クラウドサービスやSaaSの普及により、業務で取り扱うファイルの所在は、社内ネットワークの中だけに限定されなくなっています。
ユーザーは場所や端末を問わず、Microsoft 365や各種クラウドストレージ、業務アプリケーションを通じて、日常的にファイルのアップロードやダウンロード、共有を行っています。
このような利便性の向上は業務効率を高める一方で、ファイルを起点とした情報漏洩リスクの増大という課題も同時に存在しています。
例えば、機密情報を含むファイルの外部サービスへのアップロードや、私用クラウドストレージへの業務データの持ち出し、マルウェアを含むファイルのダウンロードなどです。
こうした問題を防ぐため、今回はMicrosoftのSecurity Service Edge(SSE)のソリューションの一部である、Microsoft Global Secure Access (GSA) のファイルポリシーについて紹介いたします。
注:本記事は 2026年2月時点のパブリックプレビューの情報をもとに記載しています。機能拡張や更新により、記載とは異なる動作となる可能性がありますのでご了承ください。また、本検証ではブラウザとしてGoogle Chromeを利用していますが、利用するブラウザによって動作が異なる場合があります。
ファイルポリシーとは
ファイルポリシーは、通信に含まれるファイルのアップロードやダウンロードを制限することができ、生成AIアプリケーションなどへの情報流出対策を行うための機能です。
Microsoft Purviewのデータ分類と組み合わせることで、ユーザーの利便性を損なうことなく、ファイル単位でのデータ損失防止(DLP)を実現できることも特長です。
ファイルスキャンの流れは以下のようになります。
※ ネットワーク コンテンツ フィルタリング用のファイル ポリシーを作成する - Global Secure Access | Microsoft Learnの「高次アーキテクチャ」を元に作成
前提条件
管理者とクライアントの前提条件のうち、ポイントになる項目を紹介します。
※ なお、詳細に関しましては、以下のMicrosoftの公式ドキュメントをご確認ください。
- Global Secure Access とは - Global Secure Access | Microsoft Learn
- Windows 用グローバル セキュリティで保護されたアクセス クライアント - Global Secure Access | Microsoft Learn
管理者アカウントに必要な要件
- Microsoft Entra ID P1またはMicrosoft Entra ID P2のライセンスを所有していること
- Global Secure Access管理者などの適切な管理者ロールが割り当てられていること
クライアント(Windowsの場合)
- Windows 10 (LTSC 2021 以降)または、Windows 11のクライアントPC
- ユーザーにMicrosoft Entra Internet AccessまたはMicrosoft Entra Suiteのライセンスが割り当てられていること
- Microsoft Entra参加済み、Microsoft Entraハイブリッド参加済み、Microsoft Entra 登録済みのいずれかであること
ファイルポリシーの動作検証のシナリオと準備
動作検証のシナリオ
ファイルポリシーが実際の利用シーンでどのように機能するのか、サービス種別に依存せず動作するのか、を確認します。
今回は例として、メールサービスであるGmailと、生成AIサービスChatGPTを使用して、以下の点を確認します。
- Gmailでの動作検証
- 許可された拡張子ファイルのアップロードとダウンロード
- 許可されていない拡張子ファイルのアップロードとダウンロード
- ChatGPTでの動作検証
- 許可された拡張子ファイルのアップロードとダウンロード
- 許可されていない拡張子ファイルのアップロードとダウンロード
- トラフィックログよる確認
なお、今回の検証では、許可するファイルとしてZIPファイルを、制限するファイルとしてPDFを使用します。
検証環境の準備
ファイルポリシーを利用するためには以下の準備が必要になります。
クライアントPCにGSAクライアントをインストールした上で、下記の項目をEntra管理センターで設定します。
- GSAの有効化
- トラフィック転送プロファイルの設定
- セキュリティプロファイルの設定
- ファイルポリシーの作成とセキュリティプロファイルの紐づけ
- ベースラインプロファイルの設定
- TLSポリシーの作成とベースラインプロファイルの紐づけ
- 条件付きアクセスの設定
動作検証の実施
作成したファイルルールは以下の通りです。
Gmailでの動作検証
許可された拡張子ファイルのアップロードとダウンロード
まず、ZIPファイルを用いてアップロードおよびダウンロードできることを確認します。
アップロードの結果は以下のようになります。
Gmailで新しいメッセージを作成し、「file_test01.zip」を添付ファイルとしてアップロードできることが確認できます。
ダウンロードの結果は以下のようになります。
テスト用に受信したメールに添付された「file_test01.zip」をダウンロードできることが確認できます。
許可されていない拡張子ファイルのアップロードとダウンロード
次にPDFファイルを用いてアップロードおよびダウンロードできないことを確認します。
この際、サービスによってはユーザーの画面上だけではファイルポリシーの動作の判断が難しい場合があるため、デベロッパーツールのネットワークタブを用いて、動作がブロックされていることを確認します。
アップロードの結果は以下のようになります。デベロッパーツールで Status が 403 (Forbidden) と表示されており、リクエストはサーバーに届いているものの、条件が満たされていないためアップロードがブロックされていることが確認できます。
ダウンロードの結果は以下のようになります。
ダウンロードボタンを押しても何も動作しないようになります。
ChatGPTでの動作検証
許可された拡張子ファイルのアップロードとダウンロード
次にChatGPTで、ZIPファイルを用いてアップロードおよびダウンロードできることを確認します。
アップロードの結果は以下のようになります。チャット欄にファイルが添付され、アップロードできることが確認できます。
ダウンロードの結果は以下のようになります。
「Download the ZIP file」をクリックすると、ファイルがダウンロードできることが確認できます。
許可されていない拡張子ファイルのアップロードとダウンロード
次にPDFファイルを用いてアップロードおよびダウンロードできないことを確認します。この際、Gmail同様にブロックされていることをデベロッパーツールのネットワークタブから確認してみます。
アップロードの結果は以下のようになります。警告が表示され、アップロードできないことが確認できます。
ダウンロードの結果は以下のようになります。ブロックされていることを示すMicrosoft独自の画面が表示されます。
トラフィックログの確認
最後に、ブロックされた場合の動作をEntra管理センターの「Global Secure Access」>「監視」>「トラフィックログ」から確認します。
Gmailのトラフィックログ
アップロードをブロックしたログ
ダウンロードをブロックしたログ
ChatGPTのトラフィックログ
アップロードをブロックしたログ
ダウンロードをブロックしたログ
Gmail、ChatGPTのいずれの場合も、アクションが「file_rule01」によってブロックされていることが確認できます。
終わりに
MicrosoftのSSEのソリューションの一部である、ファイルポリシーについて紹介いたしました。
本機能を用いて任意の拡張子を対象とした制御を行うことで、ファイルのアップロードおよびダウンロードを起点とした情報漏洩リスクへの対策が可能になります。
一方で、プレビュー機能のため、利用するブラウザによって動作が異なる場合があります。
また、適切に機能させるためには、対象とするURLやFQDNを正確に指定する必要があるといった課題も挙げられます。
本記事が、GSA機能の理解の参考になれば幸いです。
