組織は、会計データや個人を特定できる情報 (PII) などの機密データを保護し、不注意による情報開示を防ぐ必要があります。 SharePoint Server 2016 または 2019 のデータ損失防止 (DLP) クエリを使用すると、一般的な業界規制に関連する組織のサイト コレクション全体で機密情報を検索できます。
また、DLP クエリを使用して検索結果をプレビューし、クエリを微調整して、結果のエクスポートやダウンロードを行うことができます。 DLP クエリを使用すると、機密情報とその場所を確認し、リスクの理解を深め、DLP ポリシーで保護する必要があるコンテンツとその場所を決定することができます。
始める前に
DLP クエリは、電子情報開示センター (権限を使用して機密情報を表示できるユーザーを制御できるサイト コレクション) で作成します。 DLP クエリは電子情報開示クエリと同じように機能し、同じアクセス許可が必要です。
まず電子情報開示センター サイト コレクションを作成し、そのサイト コレクションにユーザーを追加する必要があります。また、機密情報のクエリと閲覧が必要なすべてのサイト コレクションにもユーザーを追加します。
コンプライアンス チーム用のセキュリティ グループを作成し、そのセキュリティ グループに適切なユーザーを追加することをお勧めします。 そうすると、個々のユーザーではなく、セキュリティ グループにアクセス許可を付与することができます。
手順 1: 電子情報開示センターを作成する
[サーバーの全体管理] のアクセス許可を持つ管理者が、電子情報開示センター サイト コレクションを作成する必要があります。
-
[サーバーの全体管理] で、[アプリケーション構成の管理]、[サイト コレクションの作成] の順にクリックします。
-
[サイト コレクションの作成] ページで、フォームの次のオプションなどを入力します。
-
[テンプレートの選択] の [エンタープライズ] タブで、[電子情報開示センター] テンプレートを選びます。
-
プライマリ サイト コレクション管理者と代理のサイト コレクション管理者を入力します。 これらの管理者は、次に説明するコンプライアンス ポリシー センター サイト コレクションにユーザーを追加できます。
-
手順 2:電子情報開示センターにアクセス許可を付与する
サイト コレクション管理者は、電子情報開示センター サイト コレクションの所有者グループにユーザーを追加する必要があります。
-
電子情報開示センター サイト コレクションを開き、右上にある [設定] (歯車アイコン)、[サイトの設定] の順に選びます。
-
[サイトの設定] ページの [ユーザーと権限] で [サイトの権限] を選びます。
-
[電子情報開示センター所有者] グループを選び、リボンの [アクセス許可の付与] を選び、セキュリティ グループまたはユーザーを入力し、[共有] を選びます。
手順 3:機密情報が含まれる可能性があるすべてのサイト コレクションへのアクセス許可を付与する
DLP クエリを作成するユーザーには、クエリを実行する必要があるすべてのサイト コレクションに対する所有者アクセス許可も必要です。 これは DLP ポリシーとは異なります。ポリシーの作成と割り当てでは、すべてのコンテンツを表示またはダウンロードするためのアクセス許可は必要ないのでです。
Web アプリケーション レベルでアクセス許可を付与する方法と、個々のサイト コレクションにアクセス許可を付与する方法という、2 つのオプションがあります。
Web アプリケーション レベルでアクセス許可を付与する
Web アプリケーションとは、作成するサイト コレクションのコンテナーとして動作するインターネット インフォメーション サービス (IIS) Web サイトです。 クエリを実行する必要がある機密情報を含むサイト コレクションがある各 Web アプリケーションについて、コンプライアンス チームを含むセキュリティ グループにフル コントロールのアクセス権を与えるユーザー ポリシーを作成することができます。
-
[サーバーの全体管理] で、[Web アプリケーションの管理] を選びます。
-
Web アプリケーションを選び、リボンの [ユーザー ポリシー]、[ユーザーの追加] の順に選びます。
-
[ゾーン] は [(すべてのゾーン)] のままにして、[次へ] を選び、[ユーザー] にセキュリティ グループを入力し、[フル コントロール] アクセス許可を選び、[完了] を選びます。
サイト コレクション レベルでアクセス許可を付与する
クエリを実行する必要がある機密情報を含むすべてのサイト コレクションについて、所有者グループにセキュリティ グループを追加します。 各サイト コレクションで、次の手順を実行します。
-
サイト コレクションのトップレベル サイトを開き、右上にある [設定] (歯車アイコン)、[サイトの設定] の順に選びます。
-
[サイトの設定] ページの [ユーザーと権限] で [サイトの権限] を選びます。
-
[所有者] グループを選び、リボンの [アクセス許可の付与] を選び、セキュリティ グループまたはユーザーを入力し、[共有] を選びます。
DLP クエリを作成する
