ドキュメント フィンガープリンティングを使用して機密情報ドキュメントを検出する

  • 5 分

組織内のインフォメーション ワーカーは、日常的にさまざまな種類の機密情報を処理します。 Microsoft Purview コンプライアンス ポータルでは、ドキュメント フィンガープリンティングにより、この情報の保護が組織にとって簡単になります。 これは、組織が使用する標準フォームを識別することで実現しています。

このユニットでは、ドキュメント フィンガープリンティングの背後にある概念について説明します。 また、Windows PowerShell を使用してドキュメント フィンガープリントを作成する方法についても説明します。

ドキュメント フィンガープリンティングに関する基本的なシナリオ

ドキュメント フィンガープリンティングは、Microsoft Purview データ損失防止 (DLP) 機能です。 標準フォームを機密情報の種類に変換します。 その後、組織はこの情報の種類を DLP ポリシーで使用できます。 たとえば、組織は次の手順を実行できます。

  1. 空白の特許テンプレートに基づいてドキュメント フィンガープリントを作成します。
  2. 機密コンテンツが記載されたすべての送信特許テンプレートを検出してブロックする DLP ポリシーを作成します。
  3. 必要に応じて、送信者に機密情報を送信している可能性があることを通知するポリシー ヒントを設定します。 ポリシー ヒントが通知された送信者は、受信者が特許を受け取る権限を持っていることを確認する必要があります。

このプロセスは、組織で使用されるあらゆるテキスト ベースのフォームで動作します。 組織がアップロードできるフォームのその他の例を次に示します:

  • 政府機関フォーム
  • Health Insurance Portability and Accountability Act (HIPAA) 準拠フォーム
  • 人事部門の従業員情報フォーム
  • 組織用に特別に作成されたカスタム フォーム

次の例について考えてみましょう。 Contoso は、機密情報を送信するときに特定のフォームを使用するという業務習慣が既に確立されています。 Contoso は、この後でドキュメント フィンガープリントに変換する空のフォームをアップロードすることから始めます。 ドキュメント フィンガープリントの作成後に、Contoso は新しいデータ分類ルールを作成します。 このルールでは、前もって作成したドキュメント フィンガープリントを使用します。 その次に、Contoso は対応する DLP ポリシーを設定して、ポリシーにルールを追加します。 DLP ポリシーにドキュメント フィンガープリントが割り当てられていると、DLP サービスは、そのフィンガープリントと一致する送信メール内のドキュメントを検出します。

ドキュメント フィンガープリンティングのしくみ

ドキュメントに実際のフィンガープリントがないことは誰でも知っています。 ただし、"ドキュメント フィンガープリンティング" という名前は、この機能を説明するのに役立ちます。 人間の指紋に固有のパターンがあるように、ドキュメントにも固有の単語パターンがあります。 組織がファイルをアップロードすると、Microsoft Purview DLP は次のように動作します:

  1. 文書内の一意の単語パターンを識別します。
  2. そのパターンに基づいてドキュメント フィンガープリントを作成します。
  3. そのドキュメント フィンガープリントを使用して、同じパターンが含まれている送信ドキュメントを検出します。

このプロセスは、フォームまたはテンプレートのアップロードが、最も効果的なドキュメント フィンガープリントの種類を作成する理由を示しています。 フォームに記入する誰もが同じオリジナルの単語セットを使用します。 その後で、ドキュメントに独自の単語を追加します。 送信ドキュメントにオリジナルのフォームのすべてのテキストが含まれていて、それがパスワードで保護されていない場合、DLP はそれがドキュメントのフィンガープリントと一致するかどうかを判断できます。

重要

現時点では、DLP は Exchange Online の検出方法としてのみドキュメント フィンガープリンティングを使用できます。

組織は、ドキュメント フィンガープリントを作成する際の基礎として任意のフォームを使用できます。 次の例は、特許テンプレートに基づいてドキュメント フィンガープリントを作成した場合の動作を示しています。

特許テンプレートのドキュメント フィンガープリントと比較した特許ドキュメントを示す図。

特許テンプレートには、空白のフィールドの "Patent title"、"Inventors" および "Description" と、それらの各フィールドの説明が含まれています。これが単語パターンです。 オリジナルの特許テンプレートは、サポートされているファイルの種類のいずれかであることと、プレーン テキストであることが必要です。 組織が特許テンプレートをアップロードする場合:

  1. DLP は、この単語パターンをドキュメント フィンガープリントに変換します。 フィンガープリントは、オリジナルのテキストを表す一意のハッシュ値が含まれた小さな Unicode XML ファイルです。

  2. 組織は、Active Directory のデータ分類として特許フィンガープリントを保存します。

    注:

    セキュリティ対策として、このシステムではオリジナルのドキュメント自体はサービスに保存しません。ハッシュ値のみを保存します。 システムは、ハッシュ値からオリジナルのドキュメントを再構築できません。

  3. その後、特許フィンガープリントは、組織が DLP ポリシーに関連付けできる機密情報の種類になります。

  4. 組織が DLP ポリシーにフィンガープリントを関連付けると、DLP は特許フィンガープリントに一致するドキュメントが含まれている送信メールを検出します。 その後、組織のポリシーに従って処理されます。

