SharePoint Server 2016 のデータ損失防止 (DLP) ポリシーを使用すると、SharePoint サイト コレクション全体の機密情報を特定および監視し、自動的に保護できます。
たとえば、次の手順で DLP ポリシーを簡単に作成できます。
-
一般的な業界の規制で保護する必要がある、さまざまな種類の機密情報を特定します。たとえば、英国データ保護法や、米国州侵害通知法などの規制です。
-
ドキュメント ライブラリのユーザーが、クレジット カード番号や社会保障番号などの機密情報を含むドキュメントを保存する場合に、ポリシー ヒントを表示します。
-
サイト所有者、コンテンツ所有者、およびドキュメントの最終更新者を除く全員に対して、ドキュメントへのアクセスを自動的にブロックします。
-
ユーザーがブロック処理を上書きできるように許可し、業務上の正当な理由がある場合や、誤検知だった場合にドキュメントの操作を続行できるようにします。ポリシー ヒントを使用すると、ユーザーの仕事を妨げることなく、DLP ポリシーについて組織のユーザーを教育することができます。
-
DLP ポリシーと一致するコンテンツに関する詳細情報が記載されたインシデント レポートを法令遵守責任者に送信します。
DLP の詳細については、「SharePoint Server 2016 のデータ損失防止の概要」を参照してください。
始める前に
DLP ポリシーは、コンプライアンス ポリシー センターで作成します。コンプライアンス ポリシー センターは、アクセス許可を使用して、コンプライアンス ポリシーの作成と管理を実行できるユーザーを制御できるサイト コレクションです。まずコンプライアンス ポリシー センター サイト コレクションを作成し、サイト コレクションにユーザーを追加する必要があります。
コンプライアンス チーム用のセキュリティ グループを作成し、そのセキュリティ グループに適切なユーザーを追加することをお勧めします。そうすると、個々のユーザーではなく、セキュリティ グループにアクセス許可を付与することができます。
手順 1:コンプライアンス ポリシー センターを作成する
[サーバーの全体管理] のアクセス許可を持つ管理者が、コンプライアンス ポリシー センター サイト コレクションを作成する必要があります。
-
[サーバーの全体管理] で、[アプリケーション構成の管理]、[サイト コレクションの作成] の順にクリックします。
-
[サイト コレクションの作成] ページで、フォームの次のオプションなどを入力します。
-
[テンプレートの選択] の [エンタープライズ] タブで、[コンプライアンス ポリシー センター] テンプレートを選びます。
-
プライマリ サイト コレクション管理者と代理のサイト コレクション管理者を入力します。これらの管理者は、次に説明するコンプライアンス ポリシー センター サイト コレクションにユーザーを追加できます。
-
手順 2:コンプライアンス ポリシー センターへのアクセス許可を付与する
サイト コレクション管理者が、コンプライアンス ポリシー センター サイト コレクションにユーザーを追加する必要があります。通常は、メンバー グループにユーザーを追加します。メンバーは、コンプライアンス ポリシー センターを使用して、DLP ポリシーの作成と割り当てを行うことができますが、所有者グループに属していないので、他のユーザーの追加または削除、ユーザーのアクセス許可の変更を行うことはできません。
-
コンプライアンス ポリシー センター サイト コレクションを開き、右上にある [設定] (歯車アイコン)、[サイトの設定] の順に選びます。
-
[サイトの設定] ページの [ユーザーと権限] で [サイトの権限] を選びます。
-
[コンプライアンス ポリシー センター メンバー] グループを選び、リボンの [アクセス許可の付与] を選び、セキュリティ グループまたはユーザーを入力し、[共有] を選びます。
手順 1:DLP ポリシーを作成する
コンプライアンス ポリシー センターを作成し、ユーザーを追加したら、DLP ポリシーを作成できます。DLP ポリシーの作成は 2 段階のプロセスです。まずポリシーを作成し、機密情報を保護する 1 つ以上のサイト コレクションにポリシーを割り当てます。
-
コンプライアンス ポリシー センター サイト コレクションを開き、左側のナビゲーションで [DLP ポリシーの管理] を選びます。
-
[新しいアイテム] を選びます。
-
[新しい DLP ポリシー] で、次のオプションから選びます。
-
ポリシーの名前を入力します。
-
機密情報を保護する必要がある、一般的な規制要件に対応するテンプレートを選びます。各 DLP テンプレートは、特定の種類の機密情報を特定し、保護するために利用できます。たとえば、米国財務データというテンプレートは、ABA ルーティング番号、クレジット カード番号、米国の銀行口座番号を含むコンテンツを特定します。
-
