対象: 新Office365 Office 365 Enterprise

(この記事は 2013 年 10 月28 日に Office 365 Technology Blog に投稿された記事の翻訳です)

投稿者: Office 365 チーム、投稿日: 10 月 28 日

今回は、Exchange チームのプロダクト マーケティング マネージャーを務める Shobhit Sahay の記事をご紹介します。

お客様の企業で最近、社内ポリシーのハンドブックを携帯するよう社員に呼びかけたのはいつですか? IT 担当者は、自身が送信するメール メッセージが社内ポリシーに違反し、準拠していない可能性があるかどうかを判断できていますか? また、送信メールに機密情報が含まれていないと確信を持って言えるでしょうか? ほぼすべての IT 担当者が、こうしたコンプライアンス上の課題に日々直面しています。今回は、日常業務を妨げることなく IT 担当者のコンプライアンス実現を支援するための方法をご紹介します。

先日公開されたブログ記事では、Office 365 のセキュリティ、コンプライアンス、およびプライバシーについて、組み込み機能とお客様独自のコントロールという 2 つの観点から説明しました。今回の記事では、お客様独自のコントロールの中から、コンプライアンスの重要な機能であるデータ損失防止 (DLP) に焦点を当てたいと思います。

DLP のポリシー ヒントによってリアルタイムに社員に通知

Office 365 の新しい DLP ポリシー ヒントでは、機密情報を含むメール送信しようとしているユーザーがいる場合、社内ポリシーに基づいてこれを検出し、送信ボタンが押される前にメール送信者に通知することができます。こうすることで、企業はコンプライアンスを維持できると共に、企業独自の要件に基づくカスタムのシナリオを社員に周知できます。これを実現するためには、コンテキストに合わせたポリシー評価を重視することが必要です。ポリシー ヒントは、メール メッセージを分析して機密情報を検出するだけでなく、やり取りのコンテキストにおける情報の機密性も判断します。たとえば外部との通信といった、リスクを伴う特定のシナリオを対象に、カスタムのポリシー ヒントを設定可能です。カスタムのポリシー ヒントをメール メッセージ内に表示することで、社員の業務を妨げることなく、企業のコンプライアンス ポリシーに対する注意を喚起し、対応を促すことができます。

DLP ポリシー ヒントは Outlook 2013 でのみサポートされますが、ユーザーが最新版の Outlook を所持していない場合でも、バックエンド処理で機密データの開示を防止することが可能です。管理者は Exchange 管理センター (EAC) で DLP のルールを設定することで、ルールを構成して処理を実行できます。これにより、1 つの DLP ポリシーでクライアントとサーバーの両方のエンドポイントを制御でき、管理者の管理業務の負担を最小限に抑えることができます。

では、ポリシー ヒントはどのように動作するのでしょう。次のような例を考えてみましょう。Contossoplay 社は、メールでのやり取りに際してクレジット カード番号などの機密情報が含まれる場合には必ず警告を通知するという社内ポリシーを持つ企業です。同社の社員である Sara Davis が、社外に勤務する Dan にメールを書いています。メールの文面にクレジット カード情報が含まれているので、Outlook のメッセージに DLP ポリシー ヒントがただちに表示されます。

メール メッセージに機密情報が含まれていると、メールの送信前に DLP ポリシー ヒントによって警告が通知されます。

この時点で Sarah は、クレジット カード情報を含んだメッセージを送信するか、クレジット カード情報を含んだメッセージを送信すると共に [Report]をクリックして誤検知を報告するか、または、クレジット カード情報を削除してから送信するかを選べます。どうしたらよいかわからない場合は、[Learn more]をクリックして、管理者によってカスタマイズされた自社のポリシーを確認できます。

