Supported editions for this feature: Business Plus; Enterprise Standard、Enterprise Plus. エディションの比較
セキュリティ アドバイザーのデータ保護機能を使用すると、ユーザーが組織の外部と機密データを共有しようとしたときに、ユーザーをブロック(またはユーザーへ警告)できます。次の種類のデータの共有を防ぐことができます。
- 個人を特定できる情報(PII)- メールアドレス、社会保障番号、氏名、住所
- 財務データ - 銀行口座番号、クレジット カード番号
- 医療データ - 国民保険番号
- グローバルな機密データ - IMEI 番号、IP アドレス
データ保護のセキュリティ アドバイザーは、ドライブ ファイルの定期的なスキャン、機密ファイルが外部と共有されたことの特定、共有を防ぐための適切なデータ保護設定の推奨も行います。
必要な管理者権限
まず、特権管理者アカウントまたは次の権限を持つ代理管理者アカウントでログインします。
- DLP ルールの表示
- DLP ルールの管理
データ保護の設定に関するセキュリティ アドバイザーの閲覧と編集の完全なアクセス権限を取得するには、閲覧権限と管理権限の両方を有効にする必要があります。両方の権限を持つカスタムのロールを作成することをおすすめします。
デフォルトの設定
セキュリティ アドバイザーのデフォルトのデータ保護設定は、Workspace のエディションによって以下のように異なります。
Business Plus
- 既存のお客様の場合、データ保護はデフォルトで無効となっています。保護を有効にする手順については、セキュリティ アドバイザーのデータ保護設定を閲覧または変更するをご覧ください。
- アップグレードされたお客様と新規のお客様の場合、データ保護はデフォルトで有効となっており、すべての設定が [警告] モードに設定されています。
Enterprise Standard、Enterprise Plus
データ保護はデフォルトでオンになっています。
- すでにデータ損失防止(DLP)を使用してデータを保護している場合は、セキュリティ アドバイザーのデータ保護の一部として追加されたデフォルトのルールを確認して、既存のルールとの競合を回避してください。手順については、デフォルトのデータ保護ルールの編集に関する記事をご覧ください。
- 設定を変更するには、セキュリティ アドバイザーのデータ保護設定を閲覧または変更するをご覧ください。
セキュリティ アドバイザーのデータ保護設定を閲覧または変更する
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- [セキュリティ アドバイザー] セクションで、[データ保護のセキュリティ アドバイザーに移動] をクリックします。
メインの設定ページには、次の 4 つのデータ型カテゴリが表示されます。
- 個人を特定できる情報(PII)
- 財務データ
- 医療
- グローバルな機密データ
各カテゴリにはデータ型のサブセットが含まれています。設定はカテゴリ全体に適用することも、カテゴリをドリルダウンしてカテゴリ内の各データ型にカスタム設定を適用することもできます。
データ保護データ型のセキュリティ アドバイザーは、Workspace のデータ損失防止(DLP)機能で利用可能な事前定義済みコンテンツ検出項目のサブセットです。特定のデータ型の詳細については、以下をご覧ください。
- 定義済みコンテンツ検出項目の使用方法をご覧ください。
コンテンツ検出項目は、国またはカテゴリ(グローバルなど)でグループ化されます。
- データ型に一致するカテゴリを見つけて開きます。たとえば、カナダ - パスポートの場合は、[カナダ] セクションを開きます。
- 表で特定の検出項目を見つけます。
設定をカテゴリ全体に適用する
- 右側のプルダウン メニューをクリックし、[ユーザーに警告]、[ユーザーをブロック]、[オフ] のいずれかのオプションを選択します。
- 更新を確認するプロンプトが表示されます。
カテゴリレベルの設定は、カテゴリ内のすべてのデータ型に適用され、カテゴリ内の個々のデータ型に対して行ったカスタマイズ設定はすべてリセットされます。
カテゴリ内の個々のデータ型に設定を適用する
- カテゴリの横にあるプルダウン メニューをクリックし、[カスタマイズ] を選択します。
そのカテゴリのデータ型が新しいタブで開きます。
- データ型の横にあるプルダウン メニューをクリックし、[ユーザーに警告]、[ユーザーをブロック]、[オフ] のいずれかの設定を選択します。
- タブを閉じて、メインの設定ページに戻ります。
カテゴリの設定が [カスタマイズ] に変わり、そのカテゴリに対して個別の設定が行われたことが示されます(変更された設定を確認するには、メインページの更新が必要になる場合があります)。
デフォルトのデータ保護ルールを編集する
セキュリティ アドバイザーのデータ保護設定には、デフォルトのデータ保護ルールが関連付けられており、それらを閲覧および編集できます。
- デフォルト ルールの編集は限定的です。データ保護設定に関連付けられたアクション(警告、ブロック)を変更したり、ルールをオンまたはオフにしたりできます。
- Enterprise をご利用のお客様は、デフォルトの保護ルールを確認して、すでに有効になっている既存の DLP カスタムルールと競合していないことを確認することをおすすめします。
-
管理者アカウントで Google 管理コンソール にログインします。
管理者アカウントを使用していない場合は、管理コンソールにアクセスできません。
-
- デフォルト ルールを表示するには、以下の手順を行います。
- (Enterprise)[データ保護ルールと検出項目] で、[ルールを管理] をクリックします。
- (Business Plus)[データ保護ルール] で、[ルールを管理] をクリックします。
ルールリストでは、セキュリティ アドバイザーのデータ保護ルールには [デフォルト] という接頭辞が付いています。
- (省略可)ルールリストでルールを有効または無効にするには、[ステータス] 列の設定を変更します([有効] または [無効])。
注: これは、セキュリティ アドバイザーのデータ保護設定で設定を [オフ] に設定するのと同じです。
- (省略可)デフォルトのルールをクリックして、設定ページを開きます。
- 左側のステータス プルダウン メニューをクリックして、ルールを [有効] または [無効] にします。
- [アクション] をクリックして、ルールのアクションを変更します。
- ([アクション] をクリックした場合)[ルールを編集] 画面の [アクション] でアクション(ブロックまたは警告)を設定し、[続行] をクリックします。
- 設定を確認し、[更新] をクリックします。
デフォルトのルールに加えた変更は、セキュリティ アドバイザーのデータ保護設定で再度閲覧されると、ルールのステータスに反映されます。
