「保存してから守る」時代が終わる

Microsoft PurviewのEndpoint DLP(データ損失防止)に、2026年4月から重要なアップデートが加わった。これまでEndpoint DLPが保護できるのは「ディスクに保存済みのファイル」に限られていたが、新機能によりまだ保存されていない状態のファイルに対しても、印刷・外部転送などのエグレス(流出)アクティビティを検知・ブロックできるようになった。

これは地味に見えて、実は相当大きな変化だ。

何が変わるのか

従来の限界

これまでのEndpoint DLPは「ファイルが保存されたタイミング」からしか保護を開始できなかった。つまり、ユーザーがWordやメモ帳で機密情報を入力し、保存する前にスクリーンショット印刷やクラウドストレージへドラッグした場合、DLPポリシーが発動しないという抜け穴が存在していた。

新機能の仕組み

新しい「未保存ファイルへのDLP保護」が有効になると、ポリシーの評価がファイル書き込みより前の段階から始まる。具体的には以下の2つの制御が可能になる:

  • 監査モード: 未保存ファイルの印刷・転送アクティビティをログに記録する
  • ブロックモード: 未保存ファイルの印刷・転送アクティビティを実際に遮断する

有効化の条件

この機能はデフォルトでは無効であり、管理者が明示的に設定する必要がある。また、対象デバイスが以下の要件を満たしていることが前提となる:

  • マルウェア対策クライアント バージョン 4.18.26020 以降が稼働していること
  • Microsoft PurviewのコンプライアンスポータルからEndpoint DLPが構成済みであること

既存のDLPポリシーは変更なくそのまま動作する。新設定を追加した場合のみ挙動が変わる。

実務への影響——IT管理者が今すぐやること

1. デバイスのクライアントバージョン確認

まず社内エンドポイントのマルウェア対策クライアントが 4.18.26020以降であることを確認しよう。Microsoft Defender for Endpointの管理コンソール、またはIntune経由でデバイスコンプライアンス状況を一括確認できる。古いバージョンのデバイスは今回の機能が適用されないため、展開ロードマップに組み込む必要がある。

2. 既存ポリシーの見直し

既存のEndpoint DLPポリシーが「どのシナリオをカバーしていたか」を棚卸しし、今回の「未保存ファイル制御」を有効化すべきユースケースを洗い出す。特に、以下の業務シーンは優先的に検討を推奨する:

  • 個人情報・機密情報を扱うアプリケーション(医療・金融・人事系)
  • 外部転送リスクが高い部門(営業・経営企画等)
  • BYODや共用PCが混在する環境

3. まずは監査モードで運用開始

いきなりブロックモードを有効化すると業務影響が出る可能性がある。最初は監査モードで運用し、ログを分析してから徐々にブロックモードへ移行するフェーズドアプローチが無難だ。

4. ヘルプデスク・社内周知

ブロックモードを有効化した場合、ユーザーが「ファイルを保存もしていないのに印刷できない」という体験をすることになる。混乱を防ぐため、事前に社内アナウンスと問い合わせ窓口の準備が必要だ。

筆者の見解

「保存前のファイル」に対してDLPを効かせるというのは、セキュリティの時間軸を根本から変える取り組みだ。従来型のDLPは「データが定着してから守る」という発想だったが、今回の機能は「データが生まれた瞬間から守る」という方向に踏み込んでいる。これはゼロトラストの思想——「アクセスを許可したあとも継続的に評価する」——のエンドポイント版とも言える。

個人的に注目しているのは、この機能がNHI(Non-Human Identity)や自動化フローとの相互作用だ。RPA・マクロ・スクリプト類が「未保存の一時ファイル」を経由してデータを移送するパターンは珍しくない。今回の機能がそういった自動化プロセスをどう扱うか、ポリシー設計次第では意図せず業務自動化を止めてしまうリスクもある。展開前にテスト環境での検証を強く勧めたい。

Microsoft Purviewはここ数年でコンプライアンス基盤としての完成度を着実に高めている。今回のアップデートもその延長線上にあり、正しく設計・運用すれば実際の情報漏洩リスクを大きく下げられる。デフォルトがオフになっていることから、運用インパクトへの配慮も感じられる。あとは管理者側がこの機能をどれだけ迅速に実戦投入できるか——機能があっても使われなければ意味がない。ぜひ積極的に活用してほしい。

出典: この記事は Microsoft Purview compliance portal: Enforce DLP protection on new content before it’s saved - M365 Admin の内容をもとに、筆者の見解を加えて独自に執筆したものです。