別の例を見てみましょう。Contossoplay 社では先ごろ、複数のクレジット カード情報を含むメールをブロックするか、または業務上の正当な理由がある場合にはブロックが無効化されるように、ポリシーの設定を行いました。Sara は、社員数名分の出張の予約を取るためにメールを作成し、各社員のクレジット カード情報が含まれるドキュメントを添付しました。1 つ目の例とは異なるポリシー ヒントが表示され、新しいコンプライアンス要件がハイライトで示されます。Outlook 2013 では、原因となる添付ファイルもハイライトで表示されるので、どの情報に問題があるかがひと目でわかります。

カスタムの DLP ポリシー ヒントによって、多くの機密情報が含まれた添付ファイルについて警告が通知されます。

この 2 つの例からもおわかりのように、DLP では社員自身が企業のコンプライアンス プロセスの一部となります。業務を邪魔することなくコンプライアンスを実現できるため、ビジネスの流れが妨げられたり遅延したりすることがありません。さらに、管理者は Office 365 管理ポータルの Exchange 管理センターを通じてコントロールを簡単にメンテナンスできるので、DLP によって管理者のコンプライアンス管理が簡易化されます。

ポリシー ヒントはメール ヒントと同様の機能であり、Outlook 2013 内に簡単な注意を表示して、メールの作成者にビジネス ポリシーに関する情報を通知できます。ポリシー ヒントは、単に社員に警告を通知したり、メールをブロックしたりできるだけでなく、正当な理由があればブロックを無効にするように構成することも可能です。ポリシー ヒントではエンド ユーザーが誤検知を簡単に報告できるので、DLP ポリシーの効果をきめ細かく調整するうえでも役立ちます。Outlook でポリシー ヒントを利用できないユーザーの場合でも、管理者が Exchange 管理センターでルールを設定することで、コンプライアンスへの対応を制御できます。たとえば管理者は、特定の DLP イベント発生時にインシデント レポートを生成するようにアクションを設定可能です。こうしたインシデント レポートはリアルタイムで生成され、インシデント管理者アカウントなどの専用のメールボックスに送信されるので、イベントをリアルタイムで追跡できます。下図は、インシデント レポートの例です。

Office 365 では、特定の DLP イベントに対してインシデント レポートを生成できます。

Office 365 のデータ損失防止で実現されること

Office 365 の DLP を使用すると、詳細なコンテンツ分析を通じて、社内の機密情報を特定、監視、保護することができます。ビジネス運用に欠かせない電子メールには保護すべき機密データが往々にして含まれるため、企業のメッセージング システムでは DLP の重要性が高まっています。財務情報や個人情報 (PII)、あるいは知的財産データが未承認のユーザーに誤って送信される危険性がある環境では、最高セキュリティ責任者 (CSO) が徹夜の対処を迫られるような事態も起こりかねません。しかし現在では、社員の生産性に影響を及ぼすことなく、これまでよりも簡単に機密データを保護できるようになりました。管理者は Office 365 管理ポータルの Exchange 管理センター (EAC) を利用して、メールのコンプライアンス管理を簡単に設定できます。EAC では、次のことが可能です。

• あらかじめ設定されたポリシー テンプレートを使用して、PCI-DSS やグラム リーチ ブライリー法に関わるデータ、ロケール固有の個人情報 (PII) など、特定の種類の機密情報を検出できます。
• 既存のトランスポート ルールの述語やアクションを最大限活用したり、新しいトランスポート ルールを追加したりすることが可能です。
• DLP ポリシーを完全に適用する前にテスト モードでルールを実行して、その効果を評価できます。
• 独自のカスタム DLP ポリシー テンプレートや機密情報の種類を組み込むことができます。
• メールの添付ファイルや本文、件名から機密情報を検出できます。Exchange で実行するアクションの信頼レベルは、調整可能です。
• ポリシー ヒントを追加できます。ポリシー ヒントを Outlook で表示することで、メール作成中のエンド ユーザーにその場で通知が行えます。また、ユーザーはフィードバックとして誤検知を報告することも可能です。
• メッセージ追跡ログのインシデント データを確認したり、新しいインシデント レポート生成アクションを使用してレポートを追加したりすることができます。
• Office 365 管理センターで各種の DLP レポートを参照して、企業におけるコンプライアンスへの対応をさらに強化できます。

