Management Center for Cisco Security Agents 6.0.2 ユーザ ガイド
データ消失防止
データ消失防止
発行日;2012/01/15 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

データ消失防止

概要

データ消失防止の基礎

データ消失防止による保護のイネーブル化

1. DLP ライセンスのインストール

2. 保護するグループの DLP ポリシーの設定

スキャン データ タグとスタティック データ タグ

スキャン データ タグ

スタティック データ タグ

スキャン データ タグの検索パターン

テキストマッチング検索パターン

組み込みスキャン パターン

@datascan トークン

スキャン データ タグの管理

[Data Classification - Scanning Data Tags] リスト ページ

組み込みデータ スキャン タグ

スキャン データ タグの作成

スキャン データ タグの編集

スキャン データ タグのクローン作成

スキャン データ タグの削除

スタティック データ タグの管理

[Data Classification - Static Data Tags] リスト ページ

スタティック データ タグへの説明の追加

スタティック データ タグへの参照の表示

データ消失防止スキャン タスク

バックグラウンド DLP スキャンのスケジュール

オンデマンド DLP スキャンの実行

ホストの DLP スキャン スケジュールの確認

グループの DLP スキャン スケジュールの確認

データ消失防止のレポート

データ消失防止規則とコンポーネントの作成

スキャン データ タグを適用するファイル アクセス制御規則の作成

スタティック データ タグを適用するファイル アクセス制御規則の作成

データ消失防止

概要

ネットワーク エンドポイント上のデータは、情報資産および秘密情報に関する、内部ポリシーおよび外部規制の対象となるケースが増しています。データ分類のプロセスは、機密データの存在、企業内での機密データの場所、そのデータがどのようにアクセスされるか、法律上および規制上の要件を満たすためのデータの保護方法を追跡し易くすることで、ネットワーク データ セキュリティに役立ちます。

Cisco Security Agent の新しいデータ消失防止(DLP)機能には、次の機能が含まれています。

コンテンツ スキャンの結果、またはホスト システム上でのファイルの場所に基づく、ファイルの分類およびタグ付け。

ファイルを読み取り、または書き込もうとするアプリケーションに基づく、ファイルの分類およびタグ付け。

ユーザが機密データと見なされる内容を操作しているときに、そのことをユーザに通知。機密データの存在に対する意識を高めることは、偶発的なデータ消失の防止に役立ちます。

DLP 機能により、CSA は、特定の文字またはフレーズなど、複数のタイプのファイルの内容に基づいて、ファイルにタグ付けできます。また、CSA は、クレジットカード番号と社会保障番号に対して最適化されたパターン マッチングも提供しますが、これらは特に機密性が高く、政府の規制による管理の対象となります。

機密データの識別および機密データの制御は、CSA MC でカスタマイズできます。これにより、組織のポリシーを遵守してデータを使用するための、データ消失防止制御が実装し易くなります。

この章は、次の内容で構成されています。

「データ消失防止の基礎」

「データ消失防止による保護のイネーブル化」

「スキャン データ タグとスタティック データ タグ」

「スキャン データ タグの検索パターン」

「@datascan トークン」

「スキャン データ タグの管理」

「[Data Classification - Scanning Data Tags] リスト ページ」

「組み込みデータ スキャン タグ」

「スキャン データ タグの作成」

「スキャン データ タグの編集」

「スキャン データ タグのクローン作成」

「スキャン データ タグの削除」

「スタティック データ タグの管理」

「[Data Classification - Static Data Tags] リスト ページ」

「スタティック データ タグへの説明の追加」

「スタティック データ タグへの参照の表示」

「データ消失防止スキャン タスク」

「バックグラウンド DLP スキャンのスケジュール」

「オンデマンド DLP スキャンの実行」

「ホストの DLP スキャン スケジュールの確認」

「グループの DLP スキャン スケジュールの確認」

「データ消失防止のレポート」

「データ消失防止規則とコンポーネントの作成」

「スキャン データ タグを適用するファイル アクセス制御規則の作成」

「スタティック データ タグを適用するファイル アクセス制御規則の作成」

データ消失防止の基礎

ここでは、CSA のデータ消失防止(DLP)機能の基本概念を説明します。

データ消失防止による保護のイネーブル化

データ消失防止機能は、Windows デスクトップ プラットフォームだけで利用できます。データ消失防止による保護をイネーブルにするには、次のタスクを実行する必要があります。

1. DLP ライセンスのインストール

CSA MC がホストにデータ スキャン規則を配布するには、標準の CSA デスクトップ ホスト キーに加えて、CSA に DLP ライセンス キーが必要です。データ消失防止ライセンス ファイルの名前は DLP Desktop Agent Upgrade で、25 ~ 10,000 シートのバンドルで入手できます。

このライセンスを導入すると、CSA はスキャン データ タグおよびスタティック データ タグをファイルに付け、これらのタグが付いたファイルに関する情報を収集し、ファイルのタグに応じた規則を適用できます。

まだ導入していない場合は、次の簡単な手順に従うと、データ消失防止ライセンスを CSA MC にアップロードできます。


ステップ 1 設定特権または導入特権を持つユーザとして CSA MC にログインします。

ステップ 2 [Home] をクリックしてホームページに移動します。

ステップ 3 [Update License Information] をクリックします。

ステップ 4 DLP ライセンス ファイルの場所を参照し、[Upload] をクリックします。

2. 保護するグループの DLP ポリシーの設定


ステップ 1 [Host Security] ページを開きます。

ステップ 2 DLP で保護するグループを展開します。グループとデータ消失防止ポリシーがリスト表示されますが、チェックボックスがチェックされていなかったり、グレイアウトで表示されることがあります。

