情報漏えいを防ぐ!クラウド時代の「ダウンロード/アップロード制御」実践ガイド
さくBiz管理者クラウド・モバイルワークが一般化する中で、社内システムにアクセスできること自体は「端末認可制御」で担保できても、それだけでは情報漏えいリスクを防ぎ切れません。たとえば、業務システム上で閲覧できる機密データをローカルにダウンロードしてUSBで持ち出す、またはファイルを外部クラウドにアップロードする、という行為が起こりうるからです。
ゼロトラストセキュリティの考え方では、「最小特権」「信頼できるネットワークなし」「常に検証」という原則が重視されます。端末が認可されていても、それだけで「自由なデータ持ち出し・共有」が許されるわけではなく、データの入出力制御(DLP:Data Loss Prevention、CASB:Cloud Access Security Broker などを用いた制御層)が不可欠となります。
本記事では、まず制御の基本構造・アプローチを示したのち、Microsoft 365 や Google Workspace 上で可能な制御手段を解説し、さらに中小企業でも導入可能なサードパーティー製品との併用例を紹介して、最後に段階的導入ステップを提案します。
制御の基本構造とアプローチ
2軸で考える:持ち出し防止 vs.持ち込み防止
データの出入りを制御するには、大きく2つの方向性があります:
- 持ち出し防止(Outbound:社内→外部)
社内システムやクラウドサービスから、ユーザー端末へのダウンロード、ファイル出力、ローカル保存、外部クラウドへのアップロードなどを制御・遮断・制限する。 - 持ち込み防止(Inboundも含む)
外部クラウドやシステムから社内へのアップロード、外部共有、外部サービスとの連携を制限する。
本記事では、特に 社内システムからのダウンロード禁止・他システムへのアップロード禁止 を中心として扱いますが、厳密には両方向の制御を統合的に設計することが望ましいです。
DLP と CASB の役割
- DLP(Data Loss Prevention) は、ファイル内容を検査し、指定した機密情報パターン(クレジットカード番号、個人情報、社外秘キーワード等)が含まれていれば制御をかける方式です。クラウド上・エンドポイント上・通信経路上で適用可能です。
Microsoft Purview DLP は Microsoft 365 環境での公式 DLP 機能として提供されています。
また、DLPを柔軟化する「アダプティブ保護」機能も備えており、内部リスクレベルに応じてポリシーを動的に変えることができます。 - CASB(Cloud Access Security Broker) は、クラウドアクセス制御の中継役として動作し、クラウドアプリ利用時のアクセス可否制御、データ流出制御、脅威検出、ログ統制などを担います。特に、ユーザーがクラウドサービス(Google Drive、Box、Dropbox など)を使う際のアップロード可否や共有制御などが得意です。
CASBを使えば、例え端末が認可されていても、機密情報をクラウドに持ち出す操作を検知・制限できます。
制御手法の分類(技術レイヤー別)
| 層 | 制御対象 | 手法例 |
| クラウドアプリ層(SaaS層) | ドライブ、メール、共有リンクなど | DLPポリシー、セッション制御、制限付き表示、アップロードブロック |
| ネットワーク層 | HTTP/HTTPS経由のファイル転送、API呼び出し | ゲートウェイ型制御、プロキシ経由強制、SSLインスペクション |
| エンドポイント層 | OSローカル保存、USB出力、印刷 | エンドポイント DLP(ファイルアクセス監視・遮断)、USB制御、仮想デスクトップ利用 |
| API/統合層 | APIアップロード、クラウド間データ移動 | API経由制御ルール、クラウド間転送制御 |
このように、複数層で制御を重ねる「防御の深層化」が効果を発揮します。
Microsoft 365 環境での制御
Microsoft 365 環境で、機密データのダウンロード/アップロード制御を実現する主要な手段を以下に整理します。
Purview DLP によるクラウドサービス制御
Microsoft Purview の DLP ポリシーでは、Exchange、SharePoint、OneDrive などクラウドアプリ層での機密情報検知・制御が可能です。
- ファイルポリシー:指定のクラウドアプリ/場所におけるファイルの機密性内容をスキャンし、アラート、アクセスブロック、暗号化適用などのアクションを設定可能。
