データ損失防止インシデントレスポンス アナリストワークスペース

  • リリースバージョン: Australia
  • 更新日 2026年03月12日
  • 所要時間:19分

    • データ損失防止インシデントレスポンス (DLP IR) アナリストワークスペースを使用して、DLP インシデントを確認します。インシデントを解決などの目的でエンドユーザーにアサインします。

    DLP ワークスペースは、DLP インシデントを監視できるダッシュボード、リストビュー、およびフォームビューで構成されています。

    図 : 1. DLP ワークスペースの概要ページ
    DLP ワークスペースの概要ページ。

    DLP インシデントのレビューとアサイン

    データ損失防止インシデントレスポンス (DLP IR) アナリストワークスペースにアクセスすると、DLP インシデントを確認して、インシデントをアサインしたり解決したりすることができます。重大度別のインシデント、上位違反者、スキャンソース別のインシデント、ポリシー別のインシデントの傾向を追跡できます。

    始める前に

    必要なロール:
    • sn_dlir.analyst - DLP インシデントの編集および表示。
    • sn_dlir.analyst_read および sn_dlir.read - DLP インシデントの表示。

    手順

    1. 移動先 すべて > DLP インシデント管理 > DLP アナリストワークスペース.
      DLP ワークスペースの [自分のインシデント] オプションリストページが新しいタブで開きます。
    2. DLP ワークスペースのホームアイコンをクリックすると、ワークスペースホームページビューが表示されます。
    3. ダッシュボードウィジェットを確認して、重大度別のインシデント、上位違反者、スキャンソース別のインシデント、ポリシー別のインシデントの傾向を識別します。
    4. ホームページで適切なフィルターをクリックして、各種カテゴリごとにウィジェットを確認します。
      フィルター 説明
      オープンインシデント すべてのオープンインシデントを表示します。
      期限切れの最重要のインシデント (Overdue critical incidents) 重大度ラベルが「重大」で期限切れのインシデントを表示します。
      エンドユーザーにアサインされたインシデント エンドユーザーにアサインされたすべてのインシデントを表示します。
    5. DLP インシデントは、次の 2 つの方法で確認およびアサインできます。
      1. 1 つ目は、確認する 1 つ以上の DLP インシデントを見つけて選択し、そのインシデントの横にあるチェックボックスをクリックする方法です。
      2. 自分に適したオプションを選択します。
        オプション 説明
        リストを更新 更新を行った場合に DLP インシデントのリストを更新するオプション。
        リストアクション 実行できるアクションのリスト。選択肢は次のとおりです。
        • 名前を付けて保存
        • 列を編集
        • 幅をリセット
        注:
        [自分のリスト] セクションで作成された独自のカスタムリストを、各自のワークスペースに合わせて構成している場合は、以下の追加のリストアクションも実行できます。
        • 名前の変更
        • 保存
        • 削除
        すべての URL をコピー (Copy URL for All) すべての DLP インシデントの URL をコピーするオプション。
        フィルターパネルを表示 フィルターオプションを使用して必要なインシデントをドリルダウンするオプション。
        1. ページの左上にあるフィルターをクリックし、[詳細ビュー] を選択します。
        2. 既存のフィルターを使用するか、フィールド、演算子、および値を含む条件を追加してフィルターを作成します。
        3. さらに条件を追加するには、[AND] または [OR] をクリックします。
          • [AND] を選択した場合は、すべての条件に一致する必要があります。
          • [OR] を選択した場合は、一致すべき条件がいずれか 1 つになります。
        4. [更新] をクリックします。
        インシデントをアサイン DLP インシデントのアサイン先を決定するアクション。選択肢は次のとおりです。
        • インシデントのアサイン先:インシデントをアナリスト、エンドユーザー、または他のユーザーにアサインするオプション。
        • ユーザー:インシデントのアサイン先のユーザーを決定するオプション。
        • ユーザー応答前のインシデント状況:ユーザーの応答前にインシデントがどのステータスであるべきかを決定するオプション。カスタム状況に設定することもできます。
        • アセスメントの添付:インシデントにアセスメントを添付するかどうかを指定するオプション。有効にすると、以下のオプションが利用可能になります。
          • アセスメントテンプレート:DLP インシデントのアセスメントテンプレートを選択するオプション。
          • ユーザー応答後のインシデント状況:ユーザーの応答後の DLP インシデントのステータスを選択するオプション。
        応答 インシデント応答オプションを選択して、インシデントに対応します。たとえば、ユーザーが DLP ポリシーに違反しているファイルを削除した場合、ユーザーは [削除されたファイル] オプションを選択して、ファイルが削除されたことを手動で確認し、コメントを入力できます。

