この記事では、アプリケーション制御ページを使用して、アカウントのデータ損失防止 (DLP) データ制御ポリシーを設定する方法について説明します。
データ制御ポリシーを使用すると、組織内および組織外でデータとコンテンツがどのように転送および移動するかを検査するルールを定義できます。 アプリケーション制御ページは、CASBアプリ制御、ファイルタイプ制御、およびDLPデータ制御の3種類のルールをサポートしています。 データ制御ルールには、コンテンツ検査のための追加設定が含まれています:
- ファイル属性 - Microsoft Office、実行ファイル、ソースコードを含む多種多様なカテゴリで40以上の異なるファイルタイプをサポート さらに、特定のファイルサイズ範囲にのみマッチするようにルールを調整したり、暗号化されたファイルにマッチするようにルールを設定したりできます。
- DLPコンテンツプロファイル - これらのプロファイルは、PII、金融データ、医療データを含む30以上の国と言語に基づいた350以上のデータタイプに基づいてコンテンツの検査を定義できます
アプリケーション制御ポリシーは、アプリケーションやカテゴリに対して必要な基準とアクティビティを定義する順序付きルールベースです。 各ルールは、1つのアプリケーションまたは1つのカテゴリを定義します。 一度ルールがトラフィックに一致すると、より低い優先度のルール(一致するルールの下にあるもの)はトラフィックに適用されません。
ルールベースの最終ルールは、暗黙のANY - ANY許可ルールであるため、接続がルールに一致しない場合、最終の暗黙ルールによって許可されます。
DLPエンジンは、暗号化されたファイルを識別してブロックする能力を持っています。 これにより、ユーザーがパスワードで保護されたファイルに隠された機密データをアップロードまたはダウンロードするのを防ぐことで、情報を保護するのに役立ちます。 DLPエンジンは暗号化ファイルの内容をスキャンしませんが、それを暗号化されたものとして識別し、関連するルールアクションを適用します。 エンジンがファイル内容をスキャンしないため、ルールアクションは、ルールで設定されているコンテンツプロファイルに関係なく、すべての暗号化ファイルに適用されます。 組織のニーズに応じて、暗号化ファイルを許可またはブロックするルールを定義できます。
DLPエンジンによって検出された暗号化ファイルには、次のタイプのパスワード保護されたファイルが含まれます:Word、Excel、PowerPoint、ZIP、およびPDF
データ制御ポリシーは、異なる管理者がポリシーを並行して編集することを可能にします。 各管理者はルールを編集し、独自のプライベートリビジョンにルールベースへの変更を保存し、それをアカウントポリシー(公開済みリビジョン)に公開できます。 ポリシーの修正を管理する方法についての詳細は、ポリシー修正の操作を参照してください。
-
データ制御ルールでは、コンテンツを検査するためにTLSインスペクションが有効である必要があります。
- Catoの詳細なTLSインスペクションポリシーを使用すると、データ制御ルールに関連するトラフィックのみを検査するルールを作成できます。
-
アプリケーション制御ポリシーはCASBライセンスに含まれています。 アプリケーション制御ポリシーでデータ制御ルールを有効にするには、DLPライセンスも必要です。
上記のライセンスの購入に関する詳細は、Catoの担当者にお問い合わせください。
- ファイルの要件については、Cato DLPサービスとは? を参照してください。
- DLPエンジンは検査が10秒以上かかる場合はファイルをバイパスします。
- Microsoft Copilotを使用する場合、DLPはファイルアップロードのみをサポートし、プロンプトをサポートしません。
-
データ制御ルールでのコンテンツ検査をサポートしていないこれらのアプリ:
- Bitbucket
- GitHub
アプリケーション制御ページでデータ制御ルールを使用して、会社のDLPポリシーを実装し、Cato Cloudのセキュリティスタックによってブロックされるコンテンツを定義します。 このセクションでは、データ制御ルールに特有のフィールドと設定について説明します。 アプリ制御ルールに関連するルールと設定の詳細については、アプリケーション制御ポリシーの管理を参照してください。
| アイテム | 説明 |
|---|---|
| 1 | ポリシー内でアプリ制御ルールを有効または無効にします。 |
| 2 | ポリシー内でデータ制御ルールを有効または無効にします。 |
| 3 | 新しいアプリ制御またはデータ制御ルールを作成する |
