データ損失防止

概要

Email Securityのデータ漏洩防止 (DLP)エンジンは、侵害や不正共有から組織のデータを保護します。このエンジンは、Eメール、添付ファイル、共有ファイル、テキストメッセージをスキャンし、OCR を使用して画像からテキストを抽出することもできます。DLP エンジンは、権限のない人や宛先と共有すべきでないパターンを識別します。

DLP エンジンを使用すると、複数のクラウド アプリケーションにまたがるユニバーサルポリシーを作成して、社内および社外のユーザ間でファイルがどのように共有されるかを制御できます。DLP は、機密情報、財務情報、個人識別情報を含むファイルを識別してマークします。これには、クレジットカード番号、社会保障番号、銀行支店番号、または HIPAA などで保護されるデータが含まれます。

注 - DLP エンジンは、Eメールの件名と本文コンテンツの両方に含まれる機微情報をスキャンして検出します。

DLP ポリシー

この章では、DLP カテゴリ、データタイプ、およびその他の DLP セキュリティエンジン設定の定義について説明します。

組織の DLP 標準を適用するには、保護対象の SaaS アプリケーションごとに DLP ポリシーを定義する必要があります。

DLP ポリシーを設定するには、関連する SaaS アプリケーションを参照してください。

• Eメールデータ漏洩防止 (DLP) ポリシー

• ファイルストレージ SaaS アプリケーション

  • OneDrive 用 DLP ポリシーを設定する方法

  • SharePoint 用 DLP ポリシーの設定

  • Google Drive の DLP ポリシーを設定する

• メッセージング SaaS アプリケーション

  • Microsoft Teams の DLP ポリシーの設定

  • Slack 向け DLP ポリシーの設定

DLP カテゴリ

DLP カテゴリは複数のデータタイプのコンテナであり、さまざまな DLP ポリシーで使用されて、DLP 違反と見なされ DLP ワークフローをトリガする必要があるデータ共有を記述します。

たとえば、PII DLP カテゴリには Passport Number DLP データタイプが含まれます。

DLP カテゴリの管理

利用可能なすべての DLP カテゴリを設定し、Security Settings > Security Engines > DLP で管理できます。

DLP カテゴリの編集

各カテゴリに含まれる DLP データタイプの一覧を編集するには:

1. Email Security Administrator Portal にアクセスします。

2. Security Settings > Security Enginesをクリックします。

3. Configure をクリックして、DLP.

4. Detection Types までスクロールし、該当する DLP カテゴリを見つけます。

5. カテゴリにデータタイプを追加または削除します。

   注 - Universal Air Travel Plan (UATP) カード番号がクレジットカード番号として検出されることを除外するには、PCI 検出タイプで Exclude UATP cards from the Credit Card data types チェックボックスを有効にします。

6. ここをSave.

デフォルトの DLP データタイプとそれらの DLP カテゴリの詳細については、以下を参照してください付録 E: DLP 組み込みデータタイプとカテゴリ.

DLP データタイプ

DLP データタイプは、DLP エンジンが検出を試みるコンテンツを記述します。エンジンがデータタイプを検出するたびに、このデータタイプを含むすべての DLP カテゴリのヒット数に 1 が加算されます。

DLP データタイプの管理

利用可能なデータタイプを表示および管理するには、Security Settings > DLP Data Types に移動します。

カスタム DLP データタイプ

Email Security では、カスタム DLP データタイプを作成できます。これらのデータタイプにより、組織は各 DLP カテゴリに任意の DLP データタイプを追加できる柔軟性を得られます。

注 - カスタム DLP データタイプは適用される前に、DLP カテゴリに追加する必要があります。カスタム DLP データタイプを DLP カテゴリに追加するには、以下を参照してくださいDLP カテゴリ.

カスタムDLPデータタイプの作成

正規表現DLPデータタイプ

正規表現に基づくデータタイプは、検査対象のメール/ファイル/メッセージ内の文字列が定義された正規表現に一致するたびに、親カテゴリにヒット数を追加するデータタイプです。

正規表現データタイプを作成するには：

1. Security Settings > DLP Data Typesに移動します。

2. Create Data Typeをクリックします。

3. 表示されるCreate Custom DLP Data Typeウィンドウで

4. データタイプに必要なNameおよびDescriptionを入力します。

5. Match typeセクションで、Regular Expressionを選択し、必要な正規表現を入力します。参照: 正規表現の検証.

   注 - Email Securityは正規表現2構文をサポートしています。構文の詳細については、this articleを参照してください。

6. Match onセクションで、定義されたコンテンツに対する一致をDLPエンジンがスキャンするメールコンポーネントを選択します。

   • サブジェクト

   • 本文

   • 添付

7. ここをSave.

