Power Platform: DLP機能で企業の重要データを保護する

Dynamics 365 CRM

今回はPower PlatformのDLP(Data Loss Prevention)機能について、説明させていただきます。

DLP(Data Loss Prevention)の汎用的な意味は、「情報漏えいを防ぐことを目的とする」です。

DLPに関わる製品やソリューションなど多数存在しますが、この記事では、Power PlatformにあるDLP機能を中心に、Power Platformの環境でどう活かせるかを解説します。

DLPとは

Power PlatformのDLP機能は、Power Platformのコネクタデータを保護するためのデータ損失防止ポリシーです。

これにより、ユーザーが重要なデータを外部に公開することを防いでいます。

DLPは主に2つの製品で使用されています。コネクタを使用する主な製品はこの2つだからです。

・Power Appsのキャンバスアプリ

・Power Automate

DLPの種類を解説

DLPポリシーでは3つのカテゴリーが提供されています。

1、Business(業務用)

  名前の通りで、SharePointやDynamicsなど、業務のビジネスデータに関連するコネクタをすべて保持します。

2、Non-Business(非業務用)

  業務用と逆に、TwitterやFacebookなど、SNSに関連するコネクターが格納されています。

3、Blocked(ブロック)

  Blockedに属するコネクタは、その名の通り、ユーザーには一切提供したくない、現在の環境では使って欲しくないものとなります。Gmailといったプライベートに関連するコネクタが含まれます。

この3つのカテゴリーが互いにどのように作用しているかを見てみましょう。業務シナリオを以下に設定とします。

  Power Platformにて1つアプリケーション作成します。アプリケーションに「Business」をSharePointコネクタとFormsコネクタを追加しています。「Non-Business」にTwitterとFacebookコネクタを追加します。「Blocked」にGmailコネクタを追加します。

Business(業務用)Non-Business(非業務用)Blocked(ブロック)
コネクタSharePointTwitterGmail
FormsFacebook
同時利用判別SharePointとForms同時利用可TwitterとFacebook同時利用可Gmail利用不可

Businessカテゴリに属するすべてのコネクタは利用可能です。例えば、sharepointコネクタやformsコネクタは同時に使えます。

また、twitterとfacebookを同時に利用するなど、Non-Businessカテゴリーに属するコネクタも利用可能です。

ただし、BusinessとNon-Businessの両方のコネクタを使用しようとすると、禁止事項のメッセージが表示されます。 これは、DLP ポリシーに許可されないためです。

つまり、Sharepoint(Business)とTwitter(Non-Business)のコネクターを同時に使用することはできません。 これは、従業員がコネクターを経由してSNSに業務データを投稿することを防ぐためです。

なお、Blockedに追加したGmailコネクタは現在の環境では全く使えなくなるとなります。

Power PlatformにてDLPを作成

次に、DLP ポリシーを作成する方法について見ていきます。Power Platform管理センターにアクセスする必要があります。

Power Platform admin center
admin.powerplatform.microsoft.com

左側ナビゲーションの「データポリシー」を開き、「新しいポリシー」でDLP新規作成します。

データポリシーを設定するには、セキュリティロールが環境管理者またはPower Platform管理者のいずれかでなければならないです。

一方、環境管理者は、自分の環境に対してのみポリシー変更を行うことができます。

ポリシー名とカテゴリー、適用環境を入力して設定します。今回は「SharePointとOutlook同時利用不可」を設定して検証してみます。

「SharePoint」を選択してビジネス(Business)に移動します。デフォルトでは全てのコネクタは非ビジネス(Non-Business)として設定されています。そのため、「SharePointとOutlook同時利用不可」をテストするには、SharePointをビジネスに、Outlookをデフォルトで非ビジネスに設定する必要があります。

適用される環境を選択します。

最後にレビューを行い、作成完了となります。

そして、Power Automateに遷移し、「SharePointとOutlook同時利用不可」を検証します。

フローを作成し、トリガーをSharePointとOutlookに設定したところ、「この操作は管理者データポリシー’SharePointとOutlook同時利用不可のテスト’に違反しています」とエラー表示が出ました。

つまり、先ほど作成したデータポリシーは動くようになっていました。

このようにPower PlatformのDLP設定を行うことにより、標準機能として設定だけでデータ保護を実現することが可能となります。

コメント

タイトルとURLをコピーしました