ステップ 3 データ消失防止ポリシー名の横にある赤い [warning] リンクをクリックします。

ステップ 4 カスタマイズが必要な規則を設定し、保存します。

ステップ 5 データ消失防止ポリシーのチェックボックスをクリックし、[Host Security] ページで [Save] をクリックします。

ステップ 6 規則を生成します。DLP ライセンスを設定したら、規則を生成します。DLP ポリシーは、次のポーリング時にグループ内のホストに配布されます。


ヒント データ消失防止ポリシーをすぐに配布するには、そのグループにポーリング ヒントを送信します。


スキャン データ タグとスタティック データ タグ

データ タグには、スキャン データ タグとスタティック データ タグの 2 種類があります。スキャン データ タグは、内容に基づいてファイルに割り当てることができます。スタティック データ タグは、ファイルを使用するアプリケーションに基づいてファイルに割り当てることができます。

スキャン データ タグ

スキャン データ タグは、CSA がファイルの内容をスキャンし、[Data Classification - Scanning Tags] ページで定義されたパターンと、ファイル内のパターンを照合した場合に、ファイルに割り当てられます。

検索対象とする任意の文字列を表すスキャン データ タグを作成できます (詳細については、「テキストマッチング検索パターン」を参照してください)。デフォルトで提供されている、事前設定の組み込みスキャン タグもあります。

組み込みスキャン データ タグは、社会保障番号とクレジットカード番号を検索するために使用される事前設定のパターンによって定義されています。CSA は、特別な番号スキャン アルゴリズムを使用して、ファイル内でこれらの番号を識別するとともに、他の大きな数値から区別します。たとえば、CSA は、9 桁のパーツ番号を含むファイルと、社会保障番号を含むファイルを高い精度で区別できます。

ファイル内に 2 種類以上のパターンが見つかった場合、そのファイルには複数のスキャン タグが付けられます。

ファイルがスキャン データ タグを受け取った後に、他の規則により、ユーザがそのファイルを操作できる方法を規制できます。ユーザが機密情報を含むファイルを使用している場合、ユーザに通知することもできます。アクセスしているファイルの種類をユーザに意識させると、偶発的なデータ消失の防止に役立ちます。

スキャン データ タグを作成する方法については、「スキャン データ タグの作成」を参照してください。


) <Regulatory Controlled> タグと <Proprietary Information> タグに対して、デフォルトのデータ消失防止ポリシーがサポートされています。この 2 つのタグのいずれかを割り当てた場合、デフォルトのデータ消失防止ポリシーによって、タグが付いたファイルの動作が制限されます。この 2 つ以外のタグを割り当てた場合は、タグが付いたファイルの動作を規制する独自の規則を作成する必要があります。


スタティック データ タグ

スタティック データ タグは、特定のアプリケーションがファイルにアクセスする場合に、そのファイルに割り当てることができます。スタティック データ タグは、このリリースで配布される組み込みデータ タグであり、CSA MC の [Data Classification - Static Data Tags] ページにリスト表示されます。スタティック データ タグの名前は変更できず、新しいスタティック データ タグを作成することもできません。

会社のニーズに基づいて、スタティック データ タグをファイルに割り当てる規則を定義します。スタティック データ タグをファイルに割り当てるよう事前設定された、データ消失防止ポリシーはありません。

スタティック データ タグは、専用アプリケーションがある場合などに役立つことがあります。病院で、専用アプリケーションが読み取るすべてのファイルに、HIPAA ガイドラインが適用されることが、あらかじめわかっているとします。その場合は、<HIPAA Controlled> スタティック データ タグがあり、それをファイルに適用できます。この種のタグ付け方法は、オーディオ ファイルまたはグラフィックス ファイルなど、テキストマッチング パターンでファイル タイプをスキャンできない場合にも役立つことがあります。

詳細については、「スタティック データ タグを適用するファイル アクセス制御規則の作成」を参照してください。

スキャン データ タグの検索パターン

[Data Classification - Scanning Tag] ポップアップ画面の [Patterns] フィールドでは、コンテンツ タグが表すパターンを指定します。図 16-1を参照してください。

このフィールドには、次の 2 種類のパターンを指定できます。

「テキストマッチング検索パターン」

「組み込みスキャン パターン」

図 16-1 [Data Classification - Scanning Tag] ダイアログ

テキストマッチング検索パターン

テキストマッチング パターンには、管理者が指定する任意の文字列または数値を含めることができます。


) 一般的に、長いテキストマッチング パターンの方が、短いパターンよりも効果的です。長いテキストマッチング パターンの検索により、一致することを予期または意図していなかったファイルに対して、CSA がコンテンツ タグを割り当てることが防止されます。たとえば、パターン Company confidential. For internal use only を検索すると、パターンが confidentia という単語だけの場合よりも、実際に機密性のあるファイルが検出され、タグが付けられる可能性が高くなります。


次に、文字マッチング検索パターンに対する要件を示します。

CSA の文字列検索は、英語と、文字セットを 2 バイトの UNICODE テキスト エンコーディングで表現できる英語以外の言語をサポートしています。(現在、これにはアジアの言語およびセマンティック言語は含まれません)。また、各文字とそのアクセントが単一の 2 バイト文字に含まれる限り、アクセント付きのラテン文字、ギリシャ文字、およびキリル文字もサポートしています。


) アクセント付き文字と文字列を照合するために、文字列は、「結合エンコーディング」と「事前構成エンコーディング」の両方の UNICODE 形式を使用して、2 回入力する必要があります。


テキストマッチング パターンでは、大文字と小文字が区別されません。たとえば、パターン cisco は、 Cisco および cisco と一致します。

テキストマッチング パターンは、ワイルドカードを含め、256 文字以下にする必要があります。たとえば、パターン confidential* の長さは 13 文字です。

ワイルドカードを除き、検索できる最小のテキストマッチング パターンの長さは 2 文字です。

デフォルトでは、テキストマッチング パターンは、単語の一部ではなく、単語またはフレーズの全体だけと一致します。したがって、 confidential のようなパターンは、ファイル内の単語 nonconfidential とは一致しません。

