クラウドエンジニアブログ

DLP で情報漏えいを防ごう

田中 敬泰

田中 敬泰

皆さん、こんにちは。ヘルプデスクの田中です。

前回「Intune でデバイス管理をしてみよう(iOS編)」を執筆させていただきましたが、今回は Microsoft 社のソリューションの 1 つでもある Data Loss Prevention (以下、DLP) を利用した情報漏えいの保護をご紹介したいと思います。

企業によって 「守るべき情報」は様々だとは思いますが、DLP を利用することでどんなことができて、どのように情報を守れるのかをご紹介できればと思います。



「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら


DLP とは

情報漏えいを防ぐことを目的とするセキュリティツールとなります。例えば、特定のキーワードなどが含まれるメールやドキュメントを検出して、自動的にブロックをします。
そのため、DLP によるメリットについて、以下があると考えられます。

  • 機密情報の保護
    • 企業が定義した「キーワード」を基に、機密情報を設定して保護することが可能です。
  • ヒューマンエラーによる情報漏えい事故防止
    • 漏えいさせたつもりが無くてもオペミスなどで漏れてしまう場合もあると思いますが、DLP により防ぐことが可能です。
  • リアルタイム検知
    • 万が一、情報漏えいしそうになった場合に、管理者への通知が可能となります。

また、ユーザーがリモートワークする機会も増えてきていると思います。今までは「社内NW に接続されていないと取得できない」など、構成によってはあり得たかもしれませんが、DLP を活用することで働き方を問わずに防ぐことが可能となります。

今回は、DLP で設定された「キーワード」が含まれた情報を、メールで情報漏えいされた場合のケースを紹介していきたいと思います。
DLP はライセンス関連が複雑になりますので、Microsoft 社の公式ページも確認いただければと思います。

【参考】
Office 365、オンライン、およびExchange Online、SharePointのデータ損失防止OneDrive for Business
データの通信データ損失防止Teams

では、構成していこうと思います!

「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら


機密情報の種類の作成

今回は、まず「機密情報の種類」を作成して、保護する情報を定義したいと思います。DLP ポリシーを設定する際に、事前に作成した「機密情報の種類」を設定することが可能となります。
【参考:機密情報の種類に関する詳細情報

「機密情報の種類」を作成せずとも DLP ポリシーの中で情報を定義することは可能となりますが、運用・管理を考えた場合は事前に作成しておくのが良いと考えられます。

Microsoft 365 コンプライアンス センター (https://compliance.microsoft.com/) に管理者アカウントでサインインして、[データの分類] – [機密情報の種類] を選択します。

[機密情報の種類を作成する] を選択します。

幾つかの「機密情報の種類」は、Microsoft 社が発行して用意済みの物がありますので、確認してみてください。
【参考:機密情報の種類のエンティティ定義

[機密情報の種類に名前を付けます] 画面に遷移後、[名前] と [説明] を入力して、[次へ] をクリックします。今回は、「Confidential」が含まれていた場合に検知するルールを組みたいと思います。

[この機密情報の種類のパターンを定義する] 画面に遷移後、[パターンを作成する] をクリックします。

[主要要素を追加する] をクリックすると選択要素が表示されるので、[キーワードのリスト]をクリックします。

[キーワード リストを追加する] 画面が表示されますので、以下のように入力します。入力に問題がなければ [完了] をクリックします。

  • ID:Confidential
  • キーワードグループ #1
    大文字と小文字を区別しない:Confidential
    文字列の一致

[新しいパターン] の画面に戻ったことを確認して、[作成] をクリックします。

なお、今回は説明を割愛しておりますが、その他の要素については公式情報を確認しながら設定を進めることを推奨します。

作成内容に問題がなければ、[次へ]をクリックします。

[コンプライアンス ポリシーに表示する推奨の信頼度レベルを選択する] 画面に遷移後、[次へ] をクリックします。

[設定を確認して完了する] 画面に遷移後、[作成] をクリックします。

「機密情報の種類が作成されました」 画面に遷移後、[完了] をクリックします。その後、正常に作成されているか確認した上で完了です。

「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら


DLP ポリシーの作成

次に DLP ポリシーを作成してユーザーに適用していきます。なお、Exchange Online は利用されている前提で記載させていただきます。

  • 事前準備
    • メールが有効なグループ

Microsoft 365 コンプライアンス センター (https://compliance.microsoft.com/) に管理者アカウントでサインインして、[データ損失防止] – [ポリシー] を選択して、[ポリシーを作成] をクリックします。

[テンプレートの利用またはカスタム ポリシーの作成] 画面に遷移後、[カスタム] – [カスタム ポリシー] を選択して、[次へ] をクリックします

テンプレートを利用する場合は、以下の情報を確認してみてください。
【参考:DLP ポリシー テンプレートに含まれるもの

[DLP ポリシーの名前の設定] 画面に遷移後、[名前]、[説明] を入力して [次へ] をクリックします。

[ポリシーを適用する場所の選択] 画面に遷移後、[Exchange email] のみ有効にします。その後、ポリシーを適用するグループを選択するため、[選択 配布グループ] をクリックします。