正規表現の検証

正規表現を検証するには：

1. Security Settings > DLP Data Typesに移動します。

2. Create Data Typeをクリックします。

3. Create Custom DLP Data Typeウィンドウで、Match typeセクションに移動し、Regular Expressionを選択します。

4. Expressionフィールドに、正規表現（regex）パターンを入力します。

   

   システムはregexの構文を自動的に検証します。パターンが有効な場合は、サンプル文字列に対してテストできます。

5. regexパターンをテストするには、Click here to test your regexをクリックします。

6. Text フィールドに、regexパターンに一致するかどうかを確認するためのサンプル文字列を入力します。

   • Match – 入力文字列はregexパターンに一致します。

   • No Match– 入力文字列はregexパターンに一致しません。

辞書DLPデータタイプ

辞書はカスタム文字列のリストです。これらのデータタイプは、検査対象のメール/ファイル/メッセージ内の文字列が辞書内のいずれかの文字列に一致するたびに、親カテゴリにヒット数を追加します。

辞書DLPデータタイプを作成するには：

1. Security Settings > DLP Data Typesをクリックします。

2. Create Data Typeをクリックします。

   Create Custom DLP Data Typeセクションが表示されます。

3. データタイプに必要なNameおよびDescriptionを入力します。

4. Match typeで、Dictionaryを選択し、必要なキーワードを追加します：

   • 辞書にキーワードを追加するには、必要なキーワードを入力し、Add Keywordをクリックします。

   • CSVファイルから辞書にキーワードをインポートするには：

     1. Import dictionaryをクリックします。

     2. Upload Dictionary Fileで、必要なCSVファイルを選択します。

     3. 既存のキーワードを上書きするには、Override all existing wordsチェックボックスを有効にします。

     注 - 辞書内のキーワードをCSVファイルにエクスポートするには、Export dictionaryをクリックします。

5. ここをSave.

複合DLPデータタイプ

複合DLPデータタイプは、他の子DLPデータタイプを含む親DLPデータタイプであり、2つのグループに分かれます：

• トリガ – 一致が必須のDLPデータタイプです。一致しない場合、親DLPデータタイプは一致しません

• Children – 一致する可能性があるDLPデータタイプで、親DLPデータタイプのヒット数に加算されます。

さらに、各複合DLPデータタイプは独自のMinimum Match Type Countを持ち、親DLPデータタイプが一致するには、含まれるすべてのデータタイプにまたがる一致数がこれを上回る必要があります。

たとえば、MyCompany Internal Documentsという名前の複合DLPデータタイプを、次のように作成できます：

1. トリガ

   1. 文字列「MyCompany」

   2. 文字列「Confidential」

2. Children

   1. ソースコード

   2. 銀行のSWIFTルーティング番号

3. 最小一致データタイプ数 = 4

例:

シナリオ	調査結果				一致?	理由
	「My Company」	"Confidential"	ソースコード	銀行のSWIFTルーティング番号
トリガのみ	2	3	0	0	はい	すべてのトリガに加えて、マッチ数がしきい値を上回っています
一部のトリガ	3	0	2	2	いいえ	トリガの1つがマッチしていません
マッチ数が不十分です	1	1	1	0	いいえ	マッチ数がしきい値を下回っています
トリガと子	1	1	2	2	はい	すべてのトリガに加えて、マッチ数がしきい値を上回っています

複合DLPデータタイプの作成

Email Securityでは、カスタムの複合DLPデータタイプを定義できます。

複合DLPデータタイプを作成するには:

1. Security Settings >Security Engines をクリックします。

2. Configure をクリックして、DLP.

3. 下にスクロールして、Patient Information の下にある Compound Info Types を見つけます。

   

4. Triggers、Children、および Minimum Match Type Count を編集します。

5. DLPポリシーのルールで使用できるように、Patient Information をいずれかのDLPカテゴリに追加します。詳細については、以下を参照してください。DLP カテゴリ.

6. ここをSave.

その他のカスタムデータタイプ

別のカスタムデータタイプが必要な場合は、サポートチケットを起票するか、次に連絡してくださいCheck Point Support.

カスタムDLPデータタイプの編集、複製、または削除

カスタムDLPデータタイプを編集するには:

1. Security Settings > DLP Data Typesをクリックします。

2. カスタムDLPデータタイプを選択します。

3. 縦三点アイコン（選択したカスタムDLPデータタイプの右上隅）をクリックし、Edit を選択します。

4. DLPデータタイプに必要な変更を加え、Save をクリックします。

カスタムDLPデータタイプを複製するには:

1. Security Settings > DLP Data Typesをクリックします。

2. カスタムDLPデータタイプを選択します。

3. 縦三点アイコン（選択したカスタムDLPデータタイプの右上隅）をクリックし、Clone を選択します。

4. DLPデータタイプに必要な変更を加え、Save をクリックします。

カスタムDLPデータタイプを削除するには:

1. Security Settings > DLP Data Typesをクリックします。

2. カスタムDLPデータタイプを選択します。

3. 縦三点アイコン（選択したカスタムDLPデータタイプの右上隅）をクリックし、Delete を選択します。

4. ここをOK.

