ドキュメント フィンガープリンティング

ドキュメントフィンガープリントは、標準フォームを機密情報の種類 (SIT) に変換する Microsoft Purview データ損失防止 (DLP) 機能です。この機能は、DLP ポリシーのルールで使用できます。

ドキュメントフィンガープリントを使用すると、組織全体で使用されている標準フォームを識別することで、機密情報を簡単に保護できます。 この記事では、ドキュメントフィンガープリントの背後にある概念と、ユーザー インターフェイスまたは PowerShell を使用してドキュメント フィンガープリントを作成する方法について説明します。

ドキュメントフィンガープリントには、次の利点があります。

  • DLP では、Exchange、SharePoint、OneDrive、Teams、デバイスの検出方法としてドキュメントフィンガープリントを使用できます。
  • ドキュメントフィンガープリント機能は、Microsoft Purview ユーザー インターフェイスを使用して管理できます。
  • 部分一致 がサポートされています。
  • 完全一致 がサポートされています。
  • 検出精度の向上
  • 中国語、日本語、韓国語などの 2 バイト言語を含む複数の言語での検出のサポート。

重要

E5 のお客様の場合は、完全なドキュメント フィンガープリント機能セットを利用するために、既存の指紋を更新することをお勧めします。 E3 のお客様の場合は、E5 ライセンスにアップグレードすることをお勧めします。 そうしないと、2023 年 4 月以降に既存の指紋を変更したり、新しい指紋を作成したりすることはできません。

ドキュメントフィンガープリントの基本的なシナリオ

前述のように、ドキュメントフィンガープリント機能は、標準的な形式の情報を機密情報の種類 (SIT) に変換します。これは、DLP ポリシーのルールで使用できます。 たとえば、空白の特許テンプレートに基づいてドキュメント フィンガープリントを作成し、機密性の高いコンテンツが入力されているすべての送信特許テンプレートを検出してブロックする DLP ポリシーを作成できます。 必要に応じて、機密情報を送信している可能性があり、送信者が受信者が特許を受け取る資格があることを確認する必要があることを送信者に通知する ポリシー ヒント を設定できます。 このプロセスは、組織内で使用されるテキスト ベースのフォームで機能します。 アップロードできるフォームのその他の例を次に示します。

  • 政府機関フォーム
  • Health Insurance Portability and Accountability Act (HIPAA) 準拠フォーム
  • 人事部門の従業員情報フォーム
  • 組織用に特別に作成されたカスタム フォーム

組織で機密情報を送信するときに特定のフォームを使用するという業務習慣が既に確立されていることが理想的です。 検出を有効にするには、ドキュメントフィンガープリントに変換する空のフォームをアップロードします。 次に、対応するポリシーを設定します。 これらの手順を完了すると、DLP はそのフィンガープリントに一致する送信メール内のドキュメントを検出します。

ドキュメントフィンガープリントのしくみ

おそらく、ドキュメントには実際の指紋がないと推測されていますが、名前は機能を説明するのに役立ちます。 人間の指紋に固有のパターンがあるように、ドキュメントにも固有の単語パターンがあります。 ファイルをアップロードすると、DLP はドキュメント内の一意の単語パターンを識別し、そのパターンに基づいてドキュメント フィンガープリントを作成し、そのドキュメント フィンガープリントを使用して、同じパターンを含む送信ドキュメントを検出します。 これにより、フォームまたはテンプレートをアップロードすると、ドキュメント フィンガープリントの最も有効なタイプが作成されます。 フォームに入力するすべてのユーザーは、同じ元の単語セットを使用し、ドキュメントに独自の単語を追加します。 送信ドキュメントがパスワードで保護されておらず、元のフォームのすべてのテキストが含まれている場合、DLP はドキュメントがドキュメントフィンガープリントと一致するかどうかを判断できます。

ドキュメントのフィンガープリントの図。

特許テンプレートには、空白のフィールド "Patent title"、"Inventors"、および "Description" と、それらの各フィールドの説明が含まれています。これは単語パターンです。 元の特許テンプレートをアップロードすると、サポートされているファイルの種類の 1 つとプレーン テキストになります。 DLP は、この単語パターンをドキュメント フィンガープリントに変換します。これは、元のテキストを表す一意のハッシュ値を含む小さな Unicode XML ファイルです。 指紋は、Active Directory のデータ分類として保存されます。 (セキュリティ対策として、元のドキュメント自体はサービスに格納されません。ハッシュ値のみが格納されます。元のドキュメントをハッシュ値から再構築することはできません)。その後、特許指紋は、DLP ポリシーに関連付けることができる SIT になります。 指紋を DLP ポリシーに関連付けた後、DLP は、特許指紋と一致するコンテンツを含む送信メールを検出し、組織のポリシーに従って処理します。