| 4 |
ルールのタイプを示すアイコン:
|
| 5 |
基準 列はこのルールに一致するDLPコンテンツ プロファイル を示します。 DLPコンテンツプロファイルは、セキュリティ > DLPプロファイルに設定されています。 |
データ制御ルールには以下のセクションがあります:
- 一般 - ルールに割り当てる名前と重要度を選択します。 また、ルールを有効または無効にすることができます。
- アプリケーション - 事前定義済みアプリケーション、カテゴリ、カスタムアプリケーション、またはこのルールに一致する承認済みアプリ。 サポートされているアプリのみが事前定義済みアプリケーションのリストに表示されます。
-
アクティビティ - データ制御ルールのアクティビティは、DLPポリシーの実装を容易にするために簡略化されています。 ルールが上りトラフィックまたは下りトラフィックのどちらに対しても適用されるかどうかを選択します。
-
アプリケーションについては、アクションが適用されるマッチングアクティビティを選択します。詳細については、Cato DLPサービスとは?を参照してください。
注意
注意: アプリケーションルールの場合、ルールに一致するトラフィックを検査するにはTLS検査を有効にする必要があります。
- カテゴリの場合、アクションが適用される一致するアクティビティまたは基準を選択します。
各ルールに対してアクティビティを定義する必要があります。
-
-
ファイル属性 - このルールに一致するデータのコンテンツタイプとファイルサイズを定義し、アイテム間にANDおよびORの関係があるかどうかを確認します。
- コンテンツタイプ - ドロップダウンメニューには、サポートされているすべてのファイルコンテンツタイプ、ファイル拡張子、および例が表示されます。
- コンテンツサイズ - 詳細については、Cato DLPサービスとは?を参照してください。
- コンテンツの暗号化 - すべての暗号化されたファイルにアクションを適用します。 暗号化されたファイルのコンテンツはDLPエンジンでスキャンできません。
- DLPプロファイル - DLPエンジンは350以上のデータタイプを識別できます。「DLPコンテンツプロファイルの作成」を参照してください。 プロファイルの設定ではデータタイプ間のANDまたはORの関係を設定できます。
- アクセス方法 - アカウントに接続できるホストおよびデバイスのユーザーエージェントの要件。
-
ソース - このルールに対するトラフィックの発信元です。
- ソースを国に設定し、IPジオロケーションに基づいてその国からのトラフィックを強制するルールを作成できます。
- ルールに関する他のソース項目に関する情報は、ルールオブジェクトのリファレンスを参照してください。
- 時間 - ルールがアクティブな期間を定義します。
- アクション - ルールに一致するトラフィックに指定されたアクションを適用します。 また、イベントおよびメール通知のトラッキングオプションを定義します。
新しいデータ制御ルールを作成しルールの設定を構成し、組織のDLPデータ制御ポリシーを実装します。
時間オプションでルールが有効になる時間範囲を定義します。 ルールに対してカスタムオプションを設定するか、アカウントに定義されたデフォルトの就業時間を選択できます。
新しいデータ・コントロール・ルールを作成するには:
- ナビゲーションメニューから、セキュリティ > アプリ & データインライン を選択します。
- データ制御が有効であることを確認してください。(緑が有効、灰色が無効)
-
新規 > データ制御ルールをクリックします。
データ制御ルールパネルが開きます。
-
一般 セクションを展開し、これらの設定を構成します。
- ルールの名前を入力します。
- スライダーを使用してルールを有効または無効にします。(緑が有効、灰色が無効)
-
セベリティを選択します。
セベリティはこのルールのイベントおよび監視分析で使用されます。
-
アプリケーションセクションであらゆるアプリケーションを選択するか、特定のアプリケーションまたはカテゴリにコンテンツ検査を限定することもできます。
- 任意のアプリケーションを選択すると、ルールはすべてのHTTP/Sアプリケーショントラフィックに適用され、クラウドアプリケーションとWANを介したアプリケーショントラフィックの両方が含まれます。
-
アクティビティ セクションを展開し、これらの設定を構成します。
- アクティビティを追加 をクリックし、ルールのアイテムを選択します。
-
アクティビティセクションに複数のアイテムがある場合は、満たすのドロップダウンメニューで、アイテム間の関係を定義します:
