ZIAでDLP(データ損失防止)を設定してみた

こんにちは。ネットワークソリューション特集 編集部です。
今回は、ZIAでのクラウドDLP (データ損失防止 )設定についてご紹介します。

DLP(データ損失防止)とは

DLP(データ損失防止)は、企業ネットワークのデータを監視/検査して、データ流出を防ぐデータセキュリティ技術/プロセスです。

ZscalerのクラウドDLPは個人を特定できる情報(PII)、クレジット カード番号、機密データなどを場所を問わず保護します。

ZIA クラウドDLP (データ損失防止 )設定

ZIAでクラウドDLP (データ損失防止 )を利用する場合、以下の設定を実施します。

1. DLP辞書:機密情報に一致する文字列パターンを定義

2. DLPエンジン:データ損失検知のトリガー条件を定義

3. DLP通知テンプレート:情報を検知した場合の通知方法を定義

4. DLP ポリシー ルール:検査条件、情報を検知した場合のアクションを定義

※今回設定するパラメータ詳細に関しては公式Webドキュメントを参照ください

※DLPの実施はSSLインスペクションが必須です

※DLP操作にはSaaSセキュリティAPIが必要なSaaSアプリケーションもあります

今回は以下の条件で設定を行なってみました。

DLP辞書作成

まずは機密情報に一致する文字列パターンを定義する「DLP辞書」を作成します。

Zscalerが事前に用意した「DLP辞書」を使用することも可能です。

1.ZIA Admin Portal にて、以下の通り選択します。

[管理]>[DLP辞書&エンジン]>[DLPディクショナリーを追加]

2.「DLPディクショナリーを追加」ウィンドウが表示されるので任意の[名前]を入力します。

パートナーとフレーズ:パターンとフレーズのセクションが表示される

いずれかに一致:パターンまたはフレーズのいずれかに一致すると条件合致と判断される

パターン:正規表現使用して、さまざまな文字列に一致させる

フレーズ:組織で保護したいコンテンツを表す文字列でデータタイプに一致させる

3.[フレーズ]に一致させたい、文字列を入力し、[一意をカウント]を選択、[保存]をクリックします。

※[パターン]を入力することで正規表現を利用することも可能です。

一意をカウント:コンテンツ内でフレーズが何回出現するかに関係なく、 1 回だけカウントする。「社外秘」というフレーズを 3 回含むコンテンツをスキャンすると、 1 つの一致としてカウントされる

DLPエンジンの作成

次にデータ損失検知のトリガー条件を定義する「DLPエンジン」を作成します。

1.ZIA Admin Portal にて、以下の通り選択します。

[管理]>[DLP辞書&エンジン]>[DLPエンジン]>[DLPエンジンを追加]

2.[DLPエンジンを編集]ウィンドウが表示されるので、任意の[名前]を入力します。

3.[EXPRESSION]に以下を選択し、[保存]をクリックします。

[ALL]:配下辞書のAll (AND)の条件一致

Confidential Information:先ほど作成したDLP辞書

マイナンバー(日本):マイナンバーに一致する辞書

クレジットカード:クレジットカードナンバーに一致する辞書

ボックスの数値は全て0を記入:0を記入することで「[1>0]」の数式となり「1回以上一致」を表す

 

上記設定で、[Confidential Information]、[マイナンバー(日本)]、[クレジットカード]で定義されている文字列がコンテンツに1度でも含まれていることが一致条件となります

条件に合致するコンテンツ内容の例)

・機密情報 ([Confidential Information]辞書で定義された文字列)
・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列)
・4242424242424242([クレジットカード]辞書で定義されたクレジットカードナンバーの数列)

条件に合致しないコンテンツ内容の例)

・機密情報 ([Confidential Information]辞書で定義された文字列)
・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列)

※EXPRESSIONで[ALL]を指定しているため、上記辞書3つ全てに合致する文字列が1回以上含まれている必要があります。いずれかひとつ一致させる場合は[ANY]を選択します

DLP通知テンプレートの作成

次に情報を検知した場合の通知方法を定義する「DLP通知テンプレート」を作成します。

1.ZIA Admin Portal にて、以下の通り選択します。

[管理]>[Notification Templates]>[Add DLP Notification Template]

2.「Add DLP Notification Template」ウィンドウが表示されるので任意の[名前]を入力、[違反ファイルを添付する]を有効化し、[保存]をクリックします。

違反ファイルを添付する:監査人に送信するメールに違反コンテンツを添付する

DLP ポリシー ルールの作成

最後に今まで作成したDLP辞書、DLPエンジン、DLP通知テンプレートを使用し、データ漏洩を検知した場合のアクションを「DLP ポリシー ルール」で定義します。

1.ZIA Admin Portal にて、以下の通り選択します。

[管理]>[ポリシー]>[情報漏洩防止(DLP)]>[+DLPルールを追加]

2.「DLPルールを追加」ウィンドウが表示されるので任意の[名前]を入力します。

3.「DLPエンジン」をクリック、先ほど作成したDLPエンジンを選択し、[終了]をクリックします。

4.必要な場合は対象の通信条件、ユーザ/グループなどを選択します。

5.[データトラフィック]で[ブロック]を選択、[監査役のタイプ]を[外部の]を選択し、任意のメールアドレスを入力、[Email Notification Template]に先ほど作成した[DLP通知テンプレート]を選択、[保存]をクリックします。

6.[有効化]>[有効化]の順にクリックします。

動作確認

以下の内容を含むテキストファイルをDrop BOXにアップロードします。

・機密情報 ([Confidential Information]辞書で定義された文字列)

・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列)

・4242424242424242([クレジットカード]辞書で定義されたクレジットカードナンバーの数列)

アップロードは失敗し、設定したメールアドレスに対して検知メールが送付されます。

まとめ

  • DLP(データ損失防止)はコンテンツ内容を確認し、機密情報の漏洩を防止できる
  • Zscalerなら簡単な設定でDLP(データ損失防止)を導入可能

今回はZIAでのクラウドDLP (データ損失防止 )設定についてご紹介しました。