データ制御ポリシーの作成

この記事では、アプリケーション制御ページを使用して、アカウントのデータ損失防止 (DLP) データ制御ポリシーを設定する方法について説明します。

データ制御ポリシーの概要

データ制御ポリシーを使用すると、組織内および組織外でデータとコンテンツがどのように転送および移動するかを検査するルールを定義できます。 アプリケーション制御ページは、CASBアプリ制御、ファイルタイプ制御、およびDLPデータ制御の3種類のルールをサポートしています。 データ制御ルールには、コンテンツ検査のための追加設定が含まれています:

  • ファイル属性 - Microsoft Office、実行ファイル、ソースコードなど多様なカテゴリにわたって40以上の異なるファイルタイプをサポートします。 さらに、特定のファイルサイズ範囲にのみ一致するようにルールを絞り込むことや、暗号化ファイルに一致するようにルールを設定することができます。

  • DLPコンテンツプロファイル - これらのプロファイルは、PII、金融、医療データを含む30ヵ国以上の言語において350以上のデータタイプに基づいてコンテンツを検査することができます。

アプリケーション制御ポリシーは、アプリケーションやカテゴリに対して必要な基準とアクティビティを定義する順序付きルールベースです。 各ルールは、1つのアプリケーションまたは1つのカテゴリを定義します。 一度ルールがトラフィックに一致すると、より低い優先度のルール(一致するルールの下にあるもの)はトラフィックに適用されません。

ルールベースの最終ルールは、暗黙のANY - ANY許可ルールであるため、接続がルールに一致しない場合、最終の暗黙ルールによって許可されます。

暗号化ファイルのDLP保護

DLPエンジンは、暗号化されたファイルを識別してブロックする能力を持っています。 これにより、ユーザーがパスワードで保護されたファイルに隠された機密データをアップロードまたはダウンロードするのを防ぐことで、情報を保護するのに役立ちます。 DLPエンジンは暗号化ファイルの内容をスキャンしませんが、それを暗号化されたものとして識別し、関連するルールアクションを適用します。 エンジンがファイル内容をスキャンしないため、ルールアクションは、ルールで設定されているコンテンツプロファイルに関係なく、すべての暗号化ファイルに適用されます。 組織のニーズに応じて、暗号化ファイルを許可またはブロックするルールを定義できます。

DLPエンジンによって検出された暗号化ファイルには、次のタイプのパスワード保護されたファイルが含まれます:Word、Excel、PowerPoint、ZIP、およびPDF

複数の管理者によるポリシーの修正と同時編集

データ制御ポリシーは、異なる管理者がポリシーを並行して編集することを可能にします。 各管理者はルールを編集し、独自のプライベートリビジョンにルールベースへの変更を保存し、それをアカウントポリシー(公開済みリビジョン)に公開できます。 ポリシーの修正を管理する方法についての詳細は、ポリシー修正の操作を参照してください。

前提条件

  • データ制御ルールでは、コンテンツを検査するためにTLSインスペクションが有効である必要があります。

    • Catoの詳細なTLS監視ポリシーでは、データ制御ルールに関連するトラフィックのみを検査するルールを作成できます。

  • アプリケーション制御ポリシーはCASBライセンスに含まれています。 アプリケーション制御ポリシーでデータ制御ルールを有効にするには、DLPライセンスも必要です。

    上記のライセンスの購入に関する詳細は、Catoの担当者にお問い合わせください。

既知の制限事項

  • ファイル要件についての詳細は、Cato DLPサービスとは?を参照してください。

  • DLPエンジンは、検査に10秒を超える時間がかかる場合、ファイルをバイパスします。

  • Microsoft Copilotを使用する場合、DLPはファイルのアップロードのみをサポートし、プロンプトはサポートしません。

  • データ制御ルールでのコンテンツ検査をサポートしていないこれらのアプリ:

    • Bitbucket

    • GitHub

    • WhatsApp

アプリとデータインライン保護ルールベースのDLPの理解

アプリケーション制御ページでデータ制御ルールを使用して、会社のDLPポリシーを実装し、Cato Cloudのセキュリティスタックによってブロックされるコンテンツを定義します。 このセクションでは、データ制御ルールに特有のフィールドと設定について説明します。 アプリ制御ルールに関連するルールと設定の詳細については、アプリケーション制御ポリシーの管理を参照してください。

Data_Control_Rules_-_Callouts.png

アイテム

説明

1

ポリシー内のアプリ制御ルールを有効または無効にする

2

ポリシー内のデータ制御ルールを有効または無効にする

3

新しいアプリ制御ルールまたはデータ制御ルールを作成する

4

ルールのタイプを示すアイコン:

