ損失防止)ってそもそも何?
DLP(Data Loss Prevention)とは、簡単に言うと 「機密情報が外に出ていかないように見張ってくれる仕組み」 です。
• メールの本文や添付ファイルに個人情報が含まれていたら 送信をブロック したり
• SharePointやOneDriveで機密ファイルを外部共有しようとしたら 警告を出したり
• Teamsのチャットで機密データを貼り付けようとしたら ポリシーヒントを表示 したり
こんな感じで、ユーザーが"気づかないまま"情報を外に出してしまうのを事前に防いでくれるわけです(^^
今回は、日本の個人情報(氏名・住所・電話番号など)を含む情報が組織外へ送信されるのを制限するDLPポリシーの作成手順を、解説していきます!
◆対象サービス:Exchange メール, SharePoint サイト, OneDrive アカウント, Teams のチャットおよびチャネルメッセージ
◆必要ライセンス:Microsoft 365 E5 / E3 / BP 等
※ Endpoint DLP 等の高度な部分については、E5 および E5 コンプライアンス、Purview Suite for Business Premium 等のライセンスが必要になります。
■ Microsoft Purview でのDLPポリシーの作成方法
Microsoft Purview 管理センターにアクセスします。
「ソリューション」→「データ損失防止」をクリックします。
「+ポリシーの作成」をクリックします。
「エンタープライズ アプリケーションとデバイス」をクリックします。
テンプレートの画面に移動したら、「拡張」をクリックします。
「日本の個人情報(PII)データの拡張」をクリックします。
① 日本の個人情報(PII)データの拡張(検出精度優先)
→ 日本特有の個人情報(氏名・住所・電話番号・健康保険証番号など)をより精緻に検知できるようにするための、Sensitive Information Type(SIT)=データ検出ルールの拡張。
② 日本の個人情報保護の拡張(運用体系優先)
→ ①で追加された日本向けSITを、日本の個人情報・高リスク個人情報などの分類セットとしてまとめ、DLP やラベル ポリシーで指定しやすくするためのテンプレート拡張。
まず①のポリシーを作成して、必要に応じて、②を追加する感じがいいようです。
作成するDLPポリシーの名前と説明を修正し、「次へ」をクリックします。
管理単位の割り当ては、今回の手順では設定せずに「次へ」をクリックします。
DLPポリシーの適用先の画面が表示されます。
DLPポリシーの対象サービス(Exchange メール, SharePoint サイト, OneDrive アカウント, Teams のチャットおよびチャネルメッセージ)および適用範囲を選択し、「次へ」をクリックします。
※サービスに合わせて、影響範囲を考えながら、範囲(スコープ)も忘れずに設定しましょう。
| 区分 | 場所(ワークロード) | 役割 | 解説 |
|---|---|---|---|
| メール | Exchange メール | メール送受信時のDLP | メール本文・添付ファイル内の機密情報を検出し、送信ブロックや警告を実施 |
| ファイル | SharePoint サイト | SharePoint 上のファイルDLP | サイトに保存・共有されるファイルを対象に検出 |
| ファイル | OneDrive アカウント | 個人用 OneDrive のDLP | 個人領域に保存・共有されるファイルを対象 |
| チャット | Teams のチャットおよびチャネル メッセージ | Teams 投稿のDLP | チャット本文・投稿メッセージを対象に検出 |
| エンドポイント | デバイス | Endpoint DLP | PC上でのコピー・貼り付け・アップロード・印刷などを制御 |
| ファイル | オンプレミスのリポジトリ | ファイルサーバーDLP | オンプレミスファイルのスキャン(別途構成要) |
| 分析基盤 | Fabric ワークスペースと Power BI ワークスペース | BIデータのDLP | レポートやデータセット内の機密情報を検出 |
| クラウドアプリ | マネージド クラウド アプリ | SaaS連携DLP | Defender for Cloud Apps 経由でSaaS操作を検出 |
| 範囲カテゴリ | 主な選択肢 | 解説 |
|---|---|---|
| 全体適用 | すべてのユーザー / サイト / ワークスペース | テナント全体を対象 |
| 対象限定 | 特定ユーザー / グループ / サイトのみ含める | パイロットや段階展開向け |
| 除外指定 | 特定ユーザー / グループ / サイトを除外 | 例外ユーザーやシステム領域を外す |
| デバイス単位 | デバイスグループ指定 | Endpoint DLP 用の範囲指定 |
| ワークロード単位 | ワークスペース / リポジトリ指定 | BI / オンプレ向け |
DLPポリシーの定義を確認し、「次へ」をクリックします。
保護対象の情報として、「組織外の連絡先」が選択されていることを確認し、「次へ」をクリックします。
