G-gen の三浦です。当記事では、Google Workspace の Data Loss Prevention(以下、DLP)を使用して、Gmail の機密情報が外部に漏洩するのを防ぐ方法を紹介します。
概要
Data Loss Prevention(DLP)とは
Data Loss Prevention(DLP、データ損失防止)とは、組織内の重要情報を保護し、情報流出を防ぐための技術です。クレジットカード番号やマイナンバーなどの個人情報を自動的に検出し、保護します。
Google Workspace(以下、GWS)の DLP は、Gmail に加え、Google Chat や Google ドライブにも対応しています。
社外秘の情報や顧客データなどの機密情報が、意図せず共有されたり、流出するのを防ぐルールを設定できます。
- 参考 : DLP で機密情報を保護する
Google ドライブでの検証結果は、以下の記事で解説しています。
前提条件
Gmail の DLP は、以下の特定の Google Workspace エディションでのみ利用可能です。
- Frontline Standard
- Enterprise Standard / Plus
- Education Fundamentals / Standard / Plus
- Teaching and Learning Upgrade
詳細は以下の公式ドキュメントをご参照ください。
制約
当機能には以下のような制限があります。
- Gmail はスキャンの対象ですが、Google グループは対象外です(グループの代理としてメールを送信した場合、ルールは適用されません)。
- 1 MB までの添付ファイルがスキャン対象で、1 MB を超える場合、先頭の 1MB のみスキャンされます。10 MB を超える場合はスキャンされません。
- 添付ファイルが Google ドライブにある場合、Google ドライブ側の DLP ルールが適用されます。
詳細は以下の公式ドキュメントを確認してください。
- 参考 : 既知の制限事項
- 参考 : Gmail コンテンツの DLP に関する制限
検証内容
検証手順は次のとおりです。最初に「警告」設定で動作を確認し、次に「管理者による検疫」に変更して、より強力な制御を確認します。
| 項番 | 作業 | 詳細 |
|---|---|---|
| 1 | DLP のルール設定(警告) | 「関係者外秘」または「confidential」という文字を含むメールの送信時に警告を表示する DLP ルールを設定します。 |
| 2 | 動作確認(警告) | 条件を満たすメールを送信し、警告が表示されることを確認します。 |
| 3 | DLP のルール設定(検疫) | ルールを「メールを検疫する」に変更します。 |
| 4 | 動作確認(検疫) | 対象のメールが検疫対象であることを確認し、管理者側で拒否します。 |
| 5 | 動作確認(OCR) | OCR(光学式文字認識)スキャンを有効にし、条件を満たす画像ファイルを添付し、検疫されることを確認します。 |
- 参考 : メール検疫を設定する
動作確認
DLP のルール設定(警告)
GWS の管理コンソール(URL : https://admin.google.com)にログインします。
- 参考 : 管理コンソールにログインする
[セキュリティ] > [アクセスとデータ管理] > [データの保護] に移動し、[ルールを管理] を選択します。
[ルールを追加] > [新しいルール] を選択します。
以下を設定し、[続行] を選択します。
- 名前:任意の DLP ルール名
- 範囲:DLP ルールの適用範囲を選択(
組織全体か特定の組織部門、Google グループから選択)
以下を設定し、[続行] を選択します。
- Gmail :
メッセージを送信しました
[条件を追加] から以下のとおりに設定し、[続行] を選択します。
- スキャンするコンテンツの種類:
すべてのコンテンツ - スキャン対象:
関係社外秘かconfidentialというテキスト文字列を含む場合
以下のとおりに設定し、[続行] を選択します。
- 操作
- 操作:
ユーザーへの警告 - 適用対象:
外部(組織外)と内部(組織内)宛ての全送信メール
- 操作:
- アラート
- 重大度:
高 - アラートセンターに送信する:
有効化し、管理者のメールアドレスを指定
- 重大度:
設定内容を確認し、[作成] を選択します。
動作確認(警告)
以下のメールを作成し、[送信する] を選択します。
警告が表示されることを確認し、[このまま送信] を選択します。送信者側で、メールが受信できていることを確認します。
管理者宛てに、DLP ルールに該当する操作の通知メールが届くことを確認します。
[セキュリティ] > [アラートセンター] へ移動し、アラートが通知されていることを確認します。
アラートを選択すると、詳細情報が確認できます。
DLP のルール設定(検疫)
[アプリ] > [Google Workspace] > [Gmail の設定] > [検疫の管理] へ移動し、[検疫を追加] を選択します。
以下を設定し、[保存] を選択します。
- 名前:任意の検疫設定名
- 送信拒否の結果:
デフォルトの拒否メッセージを送信する - メールが検疫されたときに定期的に通知する:
有効化
[セキュリティ] > [アクセスとデータ管理] > [データの保護] > [ルールを管理] > 作成したルールを選択し、[ルールを編集] を選択します。
操作まで移動し、以下のとおりに設定し、ルールを保存します。
- 操作:
メールを検疫する - 検疫の条件:
前手順で作成した検疫設定を選択
動作確認(検疫)
先ほどと同じメールを作成して送信し、[このまま送信] を選択します。送信者側のメール受信トレイを確認し、メールが受信されてないことを確認します。
管理者宛てに、メールが検疫されたことを通知するメールが届くことを確認します。
[アプリ] > [Google Workspace] > [Gmail の設定] > [検疫の管理] > [管理者検疫に移動] を選択し、送信したメールが存在することを確認します。
メールを選択し、許可(送信)または拒否(送信不可) を選択します。今回は拒否を選択します。
送信者側にメール送信が失敗したことを示すメールが届くことを確認します。
動作確認(OCR)
[セキュリティ] > [アクセスとデータ管理] > [データの保護] へ移動し、[光学式文字認識(OCR)] の Gmail 設定を有効化して [保存] します。
※ OCR スキャンを有効にした場合、スキャンの処理により画像や PDF が添付されたメールの処理に遅延が発生する可能性があります。
以下の画像ファイルを添付してメールを送信します。
[アプリ] > [Google Workspace] > [Gmail の設定] > [検疫の管理] > [管理者検疫に移動] を選択し、送信したメールが存在することを確認します。
今回は [許可] を選択します。
送信者側で対象のメールを受信していることを確認します。