  • Data_Control_Icon.png データ制御ルール

  • App_Control_Icon.png アプリ制御ルール

5

基準列は、このルールに一致するDLPコンテンツプロファイルを表示します

DLPコンテンツプロファイルは、セキュリティ > DLPプロファイルで設定されます

データ制御ルール設定

データ制御ルールには以下のセクションがあります:

  • 一般 - ルールに割り当てる名前とセベリティ。 また、ルールを有効または無効にすることができます。

  • アプリケーション - このルールに一致する事前定義されたアプリケーション、カテゴリ、カスタムアプリケーション、または承認済みアプリケーション。 サポートされているアプリケーションのみが、事前定義されたアプリケーションのリストに表示されます。

  • アクティビティ - データ制御ルールのアクティビティは、DLPポリシーの実装を容易にするために簡略化されています。 ルールが上りトラフィックまたは下りトラフィックのどちらに対しても適用されるかどうかを選択します。

    • アプリケーションについては、アクションが適用されるマッチングアクティビティを選択します。詳細については、Cato DLPサービスとは?を参照してください。

      注意

      注意: アプリケーションルールの場合、ルールに一致するトラフィックを検査するにはTLS検査を有効にする必要があります。

    • カテゴリの場合、アクションが適用される一致するアクティビティまたは基準を選択します。

    各ルールに対してアクティビティを定義する必要があります。

  • ファイル属性 - このルールに一致するデータのコンテンツタイプとファイルサイズを定義し、アイテム間にANDおよびORの関係があるかどうかを確認します。

    • コンテンツ タイプ - ドロップダウンメニューには、サポートされているすべてのファイルコンテンツ タイプがファイル拡張子と例と共に表示されます

    • コンテンツサイズ - 詳細については、Cato DLPサービスとは?を参照してください。

    • コンテンツ暗号化 - ルールアクションはすべての暗号化ファイルに適用されます。 暗号化されたファイルのコンテンツはDLPエンジンでスキャンできません。

  • DLPプロファイル - DLPエンジンは350以上のデータタイプを識別できます。詳細は、DLPコンテンツプロファイルの作成を参照してください。 データタイプ間のANDまたはORの関係でプロファイルを設定できます。

  • アクセス方法 - アカウントに接続できるホストおよびデバイス上のユーザーエージェントの要件です。

  • ソース - このルールに対するトラフィックの発信元です。

    • ソースに設定して、IPジオロケーションに基づいてその国から発信するトラフィックを強制するルールを作成できます

    • ルールに関する他のソースアイテムについては、ルールオブジェクトの参照を参照してください。

  • 時間 - ルールがアクティブになる時間を定義します。

  • アクション - ルールに一致するトラフィックに指定されたアクションを適用します。 イベントと電子メール通知のための追跡オプションも定義します。

データ制御ルールの設定

新しいデータ制御ルールを作成しルールの設定を構成し、組織のDLPデータ制御ポリシーを実装します。

時間オプションでルールが有効になる時間範囲を定義します。 ルールに対してカスタムオプションを設定するか、アカウントに定義されたデフォルトの就業時間を選択できます。

新しいデータ制御ルールを作成するには:

  1. ナビゲーションメニューから、セキュリティ > アプリ & データインラインを選択します。

  2. データ制御が有効かどうか確認してください(緑が有効、灰色が無効)。

  3. 新規 > データ制御ルールをクリックします。

    データ制御ルールパネルが開きます。

  4. 一般セクションを展開し、以下の設定を行います:

    1. ルールの名前を入力します。

    2. スライダーを使用してルールを有効または無効にします(緑が有効、灰色が無効)。

    3. セベリティを選択します。

      セベリティはこのルールのイベントおよび監視分析で使用されます。

  5. アプリケーションセクションであらゆるアプリケーションを選択するか、特定のアプリケーションまたはカテゴリにコンテンツ検査を限定することもできます。

    • ルールであらゆるアプリケーションを選択すると、インターネットおよびWANトラフィックを含むすべてのHTTP/Sアプリケーショントラフィックにルールが適用されます。クラウドアプリケーションとWAN上のアプリケーショントラフィックの両方に適用されます。

  6. アクティビティセクションを展開し、以下の設定を行います:

    1. アクティビティを追加をクリックし、ルールのアイテムを選択します。

    2. アクティビティセクションに複数のアイテムがある場合は、満たすのドロップダウンメニューで、アイテム間の関係を定義します:

