DLPにおける完全一致データ(EDM)との作業

この記事では、DLPポリシーのための特定の機密データを識別するための完全一致データマッチング(EDM)カスタムデータタイプを作成する方法を説明します。

DLP用カスタムデータタイプの詳細については、DLP用カスタムデータタイプの作業を参照してください。

概要

DLPのための完全一致データ(EDM)は、一般的なデータパターンと一致させるのではなく、組織にとって重要な特定の機密データ値を見つけます。 例えば、すべてのクレジットカードデータの転送をブロックする代わりに、顧客のクレジットカード情報を含む特定のデータセットをブロックすることができます。 EDMを使用してDLPポリシーを調整することで、誤検知を大幅に減らし、管理者の生産性を向上させることができます。

DLPポリシーに完全一致データを実装するには、特定の機密データの構造化されたデータセットをインポートし、それを使用してEDMプロファイルを作成します。 その後、プロファイルのためのDLPルールを設定し、その特定のデータのみをブロックすることができます。 これは、EDMプロファイルを使用して特定のデータセットをブロックするための例となるワークフローです:

  1. 必要なデータセットを含むCSVまたは同様のファイルタイプ(TSVやPSVなど)を作成します。
  2. Cato管理アプリケーションで、CSVファイルをインポートし、ファイル内のデータに基づいてEDMプロファイルを作成します。
  3. EDMプロファイルのためのデータ制御ルールを設定します。

一致のためのデータを定義する

EDMプロファイルを作成する際に、インポートしたデータファイルの最大2列を選択してプロファイルに含めることができます。 2列を選択すると、それらの間にAND関係があり、両方のデータ値が検出された場合にのみDLPエンジンが一致を返します。 例えば、データセットで従業員名と給与列を選択すると、DLPエンジンは一致する名前の値と関連する給与値の両方を含むコンテンツのマッチを返します。

プライマリデータとセカンダリデータを理解する

EDMプロファイルで2つのデータ列を含む場合、1つの列をプライマリとして、もう1つをセカンダリとして設定します。 これはDLPエンジンがデータを検索する順序を定義します。 プライマリデータが一致した場合にのみ、DLPエンジンは続行してセカンダリデータを検索します。

EDMは特定のデータを識別するように設計されているため、プライマリデータに同じ値の多くの出現が含まれることはできません。 3回以上出現する値を含むデータ列はプライマリとして定義できません。

EDMプロファイルのデータの種類を理解する

EDMプロファイルに含める各データ列に対して、列のデータに一致する既存の一般的なDLPのデータタイプを定義します。 DLPエンジンがEDMプロファイルデータに一致するようにコンテンツをスキャンする場合、まず既存のデータタイプとコンテンツを一致させ、次に一致がある場合のみプロファイル内の特定のデータを確認します。 たとえば、エンジンはまず一般的なクレジットカードのデータパターンと一致させ、次に特定のクレジットカード番号を探します。 これにより、EDMデータスキャンの効率が向上します。

EDMプロファイルのデータセキュリティを理解する

EDMプロファイル用のデータセットをインポートするとき、すべてのデータはCatoクラウドにアップロードされる前にユーザーのブラウザによってハッシュされます。 DLPエンジンがハッシュされたデータをコンテンツと比較して一致を探す場合、最初に同じアルゴリズムを使用してコンテンツをハッシュします。 この方法により、明確なテキストデータをアップロードまたは保存せずに、DLPエンジンはEDMプロファイルとの一致を識別することができます。

インポートされたデータセットファイルの要件

データ漏洩防止のEDMは以下の要件を満たすインポートされたデータセットファイルをサポートします:

  • ファイルは次のいずれかの形式でなければなりません:CSV、TSV、PSV、SSV、HSV、TXT

  • サポートされている区切り文字には以下の文字が含まれます:

    • コンマ (,)
    • パイプ (|)
    • タブ
    • セミコロン (;)
    • コロン (:)
    • ハイフン (-)
    • 番号記号 (#)
    • キャレット (^)
    • 感嘆符 (!)
    • アットマーク (@)
    • ドル記号 ($)
    • パーセント記号 (%)
    • アンパサンド (&)
    • スラッシュ (/)
  • サポートされるファイルサイズは最大8 MBです

これは、EDMプロファイルに使用できるデータセットCSVファイルの例です:

DLP_-_EDM_Sample_CSV.png

EDMプロファイルの作成

新しいEDMプロファイルを作成し、コンテンツのマッチング用の特定データを含むデータセットファイルをアップロードします。 最大2つまでのデータ列を選択し、プライマリ列を定義します。 各選択列に対して、その列のデータに一致する既存のデータタイプを定義します。 これは、事前定義済みまたはユーザ定義データタイプである可能性があります。

DLP_-_EDM_Page.png

EDMプロファイルを作成するには:

  1. ナビゲーションメニューからセキュリティ > データの種類 & プロファイルを選択し、DLPプロファイルタブでEDMプロファイルを選択してください。

  2. 新規作成をクリックしてください。 正確なデータマッチプロファイルを追加するパネルが開きます。

    DLP_-_EDM_New_Panel.png

  3. プロファイル名説明を入力してください。

    プロファイル名は、他のEDMプロファイルやその他のカスタムデータタイプで使用されていない独自の名前である必要があります。

  4. スキーマとプロファイル用の正確なデータを含むファイルをアップロードするには、ドラッグアンドドロップまたはブラウズします。 アップロードが完了すると、次の情報を含むファイルが読み込まれましたメッセージが表示されます:

    • ファイルで検出されたデータ行数
    • 検出されたデリミタ
  5. プロファイルに含めるファイル列を選択します。最大2列まで選択できます。

  6. 各選択列に対して、次の内容を設定します:

    1. 列内のデータのデータ種類。 各列に対して、1つの事前定義済みデータタイプまたはユーザ定義データタイプを選択できます。
    2. 列がプライマリかどうか。 1つの列のみプライマリとして定義でき、他の列は自動的にセカンダリとして設定されます。
  7. 保存をクリックしてください。

ユーザ定義データタイプのベストプラクティス

  • ポリシーを実行するか、ブロックアクションと共に新しいアプリケーションを追加すると:

    • ルールにモニターアクションを使用します。
    • ルールが生成するイベントを確認し、許可したいトラフィックにイベントがないことを確認します(偽陽性トラフィック)。

    • 偽陽性トラフィックがある場合、次の変更を行うことができます:

      • 偽陽性トラフィックを除外するためにルールのスコープを精査します
      • ブロックルールの前に新しい許可ルールを作成し、新しいルールのスコープは偽陽性トラフィックのみに限定されます
  • アプリケーション制御ポリシーが順序付けられたポリシーであり、最終的な暗黙のルールは“任意 任意 承認する”であることを忘れないでください。 関連するアプリケーショントラフィック、アクティビティ、基準をブロックするためにポリシーにルールを追加します。

既知の制限

  • アカウントに最大15のEDMプロファイルを作成できます
  • EDMプロファイルのDLPコンテンツマッチングにはOCRスキャンがサポートされていません
  • ファイル要件については、What is the Cato DLP Service? を参照してください。
  • Base64エンコードされたファイルはサポートされておらず、DLPエンジンはこれらのファイルのコンテンツを検査できません。

この記事は役に立ちましたか?

0人中0人がこの記事が役に立ったと言っています

0件のコメント