たとえば、通常の従業員が特許を含む送信メッセージを送信できないように DLP ポリシーを設定した場合、DLP は特許指紋を使用して特許を検出し、それらのメールをブロックします。 または、法務部門が特許を他の組織に送ることができるようにすることもできます。これは、ビジネス上のニーズがあるためです。 特定の部門が機密情報を送信できるようにするには、DLP ポリシーでそれらの部門の例外を作成します。 または、ポリシー ヒントをビジネス上の正当な理由で上書きすることを許可することもできます。

重要

埋め込みドキュメント内のテキストは、指紋の作成には考慮されません。 埋め込みドキュメントを含まないサンプル テンプレート ファイルを指定する必要があります。

サポートされているファイルの種類

ドキュメントフィンガープリントは、メール フロー ルール (トランスポート ルールとも呼ばれます) でサポートされているのと同じファイルの種類をサポートします。 サポートされているファイルの種類の一覧については、「メール フロー ルールのコンテンツ検査でサポートされているファイルの種類」を参照してください。 ファイルの種類に関する 1 つの簡単な注意: メール フロー ルールもドキュメント フィンガープリントも、Microsoft Word のテンプレート ファイルである .dotx ファイルの種類はサポートしません。 この記事やその他のドキュメント フィンガープリント記事に "template" という単語が表示されると、テンプレート ファイルの種類ではなく、標準フォームとして確立したドキュメントを参照します。

ドキュメント フィンガープリンティングの制限

ドキュメントフィンガープリントでは、次の場合に機密情報は検出されません。

  • パスワードで保護されたファイル
  • イメージのみを含むファイル
  • ドキュメント フィンガープリントの作成に使用されたオリジナルのフォームのテキストがすべて含まれていないドキュメント
  • 4 MB を超えるファイル

注:

デバイスでドキュメントフィンガープリントを使用するには、 高度な分類スキャンと保護を 有効にする必要があります。

指紋は別のルール パックに格納されます。 このルール パックの最大サイズ制限は 1 から 150 KB です。 この制限により、テナントごとに約 50 個のフィンガープリントを作成できます。

次の例は、特許テンプレートに基づいてドキュメント フィンガープリントを作成した場合の動作を示しています。 ただし、ドキュメント フィンガープリントを作成するための基礎として、任意のフォームを使用できます。

例: 特許テンプレートのドキュメント フィンガープリントに一致する特許文献を作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft Purview ポータルで、 データ損失防止>Classifiers>Sensitive info types に移動します。
  2. [ 機密情報の種類 ] ページで、[ + 指紋ベースの SIT の作成] を選択します。
  3. 新しい SIT の名前と説明を入力します。
  4. 指紋テンプレートとして使用するファイルをアップロードします。
  5. 省略可能: 各信頼レベルの要件を調整します。 (詳細については、「 部分一致」 と「 完全一致」を参照してください)。
  6. [次へ]を選択します。
  7. 設定を確認し、[ 作成] を選択します。
  8. 確認ページが表示されたら、[完了] を選択 します

特許テンプレートのドキュメント フィンガープリントに一致する特許文献の PowerShell の例

>> $Patent_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\patent.docx'))

>> New-DlpSensitiveInformationType -Name "Patent SIT" -FileData $Patent_Form  -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Contoso Patent Template"

部分一致

ドキュメントフィンガープリントの部分照合を構成するには、信頼度レベルを構成するときに、[ ]、[ 中] 、または [高 ] を選択し、ファイル内のテキストの量が指紋と一致する必要がある割合を 30% から 90% の割合で指定します。

信頼度が高いレベルでは、最も少ない誤検知が返されますが、偽陰性が多くなる可能性があります。 低または中程度の信頼度レベルは、より多くの誤検知を返しますが、偽陰性は少ないからゼロに戻ります。

  • 低信頼度: 一致した項目には、最も少ない偽陰性が含まれますが、最も誤検知が含まれます。 低信頼度は、すべての低、中、高の信頼度の一致を返します。
  • 中程度の信頼度: 一致した項目には、誤検知と偽陰性の平均数が含まれます。 中程度の信頼度は、すべての中程度の一致と高い信頼度の一致を返します。
  • 高信頼度: 一致した項目には、最も少ない誤検知が含まれますが、最も偽陰性が含まれます。

完全一致

ドキュメント フィンガープリントの正確な照合を構成するには、高信頼度の値として [正確] を選択します。 高信頼度を Exact に設定すると、指紋とまったく同じテキストを持つファイルのみが検出されます。 ファイルが指紋から少しでも逸脱している場合は、検出されません。

指紋 SID を既に使用していますか?