電子情報開示センターを作成し、アクセス許可を設定すると、DLP クエリを作成する準備が整います。 電子情報開示クエリを使い慣れた場合、DLP クエリも同様に機能します。ただし、クエリを事前構成して、機密情報の種類が異なるインスタンスの最小数を探す (たとえば、少なくとも 1 つのクレジット カード番号を持つすべての SharePoint コンテンツを検索する) ことを除きます。
-
電子情報開示センター サイト コレクションを開き、[DLP クエリの作成] を選びます。
-
[データ損失防止クエリ] の [新しいアイテム] を選びます。
-
[新しい DLP クエリ] で、次の手順を実行します。
-
機密情報を保護 するために必要な一般的な規制要件に対応するテンプレートを選択します。 各 DLP テンプレートは、特定の種類の機密情報を識別して保護するのに役立ちます。たとえば、米国財務データという名前のテンプレートは、ABA ルーティング番号、クレジット カード番号、または米国の銀行口座番号を含むコンテンツを識別します。
-
保護アクション (インシデント レポートの送信、ポリシー ヒントの表示、アクセスのブロック) が自動的に実行される前にドキュメントに表示する必要がある、指定した種類の機密情報のインスタンスの最低数を示す数値を入力します。
たとえば、米国財務データ テンプレートを選び、ここに「10」と入力すると、ABA ルーティング番号が 10 個以上、クレジット カード番号が 10 個以上、または米国の銀行口座番号が 10 個以上含まれるドキュメント以外には、アクションは実行されません。 この数値は、機密情報の種類ごとの最低数であり、全種類の合計数ではありません。
-
-
完了したら、[次へ] を選びます。
-
以下の検索ページでは、次の操作を実行できます。
-
[検索] を選んでクエリを実行します。
-
[クエリ範囲の変更] を選び、指定したサイトの URL を入力してサイトのクエリを絞り込みます。 検索を実行する前に、場所を追加する必要があります。
-
クエリを手動で変更します。 既定では、前のページで選んだ機密情報の種類と最低数がクエリに構成されています。 次のデータを手動で変更できます。 DLP クエリは、キーワード クエリ言語 (KQL) をサポートしています。
DLP クエリの構文の詳細については、「サイトに保存されている機密データを検索するクエリを作成する」を参照してください。
キーワード、演算子、ワイルドカードの使用方法の詳細については、「Searching and using keywords in eDiscovery」(電子情報開示でのキーワードの検索と使用) を参照してください。このトピックは、DLP クエリにも適用されます。
-
開始日と終了日を選び、コンテンツの結果をこの日付範囲内に絞り込みます。
-
特定の名前を入力して、コンテンツのクエリを特定の作成者に絞り込みます。
-
特定の SharePoint のプロパティを選び、クエリを絞り込みます。
-
結果をダウンロードし、Excel で分析するには、[エクスポート] を選びます。 詳細については、次のセクションを参照してください。
-
このクエリを後で再実行する場合は、[保存] を選びます。
-
クエリの検索または結果を保存せずに終了するには、[閉じる] を選びます。
-
DLP クエリの結果をエクスポートする
前のセクションで説明したように、DLP クエリを作成または編集するときに、クエリ結果をエクスポートできます。 結果 (コンテンツ自体)、または検索結果の一覧が記載されたレポートをダウンロードできます。 レポートは .csv 形式なので、Excel を使用してフィルター処理と並べ替えを行うことができます。
初めてコンテンツをエクスポートするとき、またはレポートを作成するときに、電子情報開示ダウンロード マネージャーがインストールされ、SharePoint コンテンツとレポートがコンピューターにダウンロードされます。 電子情報開示レポートをダウンロードする場合、クライアント コンピューターにログオンするときと同じアカウントを使用して、SharePoint にログインする必要があります。 ダウンロード マネージャーを実行するかどうかを確認する警告が表示されたら、[実行] を選んで続行します。
コンテンツのエクスポートに使用するコンピューターは、次のシステム要件を満たしている必要があります。
-
32 ビットまたは 64 ビット版の Windows 7 以降
-
Microsoft .NET Framework 4.5
-
次のサポートされるブラウザーのいずれか。
-
Internet Explorer 10 以降のバージョン
-
ClickOnce アドインがインストールされた Mozilla Firefox または Google Chrome
-
SharePoint Results.csv、Exchange Results.csv、Export Errors.csv、Search Results SharePoint Index Errors.csv、Exchange Index Errors.csv というレポートがコンピューター上に作成されます。
DLP クエリの表示または編集
電子情報開示センターの左側のナビゲーション ウィンドウで [データ損失防止クエリ] を選ぶと、既存の DLP クエリと、エクスポートがある場合はその状態が表示されます。 DLP クエリを編集するには、クエリ名を選びます。