        ここから、詳細な応答オプションを選択することもできます。たとえば [隔離からのメールのリリースを要求する (Request email release from quarantine)] などです。
        エスカレート インシデントをエスカレーションするアクション。インシデントをエスカレーションするには、エスカレーション先のユーザーを選択します。[コメント] フィールドに追加情報を入力することもできます。
        ステータスの更新 インシデントのステータスを更新するアクション。ドロップダウンオプションからいずれかの状況を選択することで、インシデントの状況を更新できます。カスタム状況に設定することもできます。
        クローズ インシデントをクローズするアクション。ドロップダウンリストから対応するクローズコードを選択し、クローズコメントを追加します。
        データ損失防止インシデントレスポンスクローズ機能は、リストビューから非同期と同期の両方で実行されます。
        1. 同期クローズ:インシデントを同期的にクローズする場合、クローズアクションがすぐに実行されることを意味します。クローズする複数のインシデントを選択し、インシデント数が 100 以下の場合、インシデントは DLP インシデントリストビューのフォアグラウンドでクローズされます。ここでは、100 がデフォルト値です。
        2. 非同期クローズ:選択したインシデント数が 100 を超える場合に、クローズ要求が送信され、アプリケーションがバックグラウンドで要求を実行することを意味します。

          更新されたインシデントステータスを表示するには、DLP インシデントリストビューを更新する必要があります。

          注:
          • 非同期または同期の両方のクローズに対して選択されたインシデント数は、システムプロパティ sn_dlir.closure_sync_count_limit を使用して構成されます。
          • デフォルトでは、インシデント数は 100 に設定されています。
      3. 2 つ目の方法は、特定の DLP インシデントをクリックして開く方法です。
        • [詳細] タブ:次のセクションが表示されます。
          • 詳細:インシデント番号、重大度、ファイル名など、DLP インシデントの詳細を確認できます。また、[重大度]、[ステータス]、[エンドユーザー]、および [DLP アナリストグループ (DLP Analyst group)] の各フィールドを変更して保存することもできます。
          • 作成:全員に表示される DLP インシデントに関するコメントを追加するには、[コメント] タブにコメントを入力します。特定のユーザーに表示されるコメントを追加するには、 [作業メモ (プライベート)] タブにコメントを入力します。
          • アクティビティ:DLP インシデントでのさまざまなアクティビティの詳細を確認できます。
          • 添付ファイル:DLP インシデントに関連する添付ファイルがある場合は、[参照] をクリックしてローカルドライブから添付ファイルを選択します。
        • [その他の詳細] タブ:DLP インシデントに関する、カスタムフィールドを含めたその他すべての情報が表示されます。
          重要:
          • DLP インシデントのカスタムフィールドは、San Diego バージョン以降でのみサポートされています。
          • [その他の詳細] タブを使用して、特定の DLP インシデントに対してカスタムフィールドが作成されているかどうかを確認できます。
        • [カスタム属性] タブ:DLP インシデントに関連するカスタム属性のリストが表示されます。
        • エンドユーザーからのその他のインシデント (Other incidents from end user):同じエンドユーザーからのインシデントを表示します。この関連リストから [子インシデントとして追加 (Add as child incident)] アクションを実行することで、インシデントを統合できます。
        • 検出された機密情報タイプ (Detected Sensitive Information Type):インシデントで検出された機密情報を表示します。
          注:
          この関連リストは、Microsoft または Symantec の統合で作成された DLP インシデントの場合にのみ表示されます。Microsoft または Symantec のインシデントレコード内で、検出された機密情報タイプのレコードにユーザーがアクセスするたびに、その統合に関連して強調表示された一致コンテンツが表示されます。
        • 子インシデント:( [子インシデントとして追加 (Add as child incident)] アクションを実行して) 手動で作成された子インシデントまたは DLP 統合ルールから作成された子インシデントを表示します。この関連リストから [子インシデントのリンクを解除 (Unlink child incident)] を実行することで、子インシデントのリンクを解除できます。
        • クローンされたインシデント (Cloned incidents):親インシデントからクローンされたインシデントを表示します。フォームビューの [インシデントをクローン (Clone incident)] アクションをクリックすると、新しいクローンインシデントを作成できます。
        • [アセスメント] タブ:DLP インシデントにアサインされているアセスメントのリストを表示します。
      4. 自分に適したオプションを選択します。
        オプション 説明
        インシデントをアサイン DLP インシデントのアサイン先を決定するアクション。選択肢は次のとおりです。
        • インシデントのアサイン先:インシデントをアナリスト、エンドユーザー、または他のユーザーにアサインするオプション。
        • ユーザー:インシデントのアサイン先のユーザーを選択するオプション。
        • ユーザー応答前のインシデント状況:ユーザーの応答前にインシデントがどのステータスであるべきかを選択するオプション。カスタム状況に設定することもできます。
        • アセスメントの添付:インシデントにアセスメントを添付するかどうかを指定するオプション。有効にすると、以下のオプションが利用可能になります。
          • アセスメントテンプレート:DLP インシデントのアセスメントテンプレートを選択するオプション。
          • ユーザー応答後のインシデント状況:ユーザーの応答後に DLP インシデントがどのステータスであるべきかを選択するオプション。
        承認をキャンセル 承認要求をキャンセルするアクション。

