[DLPの高度な設定]ページでは、Zscalerサービスのさまざまなデータ損失防止(DLP)機能の設定を構成できます。

DLPの高度な設定を構成するには、次の手順を実行します。

1. Administration > DLP Advanced Settingsに移動します。
2. 必要に応じて構成します。
   • Cloud App & URL Exceptions for DLP

     Zscaler DLPポリシーを使用すると、クラウド アプリケーションやWebサイトに送信される、特定のデータのコンテンツを監視するルールを作成できます。

     特定のクラウド アプリケーションやWebサイトを[DLP用のクラウド アプリとURLの例外]リストに追加することで、Zscalerサービスでそれらを検査しないようにすることができます。

     [DLPの高度な設定]ページで構成した除外は、DLPポリシーに対して作成したルールをオーバーライドします。例えば、ある管理者がクラウド アプリケーションを[DLP用のクラウド アプリとURLの例外]リストに追加することで、そのアプリケーションの除外を作成したとします。別の管理者が、同じアプリケーションを検査するDLPポリシー ルールを作成したとします。ユーザーがこのアプリケーションにコンテンツを送信すると、Zscalerサービスはこれらのトランザクションを検査しません。

     [ Cloud Apps & URL Exceptions for DLP] で、次のフィールドに入力します。

     • Exempted Cloud Applications：DLP評価の対象から外したいクラウド アプリケーション。最大256件のアプリケーションを検索し、選択することができます。

     デフォルトで、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックして詳細を見る]リンクをクリックすると表示されます。このプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。

     画像を参照してください。

     

     閉じる

     • 除外されたURL：DLP評価から除外するURLを入力し、[項目の追加]をクリックします。複数のエントリーを入力できます。各エントリーの後にEnterを押します。最大256個のURLを追加できます。URLの入力に関するガイダンスについては、URL形式のガイドラインを参照してください。
     • 除外されたユーザー定義URLカテゴリー：DLP評価から除外するカスタムURLカテゴリー。最大256個のカスタムURLカテゴリーを検索して選択できます。
     • URL エンコード データを除外する: このオプションを有効にすると、すべての URL エンコード データが DLP 評価から除外されます。

     閉じる
   • 完全データ一致

     完全データ一致(EDM)は、デフォルトでプライマリー フィールドとセカンダリー フィールドを含むインデックス テンプレートを使用します。これは、DLPの詳細設定で変更して、EDMがプライマリー キーまたはセカンダリー キーを使用しないようにしたり、一般的な形式のEDMチェックで設定したりできます。

     • [プライマリー キーなし]:有効にすると、一致する必要があるテンプレートのフィールド、省略可能なフィールド、一致する必要があるオプションのフィールドの数を選択します。プライマリー キーなしでEDMを有効にする前に、既存のすべてのEDMスキーマ(テンプレート、ディクショナリー、エンジン、ポリシー)を削除するか、割り当てを解除する必要があります。プライマリー キー機能のない新しいスキーマは、この機能を有効にした後で作成できます。
     • [一般的な形式用EDMチェックを有効化]:有効にすると、EDMはSSNディクショナリー、SINディクショナリー、CCNディクショナリーで一般的な形式をスキャンし、入力した形式が一般的なデータ形式のタイプと一致する場合にのみEDMの一致が成功します。サポートされているデータ タイプについては、「EDMテンプレートの作成」を参照してください。

     EDMを設定するには、以下の手順を実行します。

     1. 既存のEDMテンプレート、ディクショナリー、エンジンおよびポリシーを削除するか、割り当てを解除します。
     2. Administration > DLP Advanced Settingsに移動します。
     3. EDMを有効にする
        • プライマリー キーなしでEDMを設定する

          1. [プライマリー キーなしのEDM]を有効にします。

             画像を参照してください。

             

             閉じる

          2. EDMテンプレートを作成します。Index Toolでは、プライマリー フィールドまたはセカンダリー フィールドを指定する必要はありません。

             画像を参照してください。

             

             閉じる

          3. 作成したEDMテンプレート(またはプライマリー キーのない他のEDMテンプレート)を使用して、DLP辞書を作成します。プライマリー キーが有効になっていないDLP EDM辞書を作成する場合は、オプション フィールドで[照合するフィールド]、[照合するオプション フィールド]、[一致タイプ]を指定します。[照合するフィールド]または[照合するオプション フィールド]のうち、少なくとも1つで選択する必要があります。

