Microsoft Purview Data Loss Prevention (DLP) は、組織の機密データが Microsoft 365・SaaS アプリ・Endpoint デバイスから不正に流出するのを防ぐ統合 DLP サービスです。 GDPR・HIPAA・PCI DSS・APPI などコンプライアンス要件対応の中核機能で、本番運用での適切な設計が必須。 本記事では、DLP Policy 構成・SIT 活用・Endpoint DLP・Adaptive Protection・EDM・段階導入を網羅的に整理します。
DLP Policy は『Locations (適用先) + Conditions (条件) + Actions (動作)』の組み合わせ。
Microsoft Purview の SIT は 200+ の組み込みパターンを提供。
例: クレジットカード SIT は 16 桁の数字 + Luhn アルゴリズム検証 + 『credit card』『payment』のキーワード近接で High Confidence 検出。
Windows 10/11・macOS デバイスでの機密データ操作を制御。
Restricted Apps (許可アプリのみ機密データアクセス可能)・Restricted App Groups でアプリ単位制御。 BYOD は App Protection Policy と組み合わせて個人データと会社データを Container 分離。
Adaptive Protection は『リスクベース動的 DLP』機能。Insider Risk Management で算出されたユーザーの Risk Level に応じて DLP Policy の強度を動的調整。
| Risk Level | DLP 動作 |
|---|---|
| Minor Risk (通常) | Audit + Notify |
| Moderate Risk | Block with Override 強化 |
| Elevated Risk | 完全 Block + 即時 SOC 通知 |
リスク評価には機械学習を活用、過去の異常パターン (大量ファイルダウンロード・Personal Email 送信・退職予告) から動的判定。 従来の Static DLP (全員一律同じ Policy) から進化、ユーザビリティとセキュリティの両立を実現。
組織固有のデータベース (顧客リスト・社員 ID・医療記録 ID 等) と完全一致するデータを DLP 検出する仕組み。
組み込み SIT では検出できない組織固有データの正確マッチが実現、誤検知率も低い (Pattern Match より高精度)。
Microsoft Purview DLP とは?
Microsoft Purview Data Loss Prevention (DLP) は、組織の機密データが Microsoft 365・SaaS アプリ・Endpoint デバイスから不正に流出するのを防ぐ統合 DLP サービス。Exchange / SharePoint / OneDrive / Teams / Endpoint・Defender for Cloud Apps (CASB)・Power Platform にまたがるポリシー定義・適用・監視を一元化。Sensitive Information Types (SIT、200+ 組み込みパターン: クレジットカード番号・SSN・マイナンバー等) + Sensitivity Label の組み合わせで機密データを識別、Block / Notify / Encrypt / Allow with Justification などのアクション実行。GDPR・HIPAA・PCI DSS・APPI などコンプライアンス要件対応の中核機能、SC-400 試験の主要トピックです。
DLP Policy の構成要素は?
DLP Policy は『Locations (適用先) + Conditions (条件) + Actions (動作)』の組み合わせ。Locations: Exchange Email・SharePoint Sites・OneDrive Accounts・Teams Chat and Channels・Devices (Endpoint DLP)・Defender for Cloud Apps・Power BI・Fabric。Conditions: 1) Sensitive Info Type (組み込み 200+ + カスタム作成可)、2) Sensitivity Label 適用、3) コンテキスト条件 (送信先ドメイン・受信者・添付ファイル数・User Risk Level)。Actions: Block (送信完全拒否)・Block with Override (Justification 付きで送信許可)・Notify User (Policy Tip 表示)・Send Incident Report to Admin (SOC 通知)・Encrypt (Rights Management 自動適用)・Quarantine。標準パターン: 高機密データは Block、中機密は Notify + Justification、低機密は Audit のみという階層化が定石です。
Sensitive Information Types (SIT) はどう選びますか?
Microsoft Purview の SIT は 200+ の組み込みパターンを提供。代表例: クレジットカード番号 (Visa・MasterCard・American Express など 16 種)・社会保障番号 (US SSN・UK NINO・日本マイナンバー)・運転免許証番号・パスポート番号・銀行口座番号・医療記録番号・電話番号・メールアドレス・住所・IP アドレス。各 SIT は『Primary Pattern (正規表現)・Supporting Element (近接キーワード)・Confidence Level (High / Medium / Low)・Minimum Confidence (検出閾値)』の構成。例: クレジットカード SIT は 16 桁の数字 + Luhn アルゴリズム検証 + 『credit card』『payment』のキーワード近接で High Confidence 検出。組み込み SIT で要件カバーしない場合 Custom SIT 作成 (Regular Expression + Keyword List)。Exact Data Match (EDM) で組織固有データベース照合も可能で、社員 ID リスト・顧客リストなど大量データの正確マッチが実現します。
Endpoint DLP の動作は?
Endpoint DLP は Windows 10/11・macOS デバイスでの機密データ操作を制御。Microsoft Intune で対象デバイスを Compliance 管理、Defender for Endpoint Agent 経由でデバイス上の操作 (USB へのコピー・印刷・Bluetooth・Cloud Sync・Web ブラウザアップロード・クリップボード) を監視。代表的な制御: 1) 機密ファイルの USB / Bluetooth コピー Block、2) 機密ファイルの個人 Cloud Sync (Dropbox・Google Drive) Block、3) 機密データの Web ブラウザアップロード Block (許可ドメインのみ)、4) 機密ファイルのスクリーンキャプチャ Block、5) 機密ファイルの印刷 Block。Restricted Apps (許可アプリのみ機密データアクセス可能)・Restricted App Groups でアプリ単位制御。BYOD は App Protection Policy と組み合わせて個人データと会社データを Container 分離。本番運用ではユーザー業務に支障が出ないよう Block より Audit から段階導入が標準です。
Adaptive Protection とは?
