この機能に対応しているエディション: Frontline Standard、Enterprise Standard、Enterprise Plus、Education Fundamentals、Education Standard、Teaching and Learning Upgrade、Education Plus。エディションの比較
Gmail の DLP は、Gmail が含まれる Google Workspace エディションのライセンスも付与されている Cloud Identity Premium ユーザーの方にもご利用いただけます。
Android および iOS モバイル デバイスの Gmail アプリでは、以下の Gmail 分類ラベル機能が一時的にご利用いただけません。2025 年 5 月よりご利用いただけるようになる予定です。
- 同期型の自動適用分類ラベル
- ラベル条件に基づく同期型の強制適用
目次
- Gmail の DLP の機能
- Gmail の DLP の仕組み
- 同期スキャンと非同期スキャンについて
- 同期スキャンと非同期スキャンの結果
- スキャン対象のデータ
- サポートされている添付ファイルの形式
- DLP は他のメールルールとどのように連携しますか?
- 既知の制限事項
- Gmail のデータ保護ルールを作成する
- セキュリティ調査ツールを使用して DLP ルールイベントを調査する
- BigQuery を使用して DLP 違反をエクスポートする
- フィードバックをお寄せください
Gmail の DLP の機能
Gmail の DLP を使用すると、管理者は次のことができます。
- Gmail または DLP を使用する、他の Google Workspace アプリ(Gmail、Google Chat、Google ドライブなど)のデータ保護ルールを作成します。
- ルール違反に対して異なるアクションを実装します。たとえば、メールの配信をブロックしてユーザーに通知を送信したり(メールをブロック)、メールで検出された機密情報についてユーザーに警告しつつ、送信を許可したり(ユーザーに警告)、メールの送信または返信の前に管理者による確認のためにメールを検疫したり(メールを検疫)、メールの送信後、新しいルールの影響を評価するため、将来の監査用として DLP イベントをログに記録したり(監査のみ)できます。
- テキスト文字列、定義済み検出項目、カスタム検出項目(キーワードや正規表現など)を使用して条件を定義します。
- 指定した条件に基づいて、新着メールに分類ラベルを自動的に追加するルールを追加します。たとえば、メールに機密情報、財務情報、個人を特定できる情報が含まれている場合は、分類ラベル「機密」を適用します。
- メールで情報保護モードが有効になっていることを検出し、条件として情報保護モードのステータスを使用して、機密性の高いコンテンツを含むメールをユーザーが送信できるようにします。
- 特定の組織部門やグループ、あるいは組織全体に対してルールを適用します。
- アラート センターでルール違反を管理者に通知して、調査できるようにします。
- 光学式文字認識(OCR)を使用して、すべてのメールの添付ファイルの画像テキストをスキャンします。
Gmail の DLP の仕組み
ユーザーがメールを送信すると、DLP によってメールに機密性の高いコンテンツが含まれていないかスキャンされます。メッセージまたは添付ファイルがルールに違反している場合、ルールで定義されているアクションがメッセージに適用されます。
フローの概要:
- 機密コンテンツと、機密コンテンツが含まれるメールに対して行うアクションを定義する DLP ルールを追加します。
- ユーザーがメールを送信すると、DLP はルールに一致するコンテンツをスキャンします。
- ルールが一致すると、DLP はルールで定義されたアクションを適用します。
- すべてのイベントは、確認のためにルールのログイベントに記録されます。ルールのログイベントの詳細
同期スキャンと非同期スキャンについて
Gmail の DLP では、データ保護ルールを同期または非同期でスキャンできます。
- 同期スキャン - ユーザーが [送信] ボタンをクリックすると、データ保護ルールがスキャンされます。メールがメールボックスから送信される前に、機密性の高いコンテンツについて通知されます。ウェブ版 Gmail と Gmail モバイルアプリは同期スキャンを行います。
- 非同期スキャン - データ保護ルールは、メールが送信者のメールボックスから送信された後にスキャンされます。受信者に配信される前に、メールがブロックまたは検疫されたことを知らせるメールがユーザーに表示されます。非同期スキャンは、ユーザーがサードパーティのメールアプリを使用してメールを送信したとき、および同期スキャンが失敗したときに行われます。
同期スキャンと非同期スキャンの結果
同期スキャン: ウェブ版またはモバイル版 Gmail
[メールをブロック] アクションを含むルールがアクティブになった場合:
- 現在の状態ではメールを送信できないことを示すアラートが表示されます。このアラートのルールにカスタム メッセージを追加できます。