             画像を参照してください。

             

             閉じる

          4. プライマリー キーのないEDM辞書を使用してDLPエンジンを作成します。
          5. プライマリー キーのないEDMエンジンを使用して、コンテンツ インスペクションを使用したポリシーを作成します。

          閉じる
        • 一般的な形式用EDMチェックを設定する

          1. [一般的な形式をチェック]を有効にします。

             画像を参照してください。

             閉じる

          2. EDMテンプレートを作成します。インデックス ツールで、有効にするデータ タイプを指定します。

             画像を参照してください。

             

             閉じる

          3. 作成したEDMテンプレートを使用してDLPディクショナリーを作成します。[一致条件をオンにする必要があるフィールド]の場合、[データ タイプ] (SSN、CCN、CSINなど)をプライマリー フィールドとして指定し、[名前]を2番目のフィールドとして指定する必要があります。

             画像を参照してください。

             

             閉じる

          閉じる
     4. [保存] を選択する。

     閉じる
   • 光学式文字認識(OCR)

     Zscalerサービスでは、光学式文字認識(OCR)を使用して、インラインデータ損失防止(DLP)、SaaSセキュリティAPI DLP、アウトバウンド メールDLPポリシーの一部として、画像の機密テキスト データをスキャンできます。組織のOCR設定を構成すると、これらの設定は作成されるすべてのDLPポリシーに適用されます。OCRオプションが有効になっていない場合、DLPルールは画像ファイルに適用されません。

     DLPエンジンは、PNG、JPEG、TIFF、BMPファイルのOCRスキャンをサポートしています。

     [光学式文字認識(OCR)]セクションで、次の設定を構成します。

     • [インラインDLP]:このオプションを有効にすると、Zscaler DLPエンジンが、転送中のデータに含まれる画像でテキスト コンテンツをスキャンできるようになります。詳細は、情報漏洩防止についてを参照してください。
     • [SaaSセキュリティAPI]:このオプションを有効にすると、Zscaler DLPエンジンが、保存データに含まれる画像でテキスト コンテンツをスキャンできるようになります。詳細は、SaaSセキュリティAPI DLPについてを参照してください。
     • [アウトバウンド メールDLP]:このオプションを有効にすると、Zscaler DLPエンジンが、外部ドメインに送信されたアウトバウンド メールで画像のテキスト コンテンツをスキャンできるようになります。詳細は、Zscalerアウトバウンド メールDLPとは何か?を参照してください。

     閉じる
   • インラインDLPルールの評価

     この設定は、[すべてのルールの評価]モードを有効にしている組織のみで表示されます。この機能にアクセスするには、Zscalerアカウント チームにお問い合わせください。詳細については、[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定を参照してください。

     [インラインDLPルールの評価]で、設定したルールをDLPエンジンが評価する方法を指定します。

     • [ルールの順序に基づく]: DLPエンジンの評価にルールの順序を使用する場合は、このオプションを選択します。エンジンが一致するルールを見つけると、評価が停止します。
     • [すべてのルールの評価]: DLPエンジンですべてのルールを評価する場合は、このオプションを選択します。複数のルールが一致する場合、ルール エンジンは、最も制限の厳しいアクションが設定されたルールを選択します。

     選択した評価方法は、組織のすべてのインラインDLPルールに適用されます。評価方法を変更する場合は、まず既存のインラインDLPルールをすべて削除する必要があります。

     閉じる
   • HTTP GETリクエストの検査

     この機能にアクセスするには、Zscalerアカウント チームにお問い合わせください。

     ポリシーでユーザー定義のカスタムURLカテゴリーを有効にするには、まず[DLPの高度な設定]ページに移動し、[HTTP GETリクエストの検査]に関連付けるURLカテゴリーを選択する必要があります。詳細は、コンテンツ インスペクションを含むDLPポリシー ルールの設定、および[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定を参照してください。

     HTTP GETクエリー パラメーターで機密データを検査するには、次のように操作します。

     1. [カスタムURL]ドロップダウン メニューで、リストからURLカテゴリーを選択します。カスタムURLカテゴリーを作成するには、カスタムURLカテゴリーの設定を参照してください。

        画像を参照してください。

        

        閉じる

     2. 保存 をクリックします。

     閉じる
3. 保存 と 変更を有効にする をクリックします。