保護アクション (インシデント レポートの送信、ポリシー ヒントの表示、アクセスのブロック) が自動的に実行される前にドキュメントに表示する必要がある、指定した種類の機密情報のインスタンスの最低数を示す数値を入力します。
たとえば、米国財務データ テンプレートを選び、ここに「10」と入力すると、ABA ルーティング番号が 10 個以上、クレジット カード番号が 10 個以上、または米国の銀行口座番号が 10 個以上含まれるドキュメント以外には、アクションは実行されません。この数値は、機密情報の種類ごとの最低数であり、全種類の合計数ではありません。
-
DLP ポリシーが一致したときにインシデント レポートを送信する先の有効なメール アドレス (通常は法令遵守責任者) を入力します。インシデント レポートには、検出されたコンテンツに関する詳細情報 (タイトル、ドキュメント所有者、検出された機密情報など) が記載されています。複数のアドレスを入力するには、セミコロン (;) で区切って入力します。
-
機密情報を含むドキュメントが保存または編集されるときに、ユーザーにポリシー ヒントで通知します。ポリシー ヒントは、サイト上のドキュメントに表示され、ドキュメントが DLP ポリシーに抵触する理由が説明されます。ユーザーはヒントを見て、ドキュメントから機密情報を削除するなど、対処することができます。ドキュメントがポリシーに準拠した状態になると、ポリシー ヒントは表示されなくなります。
-
サイト所有者、ドキュメント所有者、およびドキュメントの最終更新者を除く全員について、コンテンツへのアクセスをブロックします。除外されるユーザーは、ドキュメントからの機密情報の削除や、他の修正操作を実行できます。ドキュメントが準拠しているときは、元のアクセス許可が自動的に復元されます。ポリシー ヒントがあると、ユーザーにブロック処理を上書きする選択肢ができる、という点を理解することが重要です。ポリシー ヒントを使用すると、ユーザーの仕事を妨げることなく、DLP ポリシーについて組織のユーザーを教育し、DLP ポリシーを適用することができます。
-
-
完了したら、[保存] を選びます。
手順 2:DLP ポリシーをサイト コレクションに割り当てる
DLP ポリシーを作成した後は、機密情報を保護する 1 つ以上のサイト コレクションに割り当てる必要があります。1 つの DLP ポリシーを複数のサイト コレクションに割り当てることはできますが、各サイト コレクションに各割り当てを 1 つずつ作成する必要があります。DLP ポリシーはドキュメント削除ポリシーとは異なり、サイト コレクション テンプレートに割り当てることができません。
-
コンプライアンス ポリシー センター サイト コレクションを開き、左側のナビゲーションで [DLP ポリシー]、[サイト コレクションの DLP ポリシーの割り当て] の順に選びます。
-
[新しいアイテム] を選びます。
-
[まずサイト コレクションを選択してください] を選び、サイト コレクションのタイトルまたは URL を検索し、1 つのサイト コレクションを選び、[保存] を選びます。
ヒント: サイト コレクションを検索する場合、検索コレクションのタイトルを検索するときにアスタリスク (*) のワイルドカードを使用できます。たとえば、"*サイト*" を検索すると、"コンテンツ サイト" と "既定の発行サイト" というサイト コレクションが両方返されます。また、検索ボックスに 1 つのアスタリスクのみを入力し、検索を実行すると、多数のサイト コレクション (全コレクションではありません) を簡単に表示できます。
-
[割り当てられたポリシーの管理] を選び、DLP ポリシーを選んで、[保存] を選びます。
-
完了したら、[保存] を選びます。
DLP ポリシーを編集する
DLP ポリシーはいつでも編集できます。
-
コンプライアンス ポリシー センター サイト コレクションを開き、左側のナビゲーションで [DLP ポリシーの管理] を選びます。
-
編集するポリシーのタイトルを選び、変更して [保存] を選びます。
ポリシーの割り当てを削除して DLP ポリシーを無効にする
特定のサイト コレクションについて DLP ポリシーを無効にするには、DLP ポリシーの割り当てを削除する必要があります。ポリシーの割り当てを削除すると、ポリシーはそのサイト コレクションに適用されなくなります。
-
コンプライアンス ポリシー センター サイト コレクションを開き、左側のナビゲーションで [DLP ポリシー]、[サイト コレクションの DLP ポリシーの割り当て] の順に選びます。
-
ポリシーの割り当てを選び、[その他のオプション]、[アイテムの削除] の順に選びます。
DLP ポリシーを削除する
-
コンプライアンス ポリシー センター サイト コレクションを開き、左側のナビゲーションで [DLP ポリシーの管理] を選びます。
-
ポリシーを選び、リボンの [アイテム] タブの [アイテムの削除] を選びます。