Exchange Onlineでのデータ損失防止

  • [アーティクル]

注:

Exchange 管理センターの従来のExchange Onlineデータ損失防止は、非推奨の処理中です。 Microsoft Purview コンプライアンス ポータルで DLP ポリシーを作成することをお勧めします。 この DLP の詳細については、「 データ損失防止の詳細」を参照してください。

  • 2022 年 4 月 1 日から、管理者は従来の Exchange 管理センターで DLP ポリシーの構成を変更できなくなります。 既存のルールは引き続きそのまま動作します。
  • 2022 年 8 月 1 日より、従来の Exchange 管理センターでの DLP ポリシー管理エクスペリエンスは廃止されます。 管理者は、メール フロー ルール (トランスポート ルール) エクスペリエンスを使用して、関連するルールを読み取り専用モードで引き続き表示できます。

移行ウィザードを使用して、レガシ Exchange Online DLP ポリシーを簡単に移行できます。 詳細については、「Exchange Onlineデータ損失防止ポリシーをMicrosoft Purview コンプライアンス ポータルに移行する」を参照してください。

GCC-H と DoD の特別なクラウドの詳細なタイムラインは、個別に通信されます。

Exchange Onlineの DLP ポリシー (含まれるもの、テスト方法など) について説明します。 また、Exchange の DLP の新機能について説明します。

データ損失防止 (DLP) は、機密性の高いデータを含むビジネス クリティカルな通信に電子メールを広範に使用するため、エンタープライズ メッセージ システムにとって重要な問題です。 このようなデータのコンプライアンス要件を適用し、従業員の生産性を妨げずに電子メールでの使用を管理するために、DLP 機能により、機密データの管理がかつてないほど簡単になります。 DLP の概念の概要については、次のビデオをご覧ください。

DLP ポリシーは、Exchange 管理センター (EAC) で作成したメール フロー ルール (トランスポート ルールとも呼ばれます) の条件、例外、アクションで構成され、アクティブ化して電子メール メッセージと添付ファイルをフィルター処理する一連の条件を含む単純なパッケージです。 DLP ポリシーは作成できますが、アクティブ化しないことを選択します。 これにより、メール フローに影響を与えずにポリシーをテストできます。 DLP ポリシーでは、既存のメール フロー ルールを最大限に活用できます。 実際には、新しい DLP 機能を実現するために、Exchange Onlineで多数の新しい種類のメール フロー ルールが作成されています。 メール フロー ルールの重要な新機能の 1 つは、メール フロー処理に組み込むことができる機密情報を分類するための新しいアプローチです。 この新しい DLP 機能は、キーワードの一致、辞書の一致、正規表現の評価、その他のコンテンツ調査を通じて詳細なコンテンツ分析を実行し、組織の DLP ポリシーに違反するコンテンツを検出します。 メール フロー ルールの詳細については、「Exchange Onlineのメール フロー ルール (トランスポート ルール)」および「機密情報ルールとメール フロー ルールの統合」をExchange Onlineで参照してください。 また、Exchange PowerShell Exchange Online PowerShell コマンドレットを使用して、DLP ポリシーを管理することもできます。

カスタマイズ可能な DLP ポリシー自体に加えて、問題のあるメッセージを送信する前であっても、いずれかのポリシーに違反しようとしている可能性があることをメール送信者に通知することもできます。 これは、ポリシー ヒントを構成することで実現できます。 ポリシー ヒントはメール ヒントに似ていて、メッセージを作成しているユーザーにそれがポリシー違反の可能性があることを通知する短いメモを、Microsoft Outlook 2013 クライアントで提示するように構成できます。 Exchange Onlineでは、ポリシー ヒントは Outlook on the web (旧称 Outlook Web App) と OWA for Devices にも表示されます。 詳細については、「ポリシー ヒント」を参照してください。

注:

DLP Exchange Onlineはプレミアム機能です。 詳細については、「Exchange Online ライセンス」、「Exchange Online サービスの説明」、および「Exchange Online Protection サービスの説明」を参照してください

ハイブリッド展開でオンプレミス ユーザー間で送信されたメッセージには、Exchange Online DLP ポリシーが適用されていません。これは、メッセージがオンプレミスインフラストラクチャから離れないためです。

機密データを保護するポリシーの確立

データ損失防止機能を使用すると、ポリシーの条件内で定義した多数のカテゴリの機密情報 (個人識別番号やクレジット カード番号など) の特定と監視に役に立ちます。 独自のカスタム ポリシーとメール フロー ルールを定義するか、Microsoft が提供する定義済みの DLP ポリシー テンプレートを使用して、すばやく作業を開始できます。 付属のポリシー テンプレートの詳細については、「Exchange で提供される DLP ポリシー テンプレート」を参照してください。 ポリシー テンプレートには、メッセージの検査に役立つ実際の DLP ポリシーを作成および保存するために選択できる一連の条件、ルール、アクションが含まれています。 ポリシー テンプレートとは、データ損失防止のニーズを満たすポリシーを作成するために、その中から独自の特定のルールを選択または作成できるモデルです。