Adaptive Protection は 2023 年に Microsoft が発表した『リスクベース動的 DLP』機能。Insider Risk Management で算出されたユーザーの Risk Level (Minor Risk・Moderate Risk・Elevated Risk) に応じて DLP Policy の強度を動的調整。代表的な動作: 1) 通常ユーザー (Minor Risk) → Audit + Notify、2) 過去 30 日に異常活動検知ユーザー (Moderate Risk) → Block with Override 強化、3) High Risk ユーザー → 完全 Block + 即時 SOC 通知。リスク評価には機械学習を活用、過去の異常パターン (大量ファイルダウンロード・Personal Email 送信・退職予告) から動的判定。従来の Static DLP (全員一律同じ Policy) から進化、リスクに応じた段階制御で『ユーザビリティとセキュリティの両立』を実現する Microsoft Purview の最新機能です。
Exact Data Match (EDM) はどう使う?
Exact Data Match (EDM) は組織固有のデータベース (顧客リスト・社員 ID・医療記録 ID 等) と完全一致するデータを DLP 検出する仕組み。プロセス: 1) Source Database を CSV エクスポート (例: 全顧客の Email + Customer ID リスト)、2) EDM Schema 定義 (フィールド名・Primary Element 設定)、3) Microsoft Purview Compliance Center で Schema アップロード + データハッシュ化 (元データはアップロードされない、ハッシュのみ Purview に保管)、4) DLP Policy で EDM SIT を参照、5) 定期的に Source Database 更新時に EDM 再アップロード。代表的なユースケース: 1) 顧客 PII の流出検知、2) 医療記録 ID の不正アクセス、3) 社員 SSN のメール送信検知。組み込み SIT では検出できない組織固有データの正確マッチが実現、誤検知率も低い (Pattern Match より高精度) ため、本番運用での DLP 精度向上に大きく寄与します。
DLP 運用のベストプラクティスは?
重要な施策: 1) Audit モードで導入 → Tuning → Block モードに段階移行 (1-3 ヶ月かけて False Positive 削減)、2) Sensitivity Label + DLP の組み合わせで二層防御 (ラベル付きファイルのみ DLP 対象)、3) Adaptive Protection で Risk-based 動的制御、4) Policy Tip でユーザー教育 (なぜ Block されたかを説明)、5) Endpoint DLP は Office Apps から段階的に Restricted Apps 拡大、6) EDM で組織固有データの正確マッチ、7) Activity Explorer で DLP イベント継続監視、8) Microsoft Sentinel に DLP イベント送信、KQL で異常検知、9) Insider Risk Management と統合で内部脅威検知、10) 四半期に 1 回 Policy レビュー + False Positive 分析。本番運用ではユーザー業務継続と高い検知精度の両立が課題、慎重な段階導入と継続改善が成功の鍵です。
関連認定試験は?
SC-400 (Information Protection and Compliance Administrator Associate) のドメイン 2 (DLP 15-20%) で深く問われる本領域の本命認定。SC-100 (Cybersecurity Architect Expert) でゼロトラスト戦略の Data 柱、MS-102 (Microsoft 365 Administrator Expert) のドメイン 4 (Purview 20-25%) で全社展開、SC-300 (Identity Admin) で Conditional Access App Control 統合、SC-200 (Security Operations Analyst) で SOC 視点での DLP イベント運用。Microsoft セキュリティ系認定全般で必須の知識領域です。
関連記事・技術深掘り
SC-400 完全ガイド|Microsoft Information Protection and Compliance Administrator Associate 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Information Protection and Compliance Administrator Associate (SC-400) の完全ガイド。4 ドメインの出題範囲、Microsoft Purview の Sensitivity Label / DLP / Insider Risk / Communication Compliance / eDiscovery / Retention の実装、3-4 ヶ月の合格ロードマップ、SC-100 / MS-102 への展開ルートを日本語で網羅。
MS-102 完全ガイド|Microsoft 365 Administrator Expert 出題範囲・学習リソース・合格戦略【2026 年版】
Microsoft Certified: Microsoft 365 Administrator Expert (MS-102) の完全ガイド。4 ドメインの出題範囲、テナント / Entra ID / Defender XDR / Purview を横断的にカバー、SC-300 / SC-200 との重複と差異、Microsoft 365 Developer Program 活用法、3-4 ヶ月の合格ロードマップ、SC-100 / MD-102 への展開ルートを日本語で網羅。
Microsoft 365 / Modern Workplace エンジニア キャリアロードマップ|MS-900 → MS-102 → アーキテクトへの道【2026 年版】
Microsoft 365 / Modern Workplace エンジニアになるための認定取得ロードマップ完全版。MS-900 → MS-102 (Expert) の王道ルート、MD-102 / SC-300 / SC-400 / MS-700 / PL シリーズとの組み合わせ、Microsoft 365 Developer Program 活用法、8-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
Azure セキュリティエンジニア キャリアロードマップ|SC-900 → SC-200/300/400 → SC-100 シニアへの道【2026 年版】
Azure セキュリティエンジニアになるための認定取得ロードマップ完全版。SC-900 → SC-200/300/400 のいずれか → SC-100 / SC-500 の王道ルート、ロール別の優先順序、CISSP との二刀流戦略、SC-500 (旧 AZ-500 後継、2026-09 GA 予定) の動向、10-15 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の技術情報は Microsoft Purview DLP Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure、Microsoft Purview は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...