- アラートには [編集に戻る] オプションがあるため、ユーザーはメールの編集に戻って機密情報を更新または削除できます。
- ユーザーが編集後にメールを再送信すると、メールが再度スキャンされ、該当するすべてのルールに対して検証されます。
[ユーザーに警告] アクションを含むルールがアクティブになった場合:
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- アラートには [編集に戻る] オプションがあり、ユーザーはメールの編集に戻って機密コンテンツを更新または削除できます。
- アラートには [このまま送信] オプションがあり、ユーザーは現在の状態のままメールを送信できます。
[メールを検疫] アクションを含むルールがアクティブになった場合:
- メールにセンシティブなコンテンツが含まれている可能性があることを示すアラートが表示されます。ルールの設定オプションで、カスタム アラート メッセージを追加できます。
- このボックスには [編集に戻る] オプションがあるため、必要に応じてメールの編集に戻り、機密性の高いコンテンツを更新または削除できます。
- このボックスには [審査のために送信] ボタンがあり、ユーザーは管理者やその他の承認済みユーザーに確認してもらうためにメールを送信できます。管理者はメールを確認した後、受信者に送信するメールを承認するか、メールの送信をブロックできます。
[監査のみ] アクションを含むルールがアクティブになった場合:
- ユーザーにはアラートは表示されず、メールは通常どおり受信者に配信されます。
- メールイベントは監査ログに記録されます。ルールのログイベントの詳細
注: 同期でスキャンされたメールは、追加のセキュリティ対策として、非同期でもう一度スキャンされる場合があります。これにより、同期スキャン中にダイアログ ボックスが表示されなかった場合でも、メールがブロックされる可能性があります。
非同期スキャン: Gmail(SMTP とサードパーティのメールアプリを使用)
[メールをブロック] アクションを含むルールがアクティブになった場合:
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがアクティブになった場合:
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、送信直後にメールがブロックされたことを示すメールが届きます。このアラートのルールにカスタム メッセージを追加できます。
- SMTP で Gmail に接続されたサードパーティ製メールアプリを使用して送信されたメールの場合、[ユーザーに警告] アクションを含むルールは、[メールをブロック] アクションを含むルールと同じように動作します。
[メールを検疫] アクションを含むルールがアクティブになった場合:
- 送信者の [送信済み] メールボックスにメールが表示されます。
- メールが送信されなかった場合、メールが検疫されたことを示すアラートが送信者に表示されることがあります。このアラートのルールにカスタム メッセージを追加できます。
[監査のみ] アクションを含むルールがアクティブになった場合:
- 送信者には通知が届かず、メールは通常どおり受信者に配信されます。
非同期スキャン: ウェブ版またはモバイル版 Gmail
ウェブ版またはモバイルアプリ版の Gmail を使用すると、追加のセキュリティ対策として、メールが非同期でもう一度スキャンされます。
[メールをブロック] アクションを含むルールがアクティブになった場合:
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。このアラートのルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがアクティブになると、メールが送信され、以下が可能になります。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがアクティブになった場合:
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メールの送信が審査担当者によってブロックされた場合は、後で通知が届くことがあります。
[監査のみ] アクションを含むルールがアクティブになった場合:
- 送信者には通知が届かず、メールは受信者に配信されます。
他の Google サービスによって自動的に作成されたメール
[メールをブロック] アクションを含むルールがアクティブになった場合:
- 送信者の [送信済み] メールボックスにメールが表示されます。
- 送信者には、メールがブロックされたことを示すメールがすぐに届きます。この通知のルールにカスタム メッセージを追加できます。
[ユーザーに警告] アクションを含むルールがアクティブになった場合:
- メールは正常に送信されます。
- 送信者は [送信済み] メールボックスでメールを確認できます。
- メール イベントは、ルールのログイベントに記録されます。