[Exchange email] 画面に遷移後、事前に作成しておいた ”メールが有効なグループ” を選択して、[完了] をクリックします。

  • ※ ここで注意してほしいのが、”メールが有効なグループ” が必要となります。よくあるパターンとしては、Azure AD で作成したグループを適用したいが、メールアドレスが付与されていないため適用できないなどがあります。
  • ※ 適用対象はグループとなりますが、ユーザーを検索するとヒットしてしまいます。ユーザーに適用してポリシーを作成すると “全ユーザーに適用” されますので注意してください。

Exchange Online 以外の情報も以下に掲載されておりますので、確認してみてください。
【参考:DLP ポリシー構成の概要

選択したグループが含まれていることを確認して、[次へ] をクリックします。

[ポリシーの設定の定義] 画面に遷移後、[次へ] をクリックします。

[詳細な DLP ルールのカスタマイズ] 画面に遷移後、[ルールの作成] をクリックします。

以下の項目を入力、および設定して [保存] をクリックします。(項目数が多いため表形式とさせて下さい。項目にない内容は、既定値となります。)

No 項目 設定値 備考
1. 名前 [ExO]Confidential Block
2. 条件#1 コンテンツに含まれている
  • 機密情報の種類:Confidential
  • 信頼度:高
  • インスタンス数:1からすべて
インスタンス数は、設定した情報の数となります。そのため、”2” にする場合、”Confidential” が2 つ以上ないと検知されなくなるため注意
3. 条件#2 コンテンツが Microsoft 365 から共有されている
  • 組織外の連絡先
4. アクション Microsoft 365 の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する:オン
  • ユーザーによる共有の SharePoint、OneDrive、Teams のコンテンツへのアクセスをブロックする:●
  • 組織外のユーザーのみブロックします。組織内のユーザーは引き続きアクセスできます:●
組織外への漏えいを想定しているため、組織内はOKとします
5. ユーザー通知 オン
  • コンテンツを送信、共有、または最後に変更したユーザーに通知します:●
6. ルールの一致が発生した場合に管理者にアラートを送信します オン
  • メールアラートの通知先:管理者
  • アクティビティがルールに一致する場合に毎回アラートを送信:●

内容に問題ないことを確認して、[次へ] をクリックします。

[テストを行うかポリシーを有効にする] 画面に遷移後、[すぐに有効にする] が選択されている状態で、[次へ] をクリックします。

なお、事前評価を実施した上で適用したい場合は、「テストモード」で実施していただければと思います。

[ポリシーの確認と作成] 画面に遷移後、[送信] をクリックします。その後、DLP ポリシーが作成されたことを確認します。

「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら


動作確認

実際に動作確認をしてみましょう!

本文にキーワードを入れてみるパターン

以下の様なメールを作成して送付しようとすると、ポリシーヒントで送付ができない状態となりました。

そのため、ポリシーが適用される前に送付してみると、Blockedメッセージが届きました。

管理者側にも以下のメールを受信しています。

[View Alert …] も確認してみると、以下のように履歴を追うことが可能となります。
公式情報にはないのですが、[時間範囲] で設定できるのは、1か月前となるので気を付けてください。

【参考:DLP アラート管理ダッシュボード

送付されたメールは “Blocked” となっていましたが、実際にはどうなっているのかを折角なのでメッセージ追跡ログで確認してみます。

どうでしょうか。メッセージは Drop(破棄)されたことがわかりますね。
DLP ポリシーで設定されたキーワードでの情報漏えいは防げていると言えますね。

続いては、添付ファイルにキーワードを入れてみます。

添付ファイルにキーワードを入れてみるパターン

今回はWordで実施してみます。

こちらも先ほどのメール本文と同様に、ポリシーヒントで送付ができない状態となりました。

そのため、ポリシーが適用される前に送付してみると、同様にBlockedメッセージが届きました。

管理者も同様にメッセージを受信しました。

ログも同様に追加されていますね。

「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら


さいごに

いかがでしたでしょうか。DLP ポリシーをユーザーに適用することで、Exchange Online 側でトランスポートルール等を構成せずとも動作することが分かります。Exchange Online だけではなく他のプロダクトで構成し、動作させることも可能となります。

クラウド上に重要なデータが存在する時代を考えた時に、どのようにしてデータを守るのかの第一歩として、DLP を採用するのは良いのかなとも考えられますね。

次回も EMS に関連する記事、または自分が興味ある分野について執筆していこうと思います。最後まで読んでいただきありがとうございました!

関連ページ

「Office 365 導入・運用支援サービス」はこちら

「Enterprise Mobility + Security 導入支援サービス」はこちら

【総合】お問い合わせ

製品・サービスに関するお問い合わせはお気軽にご相談ください

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録