DLP センサーを構成する

DLP センサを作成して、特定のコンテンツ カテゴリに一致するデータを検出することができます。組織の情報セキュリティ ポリシーの遵守をモニタまたは強化するために、DLP センサを 1 つまたは複数のポリシーに適用します。各 DLP センサには、ルール、アクション、設定が含まれています。

Data Loss Prevention サービスの使用を開始する際には、選択されたコンテンツ コントロール ルールに一致するコンテンツを許可して、DLP 違反が検出されたときにログ メッセージだけ送信されるように DLP センサを構成することをお勧めします。これにより、DLP センサの構成ルールに一致するコンテンツに関してネットワーク上のアクティビティをモニタしてから、DLP によるドロップ、ブロックまたは検疫を構成することができます。詳細については、DLP アクティビティを監視する を参照してください。

DLP およびデバイスのパフォーマンス

Data Loss Prevention サービスを有効にすると、スキャン負荷が増大し、アプライアンスで消費されるメモリも増大します。DLP ルールによってはきわめて多量のリソースを消費するものもあります。多数のセンサやルールを有効にすると、デバイスのパフォーマンスに著しい影響が及ぶ可能性があります。各 DLP センサはメモリ容量を追加要求し、各センサで構成する DLP ルールの数も、アプライアンスの使用メモリ量に影響します。地域に適したルールと、業界に関連するユースケースのみ選択するようにしてください。これにより、誤検出の可能性を最小限に抑えることができます。

XTM 25/26 では、センサの使用を 1 つまたは 2 つに控え、各センサの DLP ルールが 6 つを超えなようにすることをお勧めします。

構成する

センサごとに、事前定義コンテンツ コントロールまたはカスタム ルールのいずれを有効化するかを選択します。コンテンツ コントロールとは、ルールによりファイル内で特定されるコンテンツを説明する一連の条件です。コンテンツ コントロール ルールは DLP 署名セットに基づいており、DLP 署名の更新に応じて経時的に更新されます。カスタム ルールとは、組織に固有のフレーズを検索するために作成するルールのことです。

各コンテンツ コントロール ルールには 4 つのプロパティがあります。

名前

各ルールのルール名は、ルールによって特定されるデータの種類を簡単に表しています。一部のルールは、電話番号や社会保障番号など、1 種類のデータを検索します。他のルールは、クレジットカード番号や個人識別情報などの関連データの組み合わせを検索します。

地域

各ルールは特定の地域に適用されます。データの種類には、特定の地域にしか適用されないものがあります。また、同じ種類でも地域によってデータの形式が異なる場合もあります。たとえば、運転免許証ルールは各地域に対応するために複数あります。ルールに指定されたデータの種類を複数地域で特定できる場合、その地域はグローバルに設定されます。ルール リストは、地域別にフィルタすることができます。

カテゴリ

各ルールのカテゴリは、ルールで特定できる一般的な種類のデータを示します。

数量

各コンテンツ コントロール ルールには関連付けられた数値があります。これは、ルールが DLP 違反をトリガするためにスキャンしたオブジェクトから検出しなければならない重み付け一致の数です。各ルールの数量値は WatchGuard Security Portal で調べることができます。

詳細については、次を参照してください:セキュリティ ポータルで DLP ルールを参照する

構成では、DLP ルールの既定の一致数を変更することはできません。

アクション

各センサについて、センサで有効にしたルールに一致するコンテンツが検出された場合にとるべきアクションを定義することができます。電子メール トラフィックで検出されるコンテンツに対してアクションを 1 つ指定し、電子メール以外のトラフィックで検出されるコンテンツに対して別のアクションを指定します。

電子メール トラフィックに対するアクション:

  • 許可 — 電子メールを許可します。
  • ロック — 電子メールの添付ファイルをロックします。ロックされたファイルは、ユーザーが簡単に開くことはできません。管理者だけがファイルをロック解除できます。
  • 削除 — 添付ファイルを削除し、残りのメッセージを受信者に送信します。削除した添付ファイルを、SMTP プロキシで構成した拒否メッセージ (deny message) に置き換えます。
  • 検疫 — 元のメッセージを Quarantine Server に送信します。DLP 違反をトリガしたメッセージ部分 (メッセージ本文または添付ファイル) を削除し、修正されたメッセージを受信者に送ります。削除したメッセージ部分を、SMTP プロキシで構成した拒否メッセージ (deny message) に置き換えます。Quarantine Server に接続できない場合、このメッセージは一時的に拒否されます。
  • 拒否 — 要求を拒否し、接続を中断します。コンテンツの発信元に通知が送信されます。
  • ドロップ — 要求が拒否され、接続が中断されます。コンテンツの発信元に通知は送信されません。
  • ブロック — 要求を拒否し、接続を中断して、ブロックされたサイト リストに送信者の IP アドレスを追加します。