        このアクションは、DLP インシデントのステータスが [承認待ち (Pending Approval)] である場合にのみ、フォームビューでアナリストに対して表示されます。使用可能なオプションは、次のとおりです。

        • インシデントのアサイン先:インシデントのアサイン先として、[該当者なし]、[アナリスト]、または [他の人] を設定するオプション。
        • ユーザー:インシデントのアサイン先のユーザーを選択するオプション。
        • キャンセル後のインシデントのステータス (Post cancellation incident state):要求をキャンセルした後のインシデントのステータスを選択するオプション。
        • コメント:キャンセルに関する追加の詳細を入力します。
        アセスメントをアサイン インシデントのアサイン時にアセスメントを添付するアクション。選択肢は次のとおりです。
        • アセスメントテンプレート:DLP インシデントのアセスメントテンプレートを選択するオプション。
        • ユーザー応答後のインシデント状況:ユーザーの応答後に DLP インシデントがどのステータスであるべきかを選択するオプション。
        ファイルのダウンロード 違反コンテンツを含むファイルまたはメールをダウンロードするアクション。このアクションは、Microsoft OneDrive、SharePoint Online、または Exchange Online について作成されたインシデントに対して実行できます。
        保存 行った変更を保存するアクション。DLP インシデントの [重大度]、[ステータス]、および [エンドユーザー] フィールドを変更して保存することができます。
        応答 インシデント応答オプションを選択して、インシデントに対応します。たとえば、ユーザーが DLP ポリシーに違反しているファイルを削除した場合、ユーザーは [削除されたファイル] オプションを選択して、ファイルが削除されたことを手動で確認し、コメントを入力できます。

        ここから、詳細な応答オプションを選択することもできます。例:[隔離からのメールのリリースを要求する (Request email release from quarantine)]
        エスカレート インシデントをエスカレーションするアクション。インシデントをエスカレーションするには、エスカレーション先のユーザーを選択します。[コメント] フィールドに追加情報を入力することもできます。
        インシデントをクローン (Clone Incident) インシデントレコードが複数のユーザーに影響する場合にクローンインシデントを作成するアクション。クローンされたインシデントは、法務/IT などの複数のステークホルダーにアサインできます。

        クローンインシデントレコードを作成すると、親 DLP インシデントの下に新しい [クローンされたインシデント (Cloned incidents)] タブが作成され、すべてのクローンインシデントがこのビューに一覧表示されます。

