Cato DLPポリシーにおけるMIP機密ラベルの使用

この記事では、Cato DLPポリシーでMicrosoft Information Protection(MIP)フレームワークからMicrosoft機密ラベルを使用する方法を説明します。

Cato DLPとのMIPラベルの使用概要

既存のMicrosoft Information Protectionポリシーを利用して、Cato DLPとデータ制御管理を簡素化できます。 MIPラベルをデータタイプとして使用することで、MIPポリシーに一致する明確で管理しやすいDLPポリシーを設計できます。 これにより、MIPラベルを使用して、Azureエコシステムを超えたCatoが処理するすべてのトラフィックにおいて機密情報を保護できます。

MIPラベルを扱う際の高度な概要

これは、DLPでMIPラベルを使用するためのワークフローの高度な説明です。

  1. Cato管理アプリケーションで機密ラベルを作成します。

  2. コンテンツプロファイルにラベルを追加します。

  3. 機密ラベルに基づいて異なるユーザーやグループへのコンテンツアクセスを管理するDLPルールを作成します。

例として、MIPラベルが分類されたファイルがある場合、Cato DLPポリシーにラベルを作成し、コンテンツプロファイルの制限付き文書に追加します。 次に、十分なセキュリティクリアランスを持たないグループのユーザーのアクセスをブロックするDLPルールを定義します。

DLPポリシーへのMIPラベルの追加

Cato管理アプリケーションでDLPポリシーにMIPラベルを追加する2つの方法があります:

  • APIコネクタを使用してMicrosoft 365アカウントからラベルを自動的にインポート

  • 必要なラベルデータを手動で入力して設定

機密ラベルを使用したファイルのスキャン

DLPエンジンはファイルメタデータ内の定義されたラベルをスキャンし、実際のコンテンツではスキャンしないため、誤検知を減らすのに役立ちます。 エンジンは、設定されたラベルIDに基づいて機密ラベルを実施し、名前に基づいては実施しません。 ラベルを手動で設定する場合、機密ラベルラベルIDがMIPラベルIDと正確に一致していることを確認してください。

組織のアカウントに対するMIPラベルIDの検索に関する詳細は、Microsoftドキュメントを参照してください。

既知の制限

  • 暗号化されたDOCXファイルには機密ラベルのDLPスキャンがサポートされていません。

  • ファイル要件の詳細は、Cato DLPサービスとは?を参照してください。

MIPラベルの自動インポート

Cato管理アプリケーションでAPIコネクタを設定して、Microsoftの既存の機密ラベルをカスタムDLPデータタイプとして自動取得できます。 コネクタは必要なMIPラベルデータを同時に取得し、カスタムデータタイプとして簡単に設定できるようにラベルを利用可能にします。 Microsoft 365アカウントで機密ラベルポリシーを変更した場合、コネクタを使用して最新の機密ラベル設定を取得し、Cato DLPデータタイプを一致させるように更新できます。

Microsoftコネクタの概要

Microsoft 365コネクタを親アプリとして設定し、MIPラベルコネクタに読み取り権限を付与します。 親アプリにはMicrosoftコネクタを管理する権限のみがあります。 Microsoft 365コネクタを設定した後、機密ラベルを取得するためのMIPラベルコネクタを設定できます。

組織内の異なるサブ組織のMIPポリシーから機密ラベルをインポートしたい場合、関連する各Azureテナントに対して別のMicrosoft 365コネクタを作成し、各テナントにMIPラベルコネクタを設定します。

前提条件

  • Microsoft 365コネクタには、CatoのMIPラベルコネクタに権限を与えるためにグローバル管理者役割を持つ管理者が必要です。

MIPラベルコネクタに必要な権限

MIPラベルコネクタがMicrosoft 365アカウントから機密ラベルを取得できるようにするため、コネクタはCatoに以下の権限とアクションを提供します。

  • Microsoft APIに接続し、組織のすべての公開された機密ラベルとラベルポリシーを読み取る

  • サインインしてユーザープロファイルを読み取る

Microsoftコネクタの設定

親Microsoft 365コネクタを設定し、使用したい機密ラベルを持つMicrosoft 365アカウントにMIPラベルコネクタを定義します。

組織でMicrosoftアプリ向けにSaaSセキュリティAPIポリシーを設定している場合、関連する親Microsoft 365コネクタはすでに設定済みで、データタイプとプロファイルページに表示される可能性があります。 この場合、MIPラベルコネクタのみを設定する必要があります。

Microsoft 365コネクタの設定

Cato管理アプリケーションを使用して、使用したい機密ラベルを持つAzureテナントにMicrosoft 365 SaaSアプリケーションコネクタを作成します。 Catoアカウントにコネクタを追加するには、Microsoft 365に認証するための正しい資格情報が必要です。

MIP_DLP_Connectors_Settings.png

Microsoft 365親コネクタを設定するには:

  1. ナビゲーションメニューからセキュリティ > データタイプとプロファイルを選択し、設定タブでDLPコネクタを選択します。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaSアプリケーションドロップダウンメニューからMicrosoft 365アプリを選択します。

    MIP_New_Connector_MS365.png

  4. 一意のコネクタ名を入力してください。

  5. 認証して保存をクリックします。

    新しいブラウザタブが開き、Microsoft 365アプリに移動します。

  6. 新しいブラウザタブで、Microsoft 365アプリに認証します:

    1. Microsoft 365アプリのMicrosoftアカウントを選択します。

      そうしないと、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力し、承認します。

    3. 承認して、CatoがMicrosoft 365アプリにアクセスできるようにします。

      MIP_Labels_Parent_Connector_Permissions.png

    4. 画面にはアプリの権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。

  7. Microsoft 365 SaaSアプリケーションがDLPコネクタ設定画面に追加されます。

    Microsoft Azureではリクエストの処理に数秒かかることがあり、ステータスユーザ承諾の保留と表示されている場合は、ブラウザを更新してください。

MIPラベルコネクタの設定

Cato管理アプリケーションを使用して、使用したい機密ラベルを持つAzureテナントにMIPラベルSaaSアプリケーションコネクタを作成します。 Catoアカウントにコネクタを追加するには、Microsoft 365に認証するための正しい資格情報が必要です。

注意

注意: Microsoft 365アプリのAPIコネクタを作成すると、3か月間有効な認証証明書が作成され、有効期限の7日前に証明書が更新されます。

MIPラベルコネクタを設定するには:

  1. ナビゲーションメニューからセキュリティ > データタイプとプロファイルを選択し、設定タブでDLPコネクタを選択します。

  2. 新規をクリックします。 新規コネクタパネルが開きます。

  3. SaaSアプリケーションドロップダウンメニューからMIPラベルアプリを選択します。

    MIP_New_Connector_MIP_Con.png

  4. コネクタテナントドロップダウンメニューからラベルを使用したい親Microsoft 365コネクタを選択します。

  5. MIPラベルコネクタの一意のコネクタ名を入力してください。

  6. 保存をクリックしてください。

    MicrosoftがAzureでCatoコネクタアプリを作成するまで少なくとも30秒待ちます。

  7. コネクタが正常に作成された後、承認をクリックします。

    MIP_Labels_SuccessCreate_Authorize.png

    新しいブラウザタブが開き、Microsoft 365アプリに移動します。

  8. 新しいブラウザタブで、Microsoft 365アプリに認証します:

    1. MicrosoftがAzureでCatoコネクタアプリを作成するまで少なくとも30秒待ち、Microsoft 365アプリ用のMicrosoftアカウントを選択します。

      そうしないと、Microsoft認証エラーが発生する可能性があります。

    2. アプリのパスワードを入力し、承認します。

    3. 承認して、CatoがMicrosoft 365アプリにアクセスできるようにします。

      MIP_Labels_MIP_Connector_Permissions.png

    4. 画面にはアプリの権限が正常に適用されたことが表示されます。

      Success_Connector_Permissions.png

      ブラウザタブを閉じて、Cato管理アプリケーションに戻ることができます。

  9. MIPラベルSaaSアプリケーションがDLPコネクタ設定画面に追加されます。

    Microsoft Azureではリクエストの処理に数秒かかることがあり、ステータスユーザ承諾の保留と表示されている場合は、ブラウザを更新してください。

コネクタステータスの理解

DLPコネクタ設定画面のステータス列には、MicrosoftアプリとCatoアカウント間の接続の状態が表示されます。 これらはステータスの説明です:

  • 接続済み - アカウントがアプリに接続され、正常に動作しています

  • ユーザ承諾の保留 - CatoがMicrosoft 365アプリにアクセスするための権限が付与されていません。 この問題を解決するには、ブラウザを更新してください。 ステータス接続済みに変わると、問題は解決されます。ステータスが変わらない場合は、コネクタを削除して再作成してください。

  • エラー - Microsoftコネクタに接続、権限、またはその他の問題があります。 コネクタを削除して再作成してください。

MIPラベルをDLPポリシーへインポート

Microsoft 365 アカウントから MIP 機密ラベルを取得し、Cato DLP ポリシーでデータの種類として使用するラベルを選択します。

DLP_Sensitivity_Labels.png

DLPポリシーにMIPラベルをインポートするには:

  1. ナビゲーションメニューから セキュリティ > データの種類 & プロファイル を選択し、データの種類 タブを選択します。

  2. 機密ラベルを追加するで、新規をクリックします。 機密ラベルを追加パネルが開きます。

    MIP_Add_Sensitivity_Label_Panel.png

  3. ラベルを取得するオプションを選択します。

  4. コネクタを選択 ドロップダウン メニューで、ラベルを取得する Microsoft 365 テナント用の MIP ラベルコネクタを選択します。

    インポートされたラベル名 ドロップダウンメニューが取得したラベルで満たされます。

  5. インポートされたラベル名 ドロップダウン メニューから、インポートするラベルを選択します。 必要なフィールドはラベルの詳細で自動的に埋められます。

  6. 保存をクリックします。

    ラベルが機密ラベルを追加するリストに追加され、カスタムDLPデータの種類としてコンテンツプロファイルに追加できます。

Cato DLP における MIP ラベルの手動設定

また、Cato管理画面で MIP ラベルを手動で設定することもできます。 例えば、Cato DLP ポリシーで数個の MIP ラベルが必要な場合、この方法が便利です。 データの種類 & プロファイル ページの データの種類 タブで、機密ラベルを追加するの下にラベルを設定します。 新しいラベルを設定するには、名前説明ラベル IDを含む詳細を入力します。 入力した ラベル ID が MIP ラベル ID と完全に一致していることを確認してください。

DLP_Sensitivity_Labels.png

機密ラベルを手動で設定するには:

  1. ナビゲーションメニューから セキュリティ > データの種類 & プロファイル を選択し、データの種類 タブを選択します。

  2. 機密ラベルを追加するで、新規をクリックします。 機密ラベルを追加パネルが開きます。

  3. カスタムラベルオプションを選択します。

  4. ラベルの 名前説明を入力します。

  5. MIP ラベル ID と同じ ラベル ID を入力します。

  6. 保存をクリックします。

    ラベルが機密ラベルを追加するリストに追加され、カスタムDLPデータの種類としてコンテンツプロファイルに追加できます。

この記事は役に立ちましたか?

1人中1人がこの記事が役に立ったと言っています

0件のコメント