Exchange Server でのデータ損失防止

ビジネス クリティカルな電子メール通信には機密データが含まれていることが多いため、Exchange Serverではデータ損失防止 (DLP) が重要です。 DLP 機能を使用すると、従業員の生産性を不必要に妨げることなく、コンプライアンス要件のバランスを取ることで、電子メール メッセージ内の機密データをこれまで以上に簡単に管理できます。 DLP の概念の概要については、次のビデオをご覧ください。

DLP ポリシーは、コンテンツに基づいてメッセージと添付ファイルをフィルター処理する特定の条件、アクション、例外を含むメール フロー ルール (トランスポート ルールとも呼ばれます) のコレクションである単純なパッケージです。 DLP ポリシーは作成できますが、アクティブ化しないことを選択することもできます。 これにより、メール フローに影響を与えずにポリシーをテストできます。 詳細については、「 メール フロー ルールをテストする」を参照してください。

DLP ポリシーでは、メール フロー ルールの全機能を使用して、転送中のメッセージを検出して処理できます。 たとえば、メール フロー ルールでは、キーワードの一致、辞書の一致、正規表現によるテキスト パターンの一致、組織の DLP ポリシーに違反するコンテンツを検出するためのその他のコンテンツ調査手法を使用して、詳細なコンテンツ分析を実行できます。 ドキュメントフィンガープリントは、標準フォームで機密情報を検出するのに役立ちます。 詳細については、次のトピックをご覧ください。

カスタマイズ可能な DLP ポリシー自体に加えて、機密情報を含むメッセージを送信する前に、いずれかのポリシーに違反しようとしているときにメール送信者に通知することもできます。 これを行うには、ポリシーヒントを構成します。 ポリシー ヒントには、Outlook 2013 以降で発生する可能性があるポリシー違反、Outlook on the web (旧称Outlook Web App)、デバイスのOutlook on the webに関する簡単なメモが記載されています。 詳細については、「ポリシー ヒント」を参照してください。

注:

  • DLP は、Exchange エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 CAL とサーバー ライセンスの詳細については、「 Exchange ライセンスに関する FAQ」を参照してください。

  • 一部のメールボックスがオンプレミスの Exchange にあり、一部がExchange Onlineされているハイブリッド環境では、DLP ポリシーはExchange Onlineでのみ適用されます。 オンプレミスユーザー間で送信されるメッセージは、メッセージがオンプレミス環境から離れないため、DLP ポリシーは適用されません。

データ損失防止に関連する管理タスクをお探しですか? DLP プロシージャに関するページを参照してください。

機密データを保護するポリシーの確立

データ損失防止機能を使用すると、ポリシーの条件内で定義した多数のカテゴリの機密情報 (個人識別番号やクレジット カード番号など) の特定と監視に役に立ちます。 独自のカスタム ポリシーとメール フロー ルールを定義することも、Exchange に含まれている DLP ポリシー テンプレートを使用してすぐに開始することもできます。 ポリシー テンプレートは、メッセージの検査に役立つ実際の DLP ポリシーを作成して保存するために選択できるさまざまな条件、ルール、アクションを含むモデルです。 含まれているポリシー テンプレートの詳細については、「 Exchange で提供される DLP ポリシー テンプレート」を参照してください。

DLP を実装するために使用できる 3 つの異なる方法があります。

  • Exchange で提供されているすぐに使えるテンプレートを適用する: DLP ポリシーの使用を開始する最も簡単な方法は、テンプレートを使用して新しいポリシーを作成して実装することです。 テンプレートを使用することで、新しいルールのセットを一から作成する手間を省けます。 確認するデータの種類や、対処しようとしているコンプライアンス規制を把握する必要があります。 また、このデータの処理に対する組織の期待も把握する必要があります。 詳細については、「 Exchange で提供される DLP ポリシー テンプレート 」および「 テンプレートから DLP ポリシーを作成する」を参照してください

  • 組織外から事前構築済みのポリシー ファイルをインポートする: 独立系ソフトウェア ベンダーによって作成されたポリシーをインポートできます。 このようにして、ビジネス要件を満たすように DLP ソリューションを拡張できます。 詳細については、「 独自の DLP テンプレートと情報の種類を定義する」およびファイルから DLP ポリシーをインポートする」を参照してください。