- 任意 (OR) - アイテムのいずれかがトラフィックに一致すると、ルールが適用されます。
- すべて (AND) - アイテムのすべてがトラフィックに一致すると、ルールが適用されます。
-
ファイル属性セクションでは、特定のファイル種類とファイルサイズにのみコンテンツ検査を限定することができます。
ファイル属性設定を構成しない場合、すべてのサポートされるファイルタイプとサイズを検査します。
- ファイル属性を追加 をクリックし、コンテンツタイプ、コンテンツサイズ、またはコンテンツの暗号化を選択します。
- ファイル属性アイテムの設定を定義します。
- 複数のアイテムの場合、アイテム間の関係を定義します。(上記6b参照)
-
DLPプロファイルセクションで既存のコンテンツインスペクションプロファイルを追加し、このルールに一致するデータタイプを定義します。
ルールに複数のDLPプロファイルがある場合、それらの間にはANDの関係があります。
-
アクセス方法セクションを展開し、ユーザーエージェントの要件を定義します。
複数のアイテムがある場合、それらの間にはANDの関係があります。
-
ソースセクションを展開し、トラフィックのソースとしてルール用に1つ以上のオブジェクトを選択します(またはIPアドレスを入力できます)。
種類を選択します(例えば:ホスト、ネットワークインタフェース、IP、全て)。 デフォルト値は全てです。
-
(オプション) 時間セクションを展開し、ルールがアクティブになるときを定義します。
時間制限なしを選択して、ルールを常にアクティブに設定します。
-
アクション セクションを展開し、これらの設定を構成します。
- このルールのアクションを選択します。 オプションは許可 およびブロックです。
-
(任意) トラッキングオプションを設定してイベントを生成し、通知を送信します。 頻度は最初の通知が送信された後にカウントを開始します。
通知に関する詳細については、アラートセクションのサブスクリプショングループ、メーリングリスト、およびアラート統合に関する記事を参照してください。
- 適用 をクリックします。
DLP失敗クローズ設定を有効または無効にします。 有効にすると、データ制御ポリシーは、ファイルスキャンがタイムアウトしたり、他の問題で完了できない場合に、デフォルトでブロックアクションを強制します。 デフォルトでは、DLP失敗クローズ設定は無効になっています。 DLPフェイルモードの詳細については、Cato DLPサービスとは?を参照してください。
イベントページには、アカウントのすべてのデータ制御イベントが表示されます。 これらのセキュリティイベントはサブタイプ、アプリケーションセキュリティです。
ネットワークのイベントページの使用について、ここで学ぶことができます。
これらはアプリケーション制御に固有に関連する項目です:
| フィールド名 | 説明 |
|---|---|
| DLPプロファイル | この接続に一致したDLPコンテンツプロファイル |
| ファイル名 | DLPエンジンによってスキャンされたファイルの名前 |
| ファイルサイズ | DLPエンジンによってスキャンされたファイルのサイズ(バイト単位) |
| ファイルタイプ | ファイルのコンテンツタイプ(アーカイブまたはMicrosoft Officeなど) |
アクティビティがデータ・コントロール・ルールによってブロックされる場合、ユーザーに対してどのアプリがブロックされ、なぜブロックされたのかを通知するように設定できます。 各種通知の内容とブランディングをカスタマイズして、組織の要件に合わせることができます。
これは、Windowsデバイスでのデフォルトの通知の表示です。
これは、iOSデバイスでのデフォルトの通知の表示です。
-
サポート開始:
- Windowsクライアント v5.10以上
- macOSクライアント v5.7以上
- iOSクライアント v5.4以上
- ユーザーはリモートで接続している必要があります
- 通知はデバイスで有効にする必要があります
データ制御ルールによってアクティビティがブロックされた場合、ユーザーはシステム通知を受け取るように有効化することができます。
なぜアクションがブロックされたのかをユーザーに指導するために、複数の通知テンプレートを作成し、ポリシールールに割り当てることができます。 これにより、特定の使用ケースに合わせたコンテキスト通知を、施行時に提供できます。 詳しくは、Creating User Notification Templates を参照してください。
0件のコメント
サインインしてコメントを残してください。