オフィス外での仕事が広がり、社員による情報漏洩の可能性は格段に大きくなりました。悪意の有無に関わらず、会社の重要データの社外漏洩を皆さんはどのように防いでいますでしょうか。
かねてより、Microsoft 365 には「Azure Information Protection」という機能があり、ラベル付けされたファイルへの暗号化とアクセス権の付与ができていました。
ただ、機密情報とするファイルのキーワードだったり、ルールだったり、誰にアクセス権を付与するのかだったり……と、検討内容が多く、利用が難しいと判断したケースも多いのではないでしょうか。
そこで本記事では「Endpoint DLP」をご紹介します。この機能により、全て(または任意)のファイルの外部持ち出しや共有といった操作をブロック/警告する事が可能です。
Endpoint DLP とは
Endpoint DLP は「Endpoint Data Loss Prevention」の略で、データ損失防止機能のデバイス版です。2020年11月にリリースされました。
DLP(データ損失防止)自体は以前よりある機能で、Outlook や SharePoint、OneDrive の利用時に、機密情報(※)を含んだファイルへの処理を制限・通知することができる機能です。
※機密情報は「クレジットカードの番号」のようなテンプレートから選ぶことも、Azure Information Protection のラベルを指定することもできます。
しかし DLP では、3rdパーティのアプリや、USBメモリ等デバイス内の制限がネックでした。その懸念点を解消したのが「Endpoint DLP」です。
Endpoint DLP により、デバイス内の操作に制限をかけることが可能です。USBメモリ内への保存はもちろん、Microsoft 365 以外の SaaS に対する機密情報のアップロードも制限することができます。ブロックするのみではなく、警告通知をするがアップロードは許可するといった制御も可能です。
機密情報の定義 = 全ファイル がお勧め。
Endpoint DLP も Azure Information Protection 同様、どのファイルを機密情報とするか定義する必要があります。(機密情報のファイルに対して操作制限を行うため)
その定義が大変…なのですが、Endpoint DLP の場合は、全てのファイルを機密情報とするのがお勧めです。
どんなファイルであれ、絶対に利用しない SaaS や USB使用禁止の部署等がありますよね。Endpoint DLP では細かいカスタマイズもできるため、現時点で分かっている範囲から制限するのをお勧めいたします。
禁止/警告できるファイル操作
- 許可していない SaaS へのアップロード
- クリップボードへのコピー
- USBメモリへのコピー
- ネットワーク共有によるコピー
- 許可していないアプリによるアクセス
- 印刷
- Bluetooth 経由での転送
- リモートデスクトップを使った転送
Endpoint DLP を利用/検証したい方は
いかがでしたでしょうか。記事をご覧いただき、Endpoint DLP を利用したい、検証したいという方は、お気軽にお問合せ下さい。
既に弊社サービスご契約のお客様は、サポート窓口や弊社営業担当へお問合せ頂いても大丈夫です。