        注:
        • 親 DLP インシデントレコードがクローズされると、すべてのクローンインシデントレコードが自動的にクローズされます。
        • DLP インシデントレコードにクローンインシデントが含まれている場合、そのレコードをエンドユーザーにアサインすることはできません。親 DLP インシデントレコードは、アナリストのロールを持つユーザーのみが管理できます。
        • [デフォルト構成] モジュールでのクローンインシデントのステータスに基づいて親ステータスを自動的に更新するオプションもあります。たとえば、すべてのクローンインシデントが [エスカレート済み] ステータスに移行すると、親インシデントも [エスカレート済み] ステータスに移行します。
        クローズ インシデントをクローズするアクション。ドロップダウンリストから対応するクローズコードを選択し、必要に応じてクローズコメントを追加する必要があります。
        誤検出としてクローズ インシデントを誤検出としてクローズするアクション。インシデントをクローズする前に、コメントを追加することもできます。
    6. ホームページからリストビューを表示するには、ページの左上にある [リスト] タブをクリックします。
      [リスト] カテゴリは、DLP インシデントのデフォルトのリストページとカスタマイズされたリストページで構成されています。
      • [リスト] タブ:DLP インシデントのデフォルトのリスト。デフォルトのリストは次のとおりです。
        • すべて
        • オープン
        • 自分のインシデント
        • 自分のグループにアサイン済み
        • エスカレート済み
        • 期限切れ
        • 処理待ちのアセスメント
        • 処理待ちのユーザーアクション
        • クローンされたインシデント
        • アーカイブ化済みインシデント
      • [自分のリスト] タブ:自分が名前を変更したリストと作成したリストが表示されます。

    証拠ファイルのプレビュー

    DLP IR アナリストワークスペースで データ損失防止インシデントレスポンス 証拠ファイルをプレビューします。

    始める前に

    重要:
    DLP アナリストワークスペースで [証拠ファイル] アクションを使用している間、証拠ファイルは、暗号化されていない形式で ServiceNow データベースに一時的に保存されます。証拠ファイルを保存しない場合は、証拠ファイルのプレビュー機能を無効にします。詳細については、「詳細設定を構成します」を参照してください。

    必要なロール:sn_dlir.analyst

    手順

    1. 移動先 すべて > DLP インシデント管理 > DLP アナリストワークスペース.
    2. DLP インシデントレコードを開きます。
    3. コンテキストサイドバーから、[エビデンスファイル] アイコン (エ ビデンスファイルアイコン)を選択します。
    4. [証拠ファイル (Evidence Files)] タブで、 証拠ファイルカードを選択して、ドキュメントビューアーで証拠ファイルをプレビューします。

      プレビュー機能は、次の表のリストのように、ファイルのタイプごとに異なります。

      ファイル形式 ファイル拡張子
      画像 .bmp、.gif、.ico、.jpeg、.jpg、.png、.svg、.webp。

      画像ファイルはドキュメントビューアーモードで表示されます。
      Microsoft Office ファイル .doc、.docx、.ppt、.pptx、.xls、.xlsx

      Office ファイルはドキュメントビューアーモードで表示されます。
      テキストファイル .txt

      テキストファイルはテキストエディターモードで表示されます。
      メールファイル .eml
      注:
      ファイルサイズは 5MB 未満である必要があります。コンテンツをプレビューするには、ファイルをダウンロードする必要があります。
      PDF ファイル .pdf
      • キーワードを入力してドキュメントを検索します。
      • ズームインおよびズームアウト機能を使用してビューを調整し、読みやすくします。
      • コンテンツをより見やすく表示するには、ページを時計回りまたは反時計回りに回転させます。
      注:

      バイナリファイルはレンダリングされず、コンテンツをプレビューするにはダウンロードする必要があります。証拠ファイルのプレビュー機能は、アーカイブされたインシデントに対しても機能します。

    データ損失防止インシデントレスポンスのプレイブック

    データ損失防止インシデントレスポンスプレイブックは、データ損失インシデント (組織のセキュリティを危険にさらす可能性のある機密情報の不正な公開、漏洩、侵害) に対処して軽減するためのステップバイステップのガイドです。

    次の表に、DLP プレイブックの作成に使用できるアクティビティとステージを示します。詳細については、「DLP プレイブックを追加する」を参照してください。

    アクティビティ 説明
    検出 機密データへの不正アクセスや公開を特定して確認します。
    格納 影響を受けるシステムまたはユーザーを隔離して、さらなるデータ漏洩や不正アクセスを防止します。
    調査 侵害を調査して、侵害がどのように発生したか、どのデータが影響を受けたか、および潜在的な影響について理解します。
    通知 法律またはポリシーの定めに従って、社内チーム、外部のステークホルダー、および規制機関に通知します。
    修正 是正措置を適用して、脆弱性に対処し、ポリシーを更新し、将来の侵害を防止します。
    復旧 安全なバックアップからシステムを復元し、インシデント後のデータの整合性を検証します。
    インシデント後レビュー インシデントを分析して根本原因を特定し、セキュリティコントロールを改善し、ポリシーを強化します。

