このシナリオでは、Microsoft Purview DLP を使用して、機密性の高いコンテンツをブラウザー ベースのアプリケーションに貼り付けるのをユーザーに制限する方法を示します。 貼り付けた時点でコンテンツを評価することで、組織はソースに関係なく、機密情報をリアルタイムで検出して制御できます。
機密性の高いサービス ドメイン グループでブラウザー コントロールに貼り付けを使用すると、この方法を使用すると、対象の Web サイトに基づいて、監査、警告、貼り付けアクションのブロックなどの柔軟な適用が可能になります。 これにより、偶発的なデータ漏えいのリスクを軽減しながら、さまざまなレベルのリスクに合わせてポリシーを調整できます。
ブラウザーへの貼り付けアクティビティは、ソース ファイルの分類とは無関係に動作し、機密サービス ドメイン グループで構成されたルールが必要です。 サービス ドメイン エンドポイント DLP 設定ではサポートされていません。 詳細については、「監視およびアクションを実行できるエンドポイント アクティビティ」を参照してください。
注:
次の Web ブラウザーがサポートされています。
- Microsoft Edge (Win/macOS)
- Chrome (Win/macOS)- Chrome Windows 専用の Microsoft Purview 拡張機能
- Firefox (Win/macOS)- Firefox Windows 専用の Microsoft Purview 拡張機能
- Safari (macOS のみ)
重要
- デバイス上のファイル アクティビティの証拠収集を構成しており、デバイス上のマルウェア対策クライアント バージョンが 4.18.23110 より古い場合は、このシナリオを実装するときに、「機密コンテンツをブラウザーに貼り付ける制限」で、ソース ファイルをアラートの詳細で表示しようとするとランダムな文字が表示されます。 実際のソース ファイルのテキストを表示するには、ファイルをダウンロードする必要があります。
- 一致したルールのアクションとして [ドキュメントをスキャンできませんでした ] が選択されている場合、証拠ファイルはキャプチャされません。
前提条件と前提事項
この記事では、「データ損失防止ポリシーの設計」で学習したプロセスを使用して、Microsoft Purview データ損失防止 (DLP) ポリシーを作成する方法について説明します。 テスト環境でこれらのシナリオを実行して、ポリシー作成 UI について理解します。
重要
この記事では、仮定の値を持つ架空のシナリオについて説明します。 これは説明のみを目的としています。 独自の機密情報の種類、秘密度ラベル、配布グループ、およびユーザーを置き換えます。
ポリシーの展開方法は、ポリシーの設計と同じくらい重要です。 この記事 では、コストのかかるビジネスの中断を回避しながらポリシーが意図を達成できるように、デプロイ オプションを使用する方法について説明します。
このシナリオでは 機密 機密ラベルが使用されるため、秘密度ラベルを作成して発行する必要があります。 詳細については、次を参照してください。
この手順では、架空の配布グループ [人事] と、Contoso.com のセキュリティ チームの配布グループを使用します。
この手順では、アラートを使用します。「データ損失防止アラートの概要」を参照してください
ポリシー意図ステートメントとマッピング
Contoso は、Web フォームまたはブラウザー ベースのアプリケーションに機密情報を貼り付けることで、ユーザーが意図せずに機密情報を公開できないようにしたいと考えています。 個人を特定できる情報やその他の規制対象コンテンツなどの機密データは、ローカル ファイルやアプリケーションからコピーして Web サイトに貼り付けることができるので、データ流出リスクが生じる可能性があります。 これに対処するために、サポートされているブラウザーに貼り付けた時点でコンテンツを動的に評価するポリシーを作成します。 貼り付けたコンテンツとリンク先 Web サイトの機密性に基づいて、アクションを監査、警告、またはブロックします。 また、 機密サービス ドメイン グループ を使用して、対象の Web サイトに応じて異なるレベルの適用を適用します。 これにより、リスクの高いドメインに厳しい制御を適用しながら、信頼できるサイトの柔軟性を確保することで、セキュリティと使いやすさのバランスを取ることができます。
| Statement | 構成に関する質問の回答と構成マッピング |
|---|---|
| "Web フォームまたはブラウザー フィールドに機密データが貼り付けないようにする必要があります。. | - 管理スコープ: 完全ディレクトリ - 監視する場所: デバイスのみ - ポリシー スコープ: すべてのユーザー/デバイスまたは対象ユーザー |
| "ソースに関係なく、貼り付けた時点でコンテンツを評価する必要があります。. | - 条件: コンテンツに選択した機密情報の種類が含まれています - 評価: 貼り付けイベントでのリアルタイム分類 (ソース ファイル分類とは無関係) |
| "コンテンツの機密性に基づいて貼り付けアクションを制御する必要があります。.. | - アクション: デバイスでのアクティビティを監査または制限する - アクティビティの種類: サポートされているブラウザーに貼り付けます |
| "移行先の Web サイトに応じて、さまざまなレベルの適用が必要です。. | - エンドポイント設定: 機密サービス ドメイン グループを作成する - ルール設計: 貼り付け制限を特定のドメイン グループに関連付ける |