たとえば、通常の従業員は特許が含まれている送信メッセージを送信できないようにする DLP ポリシーを設定するとします。 DLP は、特許フィンガープリントを使用して特許を検出し、そのような電子メールをブロックします。 その一方で、業務上の必要性があるため、法務部は別の組織に特許を送信できるようにすることができます。 そうした部門の例外を DLP ポリシーに作成することで、特定の部門に機密情報の送信を許可できます。 また、ビジネス上の正当な理由があれば、ポリシー ヒントの上書きを許可することもできます。

サポートされているファイルの種類

ドキュメント フィンガープリンティングでは、メール フロー ルール (トランスポート ルールとも呼ばれます) がサポートするのと同じファイルの種類がサポートされます。 サポートされているファイルの種類の一覧については、「メール フロー ルールのコンテンツ検査でサポートされているファイルの種類」を参照してください。

注:

メール フロー ルールとドキュメント フィンガープリンティングでは、.dotx ファイルの種類はサポートされていません。 .dotx は Word のテンプレート ファイルであるため、この状況は混乱を招く可能性があります。 このユニットで "テンプレート" という単語が現れたときには、テンプレート ファイルの種類ではなく、組織が標準フォームとして確立したドキュメントを表します。

ドキュメント フィンガープリンティングでは、次の場合には機密情報を検出できません:

  • パスワードで保護されたファイル。
  • イメージのみが含まれているファイル。
  • ドキュメント フィンガープリントの作成に使用したオリジナル フォームのテキストがまったく含まれていないドキュメント。
  • 10 MB を超えるファイル。

PowerShell を使用してドキュメント フィンガープリンティングに基づいた分類ルール パッケージを作成する

現時点では、ドキュメント フィンガープリントはセキュリティ/コンプライアンス PowerShell モジュールを使用してのみ作成できます。

DLP は、機密コンテンツの検出に分類ルール パッケージを使用します。 ドキュメント フィンガープリントに基づいた分類ルール パッケージを作成するには、New-Fingerprint コマンドレットと New-DataClassification コマンドレットを使用します。

注:

システムは New-DlpFingerprint の結果をデータ分類ルールの外部には格納しないため、同じ PowerShell セッションで常に New-DlpFingerprintNew-DlpSensitiveInformationType または Set-DlpSensitiveInformationType を実行する必要があります。

ドキュメント フィンガープリンティングに基づいた分類ルール パッケージの作成方法を示す例について説明します。

  1. この例では、C:\My Documents\Contoso Employee Template.docx ファイルに基づいて、新しいドキュメント フィンガープリントを作成します。 新しいフィンガープリントは変数として保存して、その変数を同じ PowerShell セッションの New-DlpSensitiveInformationType コマンドレットと共に使用できるようにします。

    $Employee_Template = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Employee Template.docx'))

$Employee_Fingerprint = New-DlpFingerprint -FileData $Employee_Template -Description "Contoso Employee Template"

  2. ドキュメント フィンガープリントを作成したら、新しいデータ分類ルールの作成が必要になります。 この例では、それに Contoso Employee Confidential という名前を付けます。 このルールは、C:\My Documents\Contoso Customer Information Form.docx ファイルのドキュメント フィンガープリントを使用します。

    $Customer_Form = ([System.IO.File]::ReadAllBytes('C:\My Documents\Contoso Customer Information Form.docx'))

$Customer_Fingerprint = New-DlpFingerprint -FileData $Customer_Form -Description "Contoso Customer Information Form"

New-DlpSensitiveInformationType -Name "Contoso Customer Confidential" -Fingerprints $Customer_Fingerprint -Description "Message contains Contoso customer information."

  3. この時点で、Get-DlpSensitiveInformationType コマンドレットを使用して、すべての DLP データ分類ルール パッケージを検索できるようになりました。 この例では、Contoso Customer Confidential がデータ分類ルール パッケージの一覧に含まれています。 その後で、Contoso Customer Confidential データ分類ルール パッケージを DLP ポリシーに追加します。 この手順は Microsoft Purview コンプライアンス ポータルで完了できますが、この例では ConfidentialPolicy という名前の既存の DLP ポリシーにルールを追加します。

    New-DlpComplianceRule -Name "ContosoConfidentialRule" -Policy "ConfidentialPolicy" -ContentContainsSensitiveInformation @{Name="Contoso Customer Confidential"} -BlockAccess $True

  4. また、データ分類ルール パッケージは、Exchange Online のメール フロー ルールで使用することもできます。 このコマンドを実行するには、まず Exchange Online PowerShell に接続する必要があります。 Microsoft Purview コンプライアンス ポータルから Exchange 管理センターにルール パッケージが同期されるまでに時間がかかることに注意してください。

    New-TransportRule -Name "Notify :External Recipient Contoso confidential" -NotifySender NotifyOnly -Mode Enforce -SentToScope NotInOrganization -MessageContainsDataClassification @{Name=" Contoso Customer Confidential"}

Microsoft Purview データ損失防止は、Contoso Customer Form.docx ドキュメントのフィンガープリントに一致するドキュメントを検出するようになりました。