      • どれか (OR) - どのアイテムがトラフィックに一致しても、ルールが適用されます

      • すべて (AND) - すべてのアイテムがトラフィックに一致した場合、ルールが適用されます

  7. ファイル属性セクションでは、特定のファイル種類とファイルサイズにのみコンテンツ検査を限定することができます。

    ファイル属性設定を構成しない場合、すべてのサポートされるファイルタイプとサイズを検査します。

    1. ファイル属性を追加をクリックし、コンテンツタイプコンテンツサイズ、またはコンテンツ暗号化を選択します。

    2. ファイル属性項目の設定を定義します。

    3. 複数のアイテムに対して、それらの間の関係を定義します(上記6bを参照してください)。

  8. DLPプロファイルセクションで既存のコンテンツインスペクションプロファイルを追加し、このルールに一致するデータタイプを定義します。

    ルールに複数のDLPプロファイルがある場合、それらの間にはANDの関係があります。

  9. アクセス方法セクションを展開し、ユーザーエージェントの要件を定義します。

    複数のアイテムがある場合、それらの間にはANDの関係があります。

  10. ソースセクションを展開し、トラフィックのソースとしてルール用に1つ以上のオブジェクトを選択します(またはIPアドレスを入力できます)。

    種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。

  11. (オプション) 時間セクションを展開し、ルールがアクティブになるときを定義します。

    時間制限なしを選択して、ルールを常にアクティブに設定します。

  12. アクションセクションを展開し、以下の設定を行います:

    1. このルールのアクションを選択します。 オプションは許可ブロック、およびモニタです。

    2. (任意) トラッキングオプションを設定してイベントを生成し、通知を送信します。 頻度は最初の通知が送信された後にカウントを開始します。

      通知に関する詳細については、アラート セクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する記事を参照してください。

  13. 適用をクリックします。

DLP失敗モードを設定する

DLP失敗クローズ設定を有効または無効にします。 有効にすると、データ制御ポリシーは、ファイルスキャンがタイムアウトしたり、他の問題で完了できない場合に、デフォルトでブロックアクションを強制します。 デフォルトでは、DLP失敗クローズ設定は無効になっています。 DLPフェイルモードの詳細については、Cato DLPサービスとは?を参照してください。

DLP_Fail_Mode.png

DLP失敗モードを設定する:

  1. ナビゲーションメニューからセキュリティ > データの種類 & プロファイルを選択し、設定タブで一般を選択します。

  2. toggle.png をクリックして、アカウントの DLP Fail Closeを有効にすると、ファイルスキャンがタイムアウトしたり、他の問題で完了できない場合のデフォルトアクションがブロックに設定されます。 設定を有効化する(緑)。

  3. 保存をクリックしてください。 DLP失敗クローズ設定がアカウントに適用されます。

データ制御イベントの解析

イベントページには、アカウントのすべてのデータ制御イベントが表示されます。 これらのセキュリティイベントはサブタイプ、アプリケーションセキュリティです。

ネットワークのイベントページの使用について、ここで学ぶことができます。

これらはアプリケーション制御に固有に関連する項目です:

フィールド名

説明

DLPプロファイル

この接続に一致したDLPコンテンツプロファイル

ファイル名

DLPエンジンによってスキャンされたファイルの名前

ファイルサイズ

DLPエンジンによってスキャンされたファイルのサイズ(バイト)

ファイルタイプ

ファイルのコンテンツタイプ(アーカイブやMicrosoft Officeなど)

ユーザ通知

アクティビティがデータ・コントロール・ルールによってブロックされる場合、ユーザーに対してどのアプリがブロックされ、なぜブロックされたのかを通知するように設定できます。 各種通知の内容とブランディングをカスタマイズして、組織の要件に合わせることができます。

これは、Windowsデバイスでのデフォルトの通知の表示です。

Notificationa.png

これは、iOSデバイスでのデフォルトの通知の表示です。

iOS_not.png

ユーザ通知のための必須条件

  • サポート開始:

    • Windowsクライアント v5.10 以上

    • macOSクライアントv5.7以上

    • iOSクライアントv5.4以上

  • ユーザーはリモートで接続されている必要があります

  • デバイスで通知が有効にされている必要があります

ユーザ通知を有効化する

データ制御ルールによってアクティビティがブロックされた場合、ユーザーはシステム通知を受け取るように有効化することができます。

ユーザー通知を有効にするには:

  1. ナビゲーションメニューからアクセス > クライアントアクセス > セキュリティポリシー通知を選択します。

  2. セキュリティポリシー通知を有効にするチェックボックスを選択します。

  3. 保存をクリックしてください。

ユーザ通知をカスタマイズする

なぜアクションがブロックされたのかをユーザーに指導するために、複数の通知テンプレートを作成し、ポリシールールに割り当てることができます。 これにより、特定の使用ケースに合わせたコンテキスト通知を、施行時に提供できます。 詳しくは、Creating User Notification Templates を参照してください。

この記事は役に立ちましたか?

6人中5人がこの記事が役に立ったと言っています

0件のコメント