ドキュメント フィンガープリンティング
製品: Exchange Server 2013
組織内のインフォメーション ワーカーは、日常的にさまざまな種類の機密情報を処理します。 ドキュメントフィンガープリント を使用すると、組織全体で使用されている標準フォームを識別することで、この情報を簡単に保護できます。 このトピックでは、ドキュメント フィンガープリンティングの背後にある概念について説明します。 ドキュメント フィンガープリントの作成方法については、「ドキュメント フィンガープリンティングを使用してフォーム データを保護する」を参照してください。
ドキュメント フィンガープリンティングに関する基本的なシナリオ
ドキュメントフィンガープリントは、標準フォームを機密情報の種類に変換するデータ損失防止 (DLP) 機能です。これを使用して、トランスポート ルールと DLP ポリシーを定義できます。 たとえば、空白の特許テンプレートに基づいてドキュメント フィンガープリントを作成し、機密性の高いコンテンツが入力されているすべての送信特許テンプレートを検出してブロックする DLP ポリシーを作成できます。 必要に応じて、機密情報を送信している可能性があることを送信者に通知する ポリシー ヒント を設定できます。また、送信者は受信者が特許を受け取る資格があることを確認する必要があります。 このプロセスは、組織内で使用されるテキスト ベースのフォームで機能します。 アップロードできるフォームのその他の例を次に示します。
政府機関フォーム
Health Insurance Portability and Accountability Act (HIPAA) 準拠フォーム
人事部門の従業員情報フォーム
組織用に特別に作成されたカスタム フォーム
組織で機密情報を送信するときに特定のフォームを使用するという業務習慣が既に確立されていることが理想的です。 ドキュメント フィンガープリントに変換される空のフォームをアップロードして、対応するポリシーをセットアップしたら、DLP エージェントがそのフィンガープリントと一致する送信メール内のドキュメントを検出します。
ドキュメント フィンガープリンティングのしくみ
ドキュメントに実際の指紋があるわけではありませんが、名前からその機能を想像することができます。 人間の指紋に固有のパターンがあるように、ドキュメントにも固有の単語パターンがあります。 ファイルがアップロードされると、DLP エージェントがドキュメント内の固有の単語パターンを特定して、そのパターンに基づいてドキュメント フィンガープリントを作成し、そのドキュメント フィンガープリントを使用して同じパターンを含む送信ドキュメントを検出します。 これにより、フォームまたはテンプレートをアップロードすると、ドキュメント フィンガープリントの最も有効なタイプが作成されます。 フォームに記入するユーザーは全員同じオリジナルの単語セットを使用し、その上で独自の単語をドキュメントに追加します。 送信ドキュメントがパスワードで保護されておらず、オリジナルのフォームからのすべてのテキストが含まれているかぎり、DLP エージェントはそのドキュメントがドキュメント フィンガープリントと一致するかどうかを判断できます。
次の例では、特許情報テンプレートに基づいてドキュメント フィンガープリントを作成した場合に何が行われるかを示しています。ただし、ドキュメント フィンガープリントは、任意のフォームに基づいて作成できます。
特許テンプレートには、空白のフィールド "Patent title"、"Inventors"、および "Description" とそれらの各フィールドの説明が含まれています。これは単語パターンです。 元の特許テンプレートをアップロードすると、サポートされているファイルの種類の 1 つとプレーン テキストになります。 DLP エージェントはアルゴリズムを使用して、この単語パターンをドキュメント フィンガープリントに変換します。これは、元のテキストを表す一意のハッシュ値を含む小さな Unicode XML ファイルであり、指紋は Active Directory のデータ分類として保存されます。 (セキュリティ対策として、元のドキュメント自体はサービスに格納されません。ハッシュ値のみが格納され、元のドキュメントをハッシュ値から再構築することはできません)。その後、特許フィンガープリントは、DLP ポリシーに関連付けることができる機密情報の種類になります。 指紋を DLP ポリシーに関連付けた後、DLP エージェントは、特許指紋と一致するドキュメントを含む送信メールを検出し、組織のポリシーに従って処理します。 たとえば、通常の従業員が特許を含む送信メッセージを送信できないようにする DLP ポリシーを設定できます。 DLP エージェントは、特許指紋を使用して特許を検出し、それらのメールをブロックします。 または、法務部門が特許を他の組織に送ることができるようにすることもできます。これは、ビジネス上のニーズがあるためです。 DLP ポリシーでこれらの部門の例外を作成することで、特定の部門に機密情報の送信を許可したり、ビジネス上の正当な理由でポリシー ヒントを上書きできるようにしたりできます。 DLP ポリシー ルールと例外の作成の詳細については、「 DLP の手順」を参照してください。また、ユーザーがオーバーライドできるポリシー ヒントの設定の詳細については、「 Exchange 2013 のポリシーヒント」を参照してください。
サポートされているファイルの種類
ドキュメントフィンガープリントは、トランスポート ルールでサポートされているのと同じファイルの種類をサポートします。 サポートされているファイルの種類の一覧については、「 トランスポート ルールのコンテンツ検査でサポートされているファイルの種類」を参照してください。 ファイルの種類に関する 1 つの簡単な注意: トランスポート ルールもドキュメントフィンガープリントも .dotx ファイルの種類はサポートされていないため、Word のテンプレート ファイルであるため混乱する可能性があります。 このトピックやその他のドキュメント フィンガープリント トピックに "template" という単語が表示されると、テンプレート ファイルの種類ではなく、標準フォームとして確立したドキュメントを参照します。
ドキュメント フィンガープリンティングの制限
ドキュメント フィンガープリンティング DLP エージェントは、次の場合に機密情報を検出しません。
パスワードで保護されたファイル
イメージのみが含まれているファイル
ドキュメント フィンガープリントの作成に使用されたオリジナルのフォームのテキストがすべて含まれていないドキュメント