* によって示されるワイルドカードは、単語のプレフィクスおよびサフィクスと、他の文字列間の文字列を照合するために使用できます。次に、他の例をいくつか示します。

パターン *confidential は、 nonconfidential と一致します。

パターン confidential* は、 confidentiality と一致します。

パターン *confidential* は、 nonconfidentiality と一致します。

パターン confidential は、 nonconfidential confidentiality nonconfidentiality のいずれとも一致しません。

[Patterns] フィールドの同じ行に、複数の単語を指定した場合、一致すると見なされるためには、各単語が対象ファイルに同じ順序で出現する必要があります。複数の単語を別の行に入力した場合、[Patterns] フィールドのいずれかの行が、任意の順序でファイル内に存在すれば、一致と見なされます。

ワイルドカードは、複数の文字からなる文字列の中で使用できます。この場合、ワイルドカードは、ワイルドカードの前の文字列、ワイルドカード、ワイルドカードの後の文字列の 3 つの部分にパターンを分割します。

パターン Cisco*confidential は、先頭が Cisco 、末尾が confidential で、Cisco と confidential の間の文字が 50 以下の文字列と一致します。たとえば、 Cisco*confidential は、 Cisco Security Agent - Company Confidential と一致します。これは、「 Security Agent - Company 」の長さが 26 文字だからです。

数値文字列の一致方法は、アルファベット文字列と同じです。一致と見なされるには、[Patterns] フィールドの文字列全体がファイル内で正確に一致する必要があります。[Patterns] フィールドの 1 行に複数の数値がある場合は、一致するためには、ターゲット ファイルにその文字列すべてが存在する必要があります。


ヒント 数値文字列との照合にワイルドカードを使用できますが、ワイルドカードを使用する場合、指定した文字列と一致することを予期または意図していなかった、他の英数字の文字列と一致してしまう可能性があります。[Patterns] フィールドに数値の文字列全体を入力すると、最も正確な結果が得られます。


次に、数値でワイルドカードを使用する例を示します。

パターン 9785551234 は、 9785551234 だけと一致します。

パターン 5551234 は、 9785551234 と一致しません。

パターン *5551234 は、 9785551234 と一致します。

パターン *8555123* は、 1234978555123456789 と一致します。

パターン 978* は、 9785551234 に加えて、一致することを意図していなかった多くの他の英数字文字列と一致することがあります。

組み込みスキャン パターン

CSA には、@ssn と @credit_card という 2 つの「組み込み」スキャン パターンが含まれています。これらのパターンは、CSA に含まれる特殊な番号スキャン アルゴリズムを使用します。@ssn 検索パターンは、米国連邦政府から発行される有効な社会保障番号のパターンを識別するために最適化されています。@credit_card パターンは、主要なクレジットカード発行会社で使用される有効なクレジットカード番号を識別するために最適化されています。また、これらの検索パターンは、正しくない一致の数を制限するために、他の長い数値から社会保障番号とクレジットカード番号を区別します。

@datascan トークン

@datascan トークンは、ファイル セットの [Content matching] フィールドおよびシステム状態セットの [Data Classification] エリアで使用され、スキャン データ タグまたはスタティック データ タグを受け取ったファイルを識別します。@datascan トークンを使用すると、規則は、個々のファイルではなく、ファイルのグループを参照できます。これらの変数に対してスキャン分類タグを定義する構文を、「データ分類(DLP)タグ トークンの構文」に示します。

スキャン データ タグの管理

スキャン データ タグは、CSA MC で管理します。[Data Classification - Scanning Data Tags] リスト は、メページニューバーから [Configuration] > [Global Settings] > [Data Classification] - [Scanning Data Tags] に移動するとアクセスできます。

このページでは、規則がテキスト検索パターンまたは組み込み検索パターンと一致した後に、ファイルに適用されるスキャン データ タグを管理できます。一部の組み込みスキャン データ タグは、このリリースにおいて、デフォルトで提供されています。

このページからいくつかの管理タスクを実行できます。詳細については、次の手順を参照してください。

「スキャン データ タグの作成」

「スキャン データ タグの編集」

「スキャン データ タグのクローン作成」

「スキャン データ タグの削除」

[Data Classification - Scanning Data Tags] リスト ページ

[Data Classification - Scanning Data Tags] リスト ページでは、タグの説明として次の情報カラムが表示されます。

[Tag]:テキストのパターンを識別するタグの名前です。タグは、そのタグに対して指定したテキストのパターンを含むファイルに適用されます。このタグ名は、ファイル セットまたはシステム状態セットなどの、変数を作成する場合に表示されます。

[Pattern]:このフィールドには、データ スキャンの実行時に検索されるテキスト文字列が表示されます。パターンが検出された後に、このパターンを識別するタグが、そのパターンを含むファイルに適用されます。

[Occurrences]:ファイルにパターンがあることを示すタグを付けるために、そのファイルで検出される必要があるパターンの数を示します。

@ssn または @credit_card などの組み込み番号パターンでは、CSA は、専有アルゴリズムを使用して、他の種類の長い数値ではなく、社会保障番号またはクレジットカード番号が確かに多く含まれているかどうかを判断します。たとえば、これにより、パーツ番号のデータベースが、社会保障番号またはクレジットカード番号のデータベースとして誤検出されることが防止されます。

[Description]:情報としてタグの説明を表示します。

[Version]:タグが提供された CSA のバージョンを表示します。カラムの見出しをクリックすることにより、すべてのバージョンのタグ、ユーザにより定義されたタグだけ、または特定のリリースのタグを表示するように、エントリをフィルタリングできます。

[Priority]:CSA データベースに多数のタグ付きファイルのエントリがあり、データベースが大きくなりすぎている場合、高優先順位のタグが付いたファイルのエントリがデータベースに残り、優先順位が最も低いタグが付いたファイルのエントリは破棄されます。