[メールを検疫] アクションを含むルールがアクティブになった場合:
- メールの送信が審査担当者によってブロックされた場合は、後で送信者に通知が届くことがあります。
[監査のみ] アクションを含むルールがアクティブになった場合:
- メールは正常に送信されます。
- 送信者には通知が送信されません。
スキャン対象のデータ
送信メッセージのみがスキャンされます。ルールで追加した、スキャンするコンテンツの種類の条件によって、メールのどの部分がスキャンされるかが決まります。
- すべてのコンテンツ - メールの件名、宛先、From、Bcc、Cc、本文が同期的にスキャンされます。添付ファイルは非同期でスキャンされます。添付ファイルにはファイルおよび画像が含まれます。添付ファイルのファイル名もスキャンされます。このページのサポートされているファイル形式をご覧ください。
重要: [すべてのコンテンツ] オプションでは、件名、宛先、From、Bcc、Cc の 5 種類のヘッダーのみがスキャンされます。これらのヘッダーは同期スキャンにすぐに使用できます。すべてのメールヘッダーをスキャンするには、次のいずれかのオプションを使用することをおすすめします。
- OR 演算子を使用して条件を追加し、メールヘッダーをスキャンする
- メールヘッダーをスキャンするための個別のルールを作成する
- メールのヘッダー - すべてのメールヘッダーの内容。一部のメールヘッダーが同期スキャンに対応していないため、すべてのメールヘッダーが非同期でスキャンされます。
- 本文 - メール本文は同期的にスキャンされ、添付ファイルは非同期的にスキャンされます。
- 件名 - 件名は同期的にスキャンされます。
- 分類ラベル - ユーザーが手動で適用した、または DLP ルールで自動的に適用された分類ラベル。ルールでは、条件としての [分類ラベル] と、アクションとしての [分類を適用] ラベルの両方を使用できません。
- 情報保護モードのステータス - メールで情報保護モードが有効になっているかどうか。この条件は、他のルール条件と組み合わせて使用することをおすすめします。たとえば、メール本文に納税者番号が含まれていて、そのメールで情報保護モードが使用されていない場合、そのメールは送信されなくなります。詳しくは、情報保護モードについてのページをご覧ください。
サポートされている添付ファイルの形式
データ保護ルールでは、次の種類の添付ファイルがスキャンされます。
- ドキュメントのファイル形式 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 画像ファイル形式(OCR を有効にしている場合)- EPS、BMP、GIF、JPEG、PNG、PDF ファイル内の画像
- 圧縮ファイル形式 - BZIP、RAR、TAR、ZIP
- カスタム ファイルの形式 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
DLP は他のメールルールとどのように連携しますか?
データ保護ルールは、コンテンツ コンプライアンス ルールとルーティング ルールよりも前に評価されます。
データ保護ルールでメールがブロックまたは検疫されなかった場合、メールはコンテンツ コンプライアンス ルールとルーティング ルールによって評価されます。コンテンツ コンプライアンス ルールまたはルーティング ルールで、メールの別のコピーを作成するアクション(新しい受信者の追加など)が適用された場合、DLP は送信前にメールの新しいコピーをスキャンします。
コンテンツ コンプライアンス ルールについて詳しくは、高度なメール コンテンツ フィルタリングに関するルールの設定をご覧ください。
既知の制限事項
- [分類ラベルを適用] アクションと [分類ラベル] を条件とするデータ保護ルールは、モバイル デバイスで非同期で適用されます。
- モバイル デバイスの Gmail アプリから送信されたメールに対しては、警告アクションは無視されます。
- メールに適用された分類ラベルは送信者に通知されず、[送信済み] メールボックスにも表示されません。 Gmail ウェブ クライアントを使用して送信されたメールに対しては、これらのルールは同期的に適用されます。
- 添付ファイルは非同期でのみスキャンされます。
- グループのエイリアス メールアドレスは内部受信者として扱われます。グループに外部メンバーが含まれている場合、外部メール向けのルールは適用されません。
- ルールはグループには適用されません。グループの代理でメールを送信した場合、ルールは適用されません。
メールのスキャンの制限については、Gmail コンテンツの DLP に関する制限をご覧ください。
Gmail のデータ保護ルールを作成する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
Go to Menu
Rules > Create rule > Data protection.
Requires having the View and Manage DLP rule privileges.