データ損失防止を利用開始するには

マイクロソフトが提供する DLP ポリシー テンプレートを使用すると、DLP の利用を簡単に開始できます。DLP ポリシーは新しい機能を備えたトランスポート ルールのパッケージであり、カスタマイズが可能です。ルールには、検索対象となるコンテンツの種類を DLP ポリシーで定義するための分類の種類が含まれます。Exchange 管理シェルである Exchange 管理センター (EAC)、または独自の XML ファイル エディターを使用して、メッセージング環境への DLP ポリシーの組み込みを開始できます。下図は、EAC の DLP 管理インターフェイスのスクリーンショットです。

Office 365 管理ポータルの Exchange 管理センターから DLP を管理できます。

DLP では、Exchange の「トランスポート ルール」が使用されます。新しいトランスポート ルールでは機密情報を検出するための新しいアプローチが採用されており、これをメール フロー処理に組み込むことができます。この新しい DLP 機能では、キーワードや辞書の照合、正規表現の評価、クレジット カード番号のチェックサム検証などの内部機能、およびその他のコンテンツ検証を通じて、詳細なコンテンツ分析を実行し、メール本文や添付ファイルから特定の種類のコンテンツを検出します。上記の 2 つ目の例で取り上げたポリシー ヒントを表示させるポリシー ヒント ルールを下図に示します。

メールに機密コンテンツが含まれる場合に特定の警告を表示させるようポリシー ヒント ルールを設定できます。

機密データを保護するポリシーを作成するには

DLP を使用するには 3 つの方法があります。

1. マイクロソフトが提供する標準テンプレートを適用する方法。最もスピーディに DLP ポリシーを利用開始できる方法です。テンプレートを使用して新しいポリシーを作成、実装します。これにより、一連のルール セットをゼロから新しく作成する手間が省けます。
2. 構築済みのポリシーファイルを社外からインポートする方法。企業のメッセージング環境の外で独立系ソフトウェア ベンダーによって作成されたポリシー テンプレートをインポートできます。この方法を使用すると、ビジネス要件に合わせて DLP ソリューションを拡張可能です。
3. 既存の条件を使用せずにカスタムポリシーを作成する方法。企業によっては、メッセージング システムで特定の種類の既知のデータを監視するため、独自の要件を満たす必要があります。カスタム DLP ポリシーを作成することで、企業固有のメッセージ データをチェックして対処できるようになります。

DLP ポリシーの機密情報の種類

DLP ポリシーを作成する場合、機密情報をチェックするためのルールを含めることができます。たとえば、特定のコンテンツが何回検出されたらアクションを実行するか、どのアクションを実行するかなどといった条件をポリシーで設定します。この条件は、新しいカスタム ポリシー内でビジネス ニーズに合わせてカスタマイズ可能です。機密情報に関するルールは、メッセージに特定の機密情報が含まれていた場合に適用されるカスタマイズ可能な条件を設定することでトランスポート ルールのフレームワークに統合されます。また、メッセージに複数の種類の機密情報が含まれていた場合に適用される条件も構成できます。

マイクロソフトでは、機密情報に関するルールを簡単に利用できるようにするため、あらかじめいくつかの機密情報の種類を含んだポリシー テンプレートを提供しています。標準で提供される機密情報の種類のインベントリを参照してください。

Office 365 の DLP は、カスタマイズ可能なコンプライアンス コントロールの中でも、重要な機能の 1 つです。お客様独自のコンプライアンス コントロールとしては、この他にもインプレース電子情報開示 (eDiscovery)やインプレース保持などがあります。これらのコントロールについては、今後のブログ記事で詳しく説明する予定です。

DLP を利用して、ユーザーの業務や生産性を妨げることなく、コンプライアンスの向上を実現させましょう。

--Shobhit Sahay