[Status]:データ タグは、「イネーブル」(CSA によってアクティブにスキャンされる)または「ディセーブル」(CSA によってスキャンされない)のいずれかになっています。

[In Use]:データ タグは、ファイル セットまたはシステム状態セットなど、最低 1 つの変数によって明示的に参照されている場合に使用中となります。タグが、@datascan=<*> など、すべてのデータ タグを参照する変数だけによって参照されている場合、そのタグは使用中とは見なされません。

タグを使用している変数を調べるには、そのデータ タグについて記述している行をクリックし、[Data Classification - Scanning Tag] ダイアログの [Tasks] ボタンをクリックして、[View references] をクリックします。ファイル セットのリストが表示されます。

「使用中」のデータ タグは、そのタグを参照している変数を先に削除しなければ、削除できません。

組み込みデータ スキャン タグ

CSA がファイルをスキャンし、ファイル内でパターンを検出した場合、そのファイルにはスキャン データ タグが付けられます。CSA には次の 3 つの組み込みデータ スキャン タグが、デフォルトで用意されています。

<credit_card>:<credit_card> タグは、CSA に組み込まれた番号スキャン検索パターンである @credit_card を使用します。@credit_card パターンは、主要なクレジットカード発行会社で使用される有効なクレジットカード番号のパターンを識別するために最適化されています。

<Proprietary Information>:<Proprietary Information> タグは、CSA が、スキャン対象のファイル内で、フレーズ「Company Confidential」または「Internal Use Only」との正確な一致を、特定の回数検出した場合に、ファイルに割り当てられます。ただし、ファイルに <Proprietary Information> タグを付ける前に、CSA 管理者は、その会社に対して適切になるようにパターンを編集してから、タグをイネーブルにする必要があります。

<SSN>:<SSN> タグは、CSA に組み込まれた番号スキャン検索パターンである @ssn を使用します。@ssn 検索パターンは、米国連邦政府から発行される有効な社会保障番号のパターンを識別するために最適化されています。<SSN> タグは、CSA がスキャン データに有効な社会保障番号を検出した場合に、スキャン データに割り当てられます。

<Regulatory Controlled>:<Regulatory Controlled> タグは、@credit_card または @ssn パターンが検出されたファイルに割り当てられます。<Regulatory Controlled> タグは、CSA がスキャン データ内に有効なクレジットカード番号または社会保障番号を検出した場合、そのデータに割り当てられます。

スキャン データ タグの作成

この種類のタグは、「Data scan on OPEN」または「Data scan on CLOSE」 FACL がスキャンをトリガーし、CSA がデータ分類タグによって指定されるパターンを検出した後に、ファイルに適用されます。


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Scanning Data Tags] に移動します。

ステップ 3 [New] をクリックします。[Data Classification - Scanning Tag] ダイアログが表示されます。

ステップ 4 [Tag] フィールドに、タグ名を入力します。タグ名に使用できるのは、英数字、アンダースコア、ハイフン、カッコ、およびピリオドだけです。

ステップ 5 必要に応じて、[Description] フィールドに、パターンの説明を入力します。

ステップ 6 [Patterns] フィールドに、テキスト文字列、数値文字列、または [Insert Pattern] をクリックすることにより選択される組み込みパターン(@credit_card と @ssn は、利用できる選択済みパターンです)の組み合わせを入力します。パターン リストを空白にすることはできません。[Patterns] フィールドに文字列を入力する方法については、「スキャン データ タグの検索パターン」を参照してください。


) アクセント付き文字と文字列を照合するために、文字列は、「結合エンコーディング」と「事前構成エンコーディング」の UNICODE 形式を使用して、2 回入力する必要があります。


ステップ 7 [Pattern Count] フィールドで、ファイルがタグを受け取るために、ファイル内に検出される必要があるパターンの数を指定します。

ステップ 8 [Priority] フィールドで、スキャン データ タグの優先順位を選択します。CSA データベースに多数のタグ付きファイルのエントリがあり、データベースが大きくなりすぎている場合、高優先順位のタグが付いたファイルのエントリがデータベースに残り、低優先順位のタグが付いたファイルのエントリは破棄されます。

ステップ 9 [Enabled] チェックボックスを選択して、タグをイネーブルにします。

ステップ 10 [Save] をクリックして、タグを保存します。タグは、規則が生成され、CSA MC へのポーリング時にホストに配布されると、使用できるようになります。

スキャン データ タグの編集


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 既存のスキャン データ タグのリンクをクリックします。[Data Classification - Scanning Tag] ダイアログが表示されます。

ステップ 3 タグが使用中ではない場合は、その名前を変更できます。タグが「使用中」である場合、そのタグは他のコンポーネントまたは規則によって参照されています。この場合、タグの名前を変更するには、[Allow tag change] をクリックする必要があります。タグ名に使用できるのは、英数字、アンダースコア、ハイフン、カッコ、およびピリオドだけです。


) このページでタグ名を変更しても、タグ名はグローバルには変更されません。古いタグ名を使用しているコンポーネントおよび規則で新しいタグ名を使用する場合は、個別にこれらの項目を編集する必要があります。


ステップ 4 必要に応じて、[Description] フィールドに、パターンの説明を入力します。

ステップ 5 [Patterns] フィールドに、テキスト文字列、数値文字列、または [Insert Pattern] をクリックすることにより選択される選択済みパターン(@credit_card と @ssn は、利用できる選択済みパターンです)の組み合わせを入力します。パターン リストを空白にすることはできません。[Patterns] フィールドに文字列を入力する方法については、「スキャン データ タグの検索パターン」を参照してください。


) アクセント付き文字と文字列を照合するために、文字列は、「結合エンコーディング」と「事前構成エンコーディング」の UNICODE 形式を使用して、2 回入力する必要があります。