受信者は、DLP 違反のために検疫されたメッセージを閲覧または管理することはできません。DLP により検疫されたメッセージは管理者だけが管理できます。詳細については、検疫済みメッセージを管理する を参照してください。

電子メール以外のトラフィックに対するアクション:

  • 許可 — 接続を許可します。
  • ドロップ — 要求が拒否され、接続が中断されます。コンテンツのソースに情報が一切送信されません。
  • ブロック — 要求を拒否し、接続を中断して、ブロックされたサイト リストにコンテンツ発信元の IP アドレスを追加します。

既定では、DLP センサには DLP アクションが 1 つ含まれており、これはすべての発信元と送信先からのスキャンしたコンテンツに適用されます。同一の DLP センサに複数のアクションを構成することができます。これにより、トラフィックの発信元や送信先に基づいて異なるアクションを構成できます。各アクションに対して、ログ メッセージを生成するかどうか、およびセンサで有効にしたルールに一致するコンテンツが検出されたときにセンサがアラームを送信するかどうかを構成することも可能です。

設定

DLP 設定では、スキャン制限を設定し、以下のいずれかの理由によりコンテンツをスキャンできない場合にとるべきアクションを構成することができます。

  • コンテンツがスキャン制限を超過した
  • スキャン エラーが発生した
  • コンテンツがパスワード保護されている

これらの 3 つの条件のそれぞれについて、電子メールおよび電子メール以外のトラフィックから検出されたコンテンツに対して異なるアクションを設定することができます。

センサの種類

DLP には、内蔵センサとユーザー定義センサの 2 種類あります。内蔵センサは、HIPAA (医療保険の相互運用性と説明責任に関する法律) および PCI (決済カード業界) 情報セキュリティ標準への準拠に関連するコンテンツ ルールを有効にします。内蔵センサは、すべてのトラフィックを許可し、コンテンツ コントロール ルールに一致するコンテンツが検出されるたびにログ メッセージを作成するように構成されています。コンテンツをスキャンできない場合でも、内蔵センサはコンテンツをブロックしません。

2 つの内蔵センサがあります:

  • HIPAA 監査センサ — HIPAA セキュリティ標準のコンプライアンスに関連してコンテンツを検出
  • PCI 監査センサ — PCI セキュリティ標準のコンプライアンスに関連してコンテンツを検出

内蔵センサを編集したり削除することはできませんが、これらをクローンしてそのクローンを編集することはできます。

ユーザーが作成するセンサは、すべてユーザー定義センサです。ユーザー定義センサを作成するには、既存のセンサをクローンするか、新しいセンサを追加します。センサの構成では、組織に適切なコンテンツ コントロール ルールおよびカスタム ルール、アクションおよび設定を選択します。

センサを追加する

DLP センサを追加するときは、Data Loss Prevention Wizard の指示に従ってセンサを作成し、プロキシ ポリシーに適用することができます。構成の中にプロキシ ポリシーが既に存在するかどうかによって、ウィザードには異なる画面が表示されます。ポリシーがない場合は、ウィザードを使用して 1 つまたは複数のプロキシ ポリシーを作成できます。

DLP センサを追加するには、次の手順を実行します。

  1. 登録サービス > Data Loss Prevention の順に選択します。
    Data Loss Prevention ダイアログ ボックスが表示されます。
  2. センサ タブで、追加 をクリックします。
    Data Loss Prevention Wizard が起動します。

Screen shot of the Data Loss Prevention Wizard Welcome page
Fireware Web UI の DLP Sensor Wizard

Screen shot of the Data Loss Prevention Wizard welcome dialog box
Policy Manager の DLP Sensor Wizard

  1. 名前 テキスト ボックスで、センサの名前を編集します。
  2. (オプション) 説明 テキスト ボックスに、このセンサの説明を入力します。
  3. 次へ をクリックします。
    構成済みの FTP、SMTP、HTTP および HTTPS プロキシ ポリシーのリストが表示されます。DLP をサポートするポリシーが構成に含まれていない場合、ウィザードはこの手順をスキップします。

Screen shot of the Data Loss Prevention Wizard, Policies page
Fireware Web UI の DLP ポリシー

Screen shot of the Data Loss Prevention Wizard policies dialog box
Policy Manager の DLP ポリシー