DLPポリシーでの保護内容を選択、変更し、「次へ」をクリックします。
| 区分 | 項目名 | 設定種別 | 役割 |
|---|---|---|---|
| ユーザー通知 | コンテンツがポリシーの条件と一致した場合に、ユーザーにポリシー ヒントを表示して、メール通知を送信する | チェック | ユーザーに警告と説明を表示 |
| 検出条件 | 特定の量の機密情報が一度に共有されている場合に検出します | チェック | 一定件数以上で検出 |
| 検出条件 | 最低件数(例:10 件以上) | 数値入力 | 検出しきい値 |
| 管理者通知 | インシデント レポートのメール送信 | チェック | 管理者へメール通知 |
| 管理者通知 | レポートに含める対象とレポートの受信者を選びます | リンク | レポート対象・宛先設定 |
| 管理者通知 | いずれかの DLP ルールが一致した場合に通知を送信する | チェック | 管理者アラート |
運用上必要となるアクセスと上書きの設定のカスタマイズを行い「次へ」をクリックします。
※シミュレーションには必須ではないので、後で修正しても問題ないです。
| 区分 | 項目名 | 役割 |
|---|---|---|
| アクセス制御 | Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する | M365 内コンテンツへのアクセス制御を有効化 |
| アクセス制御 | ユーザーによるメールの受信や SharePoint, OneDrive, Teams の共有ファイル等へのアクセスをブロック | DLP検出時にブロック動作を有効化 |
| ブロック範囲 | すべてのユーザーをブロックします | 社内外すべてをブロック |
| ブロック範囲 | 組織外のユーザーのみをブロックします | 外部ユーザーのみブロック |
| 上書き制御 | ヒントを見たユーザーによるポリシーの上書きを許可します | ユーザーによる例外許可 |
| 上書き制御 | 上書きするには業務上の理由が必要です | 上書き時に理由入力 |
| 上書き制御 | 誤検知として報告された場合にルールを自動的に上書きします | 誤検知時の自動通過 |
| 上書き制御 | オーバーライドを明示的に確認するようエンドユーザーに要求する(Exchangeのみ) | 二重確認 |
ポリシーモードの設定画面にて、「シミュレーション モードでポリシーを実行する」およびオプションの選択を行い「次へ」をクリックします。
| 項目名 | 説明 | 動作のポイント | 想定用途 |
|---|---|---|---|
| シミュレーションモードでポリシーを実行する | 条件に一致したイベントだけを記録し、ユーザー操作はブロックせず評価だけ行うモード。 | ・実際の業務影響なし ・検知ログは記録される ・ポリシーは“未適用”として扱われる |
ポリシー導入前の影響確認、誤検知の調整 |
| シミュレーションモード中にポリシーヒントを表示する | シミュレーション中でもユーザーに警告ポップアップ(ポリシーヒント)を表示できる。 | ・ブロックなし、警告のみ表示 ・ユーザー教育効果を出せる ・運用テストがしやすい |
現場へ負荷をかけず“教育効果”を先に得たいとき |
| シミュレーションから15日以内に編集されなかった場合、ポリシーをオンにします | 15日経過後に自動で本番モード(適用)に切り替える。 | ・自動移行 ・設定ミスによる“放置”を防止 |
テスト後に自動で本番化したい場合 |
| ポリシーをすぐに有効にする | その瞬間にポリシーを本番適用し、ブロック・制御が開始される。 | ・即時適用 ・ブロックや警告がすぐに実行される |
緊急対応(情報漏えい事故直後など) |
| ポリシーをオフのままにする | 設定だけ保存し、動作はさせない。 | ・ログも残らない ・ユーザー操作に全く影響なし |
設計途中のポリシーの下書き、レビュー段階 |
「送信」をクリックします。
"新しいポリシーが作成されました"のメッセージを確認できたら、「完了」をクリックします。
※DLPポリシーの作成から、反映までは2時間程度かかるので、実際の動作確認は直ぐには難しいです。
作成したポリシーの「シミュレーションの概要」画面を確認すると、選択した対象サービスと範囲内に存在する機密情報が確認できるようになります。
◆シミュレーションの概要で確認できる情報例
• 選択した対象サービスと範囲内に存在する 機密情報の検出件数
• どの機密情報タイプが 何件検出されたか
• どのファイルで 検出されたか
実際にブロックされる場合には、以下のような画面が表示されます。
■ まとめ
今回は、Microsoft Purview の DLP(データ損失防止) を使って、日本の個人情報を含むコンテンツの外部送信を制限するポリシーの作成手順を解説しました。
DLPって設定項目が多くて「うわ、難しそう…」と思いがちですが、テンプレートを活用すれば意外とサクッと作れます(^^
• まずは シミュレーションモード で影響を確認
• 段階的に 展開して業務影響を最小化
• 誤検知は 必ず調整 する前提で運用