高度なデータタイプパラメータの構成

DLPカテゴリの定義を詳細化したり、誤検知のケースに対処したりするために、メール/ファイル/メッセージ内でDLPデータタイプをどのようにマッチさせるかを制御できます。

マッチヒットカウント設定

デフォルトでは、メール/ファイル/メッセージ内の文字列がDLPデータタイプの定義にマッチするたびに、DLPデータタイプ's のヒットカウントが増加します。同じマッチした文字列がメール/ファイル/メッセージ内に複数回出現する場合、ヒットカウントもそれに応じて増加します。

ヒットカウントの計算時に同じ文字列の重複を無視するようEmail Securityを設定するには、Unique detections only ウィンドウで Configure DLP ボックスを有効にします。

出現しきい値

デフォルトでは、DLP データタイプが X 回一致すると、この DLP データタイプを含む DLP カテゴリのヒット数が X 増加します。

DLP データタイプの出現しきい値を Y に設定すると、次のようになります。

• DLP データタイプの一致回数が < Y 回の場合、これを含む DLP カテゴリのヒット数はまったく増加しません。

• DLP データタイプの一致回数が >= Y 回の場合、これを含む DLP カテゴリのヒット数は一致の総数分増加します。

Occurrence Threshold設定するには、サポートチケットを開くか、次に連絡してくださいCheck Point Support.

可能性の調整

デフォルトでは、DLP エンジンは特定の見込みレベル (最低レベル) を DLP カテゴリに返します。

いずれか 1 つの DLP データタイプが一致したかどうかを判定したい場合、可能性は自動的に増加または減少します。各 DLP データタイプについて、必要に応じて正または負の値で Likelihood Adjustment の値を設定できます。

Likelihood Adjustment設定するには、サポートチケットを開くか、次に連絡してくださいCheck Point Support.

DLP エンジン設定の構成

DLP エンジン設定を構成するには:

1. Security Settings > Security Enginesをクリックします。

2. 次に対して Configure をクリックしますDLP.

3. 各種設定オプションを構成し、Save をクリックします。

   

検出された文字列の保存

DLP エンジンが文字列を DLP データタイプに一致させると、Email Security はこれらの文字列を保存し、管理者がセキュリティイベントを調査する際に、十分な権限を持つ管理者に表示します。

これらの文字列は機微でプライベートなエンドユーザデータと見なされるため、Detected Text Storage Mode と呼ばれるシステムで、それらをどのように保存および表示するかを選択できます。

Detected Text Storage Mode を更新するには:

1. Security Settings > Security Enginesをクリックします。

2. 次に対して Configure をクリックしますDLP.

3. Detected Text Storage Mode まで下にスクロールし、次のオプションのいずれかを選択します。

   • 検出されたテキスト文字列を保存する (デフォルト): これはデフォルトオプションであり、検出されたデータは保存され、フォレンジックプロセスのためにセキュリティイベントに表示されます。

   • 保存前に検出されたテキストを難読化する: 検出されたデータは、難読化された状態で保存され、セキュリティイベントに表示されます。元のデータは破棄され、アクセスできません。

   • 検出されたテキストを保存しない: 検出されたデータは保存も表示もされません。

4. ここをSave.

最低レベル

DLP エンジンがデータ漏洩の可能性を検出するたびに、検出結果に Likelihood レベルを割り当てます。Likelihood レベルは、主に検出された文字列の周辺コンテキストの影響を受けます。

たとえば、社会保障番号 (SSN) が検出されると、DLP エンジンは検出されたパターンの近くに、"SSN" や "Social Security" などの関連文字列が存在するかどうかも確認します。

可能性スケール:

• 可能性が非常に低い

• 可能性が低い

• 可能性あり

• 可能性が高い

• 可能性が非常に高い

DLP 例外

参照: DLP 例外.

DLP - サポートされるファイルタイプ

Email Security は、EML、HTML、PDF、Microsoft Office ファイル、画像など、多数のファイルタイプのリストにおいて DLP 違反を検出します。

詳細：付録 J：DLP でサポートされるファイルタイプ.

DLP 検査 - ファイルサイズ制限

DLP セキュリティエンジンは、10 MB 未満のメール、その添付ファイル、およびファイルのみを検査します。

注 - 場合によっては、DLP セキュリティエンジンが 10 MB を超えるアーカイブファイルを検査することがあります。

フォレンジック

DLPの検出は、フォレンジックおよび監査の目的でイベントとして記録されます。イベントには、どの種類の機密情報が漏えいした可能性があるか（PII、HIPAAなど）が含まれます。

Eventsからイベントを確認できます。