情報漏洩防止 DLP を使って企業の機密情報を保護しませんか?

情報漏洩防止 DLP を使って企業の機密情報を保護しませんか?

 

最近は、夏の暑さも落ち着いてきており、秋を迎えようとしています。

明日からシルバーウイークという方もいらっしゃるのではないのでしょうか。

この休日で衣替えをするのもいいかもしれませんね!

 

今回は、DLP についてのブログとなります。

DLP と聞いてピンとこない方は、今回のブログを読み DLP について少しでも知ってもらえると嬉しいです。

 

1. 情報漏洩で企業に及ぼす問題と課題

 

情報漏洩のニュースを見る度に、自身も気を付けなければと思う方もいるのではないのでしょうか。

情報漏洩が発生する原因は、主に三つあると言われています。

一つ目は、外部からの攻撃です。インターネットを介して攻撃を行うことです。外部に公開されたサイトの技術的脆弱性を悪用し、巧妙な手段でコンピューターウイルスを送りこみ、侵入先のデータを盗み出すケースです。

 

二つ目は、内部者による不注意です。企業の機密データを格納した USB メモリや PC 等の紛失・盗難、外部公開するサーバーのセキュリティ設定のミス、そして最近はテレワークが増え自宅にある PC で作業を行い、その PC からコンピューターウイルスにより情報が流失するといったケースです。

 

三つ目は、内部者による不正行為です。企業の機密データにアクセス権限を持つユーザーが不正にデータを持ちだし転売するといったケースがあります。

 

では、企業で情報漏洩が発生した場合、どれほどの問題が発生するか考えたことはありますか?

仮に情報漏洩が発生した場合、顧客から損害賠償を請求される可能性が考えられます。

その他、営業停止や対策費用の発生、社会的信用の低下等、あらゆる損失が考えられます。

 

情報漏洩を起こさないために、社内でのセキュリティルールを設けている企業がほとんどだと思いますが、社内で浸透していなかったり、ルールをうっかり破ってしまうといったことは少なからずあると思います。

そのため、個人個人に任せるのではなく、社内で設定できるルールはしっかり設定していく必要が課題となってきます。

 

2. DLPの概要

 

Google が提供する DLP (Data Loss Prevention) は、データ損失防止ツールとして、機密情報や個人情報が組織外に漏洩するのを防ぐために設計された強固なセキュリティです。 

ここで言う機密情報とは、クレジットカード番号やマイナンバー、パスポート番号などの個人番号です。 

 

DLP を使ってルールを設定すると、メールや Google ドライブファイルに含まれる機密データの監査や、該当する 個人番号が含まれたファイルなどを警告、ブロックのアクションを有効にして、ユーザーが機密データを送受信できないようにすることができます。

 

また、ポリシーに基づく処理を設定している場合は、メールとドライブファイルから機密性の高いコンテンツが検出された場合に、そのメールとファイルの共有を制御することができます。

 

DLP のルールは、管理者によって制御したい機密情報を設定することで有効になります。 

 

次項からは Google サービスの DLP の設定をご紹介します。

 

3. Gmail の DLP

 

前項では、DLP の大まかな概要についてご紹介いたしましたが、

ここでは Google のDLP の概要や、実際の設定方法をご紹介します。

 

Gmail の DLP について

 

Gmail の DLP 設定は、[定義済みコンテンツ] という項目を利用します。

クレジットカード番号や口座番号、マイナンバーカードなどの機密情報が

送受信されるメールに含まれる場合、スキャンして検出することで、

企業や個人の機密情報を外部に漏洩させないようにすることができます。

 

早速ですが、実際に Gmail の DLP 設定手順をご紹介します。

今回は、クレジットカード番号が含まれる受信メールを検出する設定を行ないます。

 

<手順>

 

1. 管理コンソールにアクセスし、[アプリ] > [Google Workspace] の順にアクセスします。

2. [Gmail] を選択し、Gmail の設定の [コンプライアンス] にアクセスします。

 

3. [コンテンツコンプライアンス] を選択します。

 

 

4. 設定を追加画面より、[コンテンツコンプライアンス] に任意のコンプライアンス名を入力し、[影   

    響を受けるメール] より、外部への送受信、または組織内への送受信からどのメールに適用させる

 かチェックを入れます。(この場合は、組織外から受信するメールに適用されます)

5. [2. 各メッセージで検索するコンテンツを表す表現を追加する] より、

    [次の一部がメールに一致する場合] もしくは [次のすべてがメールに一致する場合] を選択します。

 

6. [表現を追加] より、どのコンテンツに一致させたいか選択します。

 

・シンプルなコンテンツマッチ:メールを検疫、ブロックしたいシンプルな単語を入力

・高度なコンテンツマッチ:メールを検疫、ブロックしたい単語を入力することに加え、ヘッダーや     

                                               本文中の末尾が一致する

・メタデータの一致:IPやメールサイズ、迷惑メールなどのデータタイプとの一致     

・定義済みコンテンツの一致:既に Google によって定義された個人番号との一致

 ※本項ではこちらの定義を使用します。

       

