Catoデータ損失防止(DLP)は、トラフィックを検査し、ユーザーがSaaS、非公開アプリケーション、Webリソースにアクセスする際に機密情報を識別および制御します。 このサービスは、完全な可視性とガバナンスのために2つの補完的な検査方法を使用します。 データ保護インラインとデータ保護APIは異なるシナリオで独立して動作しますが、すべてのユーザータイプにわたって一貫した検出を確保するために同じ基本分類エンジンに依存しています。
-
データ保護インラインは、Catoポップを通じてルーティングされるリアルタイムトラフィックにDLP検査を適用します。 インライン保護は、管理されたユーザーとサイトトラフィックをカバーし、SaaS、非公開アプリケーション、およびWeb宛先にDLPルールを強制します。 TLSインスペクションは、暗号化されたセッションを分析するために必要です。
インライントラフィックフローは、上記の例の左側に表示されています。
-
データ保護APIは、Cato Cloudを通じてトラフィックがルーティングされていない場合でも、承認されたSaaSアプリへのDLPカバレッジを拡張します。 API統合を通じて直接、ファイルのアップロード、共有、変更などのユーザー主導のアクションを監視し、管理されていないデバイス、スプリットトンネル接続、またはCatoクライアントを使用せずにアプリにアクセスするユーザーに可視性を提供します。 APIは、SaaSプラットフォーム内のデータを移動中に検査しますが、保存中のファイルをスキャンすることはありません。
APIのバンド外トラフィックフローは、上記の例の右側に表示されています。
Cato XOpsサービスは、インラインおよびAPI検出を関連付けて、DLPイベントの運用コンテキストを提供します。 各ストーリーは、ユーザー、アプリ、アクションシーケンス、宛先などの関連アクティビティを集約し、機密データがどのように環境を移動したかを示します。 この関連付けにより、管理者は、意図しない共有、ポリシー違反、または異常なデータ処理を迅速に特定できます。
CatoのDLPエンジンは、データ保護インラインとデータ保護APIの両方で使用される一貫した分類フレームワークを提供します。 各施行方法は、すべてのアクセスパスにわたって機密情報の正確な検出を確保するために、個別のポリシーを使用します。
データ保護インラインとデータ保護APIは異なるポリシーを使用しますが、正確な検出を確保するために同じデータ分類フレームワークと検出方法を共有します。
Microsoft PurviewおよびGoogle Sensitivity Labelsと統合することで、シームレスなデータガバナンスを確保できます。 これらのソリューションをすでにデータ分類およびラベリングに使用している顧客は、それらをインライン保護とデータ漏えい防止に活用できます。
詳細については、Using MIP Sensitivity Labels in your Cato DLP PolicyおよびUsing Google Labels with the Data Protection APIを参照してください。
Catoの分類フレームワークは、DLPプロファイルを中心に構築されており、組織内の機密コンテンツを表すデータ識別子を定義します。
- 定義済みデータ型: 一般的な規制および機密情報のための組み込みの識別子、グローバルなPIIフォーマット、金融データ、医療データ、HR書類、およびコンプライアンス主導のカテゴリなど。
- カスタムデータ型: 組織固有の要件に分類を拡張するユーザー定義のデータ識別子。
Catoはいくつかの検出技術を適用して、機密データを正確に識別します。
- Cato PoPにおけるGPUハードウェアによって加速された機械学習およびLLMベースのモデルは、文書全体を分類し、既知の機密カテゴリとの意味的な関連性と類似性を分析します。 管理者は、CMA内でカスタムLLM分類器を直接アップロードしてテストすることができます。
- 画像ML分類器は、画像内のピクセルを分析して、それが何を含むかを決定する機械学習モデルです。 これらはコンピュータビジョンの広範な領域の一部です。
- LLMトピック分類器は、LLMベースのモデルを使用してテキストの意味とコンテキストを理解します。 トピック、テーマ、構造、または書体に基づいて文書を分類します。
- Exact Data Match (EDM)は、承認済みデータセットに対して機密値を検証し、構造化された組織固有のコンテンツに対する偽陽性を減少させます。
