このドキュメントでは、ESAでのDLPに関連する分類ミスとスキャン失敗(またはミス)をトラブルシューティングする一般的な方法について説明します。
Cisco Eメールセキュリティアプライアンス(ESA)のデータ損失防止(DLP)は、有効にし、ポリシーを作成し、機密データのスキャンを開始できるという意味ではプラグアンドプレイです。ただし、最善の結果が得られるのは、会社固有の要件に合わせてDLPを調整した後であることに注意してください。これには、DLPポリシーのタイプ、ポリシー一致詳細、重大度スケールの調整方法、フィルタ、追加のカスタマイズなどが含まれます。
メールログやメッセージトラッキングで確認できるDLP違反の例をいくつか示します。ログラインには、タイムスタンプ、ログレベル、MID番号、違反または違反なしのどちらであるか、重大度とリスク要因、および一致したポリシーが含まれます。
Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.
違反が見つからない場合は、メールログまたはメッセージトラッキング(あるいはその両方)に、DLP no violationと記録されます。
Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation
ここでは、DLPの誤分類またはスキャンの失敗やミスに対処するときに確認できる一般的な項目を示します。
DLPエンジンのアップデートはデフォルトでは自動ではないため、最新の機能拡張やバグ修正を含む最新バージョンを実行することが重要です。
GUIでSecurity Servicesの下のData Loss Preventionに移動して、現在のエンジンバージョンを確認し、アップデートが利用可能かどうかを確認できます。アップデートがある場合は、Update Nowをクリックしてアップデートを実行できます。

DLPには、DLPポリシーに違反するコンテンツをログに記録するオプションがあります。このデータはメッセージトラッキングで表示でき、電子メール内のどのコンテンツが特定の違反を引き起こすかを追跡するのに役立ちます。
GUIでSecurity Servicesの下のData Loss Preventionに移動して、Matched Content Loggingが有効になっているかどうかを確認できます。


ESAのスキャン動作の設定は、DLPの背後にある機能にも影響を与えます。ここで示す画像の例では、最大添付ファイルのスキャンサイズが 5 Mに設定されています。この画像を大きくすると、DLPスキャンが欠落する可能性があります。また、MIMEタイプの添付ファイルに対するアクションの設定も、確認が必要なもう1つの一般的な項目です。リストされたMIMEタイプがスキップされ、他のすべてのタイプがスキャンされるように、デフォルトのSkipに設定する必要があります。代わりに[Scan]に設定されている場合、ESAはテーブルにリストされているMIMEタイプのみをスキャンします。
同様に、ここに記載されている他の設定もDLPスキャンに影響を与える可能性があるため、添付ファイルや電子メールコンテンツごとに考慮する必要があります。
GUIではSecurity Servicesの下のScan Behaviorに移動でき、CLIではscanconfigコマンドの下に移動できます。

デフォルトの重大度スケールのしきい値は、ほとんどの環境に対して十分ですが、False Negative(FN)またはFalse Positive(FP)の一致を支援するためにしきい値を変更する必要がある場合は、そのように変更できます。また、新しいダミーポリシーを作成して比較し、DLPポリシーが推奨されるデフォルトのしきい値を使用しているかどうかを確認することもできます。

これらのフィールドのいずれかに入力されたエントリが、送信者または受信者の電子メールアドレスの大文字と小文字が正しく一致していることを確認します。Filter Senders and Recipientsフィールドでは、大文字と小文字が区別されます。DLPポリシーは、電子メールアドレスがメールクライアントで「TestEmail@mail.com」と表示され、これらのフィールドに「testemail@mail.com」と入力される場合はトリガーされません。

| 改定 | 発行日 | コメント |
|---|---|---|
2.0 |
01-Jul-2026
|
再請求 |
1.0 |
26-Apr-2020
|
初版 |