  • 既存の条件を使用せずにカスタム ポリシーを作成する: エンタープライズには、メッセージング システム内に存在することが知られている特定の種類のデータを監視するための独自の要件がある場合があります。 独自にカスタム ポリシーを完全に作成して、独自の一意のメッセージ データを見つけて操作できます。 有効なカスタム ポリシーを作成するには、DLP ポリシーが適用される環境の要件と制約を把握する必要があります。 詳細については、「 カスタム DLP ポリシーの作成」を参照してください。

ポリシーを追加した後、そのルールを確認および変更したり、ポリシーを非アクティブ化したり、完全に削除したりできます。 詳細については、「 DLP ポリシーの管理」を参照してください。

DLP ポリシー内の機密情報の種類

DLP ポリシーを作成または変更するときに、機密情報を検索するルールを含めることができます。 「Exchange Serverの機密情報の種類」トピックに記載されている機密情報の種類は、ポリシーで使用できます。 アクションを実行する前に何かを見つけ出す必要がある回数や、実行するアクションなど、ポリシー内の条件をカスタマイズできます。 DLP ポリシーの作成の詳細については、「 カスタム DLP ポリシーを作成する」を参照してください。 メール フロー ルールの詳細については、「Exchange Serverのメール フロー ルール」を参照してください。

機密情報を探すルールを簡単に使用できるように、Exchange には機密情報の種類の一部が既に含まれているポリシー テンプレートが付属しています。 テンプレートは組織内で最も一般的な種類のコンプライアンス関連データに焦点を当てやすいように設計されているため、すべての機密情報の種類に条件を追加することはできません。 事前構築済みテンプレートの詳細については、「 Exchange で提供される DLP ポリシー テンプレート」を参照してください。

組織に対して多くの DLP ポリシーを作成し、それらをすべて有効にして、さまざまな種類の情報を探すことができます。 既存のテンプレートに基づいていない DLP ポリシーを作成することもできます。 このようなポリシーを作成するには、「 カスタム DLP ポリシーを作成する」を参照してください。 使用可能な機密情報の種類の詳細については、「Exchange Serverの機密情報の種類」を参照してください。

ドキュメントの指紋による機密フォーム データの検出

Exchange を使用すると、 ドキュメントフィンガープリントを 使用して、標準フォームに基づく機密情報の種類を簡単に作成できます。

機密コンテンツの可能性についてユーザーに通知するポリシー ヒント

ポリシー ヒントの通知メッセージを使用すると、電子メール送信者が電子メール メッセージを作成しているときに、その送信者にコンプライアンスに関する潜在的な問題について通知できます。 DLP ポリシーでポリシー ヒントを構成すると、送信者の電子メール メッセージ内の何かがポリシーで説明されている条件と一致する場合にのみ通知メッセージが表示されます。 ポリシーヒントは、Exchange 2010 で導入されたメール ヒントに似ています。 詳細については、「ポリシー ヒント」を参照してください。

従来のメッセージ分類に沿った機密情報の検出

DLP ソリューションの強みの主な要因は、組織、規制のニーズ、地域、またはその他のビジネス ニーズに固有である可能性がある機密または機密性の高いコンテンツを正しく識別できることです。 Exchange DLP アーキテクチャでは、ディープ コンテンツ分析と、DLP ポリシーのルールを通じて確立した検出基準が使用されます。 Exchange でのデータ損失を防ぐには、適切な機密情報ルールのセットを構成し、高度な保護を提供しながら、誤検知や陰性によるメール フローの中断を最小限に抑える必要があります。 これらの種類のルール (DLP 情報全体で 機密情報検出と呼ばれます) は、メール フロー ルールのフレームワーク内で機能し、DLP 機能を有効にします。 これらの機能の詳細については、「 機密情報ルールとメール フロー ルールの統合」を参照してください。

従来のメッセージ分類は引き続きメッセージに適用でき、これらの分類を機密情報検出と組み合わせることができます。 これらの機能は、1 つの DLP ポリシー内で一緒に使用することも、個別に (同時に) 操作することもできます。 従来の Exchange 2010 メッセージ分類の詳細については、「 メッセージ分類について」を参照してください。

DLP 処理メッセージに関する情報

環境内の DLP ポリシー検出を含むメッセージに関する情報を確認するには、「DLP ポリシー検出レポートの表示」および「DLP ポリシー検出用のインシデント レポートの作成」を参照してください。 DLP 検出に関連するデータは、配信レポートに高度に統合されています。

詳細情報