7. [定義済みコンテンツの一致] を選択し、定義したい個人番号を選択します。

 クレジットカードである場合は、[グローバル – クレジットカード番号] を選択します。

 

・最小一致数:メール本文に、選択したコンテンツが含まれる回数を入力します。

       1 の場合、メール本文に最低でも 1 つ以上クレジットカード番号が含まれている場合       に検疫、またはブロックすることができます。

・信頼度のしきい値

メールに対してアクションが行なわれるかどうかを決定するために使用される追加の基準です。

中:アクションが行なわれるメールの数が増えます。

  誤検出が増える可能性があるので、配信されるべきメールに対して適用されても問題がない場合

  は、この設定を適用させます。

高:アクションが行われるメールの数が減ります。

  検出漏れが増える可能性があるので、ルールが適用されるべきメールが配信されても問題がない  場合は、この設定を適用させます。

 

8. [保存] をクリックします。

 

9. [3. 上記の表現が一致する場合は、次の処理を行ないます] より、

 メッセージを変更、メールを拒否、もしくはメールを検疫を選択します。

 

10. [メールを拒否] を選択した場合、拒否された際に表示される任意の拒否通知文を入

      力します。

 

11. 設定が完了したら [保存] をクリックします。

 

これで、Gmail に DLP のルールが適用されます。

 

4. ドライブの DLP 

 

Google ドライブの DLP 設定について

 

Google ドライブ内に保管されているデータを対象として、DLP のルールで設定した特定の文言や個人を特定できるような情報が検知された場合に、管理者にアラートを飛ばしたり、自動的に、機密コンテンツの外部共有をブロックしたりすることができます。

簡単に言えば、ユーザーが組織外の相手と共有できるドライブファイル内のコンテンツを管理することで、機密情報の意図しない漏洩を防ぐことができます。

 

また、マイドライブ、共有ドライブに保管されている PDF や XLS、HTML など、全 40 種類のファイル形式にも対応しているので、形式にとらわれないルールを設定することができることもポイントです。

 

それでは、 Google ドライブのDLP設定手順についてご紹介します。

今回は、クレジットカード情報に関わる文言がファイルに含まれている場合に、

外部共有をブロックする設定を行ないます。

<手順>

 

1. 管理コンソールを開き、[ルール] にアクセスします。

2. 上部の項目 [機密コンテンツを保護する] から、[ルールを作成] をクリックします。

3. [名前] にルール名を入力します。(説明は任意)

 

4. DLP ルールを適用させたい範囲を選択し、[続行] をクリックします。

 組織全体ではなく、組織部門やグループ単位で設定することも可能です。

 

5. [トリガー]  で [ファイルが変更されました] にチェックを入れます。

 

6. [条件] で、左の項目から順に、コンテンツを定義させたい範囲、[値] で、検出項目を

 選択します。

 ※ここでは [すべてのコンテンツ] 、[次の語句を含む]で設定します

 

7. ドライブ内のファイルにコンテンツと照合して、ルールが適用される文言などを入力

 します。

 

 

8. [操作] で、[外部共有をブロック]、[外部との共有を警告する]、[コメント投稿者と閲

 覧者に対して、ダウンロード、印刷、コピーを無効にする] から操作する項目を選択

 します。

 

9. [アラート] の項目で、アラートを送信する際の重大度レベルによってグループ化され

 る値を入力します。

 

10. 設定した DLP ルールが検知された際にアラートセンターに情報を送信したい場合は、チェック       

      ボックスにチェックを入れて、[続行] をクリックします。

 

11. 入力した内容を最終確認し、間違いがなければ [作成] をクリックします。

 

Gmail と Google ドライブの DLP についてお分かりいただけましたでしょうか。

DLP の設定って難しそう、ルールを適用させるにも誰かの許可が必要だし、といった場面もあるかと思いますが、こちらで紹介した手順が少しでも参考なれば幸いです。

 

5. DLPの監査イベント、アラートを表示

 

Google 管理コンソールでは、DLP のアラートを設定することで、DLP ルールがトリガーされたときに DLP に関するアラートがアラートセンターに表示されます。

アラートセンターへのアクセス方法は、[管理コンソール] から、[セキュリティ] >  [アラートセンター] の順となります。

確認できる情報は、以下となります。

 

※ Google 社ヘルプページより引用(https://support.google.com/a/answer/9656783)

 

監査イベントは調査ツールにも表示され、DLP の個々のインシデントは [ルールのログのイベント] で確認できます。ルールの監査ログと調査ツールの両方に、トリガーされた DLP ルールの監査ログが表示されます。

 

是非、Google の DLP を使い、企業のセキュリティ強化を図ってみてはいかがでしょうか。

弊社では、 Google Workspace や Cloudstep サービスの運用をサポートしている
カスタマーサクセスチームがございます。

運用にあたり、ご不明な点や、プランアップグレードへの検討など、

お悩みのご相談等ございましたら、以下のページよりお気軽にお問い合わせください。

皆様のお力添えができるよう、精一杯サポートいたします。