ZIAでDLP(データ損失防止)を設定してみた
こんにちは。ネットワークソリューション特集 編集部です。
今回は、ZIAでのクラウドDLP (データ損失防止 )設定についてご紹介します。
DLP(データ損失防止)とは
DLP(データ損失防止)は、企業ネットワークのデータを監視/検査して、データ流出を防ぐデータセキュリティ技術/プロセスです。
ZscalerのクラウドDLPは個人を特定できる情報(PII)、クレジット カード番号、機密データなどを場所を問わず保護します。
ZIA クラウドDLP (データ損失防止 )設定
ZIAでクラウドDLP (データ損失防止 )を利用する場合、以下の設定を実施します。
1. DLP辞書:機密情報に一致する文字列パターンを定義
2. DLPエンジン:データ損失検知のトリガー条件を定義
3. DLP通知テンプレート:情報を検知した場合の通知方法を定義
4. DLP ポリシー ルール:検査条件、情報を検知した場合のアクションを定義
※今回設定するパラメータ詳細に関しては公式Webドキュメントを参照ください
※DLPの実施はSSLインスペクションが必須です
※DLP操作にはSaaSセキュリティAPIが必要なSaaSアプリケーションもあります
今回は以下の条件で設定を行なってみました。
DLP辞書作成
まずは機密情報に一致する文字列パターンを定義する「DLP辞書」を作成します。
Zscalerが事前に用意した「DLP辞書」を使用することも可能です。
1.ZIA Admin Portal にて、以下の通り選択します。
[管理]>[DLP辞書&エンジン]>[DLPディクショナリーを追加]
2.「DLPディクショナリーを追加」ウィンドウが表示されるので任意の[名前]を入力します。
パートナーとフレーズ:パターンとフレーズのセクションが表示される
いずれかに一致:パターンまたはフレーズのいずれかに一致すると条件合致と判断される
パターン:正規表現使用して、さまざまな文字列に一致させる
フレーズ:組織で保護したいコンテンツを表す文字列でデータタイプに一致させる
3.[フレーズ]に一致させたい、文字列を入力し、[一意をカウント]を選択、[保存]をクリックします。
※[パターン]を入力することで正規表現を利用することも可能です。
一意をカウント:コンテンツ内でフレーズが何回出現するかに関係なく、 1 回だけカウントする。「社外秘」というフレーズを 3 回含むコンテンツをスキャンすると、 1 つの一致としてカウントされる
DLPエンジンの作成
次にデータ損失検知のトリガー条件を定義する「DLPエンジン」を作成します。
1.ZIA Admin Portal にて、以下の通り選択します。
[管理]>[DLP辞書&エンジン]>[DLPエンジン]>[DLPエンジンを追加]
2.[DLPエンジンを編集]ウィンドウが表示されるので、任意の[名前]を入力します。
3.[EXPRESSION]に以下を選択し、[保存]をクリックします。
・[ALL]:配下辞書のAll (AND)の条件一致
・Confidential Information:先ほど作成したDLP辞書
・マイナンバー(日本):マイナンバーに一致する辞書
・クレジットカード:クレジットカードナンバーに一致する辞書
・ボックスの数値は全て0を記入:0を記入することで「[1>0]」の数式となり「1回以上一致」を表す
上記設定で、[Confidential Information]、[マイナンバー(日本)]、[クレジットカード]で定義されている文字列がコンテンツに1度でも含まれていることが一致条件となります
条件に合致するコンテンツ内容の例)
・機密情報 ([Confidential Information]辞書で定義された文字列) |
・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列) |
・4242424242424242([クレジットカード]辞書で定義されたクレジットカードナンバーの数列) |
条件に合致しないコンテンツ内容の例)
・機密情報 ([Confidential Information]辞書で定義された文字列) |
・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列) |
※EXPRESSIONで[ALL]を指定しているため、上記辞書3つ全てに合致する文字列が1回以上含まれている必要があります。いずれかひとつ一致させる場合は[ANY]を選択します
DLP通知テンプレートの作成
次に情報を検知した場合の通知方法を定義する「DLP通知テンプレート」を作成します。
1.ZIA Admin Portal にて、以下の通り選択します。
[管理]>[Notification Templates]>[Add DLP Notification Template]
2.「Add DLP Notification Template」ウィンドウが表示されるので任意の[名前]を入力、[違反ファイルを添付する]を有効化し、[保存]をクリックします。
違反ファイルを添付する:監査人に送信するメールに違反コンテンツを添付する
DLP ポリシー ルールの作成
最後に今まで作成したDLP辞書、DLPエンジン、DLP通知テンプレートを使用し、データ漏洩を検知した場合のアクションを「DLP ポリシー ルール」で定義します。
1.ZIA Admin Portal にて、以下の通り選択します。
[管理]>[ポリシー]>[情報漏洩防止(DLP)]>[+DLPルールを追加]
2.「DLPルールを追加」ウィンドウが表示されるので任意の[名前]を入力します。
3.「DLPエンジン」をクリック、先ほど作成したDLPエンジンを選択し、[終了]をクリックします。
4.必要な場合は対象の通信条件、ユーザ/グループなどを選択します。
5.[データトラフィック]で[ブロック]を選択、[監査役のタイプ]を[外部の]を選択し、任意のメールアドレスを入力、[Email Notification Template]に先ほど作成した[DLP通知テンプレート]を選択、[保存]をクリックします。
6.[有効化]>[有効化]の順にクリックします。
動作確認
以下の内容を含むテキストファイルをDrop BOXにアップロードします。
・機密情報 ([Confidential Information]辞書で定義された文字列)
・111111111111 ([マイナンバー(日本)]辞書で定義されたマイナンバーの数列)
・4242424242424242([クレジットカード]辞書で定義されたクレジットカードナンバーの数列)
アップロードは失敗し、設定したメールアドレスに対して検知メールが送付されます。
まとめ
- DLP(データ損失防止)はコンテンツ内容を確認し、機密情報の漏洩を防止できる
- Zscalerなら簡単な設定でDLP(データ損失防止)を導入可能
今回はZIAでのクラウドDLP (データ損失防止 )設定についてご紹介しました。