IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

トップ > MSPurview&Defender > 【Microsoft Purview】データ損失防止(DLP)2
最終更新日

【Microsoft Purview】データ損失防止(DLP)2

MSPurview&Defender インフラ

【Microsoft Purview】データ損失防止(DLP)2

前の記事の続きになります。
法人向けMicrosoft 365のコンプライアンス管理サービス「Microsoft Purview」の一機能であるデータ損失防止(DLP)について、設定例を紹介します。
これにより、組織の機密情報を識別し、データ流出の検知や防止を行うことができます。
  • 操作環境:
    • OS:Windows 11
    • Webブラウザー:Edge
  • 使用プラン:Microsoft 365 Business Premium(試用版)

 

 

DLP抵触データ 外部メール送信時の挙動

架空のクレジットカード番号を記載した顧客一覧ファイルを用意し、組織外へのメール送信を試してみます。
なお、この例ではカード番号の想定が雑過ぎてDLPに抵触したのは1件だけでしたが、暗号化・メール通知・アラートを一通り確認できるのでこのまま進めます。

 

メールにこのファイルを添付し、宛先に組織外のメールアドレスを指定したところ、1,2秒経ってポリシーヒントが表示されました。

図表5-1 DLP抵触データの外部メール送信(ポリシーヒント表示)

図表5-1 DLP抵触データの外部メール送信(ポリシーヒント表示)

 

ポリシーヒント内の[詳細情報]を選択すると、ポリシーヒントの表示理由を確認できます。誤検知の場合は[報告する]から管理者に報告できます。
ポリシーヒントを無視して[送信]を選択すると、[送信が禁止されています]のメッセージが表示され、メール送信できませんでした。

図表5-2 DLP抵触データの外部メール送信(ヒント詳細確認,送信ブロック)

図表5-2 DLP抵触データの外部メール送信(ヒント詳細確認,送信ブロック)

 

ポリシーヒントが表示されるまで1,2秒間があるので、その隙を狙って[送信]を押してみました。
[送信が禁止されています]のメッセージは表示されず、メール送信できたように見えました。
しかし、直ぐにブロックされた旨のメールが返ってきました。ブロックメールの宛先には、前の記事のポリシー設定の通り、システム管理者も含まれています。
送信先のメールボックスにも、顧客一覧のメールはなく、送信をブロックすることができました。

図表5-3 DLP抵触データの外部メール送信(隙を狙って送信した結果)

図表5-3 DLP抵触データの外部メール送信(隙を狙って送信した結果)

 

DLP抵触データ SharePoint共有時の挙動

前の工程で使用した顧客一覧ファイルをSharePoint(Teamsのファイルタブ)で共有し、組織内・組織外のユーザーの見え方を比較します。

 

まずは組織内ユーザーです。
小さくて見づらいですが、禁止マークらしきアイコンが表示されています。
このファイルを開いてみます。

図表6-1 DLP抵触データのSharePoint共有(組織内:一覧参照)

図表6-1 DLP抵触データのSharePoint共有(組織内:一覧参照)

 

ポリシーヒントが表示されました。[その他のオプション]を選択すると、表示理由を確認できます。

図表6-2 DLP抵触データのSharePoint共有(組織内:ポリシーヒント表示)

図表6-2 DLP抵触データのSharePoint共有(組織内:ポリシーヒント表示)

 

組織外ユーザーがSharePointの同じフォルダーにアクセスすると、顧客一覧のファイル自体が表示されませんでした。

図表6-3 DLP抵触データのSharePoint共有(組織外:一覧参照)

図表6-3 DLP抵触データのSharePoint共有(組織外:一覧参照)

 

DLPアクティビティログ確認

DLPの使用状況はアクティビティエクスプローラーで確認できます。最大30日分のデータを表示でき、アクティビティや秘密度ラベルで絞り込みができます。

 

WebブラウザーよりMicrosoft Purviewにアクセスし、左メニューの[データ損失防止]を選択し、サブメニューの[アクティビティエクスプローラー]を選択し、[アクティビティ]で[DLPRuleMatch]を選択し、抽出結果一覧の直近のログを選択します。

図表7-1 アクティビティログ確認(一覧)

図表7-1 アクティビティログ確認(一覧)

 

画面右側にログの詳細情報が表示されます。
さらにその中の[機密情報の種類]のリンクを選択します。

図表7-2 アクティビティログ確認(詳細)

図表7-2 アクティビティログ確認(詳細)

 

機密情報の中身を確認できます。この情報は、前の記事の工程1で設定した、[データ分類コンテンツ閲覧者]のロールが付与されているユーザーしかアクセスできません

図表7-3 アクティビティログ確認(機密情報の種類)

 

DLPアラート確認

前の記事の工程3,4で情報流出の大/小に応じて重大度が高/低のアラートを出すよう設定しました。これらはアラートメニューから照会できます。

 

左メニューの[データ損失防止]を選択し、サブメニューの[アラート]を選択し、一覧の直近のログを選択します。
画面右側でアラートの概要を確認できます。さらに一番下の[詳細を表示]を選択します。

図表8-1 DLPアラート確認(一覧から詳細表示へ)

図表8-1 DLPアラート確認(一覧から詳細表示へ)

 

アラート内容の画面の[概要]タブのイメージです。
右側の[アラートを管理する]で状態管理やコメント記入等ができます

図表8-2 DLPアラート確認(概要タブ)

図表8-2 DLPアラート確認(概要タブ)

 

アラート内容の画面の[イベント]タブのイメージです。
ここで機密情報の中身も確認できます

図表8-3 DLPアラート確認(イベントタブ)

図表8-3 DLPアラート確認(イベントタブ)

 

さらに、同じ画面の右下の[処理>一致ではない]を選択すると、誤検知である旨をMicrosoftに報告し、精度向上につなげることができます。

図表8-4 DLPアラート確認(処理アクション)

図表8-4 DLPアラート確認(処理アクション)

 

おわりに

今回紹介したDLPの機能により、情報流出の検知や防止をできるようになります。
しかし、最初から厳しい規制をかけると、誤検知や運用想定漏れにより業務に悪影響が出るかもしれません。最低限守るべき情報に対して、メール送信は可能にしてポリシーヒントは出す等、最初は緩めに設定して徐々に拡大するのが良いでしょう。とはいえ、流出してはならない情報が流出してからでは遅いので、展開の仕方が難しいと感じます。

 

また、以前の記事で紹介した情報保護機能と組み合わせ、特定の秘密度ラベルを設定したファイルに対してDLPポリシーを適用し、メール送信時に警告表示や送信ブロックを行う、SharePointで共有されたら組織外ユーザに見せないといった使い方もできます。

 

 

当ブログ内の連載記事

elmgrn.hatenablog.com