DLP ポリシーの展開とシミュレーション モードについて

  • 10 分

データ損失防止 (DLP) の展開を急ぐと、正当なアクションのブロックや誤検知の生成など、意図しない結果につながる可能性があります。 これにより、ユーザーがイライラし、ポリシーの回避につながる可能性があり、最終的には機密データの安全性が低下します。 デプロイに対して段階的なアプローチを取ることで、これらのリスクを軽減しながら、データの収集、ポリシーの調整、organization全体での円滑な導入を促進できます。

DLP 展開管理の 3 つの軸

DLP ポリシーを展開するときは、次の 3 つのメイン要素を考慮する必要があります。

  • ポリシーの状態
  • ポリシーのスコープ
  • ポリシーによって実行されるアクション

これらの要因がどのように連携するかを理解することは、生産性を損なうことなく、セキュリティ目標を満たす DLP ポリシーを展開するために不可欠です。

ポリシーの状態

DLP ポリシーは、展開プロセスの場所に応じて異なる状態に設定できます。 状態によって、ポリシーがアクティブか非アクティブか、シミュレーション モードで実行されているかが決まります。

  • オフのままにする: ポリシーは非アクティブであり、データは監視もアクションも実行されません。 この状態は、ポリシーをまだ構成または確認している場合に便利です。
  • シミュレーション モードでポリシーを実行する: ポリシーはアクティビティを監視し、アクションを強制することなく違反を記録します。これにより、ユーザー ワークフローを中断することなくポリシーの効果を評価できます。
  • ポリシーヒントを使用してポリシーをシミュレーション モードで実行する: このモードでは、監視アクティビティに加えて、ユーザーのアクションがポリシーをトリガーするタイミングに関する警告またはヒントが表示されます。 ユーザーをブロックすることなく、危険な動作について教育します。
  • すぐに有効にする: ポリシーは完全に適用されます。つまり、ブロックやアラートなど、構成されたすべてのアクションが適用されます。

ポリシーのスコープ

スコープは、ポリシーが適用される場所を定義します。 まず、Exchange、SharePoint、Teams、デバイスなどの場所を選択します。 既定では、ポリシーはその場所のすべてのインスタンスを対象とします。 その後、特定のサイト、ユーザー、グループなどの特定のインスタンスを含めたり除外したりできます。

シミュレーション モードでは、ポリシーを適用せずにテストできます。これにより、さまざまなスコープ設定を試すことができます。 ポリシーを完全に展開する前に、より小さなパイロット グループに適用してフィードバックを得ることができます。 準備ができたら、選択したすべての場所にポリシーを適用できます。

ポリシーによって実行されるアクション

アクションは、DLP ポリシーがポリシー違反にどのように対応するかを定義します。 これらのアクションは、パッシブ監視から完全な適用まで、さまざまな場合があります。

  • 許可: アクションは許可されますが、監査のためにログに記録されます。 これは、デバイス スコープポリシーでのみ使用できます。
  • 監査のみ: アクションは許可されますが、イベントはログに記録されます。 これにより、ワークフローを中断することなくデータを収集でき、ユーザーのトレーニングに役立つアラートや通知を含めることができます。
  • オーバーライドを使用してブロックする: ユーザーのアクションはブロックされますが、正当な理由を提供することでオーバーライドできます。 これは、ポリシーの絞り込み中に誤検知を識別するのに役立ちます。
  • ブロック: アクションは完全にブロックされ、ユーザーは続行できません。 警告と通知は、違反を管理者に通知するために生成されます。

[監査のみ] などのアクションから開始し、[オーバーライドによるブロック] や [ブロック] などのより制限の厳しいアクションに徐々に移行することで、毎日の操作を中断することなくポリシーを調整できます。

シミュレーション モードについて

シミュレーション モードを使用すると、DLP ポリシーを完全に適用することなく、環境内でどのように動作するかを確認できます。 このモードは、ポリシーが完全に展開されたかのように実行されますが、アクションは実行されないため、ユーザー アクティビティやビジネス プロセスには影響しません。 以前の テスト モードとは異なり、シミュレートされたすべての結果が専用のダッシュボードで報告され、ポリシーの潜在的な効果を完全に把握できます。