| "リスク レベルに基づいて貼り付けアクションを監査、警告、またはブロックする必要があります。. | - アクション構成: 適用のニーズに応じて、[ 監査]、[ オーバーライドでブロック]、または [ブロック] に設定します |
| 「さまざまなカテゴリの Web サイト間で制限を柔軟に調整する必要があります。.. | - ポリシー設計: 複数の URL/ドメイン グループ (信頼されたサイトと信頼されていないサイトなど) - 詳細な制御に例外または複数のルールを使用する |
| "サポートされているブラウザー間で適用が一貫して行われるようにする必要があります。. | - ブラウザーのサポート: Microsoft Edge、Chrome、Firefox (拡張機能付き)、Safari - エンドポイント DLP 統合により、サポートされているブラウザーでのポリシーの適用が保証されます |
| "貼り付けアクションが評価または制限されたときに、ユーザーに通知を受け取ってもらいたいです。. | - ユーザー エクスペリエンス: 貼り付けの評価中にトリガーされるポリシーヒントまたは通知 - 動作に関する注意: 分類が完了している間に発生する可能性のある短い遅延 |
| "適切な適用レベルでポリシーを展開してテストする必要があります。. | - ポリシー モード: 構成可能 (テスト、監査、または適用) - 展開: ポリシーを送信し、テスト シナリオで動作を検証する |
ポリシーを作成する手順
ブラウザーにデータを貼り付けるのをブロックする場合は、さまざまなレベルの適用を設定できます。 これを行うには、別の URL グループを作成します。 たとえば、任意の Web サイトに米国社会保障番号 (SSN) を投稿しないようにユーザーに警告し、グループ A の Web サイトの監査アクションをトリガーするポリシーを作成できます。グループ B のすべての Web サイトに対して警告を表示することなく、貼り付けアクションを完全にブロックする別のポリシーを作成できます。
URL グループを作成する
Microsoft Purview ポータル>Data loss prevention>Settings (左上隅の歯車アイコン) >Data Loss Prevention>Endpoint 設定にサインインし、[ブラウザーとドメインの制限] まで下にスクロールして機密データ。 セクションを展開します。
[機密サービス ドメイン グループ] まで下にスクロールします。
[ 機密性の高いサービス ドメイン グループの作成] を選択します。
- グループ名を入力します。
- [ 機密サービス ドメイン ] フィールドに、監視する最初の Web サイトの URL を入力し、[ サイトの追加] を選択します。
- このグループで監視する Web サイトの残りの部分の URL を引き続き追加します。
- すべての URL をグループに追加し終わったら、[保存] を選択 します。
必要な数の個別の URL グループを作成します。
ブラウザーへのコンテンツの貼り付けを制限する
[Microsoft Purview ポータル]>[データ損失防止]>[ポリシー] にサインインします。
接続されたソースに格納されているデータ。
デバイスを対象とした DLP ポリシーを作成 します。 DLP ポリシーを作成する方法については、「 データ損失防止ポリシーの作成と展開」を参照してください。
DLP ポリシー作成フローの [ ポリシー設定の定義] ページ で、[ 高度な DLP ルールの作成またはカスタマイズ ] を選択し、[ 次へ] を選択します。
[ 高度な DLP ルールのカスタマイズ ] ページで、[ ルールの作成] を選択します。
ルールの名前と説明を入力します。
[ 条件] を展開し、[ 条件の追加] を選択し、[ 機密情報の種類] を選択します。
[ コンテンツの内容] で下にスクロールし、以前に選択または作成した新しい機密情報の種類を選択します。
[ アクション] セクションまで下にスクロールし、[ アクションの追加] を選択します。
[ 監査] を選択するか、デバイスでのアクティビティを制限する
[ アクション ] セクションの [ サービス ドメインとブラウザーアクティビティ] で、[ サポートされているブラウザーに貼り付け] を選択します。
制限を [監査]、[ オーバーライドありブロック]、または [ブロック] に設定し、[ 追加] を選択します。
保存] を選択します。
[次へ] を選択します
ポリシーをテストするか、すぐに有効にするか、オフにするかを選択し、[ 次へ] を選択します。
[送信] を選択します。
重要
ユーザーが Web ページにテキストを貼り付けようとしたときと、システムがテキストの分類を完了して応答するまでの間に、短いタイム ラグが発生する可能性があります。 この分類の待機時間が発生した場合は、Chrome と Firefox の Edge またはポリシー評価トーストに、ポリシー評価とチェック完了通知の両方が表示される場合があります。 通知の数を最小限に抑えるためのヒントを次に示します。
- ターゲット Web サイトのポリシーが、そのユーザーのブラウザーへの貼り付けをオーバーライドしてブロックまたはブロックするように構成されている場合、通知がトリガーされます。 全体的なアクションを [監査 ] に設定し、例外を [ブロック] として使用してターゲット Web サイトを一覧表示するように構成できます。 または、例外を監査として使用して、全体的なアクションを [ブロック] に設定し、セキュリティで保護された Web サイトを一覧表示することもできます。
- 最新のマルウェア対策クライアント バージョンを使用します。
- 最新の Edge ブラウザー バージョン (特に Edge 120) を使用します。
- これらの Windows KB をインストールする