データ保護APIとは何ですか？

この記事では、Catoのバンド外データ保護APIサービスの概要と、承認済みSaaSクラウドアプリへのトラフィックを監視および制御するための背景情報を提供します。

注意

注: データ保護ポリシーの使用に関する詳しい情報については、SaaSecAPI@catonetworks.com または公式の Cato リセラーにお問い合わせください。

データ保護APIの概要

データ保護APIは、承認済みのクラウドアプリに対するバンド外の可視性と制御を提供します。その他のセキュリティ機能（CASBなど）は、Cato Cloudを介するトラフィックのみを制御および監視できます。データ保護APIは、リモートユーザーがクラウドアプリに直接接続する際のトラフィックを監視し、対応する機能も提供します。これは、SDPクライアントを使用してCato Cloudを介してトラフィックを送信していない場合でも適用されます。

データ保護APIは、TLSインスペクションを使用せずに接続の内容を検査します。これは、TLSインスペクションが有効になっていないアカウントには特に有益です。ただし、TLSインスペクションを使用しているアカウントでも、証明書ピンニングに関連する問題のため、一部のクラウドアプリは検査できません。データ保護APIは、CatoのインラインCASBおよびDLPソリューションを補完し、最高のセキュリティカバレッジを提供します。

一部のアプリでは、コネクタのために脅威保護ルールを作成し、ファイルと添付ファイルをマルウェアとウイルスのためにスキャンすることでバンド外のマルウェア対策保護を提供できます。これには、アカウントで有効化されたマルウェア対策エンジンと次世代マルウェア対策エンジンが使用されます。データ保護APIエンジンは、コネクタのトラフィックをスキャンし、ルールのために設定したアクションとトラッキングのオプションを適用します。

前提条件

コネクタを追加するには、統合（リソースセクション）とアプリ＆データAPI保護（アプリ＆データ制御セクション）に対する編集者権限が必要です。詳細情報は、RBACを使用した管理者ロールの管理を参照してください。

アカウントでデータ保護APIを実装する

これは、データ保護APIを実装する手順の高レベルの概要です。

関連するクラウドアプリケーションのためのコネクタを作成します。

Microsoftアプリケーションの場合、Microsoft 365親コネクタを作成し、その後に各アプリの子コネクタを作成する必要があります。
データ保護APIがスキャンする機密データを定義するデータ漏洩防止コンテンツプロファイルを作成します（または確認）（データ漏洩防止コンテンツプロファイルの作成）。
データ保護ポリシーのルールを作成する。

サポートされているデータ保護APIエンドポイントコネクタ

Catoは幅広いアプリケーションをサポートし、そのリストを継続的に拡張しています。対応しているアプリケーションの完全なリストを表示するには、データ保護API を参照してください。

データ保護APIのライセンスの制限

これらはデータ保護ポリシーで使用される任意のコネクタに適用される制限です。特定のSaaSアプリに関する制限については、以下の特定のエンドポイントコネクタの既知の制限を参照してください。

データ保護APIコネクタを編集できません。

回避策 - コネクタを削除して、必要な設定で新しいコネクタを作成します。
ファイル変更が検出されるまで最大15分かかることがあります。
マルウェア対策のスキャンでは、ファイルハッシュによるホワイトリスト登録はサポートされていません。
フォルダおよびディレクトリの権限変更はスキャンされません。
グループに対するアクション（たとえば、グループとのファイル共有）はスキャンされません。
DLPおよびマルウェア対策のスキャンで対応可能な最大ファイルサイズは500MBです。
データ漏洩防止およびマルウェア対策スキャンでは、データ保護APIはCato DLPおよびマルウェア対策エンジンがサポートするファイルタイプのみをサポートします。
データ保護APIルールが作成、削除、編集されると、変更はルール内容に関連する詳細を示さずに監査証跡で追跡されます。
.logファイル拡張子はサポートされていません
GitHubエンドポイントコネクタでは、バイナリファイルはサポートされていません。

特定のコネクタの既知の制限

これらは特定のデータ保護APIコネクタの制限です。

Azure
- コネクタが作成された後に追加された新しいユーザーはスキャンされません。
  
  回避策 - コネクタ用の新規ルールを作成するか、データ保護APIポリシーを無効化して再度有効にします。
Box
- コネクタが作成された後に追加された新しいユーザーはスキャンされません。
  
  回避策 - コネクタ用の新規ルールを作成するか、データ保護APIポリシーを無効化して再度有効にします。
- ルートフォルダに追加された新しいファイルは、スキャンおよびルールアクションが適用されるまで最大24時間かかることがあります。サブフォルダのファイルはアップロード後すぐにスキャンされます。
- 1テナントにつきサポートされるコネクタは1つのみです。（MicrosoftおよびGoogleコネクタは1テナントにつき複数のコネクタをサポートします）
Exchange
- メールアクティビティをスキャンするルールの場合、イベントには添付ファイルも含まれることがあります（ファイルがポリシーに一致しなくても）。
Google Drive
- Google Driveコネクタは商用アカウントのみサポートされています。
OneDrive
- 同じリソースに対するSharePointおよびOneDriveコネクタが存在する場合、各コネクタは同じアクションに対して個別のイベントを生成します。
- One Driveはファイルの変更を示すのに最大5分かかる場合があり、イベント生成に遅延を引き起こす可能性があります。
Sharepoint
- Documents ディレクトリのみがスキャンされます。
- 同じリソースに対してSharePointとOneDriveコネクタが存在する場合、各コネクタは同じアクションに対して別々のイベントを作成します。
Slack
- 1テナントにつき1つのコネクタのみサポートされます。 (MicrosoftとGoogleのコネクタは、1テナントあたり複数のコネクタをサポートしています)
- 公開および共有チャンネルのみがサポートされます。