付録C: Gmail Prevent(インライン)DLPポリシーを有効にするための手動手順

Gmail用のManual Changes RequiredDLPポリシーの作成中にPrevent (Inline)メッセージを受信した場合は、Google Admin Consoleでこれらの変更を行う必要があります。

ステップ1: ホストの追加

  1. Google Admin Consoleにサインインします。

  2. 左側のナビゲーションパネルから、Apps > Google Workspace > Gmailをクリックします。

  3. Hostsをクリックします。

  4. Add Routeをクリックします。

  5. Nameで、CLOUD-SEC-AV DLP Serviceを入力します。

  6. Specify email server で、Single hostを選択。

  7. ホスト名として[portal identifier]-dlp.checkpointcloudsec.comを入力します。

    ポータル識別子を確認するには、次を参照してくださいEmail Security Tenantのポータル識別子.

  8. ポート番号として25を入力します。

  9. Optionsで、Require CA signed certificateチェックボックスをオフにします。

  10. ここをSave.

ステップ2: インバウンドゲートウェイの更新

  1. 左側のナビゲーションパネルから、Apps > Google Workspace > Gmailをクリックします。

  2. 下にスクロールして、Spam, Phishing and Malwareをクリックします。

  3. Inbound gatewayをクリックします。

  4. Enableを選択し、Gateway IPsAddをクリックして、使用しているCheck Point ポータルテナント(アカウント)のリージョンに対応するIPアドレスまたはIPアドレス範囲を入力します。

    サポートされているIPアドレスの一覧については、次を参照してくださいリージョンごとにサポートされるIPアドレス.

  5. ここをSave.

ステップ3: SMTPリレーホストの追加

  1. 左側のナビゲーションパネルから、Apps > Google Workspace > Gmailをクリックします。

  2. 下にスクロールして、Routingをクリックします。

  3. SMTP relay service の下で、Add Another Ruleをクリック。

  4. ルールの説明を入力します。

  5. Allow Sendersリストで、Any Addressesチェックボックスを選択します。

  6. Authenticationで、次を実行します:

    1. Only accept mail from the specified IP addressesチェックボックスをオンにします。

    2. 使用しているCheck Point ポータルテナント(アカウント)のリージョン。

      サポートされているIPアドレスの一覧については、次を参照してくださいリージョンごとにサポートされるIPアドレス.

      IPアドレスを追加するには:

      1. Addをクリックします。

      2. IPアドレスのDescriptionを入力します。

      3. IPアドレスを入力します。

      4. Enableチェックボックスをオンにします。

      5. ここをSave.

    3. Require SMTP Authenticationチェックボックスをクリアします。

  7. Encryptionの下で、Require TLS encryptionチェックボックスをオンにします。

  8. ここをSave.

ステップ4: グループを追加する

2つのグループを作成する必要があります。

  • check_point_inline_outgoing_policy

  • check_point_monitor_outgoing_policy

- GCDS(Google Cloud Directory Sync)を使用してオンプレミスとクラウドのユーザグループを同期している場合、この同期によりこれらのCheck Pointグループが削除されます。これはメール配信には影響しませんが、Email Securityはメールをスキャンできず、セキュリティイベントも生成されません。

Google Workspaceを有効化する前に、これらのユーザグループに対してexclusion rulesを作成する必要があります。除外タイプとしてGroup Email Addressを選択し、一致タイプとしてExact Matchを選択します。グループのメールアドレスはgroupname@[domain]形式である必要があります。

たとえば、グループのメールアドレスは次のようにする必要がありますcheck_point_inline_outgoing_policy@mycompany.com および check_point_monitor_outgoing_policy@mycompany.comここで、mycompanyは会社名です。

グループを作成するには:

  1. 左のナビゲーションパネルから、Directory > Groupsをクリックします。

  2. Create Groupをクリックします。

  3. Group name フィールドに、グループ名を入力します。たとえば、check_point_inline_outgoing_policy

  4. Group email フィールドに、グループのメールアドレスを入力します。たとえば、check_point_inline_outgoing_policy

  5. ここをNext.

  6. Access Settingsで、デフォルト設定以外をすべてクリアします。

  7. Who can join the groupで、Anyone in the organization can joinを選択します。

  8. Create Groupをクリックします。

  9. 同じ手順を繰り返し、Group nameおよびGroup emailとしてcheck_point_monitor_outgoing_policyを使用してグループを作成します。

グループを作成した後、check_point_monitor_outgoing_policyグループに対して次の操作を行う必要があります。

  1. 左のナビゲーションパネルから、Directory > Groupsをクリックします。

  2. 作成したcheck_point_monitor_outgoing_policyグループにカーソルを合わせ、Add membersをクリックします。

  3. Advancedをクリックし、Add all current and future users of {domain} to this group with All Email settingチェックボックスをオンにします。

  4. Add to Groupをクリックします。

ステップ5: コンプライアンス ルールを作成する

  1. 左側のナビゲーションパネルで、Apps > Google Workspace > Gmailをクリックします。

  2. 下にスクロールして、Complianceをクリックします。

    デフォルトでは、システムはContent complianceにこれらのルールを表示します:

    • [portal identifier]_monitor_ei

    • [portal identifier]_monitor_ii

    • [portal identifier]_monitor_eo

    • [portal identifier]_inline_ei

    ポータル識別子を確認するには、次を参照してくださいEmail Security Tenantのポータル識別子.

