DLP 件名正規表現(Regex)

デフォルトでは、Email Security は、検出されたデータタイプに基づいてメールを DLP ポリシールールに照合します。ただし、正規表現を使用してメールの件名からメールを照合できます。

このタイプの照合は、メールの件名から機密性の高いメールを検出するのに役立ち、特定のワークフローをトリガできます。したがって、定義された件名パターンを持つメールは、含まれているデータタイプに関係なく DLP ポリシールールに一致します。

DLP ポリシーに正規表現条件を追加するには:

  1. Policyに移動します。

  2. 既存の DLP ポリシーに正規表現を追加するには、そのポリシーをクリックして手順 6 から続行します。

  3. 新しい DLP ポリシーを作成するには、Create New Policy Rule をクリックします。

  4. Choose SaaS ドロップダウンから、目的の SaaS アプリケーションを選択します。

  5. Choose Security ドロップダウンから、DLP を選択し、Next をクリックします。

  6. Protection modeセクションで、Prevent (Inline)を選択します。

  7. ポリシーの Scope を選択します:

    1. メールの方向として Outbound を選択します。

    2. Senders の下で、ポリシーが適用される Specific Users and Groups を選択します。

  8. DLP Criteria セクションで、次の操作を行います:

    1. Check Point DLP Categories トグルボタンを有効にし、必要な DLP Categories を選択します。

    2. 必要な Sensitivity Level を選択します。参照: DLP ポリシーの感度レベル.

    3. Subject regular expression トグルボタンを有効にして、正規表現を入力します。参照: 件名正規表現の構文.

  9. Save and Applyをクリックします。

件名正規表現の構文

Subject Regular Expression フィールドでは、Python Regular Expressions (RE) 構文で値を入力できます。

たとえば、メールの件名に文字列 [secure] を含むメールを見つける DLP ポリシールールを作成するには、ポリシーの フィールドに (?i)\[secure] or \[secure] を追加します。ここで、(?i)Subject Regular Expression は大文字と小文字を区別しないことを指定するために使用されます。

メールの件名に完全一致する文字列 [secure] または [encrypt] のいずれかを含むメールを見つける DLP ポリシールールを作成するには、ポリシーの フィールドに \[secure\]|\[encrypt\] または ex \[secure]|\[encrypt]Subject Regular Expression のいずれかを追加できます。

詳細は、Python regular expressions documentationを参照してください。

行の先頭(^)および末尾($)を表す記号はサポートされていません。参照: DLP でサポートされていない Regex パターン.

メール本文内に完全一致する単語 sec を含むメール(ただし、SecuritySeconds のような単語は除く)を検出する DLP ポリシールールを作成するには、それが文の先頭にある場合でも、スペースやタブで区切られている場合でも、境界マーカー \b を使用できます。たとえば、\bsec\b を使用します。

DLP でサポートされていない Regex パターン

正規表現(regex)を使用してDLPルールを作成する場合、以下のパターンはサポートされていません。

  • 長さが3文字未満の正規表現はサポートされていません。

  • また、以下のregexパターンは、非効率または不正確なマッチングを引き起こす可能性があるため、システムによってブロックされます。

    コピー 
    [ ".", ".*", ".+", ".?", ".{0,}", ".*?", ".+?", "[\s\S]", "[\s\S]+", "[\w\W]", "[\w\W]+", "\s*", "\S*", "\w*", "\W*", "\d*", "\D*", "\s+", "\S+", "\w+", "\W+", "\d+", "\D+", ]

送信メール用DLPワークフロー

- ワークフローは、Prevent (Inline)モードでのみ使用できます。

ワークフロー

説明

メールはブロックされます。ユーザに警告が表示され、復元をリクエストできます(管理者の承認が必要です)

検出されたメールは受信者に配信されず、隔離メールボックスに移動されます。

  1. ユーザは、隔離アクションの警告が記載されたメールを受信します。

  2. 元のメールを表示するには、ユーザはメールの復元をリクエストする必要があります。

  3. 管理者がリクエストを承認する必要があります。

メールはブロックされます。ユーザに警告が表示され、マネージャからの復元をリクエストできます

検出されたメールは受信者に配信されず、隔離メールボックスに移動されます。

  1. ユーザは、隔離アクションの警告が記載されたメールを受信します。

  2. 元のメールを解放するには、ユーザは復元リクエストを送信する必要があります。

  3. マネージャはリクエストが記載されたメールを受信し、エンドユーザポータルを通じて承認できます。

- ユーザに割り当てられたマネージャがいない場合、復元リクエストは管理者に送信されます。

メールはブロックされます。ユーザに警告が表示され、メールを復元できます

検出されたメールは受信者に配信されず、隔離メールボックスに移動されます。

  1. ユーザは、隔離アクションの警告が記載されたメールを受信します。

  2. ユーザは、管理者の承認なしで元のメールを復元できます。

メールは許可されます。ヘッダーがメールに追加されます

検出されたメールは、ポリシーで設定された追加ヘッダー付きで受信者に配信されます。

何もしない

検出されたメールは、変更なしで受信者に配信されます。

Microsoft 暗号化ワークフロー

メールはブロックされ、ユーザはMicrosoftにより暗号化して再送できます

検出されたメールは受信者に配信されず、ユーザはそのメールをMicrosoft暗号化メールとして再送できます。

メールは許可されます。Microsoftにより暗号化

検出されたメールは、Microsoftにより暗号化された状態で受信者に配信され、ヘッダーがメールに追加されます。詳細:送信メール向け Microsoft 暗号化.