ステップ 6 [Pattern Count] フィールドで、ファイルがタグを受け取るために、ファイル内に検出される必要があるパターンの数を指定します。

ステップ 7 [Priority] フィールドで、スキャン データ タグの優先順位を選択します。CSA データベースに多数のタグ付きファイルのエントリがあり、データベースが大きくなりすぎている場合、高優先順位のタグが付いたファイルのエントリがデータベースに残り、低優先順位のタグが付いたファイルのエントリは破棄されます。

ステップ 8 タグをイネーブルにするには [Enabled] チェックボックスを選択し、タグをディセーブルにするには [Enabled] チェックボックスをクリアします。

ステップ 9 [Save] をクリックして変更を保存します。タグは、規則が生成され、CSA MC へのポーリング時にホストに配布されると、使用できるようになります。

スキャン データ タグのクローン作成


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 既存のスキャン データ タグのリンクをクリックします。[Data Classification - Scanning Tag] ダイアログが開きます。クローンを作成するタグの左側のチェックボックスを選択します。一度にクローンを作成できるのは 1 つのタグに限られます。

ステップ 3 [Clone] をクリックし、[OK] を選択します。新しいタグが [Data Classifications - Scanning Tags] 画面に表示され、そのタグ名の横に <new> マーカーが付きます。クローンを作成したタグは、「スキャン データ タグの作成」の手順に従って編集できます。

スキャン データ タグの削除


ステップ 1 設定特権を持つユーザとして CSA MC にログインします。この手順は、簡易モードと拡張モードのどちらでも実行できます。

ステップ 2 削除するタグの左にあるチェックボックスを選択します。

ステップ 3 [Delete] をクリックし、そのタグを削除することを確認して、[OK] を選択します。


) 「使用中」のスキャン データ タグは、そのタグを参照している変数を先に削除しなければ、削除できません。


スタティック データ タグの管理

スタティック データ タグは、ファイルへのアクセスを試みるアプリケーションのグループに基づいて、ファイルに割り当てられます。

[Static Data Tags] リスト ページは、メニューバーから [Configuration] > [Global Settings] > [Static Data Tags] に移動することで表示できます。このページは、スタティック データ タグが参照されている規則および変数を特定するために役立ちます。

このページから 2 つの管理タスクを実行できます。詳細については、次の手順を参照してください。

「スタティック データ タグへの説明の追加」

「スタティック データ タグへの参照の表示」

[Data Classification - Static Data Tags] リスト ページ

[Data Classification - Static Data Tags] リスト は、次ページの情報カラムを表示することによりタグを説明します。

[Tag]:特定のアプリケーションがファイルにアクセスした後に、ファイルに付けられるタグの名前です。このタグ名は、ファイル セットまたはシステム状態セットなどの、変数を作成する場合に表示されます。

[Description]:情報としてタグの説明を表示します。

[In Use]:データ タグは、ファイル セットまたはシステム状態セットなど、最低 1 つの変数によって明示的に参照されている場合に使用中となります。タグが、@datascan=<*> など、すべてのデータ タグを参照する変数だけによって参照されている場合、そのタグは使用中とは見なされません。

タグを使用している変数を調べるには、そのデータ タグについて記述している行をクリックし、[Data Classification - Scanning Tag] ダイアログの [Tasks] ボタンをクリックして、[View references] をクリックします。ファイル セットのリストが表示されます。

スタティック タブのアトリビュートは、ユーザが作成するファイル アクセス制御規則によって定義されます。スタティック タグのアトリビュートを定義する手順については、「スタティック データ タグを適用するファイル アクセス制御規則の作成」を参照してください。

スタティック データ タグへの説明の追加


ステップ 1 CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Static Data Tags] に移動します。

ステップ 3 [Data Classification - Static Tags] リスト ページで、説明するスタティック データ タグのリンクをクリックします。

ステップ 4 [Description] フィールドに説明を入力し、[Save] をクリックします。

スタティック データ タグへの参照の表示


ステップ 1 CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Configuration] メニューから、[Global Settings] > [Static Data Tags] に移動します。

ステップ 3 [Data Classification - Static Tags] リスト ページで、参照を表示するスタティック データ タグのリンクをクリックします。

ステップ 4 [Tasks] メニューを展開し、[View References] をクリックします。

ステップ 5 リンクをクリックして、参照に従います。

データ消失防止スキャン タスク

データ消失防止スキャンは、「オンデマンド」でスケジュール設定または実行できます。


) バックグラウンド スキャンおよびオンデマンド スキャンによって、ファイルの更新日は変更されません。


バックグラウンド DLP スキャンのスケジュール

管理者は、このリリースに付属しているデフォルトの Data Loss Prevention - desktops ポリシーを使用するすべてのホストに対して、毎週または毎月のバックグラウンド スキャンをスケジュールできます。このポリシーには、バックグラウンド スキャン中にスキャンするファイルを指定する規則が含まれます。デフォルトでは、固定ローカル ドライブ上のファイルは、DLP バックグラウンド スキャン中にスキャンされます。

バックグラウンド スキャンは、ユーザ環境に影響を与えないよう、制御されたペースでゆっくり実行されます。

独自の DLP バックグラウンド スキャン タスクを作成するか、このリリースに付属する DLP バックグラウンド スキャン タスクをイネーブルにするには、次の手順に従います。


ステップ 1 設定特権または導入特権を持つユーザとして CSA MC にログインし、拡張モードに切り換えます。

ステップ 2 CSA MC インターフェイスの [Systems] メニューで、[Host Tasks] > [Host Scanning Tasks] に移動します。