- セッションポリシー:ユーザーが操作中(セッション中)に、ダウンロード、コピー、印刷、アップロードなどをリアルタイム制御可能。たとえば、未ラベル文書のアップロード禁止、検知された機密ファイルのダウンロード禁止など。
- エンドポイント DLP:Windows や macOS 上のローカル操作(保存、コピー、USB 挿入など)を制御でき、デバイス上でのファイル持ち出しを抑制。
- アダプティブ保護:ユーザーのリスクレベルやインサイダーの傾向によって、DLPポリシー適用レベルを動的に変える機能。
たとえば、以下のような制御が実現可能です:
- 未ラベルまたは機密情報を含む文書のダウンロードを禁止
- 指定外クラウドへのアップロードを禁止
- 印刷/コピー操作の制限
- 制御違反時にアラート通知
- ポリシーはまず「監査モード(ログ記録のみ)」 → 「徐々に遮断モード」に移行
設定ポイントと注意点:
- ポリシー設計を慎重に
DLPを設計する際には、まず保護すべき機密情報カテゴリを定義し、どのアプリ・どの場所にポリシーを適用するかを設計する必要があります。
初期導入では限定的な領域(財務データ、個人情報など)から始め、運用と調整を通じて広げていくことが望ましいです。 - デバイスオンボーディング
エンドポイント DLP を使うには、対象端末を DLP 対応にオンボーディングする手順が必要です。Windows/macOS の管理設定を整え、ポリシーを適用できる状態にします。 - 検知 → 遮断へのフェーズ移行
まずログモード(監査/警告)で運用し、業務影響を確認しつつ、徐々に遮断モードに移行するのが安全な進め方です。 - 例外ルール/ホワイトリスト対応
業務上どうしてもダウンロードさせる例外ファイルやパスをホワイトリスト化できるような設計をあらかじめ想定しておく必要があります。 - ライセンス・機能制限
利用できる DLP 機能やエンドポイント DLP の適用範囲は、契約している Microsoft のプラン(E3/E5 など)に依存することがあります。導入前のライセンス確認は必須です。
Defender for Cloud Apps と連携制御強化
Microsoft Defender for Cloud Apps を連携すれば、より強力な制御や可視性を得られます。
- Google Workspace をはじめとする外部クラウドをコネクタで接続し、Microsoft 環境からクラウドアクセスを横断的に監視できます。
- セッションポリシー設定により、未認可端末・未登録端末からのファイルダウンロード・アップロードをリアルタイムで制御できます。
- クラウドアプリ内のファイルをスキャンし、機密情報を検知するインスペクション機能が提供されます。
このように、Microsoft 365 + Defender for Cloud Apps を組み合わせることで、SaaS 層・セッション層・API 層を統合的に制御する構成が得られます。
Google Workspace 環境での制御
Google Workspace でも、ネイティブ機能および拡張機能(CASB など)を活用することで、ダウンロード/アップロード制御が可能です。
ネイティブ機能:ドライブとセキュリティ設定
- Google ドライブでは、ファイル所有者が「閲覧のみ」共有権限設定をすれば、編集/ダウンロード禁止モードでの表示が可能です。
- 管理者コンソールの「データ保護」機能を使い、ファイル共有先制限、外部共有制御、リンク共有制御、ファイルプレビュー制限などを設定できます。
- 高度な制御を求める場合は、Context-Aware Access を活用すると、アクセス元の端末属性やネットワーク条件に応じた制御ができます。
ただし、ネイティブ機能のみでは細かいファイル内容検査(キーワード/パターン認識)やセッション中の操作制御(アップロード禁止・印刷禁止など)には限界があります。
CASB と連携した制御強化
Google Workspace に対して CASB を組み合わせることで、より細かい制御が可能になります。たとえば、miniOrange CASB、Netskope for Google Workspace などのソリューションがあります。
- miniOrange CASB:リアルタイム DLP 検査、アップロード禁止、ジオフェンシング、デバイストラスト制御など。
- Netskope for Google Workspace:Google Workspace 内のすべてのサービスを可視化し、機密ファイル隔離、アクセス制御、自動ワークフローなどを提供。