これらの指紋の既存の指紋とポリシー/ルールは引き続き機能する必要があります。 最新の指紋機能を使用したくない場合は、何もする必要はありません。

E5 ライセンスがあり、最新のフィンガープリント機能を使用する場合は、新しい指紋を作成するか、 ポリシーを 新しいバージョンに移行できます。

注:

指紋が既に存在するテンプレートを使用した新しいフィンガープリントの作成はサポートされていません。

Microsoft Purview を使用して指紋 SIT を使用して新しいポリシーを作成する

現在使用しているポータルに該当するタブを選択してください。 Microsoft Purview ポータルの詳細については、Microsoft Purview ポータルを参照してください。 コンプライアンス ポータルの詳細については、「Microsoft Purview コンプライアンス ポータル」を参照してください。

  1. Microsoft Purview コンプライアンス ポータルで、[ データ損失防止>ポリシー ] に移動し、[ + ポリシーの作成] を選択します。
  2. [カテゴリ] で [カスタム] を選択し、[規制] で [カスタム ポリシー] を選択します。
  3. [次へ]を選択します。
  4. ポリシーに名前を付け、次に>説明を入力します
  5. [ 管理ユニットの割り当て] ページで、[ 次へ] を選択します。
  6. ポリシーを適用する場所を選択し、[ 次へ] を選択します。
  7. [ ポリシー設定の定義 ] ページで、[ 高度な DLP 規則の作成またはカスタマイズ ] を選択し、[ 次へ] を選択します。
  8. [ + ルールの作成] を選択します
  9. ルールに名前と説明を付けます。
  10. [条件] で [条件の追加>Content contains を選択します。
  11. 新しい DLP ルールのセットに グループ名>追加>Sensitive 情報の種類を指定します
  12. 指紋 SIT >Add の名前を検索して選択します。
  13. ルール作成ツールの残りの部分を操作して、ルールを構成します。
  14. 保存] を選択します。
  15. [次へ]を選択します。
  16. [ シミュレーション モードでポリシーを実行する ] を選択し、[ 次へ] を選択します。
  17. [ 送信] を 選択し、[完了] を選択 します

PowerShell を使用してドキュメントフィンガープリントに基づいてカスタム機密情報の種類を作成する

現時点では、 セキュリティ & コンプライアンス PowerShell でのみドキュメント フィンガープリントを作成できます。

DLP では、機密情報の種類 (SIT) を使用して機密性の高いコンテンツを検出します。 ドキュメント フィンガープリントに基づいてカスタム SIT を作成するには、 New-DlpSensitiveInformationType コマンドレットを使用します。 次の例では、ファイル C:\My Documents\Contoso Customer Form.docx に基づいて、"Contoso Customer Confidential" という名前の新しいドキュメント フィンガープリントを作成します。

$Employee_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Form.docx'))

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -FileData $Employee_Form -ThresholdConfig @{low=40;medium=60;high=80} -IsExact $false -Description "Message contains Contoso customer information."

最後に、Microsoft Purview コンプライアンス ポータルの DLP ポリシーに "Contoso Customer Confidential" 機密情報の種類を追加します。 次の使用例は、"ConfidentialPolicy" という名前の既存の DLP ポリシーにルールを追加します。

New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

次の例に示すように、Exchange のメール フロー ルールでフィンガープリント SIT を使用することもできます。 このコマンドを実行するには、まず Exchange PowerShell に接続する必要があります。 また、SID が Exchange 管理センターと同期するまでに時間がかかることに注意してください。

New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

DLP では、Contoso Customer Form.docx ドキュメント フィンガープリントと一致するドキュメントが検出されるようになりました。

構文とパラメーターの情報については、次を参照してください。

ドキュメント フィンガープリントを編集、テスト、または削除する

ユーザー インターフェイスを使用してこれを行うには、編集、テスト、または削除する指紋 SIT を開き、適切なアイコンを選択します。

PowerShell を使用してこれを行うには、次のコマンドを実行します。

ドキュメントフィンガープリントを編集する

>> Set-DlpSensitiveInformationType -Name "Fingerprint SIT" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"

ドキュメントフィンガープリントをテストする

>> $r = Test-DataClassification -TextToClassify "Credit card information Visa: 4485 3647 3952 7352. Patient Identifier or SSN: 452-12-1232"
>> $r.ClassificationResults

ドキュメントフィンガープリントを削除する

>> Remove-DlpSensitiveInformationType "Fingerprint SIT"

ユーザー インターフェイス経由で指紋 SIT を使用して新しいポリシーを移行する

  1. [データ分類>Classifiers>Sensitive info types] に移動します。
  2. 移行する指紋を含む SIT を開きます。
  3. [ 編集] を選択します
  4. 同じ指紋ファイルをもう一度アップロードします。
  5. 指紋設定 >Done を確認します。

PowerShell を使用して指紋を移行する

次のコマンドを入力します:

Set-DlpSensitiveInformationType -Name "Old Fingerprint" -FileData ([System.IO.File]::ReadAllBytes('C:\My Documents\file1.docx')) -ThresholdConfig @{low=30;medium=50;high=80} -IsExact $false-Description "A friendly Description"