IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSPurview&Defender > 【Microsoft Purview】データ損失防止(DLP)1
最終更新日

【Microsoft Purview】データ損失防止(DLP)1

MSPurview&Defender インフラ

【Microsoft Purview】データ損失防止(DLP)1

法人向けMicrosoft 365のコンプライアンス管理サービス「Microsoft Purview」の一機能であるデータ損失防止(DLP)について、設定例を紹介します。
これにより、組織の機密情報を識別し、データ流出の検知や防止を行うことができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)

 

 

DLPアクティビティログ 詳細閲覧用ロール設定

アクティビティログの詳細情報を閲覧できる役割グループを作成し、ログ閲覧者(この例ではシステム管理者)に割り当てます。


WebブラウザーよりMicrosoft Purviewにアクセスし、左メニューの[設定]を選択し、サブメニューの[役割とスコープ>役割グループ]を選択し、[役割グループの作成]を選択します。

図表1-1 DLPログ閲覧ロール設定(作成へ)

図表1-1 DLPログ閲覧ロール設定(作成へ)

 

名前は[データ分類コンテンツ閲覧者]とし、[次へ]を選択します。

*名前は何でも良いのですが、アクティビティログの詳細情報を参照する際、この役割グループにアサインされていないと、[データ分類コンテンツ閲覧者]ロールが必要と注記が表示されるため、この名前にしました

図表1-2 DLPログ閲覧ロール設定(名前)

図表1-2 DLPログ閲覧ロール設定(名前)

 

[役割の選択]を選択します。
右側に表示された画面にて、「Class」でキーワード検索し、[Data Classification Content Viewer]にチェックをつけ、[選択]を押します。
元の画面で[次へ]を選択します。

図表1-3 DLPログ閲覧ロール設定(役割選択)

図表1-3 DLPログ閲覧ロール設定(役割選択)

 

[ユーザーの選択]を選択します。
右側に表示された画面にて、対象者名でキーワード検索し、対象者にチェックをつけ、[選択]を押します。
元の画面で[次へ]を選択します。

図表1-4 DLPログ閲覧ロール設定(ユーザー選択)

図表1-4 DLPログ閲覧ロール設定(ユーザー選択)

 

設定内容を確認し、問題なければ[作成]を選択します。

図表1-5 DLPログ閲覧ロール設定(確認と作成)

図表1-5 DLPログ閲覧ロール設定(確認と作成)

 

役割グループの作成が完了したら、[完了]を選択します。

図表1-6 DLPログ閲覧ロール設定(作成完了)

図表1-6 DLPログ閲覧ロール設定(作成完了)

 

DLP分析・データ共有設定の変更

DLPの分析やデータ共有に関する設定項目を有効化します。


Microsoft Purviewの左メニューの[データ損失防止]を選択し、サブメニューの[概要]を選択します。[リスク防止とポリシーの絞り込み機会の分析・・・]が推奨されていますので、これを選択します。
[分析を有効にする]を選択します。

*データ損失防止メニューが表示されない場合は、左メニューの[ホーム]を選択し、[すべてのソリューションを表示する]を選択して探します

図表2-1 DLP分析(有効化)

図表2-1 DLP分析(有効化)

 

なお、有効化した設定項目は、左メニューの[設定]を選択し、サブメニューの[ソリューションの設定>データ損失防止]を選択し、[分析(プレビュー)]の[分析のアクティブ化]に相当します。オフ/オンを変更する場合は、この画面から実施します。

図表2-2 DLP分析(有効/無効の変更箇所)

図表2-2 DLP分析(有効/無効の変更箇所)

 

左メニューの[データ損失防止]を選択し、サブメニューの[アラート]を選択します。
一番上にデータ共有に関する注記が表示されていますので、この設定を変更します。

図表2-3 DLPデータ共有(アラート表示)

図表2-3 DLPデータ共有(アラート表示)

 

左メニューの[設定]を選択し、サブメニューの[ソリューションの設定>内部リスク管理]を選択し、[データ共有]を選択します(公式記事)。
2つのオプション項目をオンにし、[保存]を選択します。
これで前の画面の注記が表示されなくなります。

図表2-4 DLPデータ共有(有効化)

図表2-4 DLPデータ共有(有効化)

 

DLPテンプレートによるポリシー作成

ここからはクレジットカード等の金融関連データの組織外への流出を防ぐ想定で、DLPのテンプレートを使い、一つポリシーを作成します。
左メニューの[データ損失防止]を選択し、サブメニューの[ポリシー]を選択し、[ポリシーを作成]を選択します。

