DLP ルールとコンテキストアウェア アクセスの条件の併用

はじめに

本記事では、この統合がもたらす新たな可能性に焦点を当てます。コメント権限や閲覧権限を持つユーザーのファイル操作を、より細かく制御する方法や実際の設定手順、効果の検証方法について具体的に紹介していきます。

セキュリティ要件の厳しい企業や複雑化するサイバー攻撃の脅威に対し、この機能は特に有用です。本記事では、実際の設定手順を解説し、読者が自社環境で即座に実装できるよう説明しています。

本記事を通じて、この新規機能を最大限に活用し、組織のデータ保護戦略を一段階上のレベルへと引き上げるヒントを得ていただければ幸いです。

この新機能は現在 Enterprise Standard、Plus、Education Fundamentals、Standard、Plus、およびTeaching and Learning Upgrade、Frontline Standard、Essentialsの各エディションのみに対応しています。

今回の更新は、閲覧権限であっても管理者の承認が得られた端末からであればダウンロードできる状態ですが、管理者未承認の端末はダウンロード禁止にするようにDLPとCAAを併用することで、ドキュメントごとにより細かいコントロールができるようになります。

本設定を行うために、実施する作業は以下の２つです。

１．アクセスレベルの作成
２．DLPルールの作成

※今回、アクセスレベルの作成についてはDLPルール作成の中で実施します。

まずはDLPルールの作成から説明します。

DLPルールの作成

まずはその作成の手順については、Google管理コンソール（admin.google.com）にアクセスします。ここが全ての設定の出発点となります。

下記の画面で示された通り、画面左側のメニューから [ルール] を選択し、[ルールを作成] をクリックした後、[データの保護] を選びます。これにより、新しいデータ保護ルール（DLP）の作成プロセスが開始されます。

そこで、分かりやすいルールの「名前」と「説明」を付けてください。例えば、本記事想定の「未承認デバイスからのダウンロード防止」といった具合において、DLPルール作成のステップ１の [名前とスコープ] の「名前」 セクションでは、「名前」に（社外NWダウンロード・ブロック）、「説明」に（DLP&CAA組合せテスト）と記入しました。説明を入れておけば、複数のルールを入れた際に目的のルールを探す手間が省けます。

また、ステップ１の「範囲」 ページでは、このルールを適用する対象を指定します。ここで、検証のため、一旦全組織を対象とし、組織全体に適用される[<ドメイン名> のすべて] を選択しました。実際の場合、適用範囲を絞りたい場合は、個別の組織を選択するか、グループを使用して下さい。

※複数の条件が競合する場合、グループの設定が優先されることに注意してください。

上記の手順が完了すると、[続行] をクリックして次のステップに進みます。

ステップ２の[アプリ] ページでは、[Google ドライブ] を選択し、[ドライブのファイル] にチェックを入れます。これにより、このルールがGoogle ドライブ内のファイルに適用されることが明確になります。そして、再度 [続行] をクリックします。

ステップ３の[条件]  ページでは、[条件を追加] をクリックして、具体的なスキャン条件を設定します。

[スキャンするコンテンツの種類] では [すべてのコンテンツ] を選択し、幅広い保護を確保します。

[スキャン対象] では、必要なDLPスキャンのタイプと属性を選択します。今回のドライブにタイトルか本文かに「内部共有」という文字列のあるファイルを摘出条件として設定します。本記事では「テキスト文字列を含む」に設定し、[照合するコンテンツ]に「内部共有」という文字列を記入しました。

詳細なオプションについては、Google公式のDLPルール作成ガイドを参照することをお勧めします。

次に[コンテキストの条件] セクションで [アクセスレベルを選択] とクリックし、既存のアクセスレベルが表示されますが、[新しいアクセスレベルを作成] をクリックし、今回は新しいアクセスレベルを作成します。

CAAアクセスレベルの作成（DLPルールの作成途中）

ここから、CAAアクセスレベルの作成になります。

まずは新しいアクセスレベルに適切な「名前」と「説明」を入力します。

そこで、[アクセスレベルの名前]に「DLP用のNWの条件」と記入し、 [説明] に適切な内容を追加してください。

次は、[コンテキストの条件] セクションで [条件を追加] をクリックします。

「[1 つ以上の属性と一致しない」 を選択します。これにより、指定した条件に合致しないケースを定義します。

[属性を選択] から 「デバイス」を選び、プルダウンリストから 「管理者によって承認されている」を選択します。これにより、管理者が承認していないデバイスを特定します。