メールはブロックされ、ユーザはMicrosoftにより暗号化して再送するようリクエストできます(管理者の承認が必要です)

検出されたメールは受信者に配信されず、隔離メールボックスに移動されます。

  1. ユーザは、隔離アクションの警告が記載されたメールを受信します。

  2. ユーザは、Microsoft暗号化メールとして再送するようリクエストできます。

  3. 管理者がリクエストを承認する必要があります。

Check Pointメール暗号化ワークフロー

メールはブロックされ、ユーザはEmail Encryptionで暗号化して再送できます

検出されたメールは受信者に配信されず、ユーザはそのメールをCheck PointEmail Encryptionメールとして再送できます。

メールは許可されます。Email Encryptionにより暗号化

検出されたメールは、Check PointEmail Encryptionによって保管され、受信者はメール通知を受信します。詳細:を使用した送信メールの暗号化Check Pointメール暗号化.

メールはブロックされ、ユーザは Email Encryption により暗号化して再送するようリクエストできます(管理者の承認が必要です)

検出されたメールは受信者に配信されず、隔離メールボックスに移動されます。

  1. ユーザは、隔離アクションのアラートを含むメールを受信します。

  2. ユーザは、Check PointEmail Encryption メールとして再送するようリクエストできます。

  3. 管理者はこのリクエストを承認する必要があります。

DLP の許可リストを作成するには、以下を参照してください。DLP 例外.

送信メールの DLP アラート

DLP ポリシーに違反していると検出された送信メールに対して、アラートを設定できます。

  • DLP ポリシーに違反したときに、管理者にメールアラートを送信します。

  • DLP が検出されたときに、特定の受信者にメールアラートを送信します。アクションの横にある歯車アイコンを使用して、メールテンプレートをカスタマイズできます。

  • 従業員が DLP ポリシーに違反する機密データを送信した場合(または送信を試行した場合)に、直属の上司にメールアラートを送信します。

    :

    • このオプションを有効にすると、メールがブロックされた場合でも、メールアラートは管理者に送信されます。

    • このオプションは、Office 365 DLP ポリシーでのみ使用できます。

  • 添付ファイルが暗号化されている(パスワード保護されている)場合に、直属の上司にメールアラートを送信します。

    - このオプションは Office 365 DLP ポリシーでのみ使用できます。

  • メール内で DLP Subject Regex パターンと DLP が検出された場合に、送信者にメールアラートを送信します。詳細は、以下を参照してください。DLP 件名正規表現(Regex).

  • DLP Subject Regex パターンは検出されないが、メール内で DLP が検出された場合に、送信者にメールアラートを送信します。詳細は、以下を参照してください。DLP 件名正規表現(Regex).

SPF チェックの失敗を回避するための前提条件

Office 365 Mail では、DLP または Threat Detection ポリシーで Protect (Inline) Outgoing Traffic を有効にすると、Email Security が外部受信者に到達する前のメール配信チェーンに追加されます(内部メール送信者 > Microsoft 365 > Email Security > Microsoft 365 > 外部受信者)。

受信者のメールセキュリティソリューションでは、配信チェーンの一部として Email Security の IP アドレスが認識されます。受信者のメールセキュリティソリューションが元の IP アドレスを認識できない場合、メールの送信元 IP アドレスとして Email Security の IP アドレスが扱われる可能性があります。

DNS の SPF レコードで、Email Security の IP アドレスが貴社ドメインを代理してメールを送信することを許可するように設定していない場合、メールは SPF チェックに失敗し、隔離される可能性があります。

Check Point では、送信メールに対して Protect (Inline) Outgoing Traffic を有効にする前に、Email Security の IP アドレスを SPF レコードに追加することを推奨しています。

送信メールが SPF チェックに失敗して隔離されるのを防ぐには、SPF レコードに include:spfa.cpmails.com を追加する必要があります。

- 上記の記述には複数の IP アドレスとネットワークが含まれており、その一部はお客様のCheck Point Portalのデータリージョン外にあります。これは、データリージョンに関係なく、すべての Check Point SPF レコードで均一性と一貫性を保つためです。Email Security は、お客様のリージョン内のいずれか 1 つの IP アドレスからのみメールを送信します。

送信メール保護 - DLP 向け Office 365 フットプリント

トランスポート ルール

Inline DLP を有効にすると、追加のトランスポート ルールが作成されます。

  • ルール名:Check PointDLP Outbound

  • ルール:

  • ルールの説明:

コネクタ

追加のコネクタ Check Point が Office 365 に追加されます。

  • コネクタ:

DLP ポリシーの感度レベル

DLP ポリシーの Sensitivity Level は、ポリシーが DLP ワークフローをトリガするために、選択したカテゴリ内のすべてのデータタイプが一致する必要のある最小回数(ヒット回数)です。

各ポリシー ルールに対して、これらの Sensitivity Level を選択できます。

  • 非常に高い(ヒット回数 > 0)

  • 高い(ヒット回数 > 2)

  • 中(ヒット回数 > 5)

  • 低い(ヒット回数 > 10)

  • 非常に低い(ヒット回数 > 20)

  • カスタム(ポリシーに必要な最小ヒット回数(Hit count higher than)を入力)

たとえば、DLP ポリシーに PII カテゴリのみが含まれており、Sensitivity Level として 高い を選択したとします。

  • PII 内のすべてのデータタイプが 1 回だけ一致した場合、ルールは選択した DLP ワークフローをトリガしません。

  • PII 内のすべてのデータタイプが 3 回一致した場合、ルールは選択した DLP ワークフローをトリガします。