シミュレーション モードを使用する理由

  • ポリシーの効果をテストする: シミュレーション モードでは、ポリシーが適用された場合にフラグが設定される項目が表示され、ポリシーのスコープと有効性を評価するのに役立ちます。
  • ポリシーの調整: シミュレーション結果を使用して、ポリシーの条件、アクション、またはスコープを調整して、誤検知を最小限に抑え、ポリシーがビジネス ニーズと一致するようにすることができます。
  • ユーザーの教育: ポリシー ヒントを使用したシミュレーション モードでは、ユーザーはブロックされずに危険な動作について通知され、コンプライアンス要件の認識が高まります。

シミュレーション モードは、ポリシーが有効になったときに予期しない中断を防ぐために不可欠です。

シミュレーション モードのしくみ

シミュレーション モードでは、サポートされているすべての場所で分析情報が提供されます。

  • リアルタイム スキャン: Exchange、Teams、エンドポイントなどの場所では、新しいアイテムが作成または変更されると、コンテンツがリアルタイムでスキャンされます。
  • 既存のコンテンツのスキャン: SharePoint と OneDrive の場合、シミュレーション モードでは、新しい項目と既存の項目の両方がスキャンされ、ポリシーがそれらに与える影響の包括的なビューが提供されます。

シミュレーション結果は、次の 3 つのメイン ビューで表示されます。

  • シミュレーションの概要: ポリシーのパフォーマンスを要約し、スキャンされたアイテムの合計数、一致したアイテム、アラートの詳細を示します。

    DLP シミュレーション モードのシミュレーションの概要ビューを示すスクリーンショット。

  • レビュー対象のアイテム: ポリシーによってフラグが設定されたすべてのアイテムと関連するメタデータの一覧が表示されます。

    DLP シミュレーション モードのレビュー ビューの項目を示すスクリーンショット。

  • アラート: DLP アラート コンソールと同じ形式を使用して、ポリシーが適用されている場合に生成されたすべてのアラートを表示します。

    DLP シミュレーション モードのアラート ビューを示すスクリーンショット。

シミュレーション モードを使用してポリシーを調整する

シミュレーション モードを使用すると、ポリシーが適用される前に、ポリシーをテストして調整する安全な方法が提供されます。 たとえば、DLP ポリシーで誤検知が多すぎる場合は、ポリシーを複製し、調整を行い、シミュレーション モードで新しいバージョンを実行して変更を検証できます。

: クレジット カード番号を含むメールをブロックするように設定されている DLP ポリシーがあるとします。 ただし、多くの正当な内部通信にフラグを付けることもできます。 シミュレーションを実行すると、誤検知を特定し、スコープを狭めたり条件を調整したりしてポリシーを絞り込み、電子メール フローを中断することなく再テストできます。

DLP ポリシーを展開する場合は、次の手順に従って、スムーズな実装を確保します。

  1. シミュレーション モードから開始する: ビジネス プロセスを中断することなく、潜在的な効果を評価するために、シミュレーション モードでポリシーを作成します。
  2. ポリシーを調整する: シミュレーション結果を確認し、ポリシーを調整して誤検知を減らし、必要に応じてスコープまたは条件を調整します。
  3. ポリシーヒントを含むパイロット グループ: ポリシーがチューニングされたら、ポリシーヒントが有効になっている少数のユーザーグループにロールアウトします。 これにより、フィードバックに基づいてさらに改良を加えながら、認識を高めるのに役立ちます。
  4. 完全適用: ポリシーがテストおよび調整されたら、完全適用モードに移動します。 DLP アラート ダッシュボードとアクティビティ エクスプローラーを使用して、パフォーマンスの監視を続行します。

適切に計画された DLP 展開には、ポリシーの作成とアクティブ化以上のことが含まれます。 シミュレーション モードを使用し、アクションを絞り込み、ポリシーを段階的にロールアウトすることで、中断を最小限に抑えてorganizationで DLP ポリシーを確実に採用できます。