完了すると、[作成] をクリックして、新しいアクセスレベルを保存します。

DLPルールの継続作成（CAAアクセスレベル作成完了）

DLPルール作成ページに戻ると、新しく作成したアクセスレベル「DLP 用のNWの条件」がリストに追加され、その属性が表示されます。確認後、[続行] をクリックして次のステップに進みます。

ステップ４の [操作] ページでは、[Google ドライブ アクション] セクションにある [「閲覧者（コメント可）」または「閲覧者」権限のユーザーに対して、ダウンロード、印刷、コピーを無効にする] を選択します。これにより、未承認デバイスからのファイルアクセスが制限されます。

注意点：このアクションは、コンテンツ条件とコンテキスト条件の両方が満たされた場合にのみ適用されます。

必要に応じて、アラートの重要度（低、中、高）を設定し、アラート通知やメール通知を送信するかどうかを選択できます。本設定はセキュリティイベントの追跡を今後する際に役立ちます。

[続行] をクリックしてルールの詳細を最終確認します。

ステップ５の [確認]ページにおいて、ルールのステータスを確認して選択できます。[アクティブ] をクリックし、ルールはすぐに適用されます。本記事はそれを選択します。

※[無効] をクリックしたら、ルールは作成されますが適用はされません。

後からルールを有効にする場合は、[セキュリティ] > [アクセスとデータ管理] > [データの保護] > [ルールを管理] と進み、該当するルールのステータスを [アクティブ] に変更します。

最後に [作成] をクリックして、DLPルールとCAAアクセスレベルの作成を完成させます。

※設定の反映には最大24時間かかる場合がありますが、通常はそれよりも短時間で完了します。

ルールリストに戻って、作成されたルール「社外NWダウンロード・ブロック」がアクティブ状態とのことを確認できたら、このDLPとCAAが併用するルールが機能していることを示しています。

閲覧者のダウンロード、印刷、コピーを無効にする設定

DLPルール設定の際に、[照合するコンテンツ] に「内部共有」という文字列を記入するため、「内部共有」の文字列を含むファイルであれば、ターゲットのユーザーに「閲覧者」の権限のみを事前に割り当てます。

作成したルールの適用範囲内での検証用ユーザー（zhenyu02 ma）を用いて、Googleドライブ内にある「事前に内部共有してあるのをスペース共有」というタイトルのファイルをコピーしたり、ダウンロードしたりします。

その結果、制限がかかったとの表示が現れます。メッセージの内容はダウンロード、プリント、コピーなどは管理者のポリシーにより制限されているとポップされます。

言語設定が日本語であればメッセージは日本語になります。

特定のアクションに対する「制限ある」とのメッセージがすぐ提示されるだけではなく、メールでアラートも間もなく下記のように届くことを確認しました。また、管理コンソールにアラートセンターでも下記の画面で示されたアラートの詳細ログを確認できます。

以上をもって、このDLPルールとCAAアクセスレベルの併用機能の一部の操作（管理者の承認を得ていないデバイスへの機密コンテンツのダウンロードをブロックする）の手順説明は終わりです。

まとめ

本記事はDLPとCAAアクセスレベルの併用説明であり、実現できる細かい機能の確認でもあります。ご覧の通り、簡単に設定することができるため、以下のような実感が得られたと思っております：

1. きめ細かなアクセス制御：ユーザーの所在地、デバイスの状態、IPアドレスなどの条件に基づいて、機密情報へのアクセスを制御することが可能です。
2. 柔軟なポリシー設定：組織の特定の部門やグループに対して、カスタマイズされたセキュリティポリシーを適用することが可能です。
3. リスク軽減：承認されていないデバイスからの情報漏洩リスクを大幅に低減することが可能です。
4. 生産性との両立：必要な業務遂行を妨げることなく、高度なセキュリティの実現が可能です。

また、設定手順は管理コンソールから簡単に行えますが、変更の適用には最大24時間かかる場合がありますので、ご留意ください。

この新機能は、セキュリティ要件の厳しい企業や、リモートワークを推進する組織にとって特に有用です。お客様の大切な情報資産を守りつつ、柔軟な働き方を支援する強力なツールとして、ぜひご検討ください。

関連サービス