-
ルールの名前と、必要に応じて説明を入力します。
- [範囲] で、次のいずれかを選択します。
- ルールを組織全体に適用するには、[<ドメイン名> 内のdomain.nameすべて] を選択します。
- 特定の組織部門またはグループにルールを適用するには、[組織部門またはグループ] を選択し、組織部門とグループを追加または除外します。
- [続行] をクリックします。
- (省略可)OCR が有効になっていることを確認するには、[チェック] をクリックし、[Gmail] チェックボックスをオンにして Gmail に対して OCR を有効にします。
- Gmail の下にある [送信したメッセージ] チェックボックスをオンにします。
- [続行] をクリックします。
- 条件を追加するには、[条件を追加] をクリックし、スキャンされるメールの部分を選択します。
重要: 条件を指定せずに DLP ルールを作成すると、ルールはメールのすべての部分をスキャンし、指定されたアクションを Gmail の各メールに適用します。
- すべてのコンテンツ - メールのヘッダー、件名、本文、添付ファイルをスキャンします。
- 本文 - メール本文と添付ファイルをスキャンします。
- メールのヘッダー - メールのヘッダーと件名をスキャンします。Google Workspace クライアントサイド暗号化(CSE)を使用してメールを送信する場合は、メールのヘッダーの内容(件名を含む)のみをスキャンできます。
- 件名 - メールの件名のみをスキャンします。
- 分類ラベル - メールに適用されている分類ラベルをスキャンします。
- 情報保護モードのステータス - メールで情報保護モードがオンになっているかどうかをスキャンします。
- [スキャン対象] を選択し、スキャンのオプションと属性を選択します。このフィールドの詳細については、このページの [スキャン対象] のオプションと属性についてをご覧ください。
- [続行] をクリックします。
- [操作] をクリックし、次のいずれかのオプションを選択します。
すべてのアクションはルールのログイベントに記録されます。
- メールをブロック - メールをすぐに送信せず、メールに機密情報の可能性があることを送信者に警告します。送信者はメールを編集して再送信を試すことができます。
- ユーザーに警告する - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信するか、メールを編集して再送信するかを選択できます。
- メールを検疫 - メールをすぐに送信せず、送信者にアラートを表示します。送信者は、メールをそのまま送信するか、管理者またはその他の適格なユーザーに確認してもらうために送信するかを選択できます。[検疫条件] メニューからオプションを選択する必要があります。
- 監査のみ - メールは通常どおり送信されます。アラートは表示されません。メールはルールと照合され、管理者が後で確認できるイベントとしてログに記録されます。
- 分類ラベルを適用 - 条件に一致するメールに分類ラベルを適用します。[ラベル フィールド] メニューと [フィールド オプション] メニューからオプションを選択する必要があります。
- [この操作を適用するタイミングを選択します] で、内部メール、外部メール、またはその両方に操作を適用するかを選択します。
- (省略可)カスタム アラートを作成するには、[メールをカスタマイズする] チェックボックスをオンにして、アラート テキストを入力します。アラートの長さは 300 文字(URL の文字を含む)までで、URL を含めることができます。カスタム メッセージを作成しない場合、ボックスにはデフォルトのメールが表示されます。
- (省略可)[アラート] メニューで、報告されたメール イベントの重大度レベル([低]、[中]、[高])を選択します。重大度はルールのログイベントに記録され、インシデントの調査に使用できます。
- (省略可)メール イベント(このルールによってアクティブになったメール)に関するアラートを送信するには、[アラート センターに送信する] チェックボックスをオンにします。[すべての特権管理者] オプションを使用して、特権管理者にアラート通知を送信することもできます。他の受信者への別のアラート通知を入力します。
- [続行] をクリックしてルールの詳細を確認します。
- ルールのステータスを以下から選択します。
- 有効 - ルールはすぐに適用されます。
- 無効 - ルールは追加されていますが、すぐには適用されません。このオプションを使うと、ルールを確認して、他のユーザーと共有してから実装することができます。後でルールを有効にするには、管理コンソールで [セキュリティ]
[アクセスとデータ管理]
- [作成] をクリックします。
変更には最長で 24 時間かかることがありますが、通常はこれより短い時間で完了します。詳細
[スキャン対象] のオプションと属性について
[スキャン対象] オプションは、スキャン対象として選択したコンテンツ タイプによって異なります。Gmail のルール条件では、次にあてはまるものをスキャンできます。
- 事前定義されたデータの種類と一致する(推奨)
- テキスト文字列を含む
- 語句を含む
- 正規表現に一致する