    次の図は、機密データ侵害プレイブックの作成に関連するアクティビティとステージのワークフローを示しています。プレイブックのステップはワークフローによって異なります。

    図 : 2. プレイブック設計ワークフロー
    プレイブック設計ワークフロー

    DLP プレイブックを追加する

    組織のセキュリティを侵害する可能性のあるデータ損失インシデントに対処して軽減するためのガイドとして機能するプレイブックを データ損失防止インシデントレスポンス アナリストワークスペースに追加します。

    始める前に

    必要なロール:sn_dlir.analyst

    手順

    1. 移動先 すべて > DLP インシデント管理 > DLP アナリストワークスペース.
    2. [DLP ワークスペース - 自分のインシデント (DLP Workspace - My Incidents)] ページで、DLP インシデントを開きます。
    3. プレイブックを追加します。
      1. [プレイブック] タブに移動します。
      2. UI アクションメニューで、[ その他のアクション ] アイコンを選択し、[ プレイブックを追加] を選択します。
      3. ダイアログボックスで、ドロップダウンメニューからプレイブックを選択します。
      4. [プレイブックを追加] を選択します。
    4. 各レーンを選択して、このプレイブックが実行するタスクを確認してください。

    DLP プレイブックのキャンセル

    データ損失防止インシデントレスポンス プレイブックが有効でなくなったら、プレイブックをキャンセルしてビジネスワークフローを停止します。

    始める前に

    注:
    関連する DLP インシデントがクローズされると、プレイブックは自動的にキャンセルされます。

    必要なロール:sn_dlir.admin

    手順

    1. 移動先 すべて > DLP インシデント管理 > DLP アナリストワークスペース.
    2. 任意の DLP インシデントを開きます。
    3. [プレイブック] タブに移動します。
    4. キャンセルするプレイブックのヘッダーで、[プレイブックアクション] アイコンを選択し、[ プレイブックをキャンセル] を選択します。
    5. プレイブックをキャンセルする理由を入力してください。
    6. [プレイブックをキャンセル] を選択します。

    タスクの結果

    プレイブックのヘッダーの下に、プレイブックがキャンセルされたことを確認するバナーが表示されます。

    アーカイブされた DLP インシデントの表示

    DLP アナリストワークスペースを使用して、アーカイブされた DLP インシデントを表示または再アクティブ化します。

    始める前に

    必要なロール:
    • sn_dlir.analyst
    • sn_dlir.analyst_read および sn_dlir.read

    手順

    1. 移動先 すべて > DLP インシデント管理 > DLP アナリストワークスペース.
      デフォルトでは、[自分のインシデント] セクションが表示されます。
    2. [アーカイブ化済みインシデント] をクリックします。
      アーカイブ化済み DLP インシデントのリストが表示されます。
    3. [インシデント数を表示 (Show Incidents Count)] ボタンをクリックして、アーカイブされたインシデント数を表示します。
      注:
      • デフォルトでは、リストのロード時間を短縮するためにアーカイブされたインシデント数は非表示になっています。[ インシデント数を表示 ] ボタンを選択して、インシデント数を表示します。インシデント数を示す情報メッセージが表示されます。
      • アーカイブされたインシデントのベースシステムでシステムプロパティ glide.ui.list.seismic.omit.count が有効になり、インシデントリスト数が非表示になります。
    4. 表示する 1 つ以上の DLP インシデントを選択します。
      DLP インシデントに [インシデントの詳細] セクションが表示されます。
      注:
      • エンドユーザーからのその他のインシデント には、アーカイブされたインシデントが含まれます。
      • [一致コンテンツ] はアーカイブされたすべてのインシデントでサポートされますが (すべての統合でもサポートされます)、[ファイルのダウンロード] は Microsoft 統合でのみサポートされます。
    5. オプション: インシデントを再アクティブ化するには、[ ステータス ] フィールドを [オープン] や [処理中] などのアクティブステータスに変更します。