Exchange 2013 でドキュメントフィンガープリントを使用してフォーム データを保護する

製品: Exchange Server 2013

組織でフォームを使用して機密情報を収集している場合は、ユーザーがそのようなフォームを電子メールで外部の連絡先に送ることで、セキュリティ リスクが生じる可能性があります。 Exchange のデータ損失防止 (DLP) は、ドキュメント フィンガープリンティング を使用して機密情報を検出することによって、その情報の保護を支援します。 ドキュメント フィンガープリンティングを使用するには、知的財産文書、政府機関フォーム、組織内で使用されているその他の標準フォームなどの空白のフォームをアップロードするだけです。 その後で、生成されたドキュメント フィンガープリントを DLP ポリシーまたはトランスポート ルールに追加します。 これを行うには、次の操作を実行します。

ドキュメント フィンガープリンティング

EAC を使用してドキュメント フィンガープリントを作成する

[EAC でのドキュメントフィンガープリントへのパス] が強調表示されています。

  1. Exchange 管理センター EAC で、 コンプライアンス管理>データ損失防止に移動します。

  2. [ドキュメントの指紋の管理] をクリックします。

  3. [ドキュメント フィンガープリント] ページで、[ 新しい追加アイコン] をクリックして、新しいドキュメント フィンガープリントを作成します。

  4. 文書の指紋に [名前] と [説明] を付けます。 (選択した名前は、機密情報の種類の一覧に表示されます)。

  5. フォームをアップロードするには、[ 追加] アイコンをクリックします。

  6. フォームを選択して、 [開く] をクリックします (アップロードするファイルにテキストが含まれていること、そのファイルがパスワードで保護されていないこと、そのファイルの種類がトランスポート ルールでサポートされていることを確認します。 (アップロードするファイルにテキストが含まれており、パスワードで保護されていないこと、およびトランスポート ルールでサポートされているファイルの種類のいずれかに含まれていることを確認します。サポートされているファイルの種類の一覧については、「 トランスポート ルールを使用してメッセージの添付ファイルを検査する」を参照してください。それ以外の場合は、指紋を作成しようとするとエラーが発生します)。このドキュメント フィンガープリントのドキュメント リストに追加する追加のファイルに対して、この操作を繰り返します。 必要に応じて、後からこのドキュメント フィンガープリントに対してファイルを追加または削除することもできます。

  7. [保存] をクリックします。

ドキュメントフィンガープリントは機密情報の種類の一部になり、DLP ポリシーに追加したり、 メッセージに機密情報が含まれている という条件を使用してトランスポート ルールに追加したりできます。

強調表示されている [このルールを適用する条件]

DLP ポリシーへのルールの追加の詳細については、「DLP ポリシーの管理」の「 DLP ポリシーの変更」セクションを参照してください。トランスポート ルールの変更の詳細については、「 機密情報ルールとトランスポート ルールの統合」を参照してください。 新しいポリシーを作成する場合は、「 テンプレートから DLP ポリシーを作成する」を参照してください。

シェルを使用してドキュメント フィンガープリントに基づいて分類ルール パッケージを作成する

ヒント

シェルでも分類ルール パッケージを作成または修正できますが、EAC でドキュメント フィンガープリントを作成した方が簡単な場合があります。 シェルでこの手順を試す前に、EAC で試すことをお勧めします。

DLP は、分類ルール パッケージを使用して、メッセージ内の機密コンテンツを検出します。 ドキュメント フィンガープリントに基づいて分類ルール パッケージを作成するには、 New-Fingerprint コマンドレットと New-DataClassification コマンドレットを使用します。 New-Fingerprint の結果はデータ分類ルールの外部に保存されないため、 New-FingerprintNew-DataClassification または Set-Dataclassification は、必ず同じ PowerShell セッション内で実行します。 次の例では、C:\My Documents\Contoso Employee Template.docx ファイルに基づいて新しいドキュメント フィンガープリントを作成します。 新しいフィンガープリントは変数として保存し、同じ PowerShell セッション内の New-DataClassification コマンドレットで使用できるようにします。

$Employee_Template = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx')
$Employee_Fingerprint = New-Fingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

ここで、C:\My Documents\Contoso Customer Information Form.docx ファイルのドキュメント フィンガープリントを使用する、"Contoso Employee Confidential" という名前の新しいデータ分類ルールを作成してみましょう。

$Customer_Form = [System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx')
$Customer_Fingerprint = New-Fingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"
New-DataClassification -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

Get-DataClassification コマンドレットを使用してすべての DLP データ分類ルール パッケージを探すことができます。この例では、"Contoso Customer Confidential" がデータ分類ルール パッケージの一覧に含まれています。

最後に、"Contoso Customer Confidential" データ分類ルール パッケージを DLP ポリシーに追加します。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

これで、DLP エージェントが Contoso Customer Form.docx ドキュメント フィンガープリントと一致するドキュメントを検出するようになります。

構文とパラメーターの詳細については、「New-Fingerprint」、「New-DataClassification」、「Set-DataClassification」、「Get-DataClassification」を参照してください。

詳細情報

ドキュメント フィンガープリンティング

DLP ポリシーの管理

機密情報ルールとトランスポート ルールの統合