  3. [portal identifier]_monitor_eo ルールの設定を更新します。

    1. [portal identifier]_monitor_eo ルールについては、Editをクリックします。

    2. Edit setting ポップアップの最後までスクロールダウンして、Show options をクリックします。

    3. Envelope filter で、Only affect specific envelope senders チェックボックスをオンにします。

    4. リストから、Group membership (only sent mail) を選択します。

    5. Select groups をクリックし、check_point_monitor_outgoing_policy を選択します。

    6. ここをSave.

  4. 次の設定で [portal identifier]_inline_eo ルールを作成します。

    1. Content compliance ルールから、Add Another Rule をクリックします。

    2. Content compliance ルール名に [portal identifier]_inline_eo と入力します。

      ポータル識別子を確認するには、次を参照してくださいEmail Security Tenantのポータル識別子.

    3. Email messages to affect で、次を実行します。

      1. Outbound チェックボックスをオンにします。

      2. Add expressions that describe the content you want to search for in each messageで、If ALL of the following match the messageを選択します。

      3. ここをAdd.

      4. Add setting ポップアップで、Metadata match を選択します。

      5. Attribute で、Source IPを選択。

      6. Match type で、Source IP is not within the following rangeを選択。

      7. データリージョンに関連するすべてのIPアドレスを入力します。

        サポートされているIPアドレスの一覧は、次を参照してくださいリージョンごとにサポートされるIPアドレス.

      8. ここをSave.

    4. If the above expressions match, do the following で、次を実行します。

      1. Modify messageを選択します。

      2. Headers で、次を実行します。

        1. Add X-Gm-Original-To header チェックボックスをオンにします。

        2. Add X-Gm-Spam and X-Gm-Phishy headers チェックボックスをオンにします。

        3. Add custom headers チェックボックスをオンにし、次の値でカスタムヘッダを追加します。

          ヘッダキー

          ヘッダの値

          CLOUD-SEC-AV-Sent

          true

          CLOUD-SEC-AV-Info

          [portal],google_mail,sent,inline

          カスタムヘッダを追加するには:

          1. ここをAdd.

          2. Header key に、ヘッダキーを入力します。

          3. Header value に、ヘッダ値を入力します。

          4. ここをSave.

      3. Route で、次を実行します。

        1. Change route チェックボックスをオンにします。

        2. Also reroute spam チェックボックスをオンにします。

        3. リストで、CLOUD-SEC-AV DLP Service を選択します。

    5. ページの最後までスクロールダウンして、Show options をクリックします。

    6. Account types to affect で、Users および Groups チェックボックスをオンにします。

    7. Envelope filter で、次を実行します。

      1. Only affect specific envelope senders チェックボックスをオンにします。

      2. リストから、Group membership (only sent mail) を選択します。

      3. Select groups をクリックし、check_point_inline_outgoing_policy を選択します。

      4. ここをSave.

リージョンごとにサポートされるIPアドレス

    • 35.174.145.124

    • 3.214.204.181

    • 44.211.178.96/28

    • 44.211.178.112/28

    • 3.101.216.128/28

    • 3.101.216.144/28

    • 13.211.69.231

    • 3.105.224.60

    • 3.27.51.160/28

    • 3.27.51.176/28

    • 18.143.136.64/28

    • 18.143.136.80/28

    • 15.222.110.90

    • 52.60.189.48

    • 3.99.253.64/28

    • 3.99.253.80/28

    • 3.101.216.128/28

    • 3.101.216.144/28

    • 52.212.19.177

    • 52.17.62.50

    • 3.252.108.160/28

    • 3.252.108.176/28

    • 13.39.103.0/28

    • 13.39.103.23/28

    • 3.109.187.96

    • 43.204.62.184

    • 43.205.150.240/29

    • 43.205.150.248/29

    • 18.143.136.64/28

    • 18.143.136.80/28

    • 3.29.194.128/28

    • 3.29.194.144/28

    • 13.42.61.32

    • 13.42.61.47

    • 13.42.61.32/28

    • 13.42.61.47/28

    • 13.39.103.0/28

    • 13.39.103.23/28