セキュリティ

Microsoft PurviewエンドポイントDLPでファイルアクティビティによる動作をWindows 11上で確認してみた

こんにちは、臼田です。

みなさん、DLPしてますか?(挨拶

Microsoft PurviewのエンドポイントDLPではエンドポイントデバイス上の様々な操作(ファイルアクティビティ)をトリガーにDLPの動作をすることができます。今回はWindows 11上で各動作を確認してみました。

エンドポイントDLPのアクション

エンドポイントDLPではルールを設定して、その中に検出する条件とその対象となる操作を設定できます。

条件ではファイル等に含まれる「マイナンバー」「クレジットカード」などの機密情報の種類を指定し、操作ではエンドポイントデバイス以外にも「Exchange Online」「Teams チャット」なども含む場所で行われる操作に対して「禁止」「監査のみ」などアクションしていくことが可能です。

詳細なアクション内容は場所の種類やそれぞれの制限方法により細かく変わってきます。エンドポイントDLPの条件は「デバイスでアクティビティを監査または制限する」の中で下記アクティビティがあります。

  • サービス ドメインとブラウザーアクティビティ
  • すべてのアプリ向けファイルアクティビティ
  • アプリのアクセス制限

この中の「すべてのアプリ向けファイルアクティビティ」では具体的に下記のアクションに対して動作することができます。

  • クリップボードにコピーする
  • リムーバブル デバイスにコピーする
  • ネットワーク共有にコピーする
  • 印刷
  • 許可されていない Bluetooth アプリを使用したコピーまたは移動
  • RDP を使用してコピーまたは移動する

OS毎の対応状況はエンドポイント データ損失防止について | Microsoft Learnでご確認ください。

今回はここに上げた6つのファイルアクティビティに対するエンドポイントDLPのアクションで、いくつかを確認していきます。

ファイルアクティビティの操作を設定する

まずはPurviewにてルールの設定にファイルアクティビティを禁止する設定をしていきます。

DLPポリシーの設定で「ルールの作成」で条件側で「機密情報の種類」を設定しておきます。操作の追加は「処理の追加」から行っていきます。この手前の画面で選択した「場所」によって複数の選択肢が表示されます。「デバイスでアクティビティを監査または制限する」を選択することでエンドポイントDLPの設定になるのでこれを選択します。

選択したら「デバイスでアクティビティを監査または制限する」の設定として先ほど紹介したアクティビティが並んでいます。

「すべてのアプリ向けファイルアクティビティ」配下に今回対象の6つのファイルアクティビティが並んでいます。今回はすべてこれらを「禁止」にします。

これで設定を反映させて配信します。

Windows 11でファイルアクティビティを検出する

今回はWindows 11で下記3つのファイルアクティビティを検出していきます。

  • クリップボードにコピーする
  • ネットワーク共有にコピーする
  • RDP を使用してコピーまたは移動する

クリップボードにコピーする

「クリップボードにコピーする」のアクションは言葉から受けるイメージと少し違います。

ファイルアクティビティに対するものとして設定してるのですが、実はファイルをコピーすること自体には制限がかかりません。このファイルアクティビティはファイルを開き、内容をコピーすることに対するアクション制限です。

下記ではマイナンバーのファイルをメモ帳で開いてコピーしている状態です。右下にあるようにエンドポイントDLPが動作しています。

検出したテキストには「my_number_test.txtは、開いているときにコピーすることはできません。」とあります。

文字通り、該当ファイルを開いているとコピーができない、という制限になります。

これはメモ帳で他のファイルを開いてここでコピーする場合にも適用されます。新しいファイルを開いて編集を始めてコピーをしても同じようにブロックされます。下記のようにクリップボードに残りません。

ネットワーク共有にコピーする

NFSをマウントしてネットワーク経由でコピーをしてみます。

エクスプローラー上でコピーすると以下のように検出されます。

操作として「CopyToNetworkShare」と記述されていることが確認できます。

RDP を使用してコピーまたは移動する

RDP経由で接続してファイルをコピーします。こちらはクリップボードと違い、ファイルのコピーに対して動作します。

RDP側に対するコピーは止められますが、Windows上では適切にコピーできてるため、デスクトップで貼り付ければ画像のようにコピーに成功します。

先程のクリップボードの操作と合わせて詳細画面では以下のように、「CopyToClipboard」「RemoteDesktopAccess」と記述されます。

まとめ

Windows 11上でファイルアクティビティに対するエンドポイントDLPの動作を確認しました。

機密情報の種類に当たるファイルに対する様々な動作を制限することができます。詳細な動作を意識して設定していきましょう。

臼田 佳祐

AWSとセキュリティやってます。普段はクラスメソッドで働いてます。クラウドネイティブでは副業としてセキュリティサービスの検証とかやってます。

記事一覧