- CASB では、未認可端末・未知端末によるアップロードをブロック、機密情報含むアップロードを遮断、ログ記録やアラート通知、外部共有設定の制限などを行えます。
CASB 統合時には、Google 側の API や OAuth 権限設定を適切に設定する必要があります。なお、Google Workspace の管理者コンソールから CASB をバイパス設定・無効化設定できるガイドラインも提供されています。
サードパーティー製品を使った拡張構成例
中小企業が Microsoft/Google ネイティブ機能だけでは物足りない場合、サードパーティー製品を導入して制御機能を拡張する構成も有効です。
代表的なソリューション例
- CASB ソリューション
上述した Netskope、miniOrange に加え、Zscaler、McAfee MVISION Cloud、CipherCloud などがあり、それぞれ細かな制御ルール・ログ・可視化機能を提供します。 - SASE プラットフォーム
クラウドアクセス制御、プロキシ機能、セキュリティ機能を統合したプラットフォームで、社外アクセスも含めた制御を一括で管理できます。 - データガバナンスプラットフォーム
クラウドストレージ、ファイルサーバー、メールにまたがるデータ分類・検知・監査を統合的に行うツール。機密情報の自動ラベル付与や異常検知も可能です。
構成パターン例
| 構成パターン | 主な構成要素 | 特長 | 留意点 |
| ネイティブ強化型 | Microsoft Purview + Defender for Cloud Apps / Google Workspace + CASB | 比較的シンプルで管理しやすい | 高度制御が不足する場合もある |
| CASB 中心型 | CASB をゲートウェイ層でクラウド接続経由に強制 | クラウド制御を一元化できる | ネットワーク構成変更、プロキシ投入などが負荷 |
| 統合制御プラットフォーム型 | SASE/プロキシ+CASB+DLP一体型 | 統合運用性が高い | 初期設計と運用体制構築が複雑 |
中小企業で導入するなら、まずはネイティブ制御を土台に、必要部分を CASB 製品で補い、後段で統合型へ移行する道筋が現実的です。
段階的な導入ステップと運用の留意点
ここからは、実際に導入を進めるためのステップと、運用のポイントをまとめます。
- 現状把握とリスク分析
- 保護対象となる機密情報を洗い出す(個人情報、財務データ、契約書など)
- どのシステム・アプリケーションからデータ持ち出しが可能かを現状把握
- 各利用部門へのヒアリングを通じて、業務で「どうしても出力が必要なもの」を把握
- ポリシー設計とシミュレーション
- 機密情報分類ルールの設計
- 最初は監査モード(ログ記録・アラート)から適用
- ポリシーの例外設計(許可例外、ホワイトリスト)
- 試験導入フェーズ
- 部門またはチーム単位で適用
- 制御違反ログや業務影響をモニタリング
- 利用者フィードバックを元にポリシー調整
- 本番展開
- 制御範囲を順次広げていく
- 遮断モードを段階的に導入
- 利用者教育とガイドライン整備
- 監視と運用改善
- 制御違反ログの定期確認
- ポリシーの有効性レビュー・チューニング
- 新ファイル形式・新アプリ対応の追従
- 例外運用設計・サポート体制
- どうしても許可が必要な操作の申請フロー設計
- サポート窓口設計とトラブル対応手順整備
- ポリシー変更履歴管理とログ保管方針整備
以下の点にも注意を払っておきましょう:
- 利便性とのバランス:あまり厳しくしすぎると業務阻害になり、回避策をユーザーが探してしまう
- ライセンス・費用見通し:DLP/CASB 機能はライセンスプランに依存する場合がある
- 運用負荷管理:ログ量、アラート対応、例外対応が運用負荷になりやすいため、負荷軽減設計が必要
まとめ:データ保護は段階的な“制御の網”を張ることから
社内システムからのダウンロード禁止/他システムへのアップロード禁止という制御は、ゼロトラスト環境における「情報の流れを制限するセキュリティ層」の中核です。端末制御やアクセス認可と組み合わせることで、より強固な防御体制を構築できます。
ただし、最初から完全遮断を目指すと運用障害や抵抗が出やすいため、まずは限定適用 → 監査モード → 制御モード、と段階的に進めることが成功の鍵です。Microsoft 365 や Google Workspace のネイティブ機能から始め、必要に応じて CASB 製品を導入し強化していくアプローチが、中小企業にも現実的な道筋です。
これらのサポートをご希望の方はこちらからご連絡ください!