- 単語リスト内の単語に一致する
- 分類ラベルである
- 有効か無効か(情報保護モードのステータスのみ)
条件では AND、OR、または NOT 演算子を使用できます。条件でこれらの演算子を使用する方法の詳細については、ネストされた条件演算子を使用した DLP ルールの例をご覧ください。
| スキャン対象 | 属性 |
|---|---|
| 事前定義されたデータの種類と一致する |
データの種類 - 事前定義されたデータの種類を選択します。事前定義されたデータの種類の詳細については、こちらをご覧ください。 可能性のしきい値 - 可能性のしきい値を選択します。指定できるしきい値は次のとおりです。
こうしたしきい値は、照合結果に対する DLP システムの信頼度を反映しています。一般的に、「最高」では、照合するコンテンツの数が少ないため、精度が高くなります。「最低」のしきい値では、より多くのファイルを対象に照合しますが、精度は低くなります。 一意に一致するテキストの最小数 - アクションがトリガーされるために、一致結果がドキュメント内に一意に出現する必要のある最小回数を入力します。 最小一致数 - アクションがトリガーされるために、任意の一致結果がドキュメント内に出現する必要のある最小回数を入力します。 「最小一致数」と「一意に一致するテキストの最小数」の仕組みたとえば、社会保障番号のリストが 2 つあると考えてください。最初のリストには 50 個のまったく同じ番号が含まれており、2 つ目のリストには 50 個の一意の番号が含まれています。 この場合、[最小一致数] の値が 10 であれば、結果は両方のリストでトリガーされます。どちらのリストでも 10 個以上の一致があるからです。 また、[一意に一致するテキストの最小数] の値が 10 で、[最小一致数] の値が 1 の場合、結果は 2 つ目のリストでのみトリガーされます。10 個の一致があり、それらはすべて一意の値に一致するからです。 |
| テキスト文字列を含む | 照合するコンテンツを入力 - 検索する部分文字列、数字、その他の文字を入力します。コンテンツの大文字と小文字を区別するかどうかを指定します。部分文字列の場合、ルールに「key」という単語が含まれていて、ドキュメントに「key」という単語が含まれる場合、一致と見なされます。 |
| 語句を含む | 照合するコンテンツを入力 - 検索する単語、数字、その他の文字を入力します。 |
| 正規表現に一致する |
正規表現の名前 - 正規表現のカスタム検出項目。 パターンが検出される最小回数 - 操作がトリガーされるために、正規表現で表されるパターンがドキュメント内に出現する必要のある最小回数を入力します。 |
| 単語リスト内の単語に一致する |
単語リストの名前 - カスタムの単語リストを選択します。 一致モード - [いずれかの単語に一致する] または [最低数の一意の単語に一致する] を選択します。 任意の単語が検出される合計回数の最小値 - アクションがトリガーされるために、任意の単語が検出される最小回数を入力します。 検出される個別の単語の最小個数 - アクションがトリガーされるために、検出される必要のある一意の単語の最小個数を入力します([最低数の一意の単語に一致する] オプションの場合のみ)。 |
セキュリティ調査ツールを使用して DLP ルールイベントを調査する
ルールのログイベントの検索を実行する
次の例では、DLP ルールがアクティブになった Gmail のメールを調査するために検索を実行します。他の条件で検索したり、条件を指定せずに検索したりすることもできます。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [データソース] をクリックし、[ルールのログのイベント] を選択します。
- [条件を追加]
- [DLP] を選択します。
- [検索] をクリックします。
ページの下部にある検索結果で、イベントのリストと各イベントの詳細を確認できます。注: 機密性の高いコンテンツのスニペットは、Gmail DLP ではサポートされていません。そのため、DLP ルールをアクティブにした機密コンテンツがメールに含まれていても、[デリケートなコンテンツが含まれている] 列には False と表示されます。
- [リソース ID] 列までスクロールし、メニュー アイコン
をクリックして、[Gmail のログイベント] と [メッセージ ID] から切り替えます。
- [検索] をクリックして、[Gmail のログイベント] がデータソースの新しい検索ページを開きます。
- 詳細を表示するには、検索結果でいずれかの行の [メール ID] をクリックします。調査の詳細を示すサイドパネルが表示されます。
- プロンプトが表示されたら、Gmail コンテンツを閲覧するビジネス上の理由を入力し、[確認] をクリックします。
BigQuery を使用して DLP 違反をエクスポートする
ルールのログイベントに記録された DLP 違反をカスタム テーブルにエクスポートして、さらに詳しく調査できます。詳しくは、サービスログの BigQuery への書き出しを設定するをご覧ください。
フィードバックをお寄せください
管理コンソールのデータ保護ページで、[フィードバックを送信] をクリックします。