DLP の使用を開始するには、次の 3 つの異なる方法があります。

  1. Microsoft が提供するすぐに使えるテンプレートを適用する: DLP ポリシーの使用を開始する最も簡単な方法は、テンプレートを使用して新しいポリシーを作成して実装することです。 テンプレートを使用することで、新しいルールのセットを一から作成する手間を省けます。 確認するデータの種類や対応する法令遵守規定を把握しておく必要があります。 このようなデータの処理に関する組織の要望を把握しておくことも必要です。 詳細については、「 Exchange で提供される DLP ポリシー テンプレート」および「テンプレートからの DLP ポリシーの作成」を参照してください。

  2. 組織外から事前構築済みのポリシー ファイルをインポートする: 独立したソフトウェア ベンダーによってメッセージング環境の外部に既に作成されているポリシーをインポートできます。 こうすることで、ユーザーのビジネス環境に合うように DLP ソリューションを拡張できます。

  3. 既存の条件なしでカスタム ポリシーを作成する: エンタープライズには、メッセージング システム内に存在することが知られている特定の種類のデータを監視するための独自の要件がある場合があります。 まったく独力でカスタム ポリシーを作成して、固有のメッセージ データのチェックと処理を開始することができます。 このようなカスタム ポリシーを作成するために DLP ポリシーを適用する環境の要件と制約を把握する必要があります。 詳細については、「 カスタム DLP ポリシーの作成」を参照してください。

ポリシーを追加したら、そのルールの確認と変更、ポリシーの非アクティブ化、ポリシーの完全な削除を行うこともできます。

DLP ポリシー内の機密情報の種類

DLP ポリシーを作成または変更する際には、機密情報を確認するルールを含めることができます。 「機密情報の 種類のエンティティ定義 」トピックに記載されている機密情報の種類は、ポリシーで使用できます。 アクションの実行をトリガする検出回数や実行するアクションなど、ポリシー内に設定する条件は、特定のポリシー要件に合わせて独自の新しいポリシー内でカスタマイズできます。 DLP ポリシーの作成の詳細については、「 カスタム DLP ポリシーの作成」を参照してください。 完全なスイートのメール フロー ルールの詳細については、Exchange Onlineの「メール フロー ルール (トランスポート ルール)」を参照してください。

機密情報に関連するルールを簡単に利用できるようにするために、Microsoft ではいくつかの機密情報の種類を含めたポリシー テンプレートを用意しました。 ただし、テンプレートは組織内で最も一般的な種類のコンプライアンス関連データに焦点を当てやすいように設計されているため、ここに記載されているすべての機密情報の種類の条件をポリシー テンプレートに追加することはできません。 あらかじめ組み込まれているテンプレートの詳細については、「Exchange で提供される DLP ポリシー テンプレート」を参照してください。 組織用の DLP ポリシーを数多く作成し、さまざまな種類の情報を調査できるようにすべてを有効にすることができます。 既存のテンプレートに基づかない DLP ポリシーを作成することもできます。 このようなポリシーを作成する場合は、「カスタム DLP ポリシーの作成」を参照してください。 機密情報の種類の詳細については、「 機密情報の種類のエンティティ定義」を参照してください。

機密コンテンツの可能性についてユーザーに通知するポリシー ヒント

ポリシー ヒントの通知メッセージを使用すると、電子メール送信者が電子メール メッセージを作成しているときに、その送信者にコンプライアンスに関する潜在的な問題について通知できます。 DLP ポリシー内でポリシー ヒントを構成すると、送信者の電子メール メッセージがポリシーに記載された条件を満たす場合にのみ、通知メッセージが表示されます。 ポリシー ヒントは、Microsoft Exchange 2010 で導入されたメール ヒントに似ています。 詳細については、「ポリシー ヒント」を参照してください。

従来のメッセージ分類に沿った機密情報の検出

Exchange Onlineは、従来のメッセージ分類と比較して、メッセージと添付ファイルのデータを管理するのに役立つ新しい方法を示します。 DLP ソリューションの強さの主要な要因は、組織、規制ニーズ、地理またはその他のビジネス ニーズに固有の機密コンテンツを正しく識別できることです。 Exchange Onlineは、ディープ コンテンツ分析に新しいアーキテクチャを使用し、DLP ポリシーのルールを通じて確立する検出基準と組み合わせてこれを実現できます。 Exchange Onlineでのデータ損失を防ぐには、誤検知や陰性による不適切なメール フローの中断を最小限に抑えながら高度な保護を提供できるように、適切な機密情報ルールの設定に依存しています。 DLP 情報全体で機密情報検出と呼ばれるこれらの種類のルールは、DLP 機能を有効にするために、メール フロー ルールによって提供されるフレームワーク内で機能します。

これらの新機能の詳細については、「Exchange Onlineでの機密情報ルールとメール フロー ルールの統合」を参照してください。 従来のメッセージ分類フィールドは、今までどおり Exchange 内のメッセージに適用でき、1 つの DLP ポリシー内で新しい機密情報検出と連動させるか、同時に実行することで、Exchange 内で別々に評価することができます。 従来の Exchange 2010 メッセージ分類の詳細については、「 メッセージ分類について」を参照してください。

インストールの前提条件

DLP 機能を利用するには、Exchange Onlineプラン 2 ライセンスが構成されたメールボックスが少なくとも 1 つ必要です。 詳細については、「Exchange Online サービスの説明」を参照してください。

詳細情報

Exchange Online