- 光学文字認識(OCR)は、画像、スキャンされた文書、およびスクリーンショットからテキストを抽出し、テキストベースの検査を迂回する試みを防ぎます。
- 正規表現とキーワードマッチングは、規制されたデータ項目や内部識別子に関連するパターンを検出します。
詳細については、DLPコンテントプロファイルの作成、DLP用カスタムデータタイプでの作業、およびDLP用Exact Data Matching (EDM)での作業を参照してください。
データ保護インラインは、Catoポップを通じてルーティングされるトラフィックとして、移動中のデータにDLP検査を適用します。 ネットワーク層で動作するため、インライン検査はCato Cloudを完全にルーティングされたトラフィックに対して決定論的でリアルタイムの施行を提供します。
インライン施行は、以下に適用されます。
- Cato対応サイトを通じて接続されたオフィスユーザー
- Catoクライアントを通じて接続されたリモートユーザー
- サイトからクラウドおよびサイトからインターネットへのフローがリアルタイムで検査されます
インラインDLPには、データポリシーがCato Cloud上のトラフィックにどのように適用されるかに影響を与える特定の運用要件と動作があります。
- TLSインスペクションは暗号化されたコンテンツ、例えばHTTPSセッションを分析し、SaaS、非公開アプリケーション、またはWebトラフィック内の機密コンテンツを検査できるようにするために必要です。
- ブロック、アラート、編集の施行アクションは、トラフィックが評価されるとすぐに適用されます。
詳細については、Cato DLPサービスとは?を参照してください。.
データ保護APIは、Cato Cloudをトラバースしないときに、承認されたSaaSアプリケーションへのDLP検査を拡張します。 アプリケーション固有のコネクタを使用して、SaaSアクティビティをAWSにホストされているCato DLPエンジンに送信し、検査します。
APIコネクタは、App & Data API Protection(Security > App & Data API Protection)で定義されたOAuthベースの統合を使用します。 サポートされているアプリには、Microsoft 365、Google Workspace、Salesforce、その他があります。 サポートされているアプリの完全なリストについては、データ保護APIを参照してください。
データ保護APIは、以下にDLPの可視性を提供します。
- 未管理デバイス
- 分割トンネルやローカルでルーティングされたSaaSトラフィック
- CatoクライアントまたはZTNAライセンスなしのユーザー
SaaSアクション、たとえばファイルのアップロード、共有、権限の変更などに対して、APIエンジンはインラインDLPで使用されるものと同じ分類ロジックを適用し、一貫した機密コンテンツ検出を可能にします。
- ファイルアップロード
- 外部または公開共有
- 権限変更
- 規制データを含む変更
管理者は、CMAのデータ保護APIダッシュボードを使用してSaaSアクティビティを監視し、違反を掘り下げて関連するデータとコンテキストを確認できます。
詳細については、データ保護APIとは?を参照してください。.
Catoのデータ保護アーキテクチャは、ユーザーがどのように接続するかまたはデータがどこでアクセスされるかに関係なく、管理デバイスと非管理デバイスの両方に対して統一されたカバレッジを提供します。 インラインおよびAPI保護は連携して、一般的な可視性と制御のギャップを解消します。 これにより、信頼できるネットワーク上の企業のデバイスから直接SaaSにアクセスする非管理デバイスまで、すべての使用シナリオで機密データが保護され続けます。
管理デバイスは、Cato接続されたサイトの背後にあるか、Catoクライアントを使用してCato Cloudを介してトラフィックを送信します。 これらの場合、Catoポップに基づくインラインDLPが、ユーザーがSaaS、非公開アプリケーション、およびWebリソースにアクセスする際に移動中のデータを検査します。
管理者は、どのアプリケーションが検査されるか、機密データがどのように処理されるかを制御するアプリレベルの制限を適用し、ユーザーがCatoクラウドに接続されているときのみSaaSアプリにログインすることを強制できます。
選択的オンランプ構成により、選択されたトラフィックのみをCato Cloudを通じてルーティングし、特に検査が必要なフローにインラインDLP施行が適用されるように確認できます。