  1. ポリシーで Data Loss Prevention を有効にするには、Data Loss Prevention がまだ有効にされていないポリシーの横にあるチェックボックスをオンにします。
  2. 次へ をクリックします。
    構成に HTTP、FTP または SMTP プロキシ ポリシーがまだ含まれていない場合は、新しいプロキシ ポリシーを作成するかどうかを求められます。DLP がサポートする種類のプロキシ ポリシーが構成にすべて含まれている場合、ウィザードはこの手順をスキップします。

Screen shot of the Data Loss Prevention Wizard, Create new policies page
Fireware Web UI の DLP 新規ポリシーの作成

Screen shot of the Data Loss Prevention Wizard create new proxy policies step
Policy Manager の DLP 新規ポリシーの作成

  1. ウィザードで作成したい各ポリシーの横にあるチェックボックスを選択します。ウィザードを使用して、すでに存在しているタイプのプロキシ ポリシーを追加することはできません。
  2. 次へ をクリックします。
    コンテンツ コントロール ルールのリストが表示されます。

Screen shot of the Data Loss Prevention wizard, Rules page
Fireware Web UI の DLP ルール


Policy Manager の DLP ルール

  1. ルールのリストで、このセンサで有効にしたい各コンテンツ コントロール ルールまたはカスタム ルールのチェックボックスを選択します。
    有効にするルールをすばやく見つけるためにリスト ビューを変更する方法がいくつかあります:
    • リストをフィルタするには、フィルタ基準 ドロップダウン リストから すべてのコンテンツ コントロール ルール を選択してすべてのリストを表示するか、構成済みルール を選択して、このセンサに構成されているルールのみ表示します。
    • 特定の地域のルールを検索するには、地域 ドロップダウン リストから地域を選択します。
    • 名称、地域またはカテゴリの説明に特定のテキストを含むルールを検索するには、検索 テキスト ボックスにそのテキストを入力します。
    • 列のヘッダーをクリックすると、その列のコンテンツを基準にリストをソートできます。
  1. 次へ をクリックします。
    アクションの設定が表示されます。

Screen shot of the Data Loss Prevention Wizard, Actions page
Fireware Web UI の DLP アクション

Screen shot of the Data Loss Prevention Wizard actions settings
Policy Manager の DLP アクション

  1. 電子メールでコンテンツが検知された場合 ドロップダウン リストで、電子メール メッセージのコンテンツがこのセンサで有効なルールに一致する場合に実行するアクションを選択します。
  2. 電子メール以外のトラフィックでコンテンツが検知された場合 ドロップダウン リストで、電子メール以外のトラフィックのコンテンツがこのセンサで有効なルールに一致する場合に実行するアクションを選択します。
  3. このセンサがコンテンツを検出したときにアラームを作動させるには、アラーム チェックボックスをオンにします。
  4. このセンサがコンテンツを検出した際にログ メッセージを作成するには、ログ チェックボックスをオンにします。
  5. 次へ をクリックします。
  6. 完了 をクリックしてウィザードを終了します。
    Data Loss Prevention ダイアログ ボックスの センサ タブに、新しいセンサが表示されます。

センサをクローンする

既存のセンサのコピーを作成するには、それをクローンします。これにより、ユーザー定義の編集可能な別のセンサが作成されます。

センサをクローンするには、以下の手順を実行します。

  1. コピーするセンサを選択します。
  2. クローン をクリックします。
  3. 次のセクションの説明に従って、センサを編集します。

センサを編集する

ユーザーが作成したセンサはいずれも編集可能です。センサを編集するには、以下の手順を実行します:

  1. 登録サービス > Data Loss Prevention の順に選択します。

    Data Loss Prevention ダイアログ ボックスが表示されます。
  2. センサ タブでユーザー定義されたセンサを選択し、編集 をクリックします。
    Data Loss Prevention センサの編集 ダイアログ ボックスが表示されます。

Screen shot of the Data Loss Prevention, Rules tab
Fireware Web UI の DLP センサ プロパティ

Screen shot of the Edit Data Loss Prevention Sensor dialog box, Rules tab
Policy Manager の DLP センサ プロパティ

  1. ルール タブで、このセンサで有効にする各コンテンツ コントロール ルールまたはカスタム ルールのチェックボックスを選択します。
    または、このチェックボックスをオフにして有効なルールを無効にします。
    リスト表示を変更して有効にするルールを検索するには、以下の手順を実行します:
    • リストをフィルタリングするには、フィルタ基準 ドロップダウン リストから すべてのコンテンツ コントロール ルール を選択してすべてのリストを表示するか、有効なルール を選択して、このセンサに有効なルールのみ表示します。
    • 特定の地域のルールを検索するには、地域 ドロップダウン リストから地域を選択します。
    • 名称、地域またはカテゴリの説明に特定のテキストを含むルールを検索するには、検索 テキスト ボックスにそのテキストを入力します。
    • 列のヘッダーをクリックすると、その列のコンテンツを基準にリストをソートできます。
  2. 次のセクションの説明に従って、センサのアクションと設定を編集します。