図表3-1 DLPポリシー作成(作成へ)

図表3-1 DLPポリシー作成(作成へ)

 

右の検索リストで[日本]を選択し、[財務>日本金融関連データ]を選択し、[次へ]を選択します。

図表3-2 DLPポリシー作成(テンプレート選択)

図表3-2 DLPポリシー作成(テンプレート選択)

 

ポリシーの名前と説明は、テンプレートの値通りとします。

図表3-3 DLPポリシー作成(名前)

図表3-3 DLPポリシー作成(名前)

 

[次へ]を選択します。

図表3-4 DLPポリシー作成(管理単位)

図表3-4 DLPポリシー作成(管理単位)

 

ポリシーの適用先のチェックは変更せず、[次へ]を選択します。

図表3-5 DLPポリシー作成(適用先選択)

図表3-5 DLPポリシー作成(適用先選択)

 

ポリシーの設定の定義は変更せず、[次へ]を選択します。

図表3-6 DLPポリシー作成(設定定義)

図表3-6 DLPポリシー作成(設定定義)

 

保護対象の情報のチェックは変更せず(組織外への共有を保護対象とする)、[次へ]を選択します。

図表3-7 DLPポリシー作成(保護対象情報)

図表3-7 DLPポリシー作成(保護対象情報)

 

保護処理はデフォルト設定から少し変更しました(以下)。

  • 特定の量の機密情報が一度に共有されている場合に検出します:10件⇒5件
  • Microsoft365の場所にあるコンテンツへのアクセスを制限または暗号化する:オン

次へ進む前に、この画面にあるリンク先の設定も確認します。

図表3-8 DLPポリシー作成(保護処理)

図表3-8 DLPポリシー作成(保護処理)

 

ポリシーヒントとメール通知のカスタマイズでは、メール通知先にシステム管理者を追加しました(組織内にコンプライアンス担当がいる場合はその人を割り当てるのが妥当です)。
インシデントレポートのカスタマイズは変更していません。

図表3-9 DLPポリシー作成(各種カスタマイズ)

図表3-9 DLPポリシー作成(各種カスタマイズ)

 

[Microsoft365の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する]にチェックをつけます。これに伴い選択されたオプションやチェックは特に変更せず、[次へ]を選択します。

図表3-10 DLPポリシー作成(ポリシー設定)

図表3-10 DLPポリシー作成(ポリシー設定)

 

[ポリシーをすぐに有効化する]を選択し、[次へ]を選択します。

図表3-11 DLPポリシー作成(ポリシーモード)

図表3-11 DLPポリシー作成(ポリシーモード)

 

設定内容を確認し、問題なければ[送信]を選択します。

図表3-12 DLPポリシー作成(確認と送信)

図表3-12 DLPポリシー作成(確認と送信)

 

ポリシー作成が完了したら、[完了]を選択します。

図表3-13 DLPポリシー作成(作成完了)

図表3-13 DLPポリシー作成(作成完了)

 

作成済ポリシーの設定調整(任意)

前の工程で作成したポリシーは、保護対象データが特定量(この例では5件以上)に届かない場合、アラートや通知メールが飛ばないようになっています。今回はこの件数に達しなくても挙動確認したいため、これを飛ぶよう変更します。
ポリシー一覧画面で、対象のポリシーにチェックをつけ、編集アイコンを選択します。

図表4-1 DLPポリシーの調整(編集へ)

図表4-1 DLPポリシーの調整(編集へ)

 

[詳細なDLPルールのカスタマイズ]まで画面を進め、[少量のコンテンツが検出された日本金融関連データ]の行の編集アイコンを選択します。

図表4-2 DLPポリシーの調整(ルールカスタマイズへ)

図表4-2 DLPポリシーの調整(ルールカスタマイズへ)

 

以下の通り変更し、[保存]を選択します。

  • 操作:[Microsoft365の場所にあるコンテンツへのアクセスを制限またはコンテンツを暗号化する]を選択
  • ユーザー通知:オン
  • インシデントレポート:二項目ともオン

その先へ画面を進めてポリシーの変更を確定させます。

図表4-3 DLPポリシーの調整(ルールカスタマイズ設定)

図表4-3 DLPポリシーの調整(ルールカスタマイズ設定)

 

次の記事に続きます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com