Exchange のデータ損失防止について
原文の記事の投稿日: 2012 年 9 月 29 日 (土曜日)
新しい Exchange が備えるデータ損失防止 (DLP) 機能は、詳細なコンテンツ分析を通じて、組織の機密情報を容易に識別、監視、および保護できます。エンタープライズ メッセージング システムでは DLP の重要性がますます高まっています。その要因となっているのが、業務上重要な電子メールに保護を必要とする機密情報が含まれているという点です。銀行関係の情報、個人を特定できる情報 (PII)、知的財産権データなどが誤って未承認のユーザーに送信されると、CSO は事態の収拾に徹夜であたることになります。新しいバージョンの Microsoft Exchange Server 2013 では DLP 機能を統合して、電子メールに含まれる機密性の高いデータを従来よりも格段に容易に管理できるようになり、従業員の生産性が低下することもありません。
Exchange の DLP は手軽に使用できます。次の操作を実行できる簡易管理インターフェイスがマイクロソフトから提供されています。
- あらかじめ構成されたポリシー テンプレートを使用して、PCI-DSS データや、グラム リーチ ブライリー法データ、ロケール固有の個人を特定できる情報 (PII) など、特定の種類の機密情報を容易に検出できます。
- 既存のトランスポート ルールの述語の機能をすべて使用できます。また、新しいトランスポート ルールを追加することもできます。
- DLP ポリシーを完全に適用する前に、ポリシーの効果を評価できます。
- 独自のカスタム DLP ポリシー テンプレートと、独自の種類の機密情報を組み込むことができます。
- メッセージの添付ファイル、本文、または件名から機密情報を検出し、Exchange で実行するアクションの信頼レベルを調整できます。
- ポリシー ヒントを追加できます。ポリシー ヒントを追加すると、Outlook ユーザーに注意が表示されるため、データ損失が発生する可能性を低減できます。また、誤検知報告を許可してポリシーの効果を高めることもできます。
- メッセージ追跡ログのインシデント データを確認できます。また、新しいインシデント レポート生成アクションを使用して報告を追加することもできます。
マイクロソフトが提供する DLP ポリシー テンプレートを使用すると、DLP をすぐに開始できます。DLP ポリシーは、カスタマイズ可能な新機能とトランスポート ルールのパッケージです。トランスポート ルールには、検索するコンテンツの種類を DLP ポリシーに定義する分類の種類などが指定されます。Exchange 管理シェル、Exchange 管理センター (英語) (EAC)、または独自の XML ファイル エディターを使用して、メッセージング環境への DLP ポリシーの取り込みを開始できます。次に、データ損失防止管理インターフェイスを示します。
図 1: EAC を使用してデータ損失防止を管理します。
新しいトランスポート ルールの条件とアクションには、新しい DLP 機能を達成するために Exchange Server 2013 で作成されたものもいくつか含まれています。新しいトランスポート ルールの主な特長の 1 つに、機密情報の検出への新しいアプローチがあります。これはメール フロー処理に組み込むことができます。この新しい DLP 機能は、詳細なコンテンツ分析を実行します。この分析では、キーワード一致、ディレクトリ一致、正規表現評価、クレジット カード番号に対する検証チェックサムなどの内部機能、およびその他のコンテンツ調査を使用して、メッセージの本文や添付ファイルから特定の種類のコンテンツを検出します。
従業員にリアルタイムで通知するポリシー ヒント
新しい DLP 機能を使用すると、電子メールの送信者に対して、これから送信する電子メールにはポリシーによって検出される機密情報が含まれている可能性があることを通知できます (送信者が送信ボタンをクリックする前の段階でも通知できます)。こうしたしくみを使用するには、ポリシー ヒントを構成する必要があります。ポリシー ヒントはメール ヒントと同様の機能です。ポリシー ヒントを構成すると、メッセージの作成者に対するビジネス ポリシー情報の表示機能を備えた Microsoft Outlook 2013 クライアントに簡単な注意を表示できます。ポリシー ヒントには、従業員に警告を表示するだけのものや、従業員のメッセージをブロックするものがあります。また、正当な理由があれば従業員がブロックを無効にできるポリシー ヒントもあります。エンド ユーザーが誤検知をシームレスに報告できるのもポリシー ヒントの特長で、ポリシー ヒントは DLP ポリシーの効果を調整するのに役立ちます。次に、ポリシー ヒントが実際に実行されている様子を示します。
図 2: 電子メールを送信しようとしているユーザーに機密情報が表示されます。
機密情報を保護するポリシーの作成
DLP を使用する方法は 3 つあります。
- マイクロソフトが提供する標準テンプレートを適用する方法。テンプレートを使用して新しいポリシーを作成および実装すると、DLP ポリシーをすぐに使用することができ、新しいルール セットを初めから作成する手間が省けます。
- 組織外の既成のポリシーをインポートする方法。メッセージング環境とは別の独立系ソフトウェア ベンダーによって作成された既成のポリシー テンプレートをインポートできます。この方法では、ビジネス要件に合わせて DLP ソリューションを拡張できます。
- 既存の条件を持たないカスタム ポリシーを作成する方法。企業によっては、メッセージング システムに含まれる特定の種類の既知のデータを監視するために独自の要件を設けていることがあります。完全に独自の DLP ポリシーを作成して一意のメッセージ データをチェックし、それを遵守できます。
DLP ポリシーの機密情報の種類
DLP ポリシーには、機密情報の有無を調べるルールを含めることができます。DLP ポリシーに指定する条件 (何を何回検出したらアクションを実行するか、あるいはどのようなアクションを実行するかなど) は、ビジネス要件に合わせて新しいカスタム ポリシー内でカスタマイズできます。機密情報に関するルールは、メッセージに機密情報が含まれている場合のカスタマイズ可能な条件を導入してトランスポート ルールのフレームワークに統合されます。この条件は、メッセージに含まれる 1 つ以上の機密情報の種類によって構成できます。
マイクロソフトは、機密情報関連のルールを容易に使用できるように、あらかじめいくつかの機密情報の種類を含むポリシー テンプレートを提供しています。標準で提供される機密情報の種類のインベントリ (英語) が TechNet ライブラリに公開されています。次に、そのいくつかの例を示します。
| 情報の種類 | 主要地域 | カテゴリ |
|---|---|---|
| ABA 銀行コード | 米国 | 財務 |
| オーストラリア銀行口座番号 | オーストラリア | 財務 |
| クレジット カード番号 | 全地域 | 財務 |
| EU デビット カード番号 | 欧州連合 | 財務 |
| フランス社会保障番号 (INSEE) | フランス | PII |
| ドイツ運転免許証番号 | ドイツ | PII |
| 日本パスポート番号 | 日本 | PII |
| SWIFT コード | 全地域 | 財務 |
| イギリス全国健康保険番号 | イギリス | 健康 |
Exchange 2013 のデータ損失防止は、特に電子メールのコンプライアンスの課題への対応を重視した新機能の 1 つです。「インプレース電子情報開示 (eDiscovery)」、「インプレース アーカイブ」、「アイテム保持ポリシー」、およびトランスポート ルールに新しく追加された事項を参照してください。また、Information Rights Management についても参照してください。組織の機密性の高いデータを保護する新しい DLP 機能を使用して、より安全に、より生産性の高い作業が行えるようになることを期待しています。
これはローカライズされたブログ投稿です。原文の記事は、「Introducing Data Loss Prevention in the New Exchange」をご覧ください。