センサ アクションを追加または編集する

新しいセンサの最初のアクションは、あらゆる発信元からあらゆる送信先へのすべてのトラフィックに適用されます。センサ アクションを編集および追加することで、異なる発信元または異なる送信先に関するトラフィックに個別に適用される複数のアクションを追加することができます。各アクションについて、発信元および送信先を以下のいずれかの種類に設定できます:

  • ホスト IP — 単一の IP アドレス
  • ネットワーク IP — ネットワーク IP のサブネット
  • 電子メール アドレス — 電子メール アドレス ([email protected] または *@example.com など)
  • 認証済みのユーザー — 認証済みユーザーのユーザー名
  • URL — 任意の URL
  • 任意 — 任意の発信元または送信先。発信元または送信先を 任意 に設定した場合、アクション リストに * と表示されます

センサの編集時にアクションの追加または編集を行うには、以下の手順を実行します:

  1. アクション タブを選択します。
    このセンサに有効なアクションのリストが表示されます。

Screen shot of the Edit Data Loss Prevention, Actions tab
Fireware Web UI の DLP アクション

Screen shot of the Edit Data Loss Prevention Sensor dialog box, Actions tab
Policy Manager の DLP アクション

  1. 新しいアクションを追加するには、追加 をクリックします。
    または、アクションを編集するには、アクションを選択してから 編集 をクリックします。

Screen shot of the Add Sensor Action Properties dialog box
Fireware Web UI の DLP センサ アクションのプロパティ

Screen shot of the DLP Sensor Action dialog box
Policy Manager の DLP センサ アクション プロパティ

  1. 発信元 ドロップダウン リストから、このアクションに定義する発信元アドレスの種類を選択します。
  2. 任意 以外の発信元を選択した場合、発信元 ドロップダウン リストの横にあるテキスト ボックスに発信元アドレスを入力します。
  3. 送信先 ドロップダウン リストから、このアクションに定義する送信先アドレスの種類を選択します。
  4. 任意 以外の送信先を選択した場合は、送信先 ドロップダウン リストの横にあるテキスト ボックスに送信先アドレスを入力します。
  5. 電子メールでコンテンツが検知された場合 ドロップダウン リストで、電子メール メッセージのコンテンツがこのセンサで有効なルールに一致する場合に実行するアクションを選択します。
  6. 電子メール以外のトラフィックでコンテンツが検知された場合 ドロップダウン リストで、電子メール以外のトラフィックのコンテンツがこのセンサで有効なルールに一致する場合に実行するアクションを選択します。
  7. このセンサが一致するコンテンツを検出したときにアラームを作動させるには、アラーム チェックボックスをオンにします。
  8. このセンサが一致するコンテンツを検出したときにログ メッセージを作成するには、ログ チェックボックスをオンにします。
  9. OK をクリックします。
    センサのアクション タブに新しいアクションが表示されます。

センサ アクションの順序を並べ替える

DLP センサに複数のアクションを追加した場合、DLP は優先度の高い順にアクションを使用します。複数のセンサ アクションを追加する場合は、適用する発信元または送信先がより限定的なアクションがリストの高い順位に表示され、適用する発信元または送信先が限定的でないアクションが低い順位に表示されるようにしてください。たとえば、任意の発信元から任意の送信先へのトラフィックに適用される DLP アクションを使用する場合、他に追加するアクションがリストの上位に来るようにします。

DLP センサのアクションの順序を変更するには、以下の手順を実行します。

  1. アクション タブを選択します。
  2. 移動するアクションの 発信元 または 送信先 をクリックします。
  3. 選択したアクションをリストの上または下に移動するには、上へ または 下へ をクリックします。

センサのスキャン設定を構成する

ユーザー定義の各 DLP センサでは、DLP によるコンテンツのスキャン方法を制御する設定と、コンテンツをスキャンできない場合に実行すべきアクションを変更することができます。スキャン設定を構成するには、設定 タブを選択します。

これらの設定の詳細については、次を参照してください:DLP スキャン設定を構成する

センサを削除する

センサを削除するには、以下の手順を実行します:

  1. 登録サービス > Data Loss Prevention の順に選択します。
  2. 削除するセンサを選択します。
  3. 削除 をクリックします。

内蔵センサを削除したり、ポリシーによって使用されているセンサを削除することはできません。

関連情報:

Data Loss Prevention について