ステップ 3 [New] をクリックします。

ステップ 4 タスクの [Name] と [Description] に入力します。

ステップ 5 規則が再生成され、ソフトウェアの更新がホストに配布された直後にこのタスクをイネーブルにする場合は、[Enabled] を選択します。

ステップ 6 [Configuration] 領域で、次のようにタスクを定義します。

[Run this task] フィールドで、毎週、特定の曜日にこのタスクを実行することを選択するか、毎月、特定の日付にこのタスクを実行することを選択します。


) 毎月 31 日にスキャンをスケジュールした場合、日数が 31 日よりも少ない月にはスキャンが実行されません。


[At] フィールドで、スキャンを実行する時間を指定します。時間は、24 時間形式で表現します。

[Perform background DL search on all hosts in group] をオンにし、ドロップダウン リストからグループを選択します。バックグラウンド スキャン タスクごとに、1 つのグループだけを指定できます。


) アンチウイルス スキャンとデータ消失防止スキャンを組み合わせると、2 つの独立したシステム スキャンが実行されます。


ステップ 7 [Save] をクリックします。

次に、そのグループのすべてのホストに配布するタスクに対して、規則を生成する必要があります。

オンデマンド DLP スキャンの実行

オンデマンド DLP スキャンでは、ホスト上の固定ドライブで、データ スキャン タグの付いたファイルが検索されます。オンデマンド DLP スキャンが動作するには、データ消失防止をイネーブルにする必要があります。詳細については、「データ消失防止による保護のイネーブル化」を参照してください。


ステップ 1 設定特権または導入特権を持つユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Hosts] をクリックします。

ステップ 3 ただちにスキャンを開始するホストのリンクをクリックします。

ステップ 4 [DL full-scan schedule] 行の末尾で、[View DL Scan Results] をクリックします。

ステップ 5 [Scanning] ダイアログボックスで [DL Scan Results] タブがまだ開いていない場合は、そのタブをクリックします。

ステップ 6 [Scan Now] をクリックします。ポーリング ヒントがホストに送信され、ホストがポーリング ヒントを受信した後に、オンデマンド スキャンが自動的に開始されます。ホストがポーリング ヒントを受信しない場合、スキャンは、次にホストがポーリングを実行する時点で開始されます。

スキャンの進行中に、[Get Results] をクリックして、これまでに収集された情報を受信できます。[Get Results] をクリックした後に、ホスト上のエージェントは、次にエージェントがポーリングを実行する時点で、収集済みの情報を転送します。

オンデマンド スキャンが完了したときに、エージェントは、MC に結果を自動的に送信します。

[DL Scan Results] ページでは、定期的に情報がリフレッシュされます。リフレッシュ時に、エージェントから転送された最新の情報がこのページに表示されます。

ホストの DLP スキャン スケジュールの確認

ホストのデータ消失防止スキャンのスケジュールを確認するには、次の手順に従います。


ステップ 1 CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Hosts] を選択します。

ステップ 3 調査するホストのリンクをクリックします。

ステップ 4 [Host Status] エリアを展開します。

ステップ 5 [DL Full Scan Schedule] フィールドにで、ホストのデータ消失防止スキャンのスケジュールが示されます。

グループの DLP スキャン スケジュールの確認

グループのデータ消失防止スキャンのスケジュールを確認するには、次の手順に従います。


ステップ 1 CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 [Systems] メニューで [Groups] を選択します。

ステップ 3 調査するグループのリンクをクリックします。

ステップ 4 [Features] エリアで、[Data Loss Prevention] を探します。

ステップ 5 [Background Scan: On (Off)] のリンクをクリックします。ポップアップ ボックスに、定期的にスケジュールされたバックグラウンド スキャンの時間が表示されるか、DL バックグラウンド スキャンがディセーブルになっていることが示されます。

データ消失防止のレポート

スキャン データ タグが付けられたファイルの数、およびこれらのファイルの場所を記載したレポートを生成できます。生成できるさまざまなデータ消失防止については、「Data Loss Prevention レポート」を参照してください。

データ消失防止規則とコンポーネントの作成

このリリースには、データ消失防止を図るためのポリシーが付属しています。これらのポリシーには、テキスト パターンおよび組み込みデータ パターンのスキャンをトリガーし、データが失われる可能性があるアクティビティをユーザに警告する規則が含まれます。

この項では、実際の環境向けにカスタマイズされた規則とファイル セットを作成する手順を示します。

スキャン データ タグを適用するファイル アクセス制御規則の作成

ファイルに対するデータ スキャンをトリガーするには、ファイル アクセス制御規則を使用します。一般的には、「アプリケーションがファイルの読み取り書き込みを試行し、それが許可(または拒否)された場合に、ファイルでデータ スキャンを実行する」というような文をテスト後に、データ スキャンをトリガーするファイル アクセス制御規則を検討してください。


) アプリケーションのアクションがデフォルトで許可されている場合に、この規則がスタティック タグを適用する場合を除き、アプリケーションがファイルにアクセスすることを許可(または拒否)する別の規則も作成する必要があります。


FACL を作成してデータ スキャンをトリガーする場合は、次の手順に従ってください


) この規則を格納する独自の規則モジュールを作成するには、「規則モジュールの設定」を参照してください。



ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 この規則を追加する規則モジュールを開きます。

ステップ 3 規則モジュール設定画面の [Rules] エリアを展開し、[Add] ボタンをクリックします。 利用可能な規則のポップアップ リストが表示されます。

ステップ 4 [File access control] 規則を選択します。この規則タイプの設定ビューが表示されます。

ステップ 5 規則について、次の情報を入力します。

[Description]:この規則の説明を入力します。

この説明は、モジュールのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。

[Enabled]:このチェックボックスをオンにすると、モジュール内でこの規則がイネーブルになります (デフォルトはイネーブルです)。

このチェックボックスをオフにすると、この規則を保存することはできますが、モジュール内でアクティブにならず、グループにも配布されません。

ステップ 6 [Take the following action] リスト ボックスで、プルダウン リストから [Set] を選択します。

ステップ 7 [Attributes] リスト ボックスで、実行するスキャンの種類として [Data scan on CLOSE] または [Data scan on OPEN] を選択します。これらの設定アトリビュートの説明については、「アトリビュート:Data scan on CLOSE」または「アトリビュート:Data scan on OPEN」を参照してください。

