Exchange 2013 でのデータ損失防止

製品: Exchange Server 2013

Exchange Server 2013 の DLP ポリシーについて説明します。これには、含まれているものやテスト方法が含まれます。 また、Exchange の DLP の新機能について説明します。

データ損失防止 (DLP) は、機密性の高いデータを含むビジネス クリティカルな通信に電子メールを広範に使用するため、エンタープライズ メッセージ システムにとって重要な問題です。 このようなデータのコンプライアンス要件を適用し、従業員の生産性を妨げずに電子メールでの使用を管理するために、DLP 機能を使用すると、機密データの管理がかつてないほど簡単になります。 DLP の概念の概要については、次のビデオをwatchします。

DLP の概要

DLP ポリシーは、Exchange 管理センター (EAC) で作成したトランスポート ルール、アクション、例外で構成され、アクティブ化して電子メール メッセージと添付ファイルをフィルター処理する一連の条件を含む単純なパッケージです。 DLP ポリシーは作成できますが、アクティブ化しないことを選択します。 これにより、メール フローに影響を与えずにポリシーをテストできます。 DLP ポリシーでは、既存のトランスポート ルールを最大限に活用できます。 実際には、新しい DLP 機能を実現するために、Microsoft Exchange Server 2013 で多数の新しい種類のトランスポート ルールが作成されています。

トランスポート ルールの重要な新機能の 1 つは、メール フロー処理に組み込むことができる機密情報を分類するための新しいアプローチです。 この新しい DLP 機能は、キーワード (keyword)一致、辞書一致、正規表現評価、その他のコンテンツ調査を通じて詳細なコンテンツ分析を実行し、組織の DLP ポリシーに違反するコンテンツを検出します。 Exchange 2013 Service Pack 1 (SP1) では 、ドキュメントフィンガープリントが追加され、標準形式で機密情報を検出するのに役立ちます。 トランスポート ルールの詳細については、「 Exchange 2013 のトランスポート ルール」および「 機密情報ルールとトランスポート ルールの統合」を参照してください。 また、Exchange Management Shell コマンドレットを使用して DLP ポリシーを管理することもできます。 ポリシーとコンプライアンスのコマンドレットの詳細については、「 メッセージング ポリシーとコンプライアンス」を参照してください。

カスタマイズ可能な DLP ポリシー自体に加えて、問題のあるメッセージを送信する前であっても、いずれかのポリシーに違反しようとしている可能性があることをメール送信者に通知することもできます。 これは、ポリシー ヒントを構成することで実現できます。 ポリシー ヒントはメール ヒントに似ています。Outlook 2013 以降で、メッセージを作成しているユーザーにポリシー違反の可能性に関する情報を提供する簡単なメモを表示するように構成できます。 Exchange 2013 SP1 では、デバイスのOutlook Web Appと OWA にもポリシーヒントが表示されます。 詳細については、「ポリシー ヒント」を参照してください。

注:

DLP は、Exchange エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 CAL とサーバー ライセンスの詳細については、「 Exchange ライセンスに関する FAQ」を参照してください。

Exchange Enterprise CAL とサービス: ハイブリッド展開を備えた Exchange Enterprise CAL の顧客である場合、一部のメールボックスがオンプレミスにあり、一部がExchange Onlineに配置されている場合は、動作の違いを考慮する必要があります。 DLP ポリシーは、Exchange Onlineで適用されます。 そのため、あるオンプレミス ユーザーから別のオンプレミス ユーザーに送信されたメッセージでは、メッセージがオンプレミス インフラストラクチャから離れないため、DLP ポリシーは適用されません。

データ損失防止に関連する管理タスクをお探しですか? DLP の手順に関するページを参照してください。

機密データを保護するポリシーの確立

データ損失防止機能を使用すると、ポリシーの条件内で定義した多数のカテゴリの機密情報 (個人識別番号やクレジット カード番号など) の特定と監視に役に立ちます。 独自のカスタム ポリシーやトランスポート ルールを定義したり、Microsoft によって提供される事前に定義された DLP ポリシー テンプレートを使用してすぐに作業を開始したりできます。 含まれているポリシー テンプレートの詳細については、「 Exchange 2013 で提供される DLP ポリシー テンプレート」を参照してください。 ポリシー テンプレートには、メッセージの検査に役立つ実際の DLP ポリシーを作成および保存するために選択できる一連の条件、ルール、アクションが含まれています。 ポリシー テンプレートとは、データ損失防止のニーズを満たすポリシーを作成するために、その中から独自の特定のルールを選択または作成できるモデルです。

DLP の使用を開始するには、次の 3 つの異なる方法があります。

  1. Microsoft が提供するすぐに使えるテンプレートを適用する: DLP ポリシーの使用を開始する最も簡単な方法は、テンプレートを使用して新しいポリシーを作成して実装することです。 テンプレートを使用することで、新しいルールのセットを一から作成する手間を省けます。 チェックするデータの種類や、対処しようとしているコンプライアンス規制を把握する必要があります。 また、このようなデータの処理に対する組織の期待も把握する必要があります。 詳細については、「 Exchange 2013 で提供される DLP ポリシー テンプレート 」および「 テンプレートから DLP ポリシーを作成する」を参照してください

  2. organizationの外部から事前構築済みのポリシー ファイルをインポートする: 独立したソフトウェア ベンダーによってメッセージング環境の外部に既に作成されているポリシーをインポートできます。 こうすることで、ユーザーのビジネス環境に合うように DLP ソリューションを拡張できます。 詳細については、「 Microsoft パートナーからのポリシー テンプレート」、「独自の DLP テンプレートおよび情報の種類の定義」、および「ファイルからカスタムの DLP ポリシー テンプレートをインポートする」を参照してください。

