トップ > Google Workspace > 【Google Workspace】DLPの動作を検証してみた -Gmail編-

【Google Workspace】DLPの動作を検証してみた -Gmail編-

Google Workspace

私たちのデジタル環境において、データは企業の最も価値のある資産の一つです。

しかし、そのデータが不正にアクセスされたり、不適切に共有されたりするリスクは常に存在します。特に、メールやチャット、文書などのコミュニケーションツールを利用する際には、データが流出する可能性が高まります。

そこで重要になるのが、データ損失防止(DLP)機能です。

本記事では、Google WorkspaceにおけるDLPの概念と実装方法について解説します。

概要

DLPとは

データ損失防止(DLP)は、機密情報が不正に漏洩したり、無断でアクセスされたりするのを防ぐための技術・プロセスのことを指します。

DLPは、企業のセキュリティポリシーに基づいて、情報の管理や保護を行うための重要な要素です。

Google WorkspaceにおけるDLPの役割

Google Workspaceは、ビジネスにおける効率的なコラボレーションツールですが、その便利さが逆にリスクを伴うこともあります。DLP機能を利用することで、以下のようなリスクを軽減できます。

  • 機密情報の誤送信
  • 不適切な共有設定による情報漏洩
  • 内部ユーザーによるデータの不正な持ち出し

前提として、Google Workspaceの本機能を利用するには以下いずれかのライセンスが必要です。

  • Frontline Standard
  • Enterprise Standard
  • Enterprise Plus
  • Education Fundamentals
  • Education Standard
  • Teaching and Learning Upgrade
  • Education Plus
  • Enterprise Essentials Plus

また、Google Workspaceの各サービスのうち、DLP機能を提供しているアプリケーションは以下の3つです。

  • Gmail
  • Googleチャット
  • GoogleDrive

今回はGmailに絞って動作を検証します。

設定値解説

本章では、管理コンソールでの設定方法を解説します。

  1. Google Workspace管理コンソールにサインインし、「アプリ」>「Google Workspace」>「Gmail」へ移動します。

  2. 「コンプライアンス」をクリックします。

  3. 「コンテンツコンプライアンス」にてルールを追加します。

  4. 設定を行い、「保存」をクリックします。※今回は外部への送信メールに個人番号が含まれている疑いがあるものをブロックします。

  5. 今回は、Googleが定義したデータパターンを利用して設定を行います。コンテンツコンプライアンスで設定が可能な項目を表形式でまとめました。

    オプション

    説明

    影響を受けるメール

    DLPの検索対象とするメールを選択します。1.外部向け送信、2.外部からの受信、3.内部向け送信、4.内部からの受信から選択が可能です。

    表現

    検知対象のメールのうち、指定したアクションを行う条件を以下4つから指定します。
     

    シンプルなコンテンツマッチ

    指定した文字列をメール内のテキストから検知した際、指定したアクションを行います。

    例)暴言と思われるメールを検知した際にメールを拒否
     

    高度なコンテンツマッチ※1

    メールヘッダーや本文内テキストが指定した条件と一致する場合、アクションを行います。

    例)メールヘッダー内に特定の文字列が含まれている場合、メール経路を変更
     

    メタデータの一致※2

    メールが持つ属性が指定した条件に一致した場合、アクションを行います。
    例)メールサイズが10MB以上の場合、メールを拒否
     

    定義済みコンテンツの一致

    Googleが定義したコンテンツ(クレジットカード番号、マイナンバー等)を検知した際、アクションを行います。
    例)メール内にクレジットカード番号が含まれていた場合、メールを拒否

    以下2つのオプションがあります。
       

    最小一致数

    アクションを行う対象となるメールに、指定されたコンテンツが含まれる回数です。2と指定した場合、メール内に2回以上個人番号が登場すればDLPの対象となり、1度しか登場していない場合DLPの対象となりません。
       

    信頼度のしきい値

    メールに対して指定したアクションが行われるかどうかを決定するために使用される基準です。次の 2 つのレベルがあります。

    しきい値を超えるメールが少なくなるため、アクションが行われるメールの数が減ります。誤検知が減りますが、セキュリティリスクは高くなります。

    しきい値を超えるメールが多くなるため、アクションが行われるメールの数が増えます。誤検出が増えますが、セキュリティリスクは低減されます。

    検知した際のアクション

    表現で指定した条件を検知した際のアクションを以下3つから指定します。
     

    メッセージを変更

    メールにヘッダーを追加、メールのルート変更、添付ファイルを削除等、指定した処理を行います。
     

    メールを拒否

    メールを拒否し、送信者に通知を行います。
     

    メールを検疫

    メールを検疫に送信し、管理者が確認することができます。

    ※「高度なコンテンツマッチ」、「メタデータの一致」の詳細情報については、以下ページをご参照ください。

    support.google.com

動作確認

Gmailによる確認

上記で設定した内容が動作するかどうかを検証します。

  1. Gmailにアクセスし、新規メールを作成します。

  2. 個人番号を含んだメールを送信します。

  3. メールが拒否され、カスタムメッセージが返送されることを確認します。

管理コンソールによる確認

管理コンソール>レポート>メールログ検索 にて同様にメールログを確認したところ、本記事で作成したルールによってブロックできていることを確認しました。

おわりに

Google Workspaceのデータ損失防止(DLP)機能は、機密情報の保護を強化し、企業のデータセキュリティを向上させるための重要なツールです。効果的なDLPポリシーを実施することで、組織はデータ流出のリスクを低減し、法律や規制に準拠することができます。

今回はGmailに的を絞って解説しましたが、今後Googleチャット、Googleドライブについても解説記事を執筆します。

このブログが、皆さんのGoogle WorkspaceにおけるDLP理解の一助となれば幸いです。

執筆担当者プロフィール
岩井 一輝

岩井 一輝(日本ビジネスシステムズ株式会社)

業務ではMicrosoft 365製品やセキュリティ製品を担当しています。 バイクでツーリングしたり、家でギターを弾くことが趣味です。

担当記事一覧