ステップ 8 [Value] フィールドで、ファイルに対する情報のスキャンを禁止するには、[NOT being required for this file] を選択し、ファイルに対する情報のスキャンを要求するには、[Being required for this file] を選択します。

ステップ 9 この規則のロギングをオンにするには、[Log] チェックボックスをイネーブルにします。一般的に、新しい規則のテストまたはデバッグを除き、これらの設定規則に対してロギングをオンにする必要はありません。

ステップ 10 [When]

[Applications in any(または all)of the following selected classes]

ここで、1 つまたは複数の事前設定のアプリケーション クラスを選択して、一覧表示されたファイルへのアクセスを制御するアプリケーションを指定します。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。アプリケーション クラスの設定の詳細については、 第 9 章「アプリケーション クラスの使用方法」 を参照してください。

[Applications in any of the following selected classes] を選択した場合、規則は、選択したアプリケーション クラスのいずれかのメンバーになっているアプリケーションに影響を与えます。

[Applications in all of the following selected classes] を選択した場合、規則は、選択したすべてのアプリケーション クラスのメンバーになっているアプリケーションに影響を与えます。

[But not in the following class]

必要に応じて、[included applications] フィールドで選択したアプリケーション クラスから除外するアプリケーション クラスをここで選択します。デフォルトでは、エントリ <None> が選択されます。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。


) 規則が設定されていれば、現在選択されているアプリケーション クラスが、リストの上部に表示されます。


ステップ 11 [Attempt the following operations]:この手順では、制御しているアプリケーションが試行するファイル処理を指定します。

Scan on OPEN 規則を作成している場合は、[On any of these files] ボックスで指定したファイルに対して許可または禁止する [Read File] および [Write File] 操作の両方を選択する必要があります。Scan on CLOSE 規則を作成している場合は、[Write File] 操作だけを選択できます。

[Write directory] 操作は、[Data scan on OPEN] または [Data scan on CLOSE] アクションに対して有効な選択肢ではありません。


注意 ディレクトリ保護は、指定されたパスのファイル部分を無視し、パスのディレクトリ部分だけを突き合わせます。ディレクトリ部分が完全に指定されていない場合、保護が非常に広範囲となります。たとえば、拒否規則でディレクトリを保護する場合、**¥Program Files¥**Outlook.exe のようにディレクトリ パスを入力すると、Program Files の下のディレクトリは変更できなくなります。指定した保護の範囲が広すぎるため、システムが不安定となる原因になる場合があります。ディレクトリの保護を選択した場合は、必ずパス文字列で特定し、結果として生じる動作を理解してください。

ステップ 12 [On any(または all)of these files] :この手順では、データ スキャンを実行するファイル セットを設定します。

[On any of these files] を選択した場合、規則は、指定したいずれかのファイル セットのメンバとなっているファイルに対してファイル スキャンをトリガーします。

[On all of these files] を選択した場合、規則は、指定したすべてのファイル セットのメンバとなっているファイルに対してファイル スキャンをトリガーします。

利用できるファイル セットのリストから事前設定のファイル セットを登録するには、[Insert File Set] リンクをクリックします。[Insert File Set] リスト ボックスで、リストの上部にある青い [New] リンクをクリックして、規則に対して新しいファイル セットを作成することもできます。最後に、ファイル パス(ワイルドカードの使用可)によって保護するリテラル ファイルをリストできます。

事前設定のファイル セットを使用するのではなく、ファイル パス リテラルをここに入力する方法の詳細については、「正しい構文の使用方法」を参照してください。

ステップ 13 [And]:このエリアでは、CSA によって実行される強制アクションを指定します。

[Allow by default] または [Allow if triggered by a rule] を指定すると、アプリケーションがアクセスを許可されたファイルに対してスキャンがトリガーされます。[Terminated] または [Denied by rule] を指定すると、他のアプリケーションがアクセスを禁止されたファイルがスキャンされます。

ステップ 14 ファイル アクセス制御規則の設定が終わったら、[Save] ボタンをクリックします。

これでこの規則が規則モジュールに新しく追加されました。この規則は、規則モジュールがポリシーに添付され、ポリシーがグループに添付されて、ネットワーク上のエージェントによってダウンロードされたときに有効になります。

スタティック データ タグを適用するファイル アクセス制御規則の作成

ファイル アクセス制御規則を使用すると、ファイルの内容をスキャンせずに、ファイルにスタティック データ タグを割り当てることができます。一般的には、「アプリケーションがファイルの変更を試行し、その試行が許可(または拒否)された場合に、スタティック データ タグをファイルに割り当てる」というような文をテスト後に、ファイルの分類としてこの規則を検討してください。


) アプリケーションのアクションがデフォルトで許可されている場合に、この規則がスタティック タグを適用する場合を除き、アプリケーションがファイルにアクセスすることを許可(または拒否)する別の規則も作成する必要があります。


スタティック データ タグは、ファイルが変更され、閉じられた後に、ファイルに適用されます。

FACL を作成してデータ スキャンをトリガーする場合は、次の手順に従ってください


) この規則を格納する独自の規則モジュールを作成するには、「規則モジュールの設定」を参照してください。



ステップ 1 設定特権のあるユーザとして CSA MC にログインし、拡張モードに切り替えます。

ステップ 2 この規則を追加する規則モジュールを開きます。

ステップ 3 規則モジュール設定画面の [Rules] エリアを展開し、[Add] ボタンをクリックします。利用可能な規則のポップアップ リストが表示されます。

ステップ 4 [File access control] 規則を選択します。この規則タイプの設定ビューが表示されます。

ステップ 5 規則について、次の情報を入力します。

[Description]:この規則の説明を入力します。

この説明は、モジュールのリスト ビューに表示されます。[+Detailed] フィールドを拡張すると長い説明を入力できます。

[Enabled]:このチェックボックスをオンにすると、モジュール内でこの規則がイネーブルになります (デフォルトはイネーブルです)。

このチェックボックスをオフにすると、この規則を保存することはできますが、モジュール内でアクティブにならず、グループにも配布されません。

ステップ 6 [Take the following action] リスト ボックスで、プルダウン リストから [Set] を選択します。

ステップ 7 [Attributes] リスト ボックスで、[file Data Classification] を選択します。この設定については、「アトリビュート:file Data Classification」を参照してください。

