情報保護スキャナーについて説明します

注:

情報保護スキャナーの新しいバージョンがあります。 詳細については、「 Microsoft Purview Information Protection スキャナーのアップグレード」を参照してください。

このセクションの情報を使用して、Microsoft Purview Information Protection スキャナーについて説明し、インストール、構成、実行、および必要に応じてトラブルシューティングを行う方法について説明します。

このスキャナーは Windows Server 上でサービスとして実行され、次のデータ ストア上のファイルを検出、分類、保護できます。

  • SMB または NFS (プレビュー) プロトコルを使用するネットワーク共有の UNC パス

  • SharePoint Server 2019 から SharePoint Server 2013 までの SharePoint ドキュメント ライブラリとフォルダー

ファイルを分類して保護するために、スキャナーは Microsoft Purview ポータルまたは Microsoft Purview コンプライアンス ポータルで構成された 秘密度ラベル を使用します。

スキャナーの概要

情報保護スキャナーは、Windows でインデックスを作成できる任意のファイルを検査できます。 自動分類を適用するように秘密度ラベルを構成した場合、スキャナーは検出されたファイルにラベルを付けてその分類を適用し、必要に応じて保護を適用または削除できます。 情報保護スキャナーでサポートされる機密情報の種類 (SID) の詳細については、「 Microsoft Purview Information Protection スキャナーでサポートされる機密情報の種類」を参照してください。

次の図は、オンプレミスサーバーと SharePoint サーバー全体でスキャナーがファイルを検出するスキャナー アーキテクチャを示しています。

Microsoft Purview Information Protection スキャナー のアーキテクチャ

ファイルを検査するために、スキャナーはコンピューターにインストールされている IFilters を使用します。 ファイルにラベル付けが必要かどうかを判断するために、スキャナーは機密情報の種類とパターン検出、または正規表現パターンを使用します。

スキャナーは Microsoft Purview Information Protection クライアントを使用し、クライアントと同じ種類のファイルを分類および保護できます。 詳細については、「 サポートされているファイルの種類」を参照してください。

必要に応じてスキャンを構成するには、次のいずれかの操作を行います。

  • 検出モードでのみスキャナーを実行 して、ファイルにラベルが付けられているときに何が起こるかを確認するレポートを作成します。
  • スキャナーを実行して、自動分類を適用するラベルを構成せずに、機密情報を含むファイルを検出します。
  • スキャナーを自動的に実行 して、構成済みのラベルを適用します。
  • スキャンまたは除外する特定のファイルを指定するファイルの種類の一覧を定義します。

注:

スキャナーはリアルタイムで検出およびラベル付けされません。 指定したデータ ストア上のファイルを体系的にクロールします。 このサイクルを 1 回または繰り返し実行するように構成します。

ヒント

スキャナーでは、複数のノードを持つスキャナー クラスターがサポートされており、組織がスケールアウトできるようになり、スキャン時間が短縮され、スコープが広がります。

最初から複数のノードをデプロイするか、単一ノード クラスターから開始し、後でノードを追加します。 Install-Scanner コマンドレットに同じクラスター名とデータベースを使用して、複数のノードをデプロイします。

スキャン プロセス

ファイルをスキャンする場合、情報保護スキャナーは次の手順を実行します。

1. ファイルをスキャンに含めるか除外するかを決定します

2. ファイルの検査とラベル付けを行います

3. 検査できないファイルにラベルを付けます。

詳細については、「 スキャナーによってラベル付けされていないファイル」を参照してください。

1. ファイルをスキャンに含めるか除外するかを決定する

スキャナーは、分類と保護から除外されたファイル (実行可能ファイルやシステム ファイルなど) を自動的にスキップします。 詳細については、「 除外されたファイルの種類」を参照してください。

スキャナーは、スキャンまたはスキャンから除外するために明示的に定義されたファイル リストも考慮します。 ファイル リストは、既定ですべてのデータ リポジトリに適用され、特定のリポジトリに対してのみ定義することもできます。

スキャンまたは除外するファイル リストを定義するには、コンテンツ スキャン ジョブの [ ファイルの種類] を使用してスキャン 設定を行います。 例:

Purview コンプライアンス ポータル内でスキャンするファイルの種類を構成する

詳細については、「 スキャナーをデプロイしてファイルを自動的に分類および保護する」を参照してください。

2. ファイルの検査とラベル付け

除外されたファイルを特定した後、情報保護スキャナーは再びフィルター処理して、検査でサポートされているファイルを識別します。

これらのフィルターは、Windows Search とインデックス作成のためにオペレーティング システムで使用されるフィルターと同じフィルターであり、追加の構成は必要ありません。 Windows IFilter は、Word、Excel、PowerPointで使用されるファイルの種類をスキャンしたり、PDF ドキュメントやテキスト ファイルをスキャンしたりするためにも使用されます。

検査でサポートされるファイルの種類の完全な一覧と、.zip ファイルと.tiffファイルを含むようにフィルターを構成するその他の手順については、「 検査でサポートされるファイルの種類」を参照してください。

検査後、サポートされているファイルの種類は、ラベルに指定された条件を使用してラベル付けされます。 検出モードを使用している場合、これらのファイルは、ラベルに指定された条件を含んでいると報告することも、既知の機密情報の種類が含まれていると報告することもできます。

停止したスキャナー プロセス

リポジトリ内の多数のファイルのスキャンを完了する前にスキャナーが停止した場合は、ファイルをホストするオペレーティング システムの動的ポートの数を増やす必要があります。

たとえば、SharePoint のサーバーのセキュリティ強化は、スキャナーが許可されるネットワーク接続の数を超え、そのため停止する理由の 1 つです。

SharePoint のサーバーのセキュリティ強化がスキャナーの停止の原因であるかどうかを確認するには、スキャナー ログの %localappdata%\Microsoft\MSIP\Logs\MSIPScanner.iplog で次のエラー メッセージを確認します (複数のログが zip ファイルに圧縮されます)。

Unable to connect to the remote server ---> System.Net.Sockets.SocketException: Only one usage of each socket address (protocol/network address/port) is normally permitted IP:port

現在のポート範囲を表示し、必要に応じて増やす方法の詳細については、「 ネットワーク パフォーマンスを向上させるために変更できる設定」を参照してください。

ヒント

大規模な SharePoint ファームの場合、リスト ビューのしきい値 (既定値は 5,000) を増やす必要がある場合があります。

詳細については、「 SharePoint で大規模なリストとライブラリを管理する」を参照してください。

3. 検査できないファイルにラベルを付ける

検査できないファイルの種類の場合、スキャナーは、秘密度ラベル ポリシーの既定のラベル、またはスキャナー用に構成された既定のラベルを適用します。

スキャナーによってラベル付けされていないファイル

スキャナーは、次の状況ではファイルにラベルを付けることはできません。

  • ファイルの種類が暗号化なしのラベル付けをサポートしていない場合。 このラベル構成でサポートされているファイルの種類の一覧については、「 暗号化なしの秘密度ラベル」を参照してください。

  • ラベルが暗号化を適用するが、スキャナーがファイルの種類をサポートしていない場合。

    既定では、スキャナーは、PDF 暗号化の ISO 標準を使用して保護されている場合、Office ファイルの種類と PDF ファイルのみを暗号化します。

    保護するファイルの種類を変更すると、暗号化のために他 の種類のファイルを追加できます。

: .txt ファイルを検査した後、.txt ファイルの種類は暗号化なしで秘密度ラベルをサポートしていないため、スキャナーは暗号化を適用しないラベルを適用できません。

ただし、暗号化を適用するようにラベルが構成されていて、スキャナーが保護するために .txt ファイルの種類が含まれている場合、スキャナーはファイルにラベルを付けることができます。

次の手順

スキャナーのデプロイの詳細については、次の記事を参照してください。

PowerShell を使用して、デスクトップ コンピューターからファイルを対話的に分類して保護することもできます。 PowerShell を使用するこのシナリオとその他のシナリオの詳細については、「PowerShell を 使用して情報保護クライアントを設定する」を参照してください。