Catoは、インラインおよびAPIベースのデータ保護を専用のルールベースに分離し、ユーザーがアプリケーションにアクセスする方法と検査が必要な場所に合わせて管理者がコントロールを調整できるようにしています。 この構造により、各施行パスを最大限に関連性と可視性に基づいて洗練することができます。
管理者は、ユーザーがアプリケーションにアクセスする方法と検査が必要な場所に合わせて制御が調整されるように、インラインおよびAPI DLPポリシーを個別に設定します。
- インラインDLPポリシールールは、セキュリティ > アプリ & データ インラインで設定され、管理者がどのアプリケーション、ユーザー、宛先がインライン検査の対象になるかを定義します。
- APIベースのDLPポリシールールは、セキュリティ > アプリ & データ API保護で設定され、SaaSコネクタとイベント駆動型のルールが管理されます。
- 同じDLPプロファイルとデータの種類を両方のポリシーで使用することができます。
施行アクションは、検出された機密データがどのように処理されるかを決定し、インラインおよびSaaSベースの違反を即時に管理する手段を管理者に提供します。
- ブロックは、検査されたインラインフローを通じて組織から機密データが流出するのを防ぎます。
- アラートは、アクションをブロックせずにイベントをログに記録し、使用パターンの可視性を提供します。
- 隔離は、APIベースの保護を介してサポートされているSaaSアプリケーションに利用可能で、機密ファイルを管理者がレビューできる制限付きロケーションに移動します。
CMAにはポリシータイプごとに専用のダッシュボードが含まれており、管理者が違反を迅速に特定し、アクティビティを調査し、機密データが環境全体をどのように移動するかを理解するのに役立ちます。
-
インラインDLPイベントは、「App & Data Inline Dashboard」に表示され、管理者は違反をフィルタリング、ソート、調査できます。 詳細については、「データ保護インラインダッシュボードの使用」を参照してください。
- 事件のコンテキストをすばやく理解し、潜在的なデータの露出を評価し、偽陽性を検証するために、イベントから直接証拠を表示できます。 詳細情報は、証拠を使用したDLP違反の調査を参照してください。
- データ保護APIダッシュボードは、ファイルアップロード、共有、および権限変更など、SaaS特有のアクティビティの可視性を提供します。 詳細については、データ保護APIダッシュボードの使用を参照してください。
Cato XOpsサービスは、インラインとAPIの検出を統合のストーリーとして関連付け、管理者が機密データ移動のクロスチャネルパターンを調査できるようにします。
Cato XOpsは、データ保護インラインおよびデータ保護APIの両方からの検出を統合のストーリーとして関連付けることで、DLP調査を強化します。 この関連付けにより、Catoポップでインラインで検査されたネットワークトラフィックおよびAPIコネクタを通じて検査されたバンド外のSaaSアクティビティの機密データ移動の単一ビューが提供されます。 DSPMと統合することで、データセンターなどでのデータ休止の可視性も提供されます。
XOpsストーリーごとに、アクティビティに関与するユーザー、アプリケーション、アクション、宛先が含まれます。 この統合されたコンテキストは、管理者が機密データがネットワークを通過したか、SaaSプラットフォーム内で移動したかに関係なく、どのようにアクセスまたは共有されたかを理解するのに役立ちます。 例えば、XOps UEBA異常エンジンは、典型的なユーザーやデバイスの行動からの逸脱を分析し、予期しないSMBアップロードやSSHファイル転送などのリスクを明らかにします。 これらの行動は、通常のデータ処理プロセスをバイパスしようとする試みを示している可能性があります。
リソース記事:
XOpsは、DLPイベントと他のCatoセキュリティサービスからの検出を関連付け、管理者がマルチベクトル攻撃を識別できるようにします。 例えば、IPSはデバイス上のマルウェア活動を検出し、潜在的な侵害を示します。 その直後、インラインまたはAPI DLPエンジンが、同じデバイスから外部サーバーへの顧客データのエクスフィルトレーションの試みをフラグします。 XOpsはこれらの検出を一つのストーリーにリンクし、マルウェアの指標とデータ転送の試みの両方を示します。 このストーリーは、SOCセンターのチームに脅威進行のスコープに対する完全な可視性を提供し、迅速かつ正確に対応するのに役立ちます。
0件のコメント
サインインしてコメントを残してください。