ステップ 8 [Value] フィールドで [include the tag <Tag Name>] を選択します。[Value] フィールドのプルダウン メニューには、選択できる複数のスタティック タグがあります。ファイルにアクセスしているアプリケーションの種類に関連するタグ名を選択する必要があります。デフォルト ポリシーで配布されたときに、これらのスタティック タグは、未使用かつ未設定です。

スタティック タグの名前は、そのタグが意図している使用法をガイドし、サポートするように選択されています。たとえば、エンドユーザが医療アプリケーション ソフトウェアを実行する場合、一部の FA CL 規則は、医療ソフトウェアがアクセスするすべてのファイルに対してスタティック タグ <HIPAA Controlled> を設定することがあります。ただし、ファイルは複数のスタティック タグを取得できないことに注意してください。2 つの「Set file Data Classification」規則が同じファイルに対してトリガーされた場合、[file Data Classification] 設定アクションの [Value] フィールドで上位にあるタグが適用されます。

たとえば、<Confidential Information> スタティック タグを適用するために規則 100 を作成し、<HIPAA controlled> タグを適用するために規則 200 を作成し、どちらの規則も同じファイルに対してトリガーされる場合、そのファイルには <HIPAA Controlled> スタティック タグが付けられます。これは、このタグが [file Data Classification] 設定値のリストの上位にあるためです。

ステップ 9 この規則のロギングをオンにするには、[Log] チェックボックスをイネーブルにします。一般的に、新しい規則のテストまたはデバッグを除き、これらの設定規則に対してロギングをオンにする必要はありません。

ステップ 10 [When]

[Applications in any(または all)of the following selected classes]

ここで、1 つまたは複数の事前設定のアプリケーション クラスを選択して、一覧表示されたファイルへのアクセスを制御するアプリケーションを指定します。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。アプリケーション クラスの設定の詳細については、 第 9 章「アプリケーション クラスの使用方法」 を参照してください。

[Applications in any of the following selected classes] を選択した場合、規則は、選択したアプリケーション クラスのいずれかのメンバーになっているアプリケーションに影響を与えます。

[Applications in all of the following selected classes] を選択した場合、規則は、選択したすべてのアプリケーション クラスのメンバーになっているアプリケーションに影響を与えます。

[But not in the following class]

必要に応じて、[included applications] フィールドで選択したアプリケーション クラスから除外するアプリケーション クラスをここで選択します。デフォルトでは、エントリ <None> が選択されます。[application class] リスト ボックスの横の青い [New] リンクをクリックして、新しいアプリケーション クラスを作成することもできます。


) 規則が設定されていれば、現在選択されているアプリケーション クラスが、リストの上部に表示されます。


ステップ 11 [Attempt the following operations]:この手順では、制御しているアプリケーションが試行するファイル処理を指定します。[Write File] だけを指定できます。

「正しい構文の使用方法」でファイルとディレクトリの保護を参照してください。


注意 ディレクトリ保護は、指定されたパスのファイル部分を無視し、パスのディレクトリ部分だけを突き合わせます。ディレクトリ部分が完全に指定されていない場合、保護が非常に広範囲となります。たとえば、拒否規則でディレクトリを保護する場合、**¥Program Files¥**Outlook.exe のようにディレクトリ パスを入力すると、Program Files の下のディレクトリは変更できなくなります。指定した保護の範囲が広すぎるため、システムが不安定となる原因になる場合があります。ディレクトリの保護を選択した場合は、必ずパス文字列で特定し、結果として生じる動作を理解してください。

ステップ 12 [On any(または all)of these files] :この手順では、タグを付けるファイルを含むファイル セットを設定します。

[On any of these files] を選択した場合、規則は、指定したいずれかのファイル セットのメンバとなっているファイルにタグを付けます。

[On all of these files] を選択した場合、規則は、指定したすべてのファイル セットのメンバとなっているファイルにタグを付けます。

利用できるファイル セットのリストから事前設定のファイル セットを登録するには、[Insert File Set] リンクをクリックします。選択するファイル セットのリストを展開するには、[Show All] をクリックします。[Insert File Set] リスト ボックスで、リストの上部にある青い [New] リンクをクリックして、規則に対して新しいファイル セットを作成することもできます。最後に、ファイル パス(ワイルドカードの使用可)によって保護するリテラル ファイルをリストできます。

事前設定のファイル セットを使用するのではなく、ファイル パス リテラルをここに入力する方法の詳細については、「正しい構文の使用方法」を参照してください。

ステップ 13 [And]:このエリアでは、CSA によって実行される強制アクションを指定します。

[Allow by default] または [Allow if triggered by a rule] を指定すると、アプリケーションがアクセスを許可されたファイルに対してスキャンがトリガーされます。[Terminated] または [Denied by rule] を指定すると、他のアプリケーションがアクセスを禁止されたファイルがスキャンされます。

ステップ 14 ファイル アクセス制御規則の設定が終わったら、[Save] ボタンをクリックします。

これでこの規則が規則モジュールに新しく追加されました。この規則は、規則モジュールがポリシーに添付され、ポリシーがグループに添付されて、ネットワーク上のエージェントによってダウンロードされたときに有効になります。

規則を正しいホストに配布するために、ポリシーをグループに関連付けた後、[Generate rules] を使用します。詳細については、 規則プログラムの生成を参照してください。