  3. 既存の条件なしでカスタム ポリシーを作成する: エンタープライズには、メッセージング システム内に存在することが知られている特定の種類のデータを監視するための独自の要件がある場合があります。 まったく独力でカスタム ポリシーを作成して、固有のメッセージ データのチェックと処理を開始することができます。 このようなカスタム ポリシーを作成するには、DLP ポリシーが適用される環境の要件と制約を把握する必要があります。 詳細については、「 カスタム DLP ポリシーの作成」を参照してください。

ポリシーを追加したら、そのルールの確認と変更、ポリシーの非アクティブ化、ポリシーの完全な削除を行うこともできます。 これらの操作の手順については、「DLP ポリシーの管理」を参照してください。

DLP ポリシー内の機密情報の種類

DLP ポリシーを作成または変更する際には、機密情報を確認するルールを含めることができます。 Exchange Serverトピックの機密情報の種類に記載されている機密情報の種類は、ポリシーで使用できます。 アクションの実行をトリガする検出回数や実行するアクションなど、ポリシー内に設定する条件は、特定のポリシー要件に合わせて独自の新しいポリシー内でカスタマイズできます。 DLP ポリシーの作成の詳細については、「カスタム DLP ポリシーの作成」を参照してください。 完全なスイートトランスポート ルールの詳細については、「 Exchange 2013 のトランスポート ルール」を参照してください。

機密情報に関連するルールを簡単に利用できるようにするために、Microsoft ではいくつかの機密情報の種類を含めたポリシー テンプレートを用意しました。 ただし、テンプレートは、organization内で最も一般的な種類のコンプライアンス関連データに焦点を当てやすいように設計されているため、ここに記載されているすべての機密情報の種類の条件をポリシー テンプレートに追加することはできません。 事前構築済みテンプレートの詳細については、「 Exchange 2013 で提供される DLP ポリシー テンプレート」を参照してください。 組織用の DLP ポリシーを数多く作成し、さまざまな種類の情報を調査できるようにすべてを有効にすることができます。 既存のテンプレートに基づいていない DLP ポリシーを作成することもできます。 このようなポリシーを作成する場合は、「カスタム DLP ポリシーの作成」を参照してください。 機密情報の種類の詳細については、「Exchange Serverの機密情報の種類」を参照してください。

ドキュメントの指紋による機密フォーム データの検出

Exchange 2013 SP1 では、 ドキュメントフィンガープリントを 使用して、標準フォームに基づいて機密情報の種類を簡単に作成できます。 フォームのデータを保護する方法については、「 ドキュメント フィンガープリンティングを使用してフォーム データを保護する」を参照してください。

機密コンテンツの可能性についてユーザーに通知するポリシー ヒント

ポリシー ヒント通知メッセージを使用して、電子メール メッセージの作成中に発生する可能性のあるコンプライアンスの問題について電子メール送信者に通知できます。 DLP ポリシー内でポリシー ヒントを構成すると、送信者の電子メール メッセージがポリシーに記載された条件を満たす場合にのみ、通知メッセージが表示されます。 ポリシー ヒントは、Microsoft Exchange 2010 で導入されたメール ヒントに似ています。 詳細については、「ポリシー ヒント」を参照してください。

従来のメッセージ分類に沿った機密情報の検出

Exchange 2013 では、従来のメッセージ分類と比較して、メッセージと添付ファイルのデータを管理するための新しい方法が提供されます。 DLP ソリューションの強さの主要な要因は、組織、規制ニーズ、地理またはその他のビジネス ニーズに固有の機密コンテンツを正しく識別できることです。 Exchange 2013 では、コンテンツを詳細に分析するための新しいアーキテクチャと DLP ポリシー内のルールを通じて確立する検出条件を使用してこれを実現できます。 Exchange 2013 でのデータ損失を防止するには、適切な一連の機密情報ルールを構成して、偽陽性と偽陰性の不適切なメール フローの中断を最小化しながら、高度な保護を提供する必要があります。 これらの種類のルールは DLP 情報全体を通じて機密情報検出と呼ばれ、トランスポート ルールによって提供されるフレームワーク内で機能し、DLP 機能を有効にします。

これらの新機能の詳細については、「機密情報ルールとトランスポート ルールの統合」を参照してください。 従来のメッセージ分類フィールドは引き続き Exchange のメッセージに適用できます。これらは、1 つの DLP ポリシー内でまとめて、または同時に実行して Exchange 内で個別に評価されるように、新しい機密情報検出と組み合わせることができます。 従来の Exchange 2010 メッセージ分類の詳細については、「 メッセージ分類について」を参照してください。

DLP 処理メッセージに関する情報

Exchange 2013 の場合、環境内のメッセージと DLP ポリシー検出に関する情報を取得するには、「DLP ポリシー検出のレポートの表示」および「DLP ポリシー検出のインシデント レポートの作成」を参照してください。 DLP 検出に関連するデータは、Exchange 2013 の配信レポート メッセージ追跡ツールに高度に統合されています。

インストールの前提条件

DLP 機能を利用するには、少なくとも 1 つの送信者メールボックスを使用して Exchange 2013 を構成する必要があります。 データ損失防止は、エンタープライズ クライアント アクセス ライセンス (CAL) が必要なプレミアム機能です。 Exchange Serverの概要の詳細については、「計画とデプロイ」を参照してください。

詳細情報