インターネットとSaaSへのセキュアなアクセス(ZIA)
DLPの詳細設定の構成
[DLPの高度な設定]ページでは、Zscalerサービスのさまざまなデータ損失防止(DLP)機能の設定を構成できます。
DLPの高度な設定を構成するには、次の手順を実行します。
- Administration > DLP Advanced Settingsに移動します。
- 必要に応じて構成します。
- Cloud App & URL Exceptions for DLP
Zscaler DLPポリシーを使用すると、クラウド アプリケーションやWebサイトに送信される、特定のデータのコンテンツを監視するルールを作成できます。
特定のクラウド アプリケーションやWebサイトを[DLP用のクラウド アプリとURLの例外]リストに追加することで、Zscalerサービスでそれらを検査しないようにすることができます。
[DLPの高度な設定]ページで構成した除外は、DLPポリシーに対して作成したルールをオーバーライドします。例えば、ある管理者がクラウド アプリケーションを[DLP用のクラウド アプリとURLの例外]リストに追加することで、そのアプリケーションの除外を作成したとします。別の管理者が、同じアプリケーションを検査するDLPポリシー ルールを作成したとします。ユーザーがこのアプリケーションにコンテンツを送信すると、Zscalerサービスはこれらのトランザクションを検査しません。
[ Cloud Apps & URL Exceptions for DLP] で、次のフィールドに入力します。
- Exempted Cloud Applications:DLP評価の対象から外したいクラウド アプリケーション。最大256件のアプリケーションを検索し、選択することができます。
デフォルトで、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックして詳細を見る]リンクをクリックすると表示されます。このプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。
- 除外されたURL:DLP評価から除外するURLを入力し、[項目の追加]をクリックします。複数のエントリーを入力できます。各エントリーの後に
Enter
を押します。最大256個のURLを追加できます。URLの入力に関するガイダンスについては、URL形式のガイドラインを参照してください。 - 除外されたユーザー定義URLカテゴリー:DLP評価から除外するカスタムURLカテゴリー。最大256個のカスタムURLカテゴリーを検索して選択できます。
- URL エンコード データを除外する: このオプションを有効にすると、すべての URL エンコード データが DLP 評価から除外されます。
- 完全データ一致
完全データ一致(EDM)は、デフォルトでプライマリー フィールドとセカンダリー フィールドを含むインデックス テンプレートを使用します。これは、DLPの詳細設定で変更して、EDMがプライマリー キーまたはセカンダリー キーを使用しないようにしたり、一般的な形式のEDMチェックで設定したりできます。
- [プライマリー キーなし]:有効にすると、一致する必要があるテンプレートのフィールド、省略可能なフィールド、一致する必要があるオプションのフィールドの数を選択します。プライマリー キーなしでEDMを有効にする前に、既存のすべてのEDMスキーマ(テンプレート、ディクショナリー、エンジン、ポリシー)を削除するか、割り当てを解除する必要があります。プライマリー キー機能のない新しいスキーマは、この機能を有効にした後で作成できます。
- [一般的な形式用EDMチェックを有効化]:有効にすると、EDMはSSNディクショナリー、SINディクショナリー、CCNディクショナリーで一般的な形式をスキャンし、入力した形式が一般的なデータ形式のタイプと一致する場合にのみEDMの一致が成功します。サポートされているデータ タイプについては、「EDMテンプレートの作成」を参照してください。
EDMを設定するには、以下の手順を実行します。
- 既存のEDMテンプレート、ディクショナリー、エンジンおよびポリシーを削除するか、割り当てを解除します。
- Administration > DLP Advanced Settingsに移動します。
- EDMを有効にする
- プライマリー キーなしでEDMを設定する
[プライマリー キーなしのEDM]を有効にします。
EDMテンプレートを作成します。Index Toolでは、プライマリー フィールドまたはセカンダリー フィールドを指定する必要はありません。
作成したEDMテンプレート(またはプライマリー キーのない他のEDMテンプレート)を使用して、DLP辞書を作成します。プライマリー キーが有効になっていないDLP EDM辞書を作成する場合は、オプション フィールドで[照合するフィールド]、[照合するオプション フィールド]、[一致タイプ]を指定します。[照合するフィールド]または[照合するオプション フィールド]のうち、少なくとも1つで選択する必要があります。
- プライマリー キーのないEDM辞書を使用してDLPエンジンを作成します。
- プライマリー キーのないEDMエンジンを使用して、コンテンツ インスペクションを使用したポリシーを作成します。
- 一般的な形式用EDMチェックを設定する
[一般的な形式をチェック]を有効にします。
EDMテンプレートを作成します。インデックス ツールで、有効にするデータ タイプを指定します。
作成したEDMテンプレートを使用してDLPディクショナリーを作成します。[一致条件をオンにする必要があるフィールド]の場合、[データ タイプ] (SSN、CCN、CSINなど)をプライマリー フィールドとして指定し、[名前]を2番目のフィールドとして指定する必要があります。
- プライマリー キーなしでEDMを設定する
- [保存] を選択する。
- 光学式文字認識(OCR)
Zscalerサービスでは、光学式文字認識(OCR)を使用して、インラインデータ損失防止(DLP)、SaaSセキュリティAPI DLP、アウトバウンド メールDLPポリシーの一部として、画像の機密テキスト データをスキャンできます。組織のOCR設定を構成すると、これらの設定は作成されるすべてのDLPポリシーに適用されます。OCRオプションが有効になっていない場合、DLPルールは画像ファイルに適用されません。
DLPエンジンは、PNG、JPEG、TIFF、BMPファイルのOCRスキャンをサポートしています。
[光学式文字認識(OCR)]セクションで、次の設定を構成します。
- [インラインDLP]:このオプションを有効にすると、Zscaler DLPエンジンが、転送中のデータに含まれる画像でテキスト コンテンツをスキャンできるようになります。詳細は、情報漏洩防止についてを参照してください。
- [SaaSセキュリティAPI]:このオプションを有効にすると、Zscaler DLPエンジンが、保存データに含まれる画像でテキスト コンテンツをスキャンできるようになります。詳細は、SaaSセキュリティAPI DLPについてを参照してください。
- [アウトバウンド メールDLP]:このオプションを有効にすると、Zscaler DLPエンジンが、外部ドメインに送信されたアウトバウンド メールで画像のテキスト コンテンツをスキャンできるようになります。詳細は、Zscalerアウトバウンド メールDLPとは何か?を参照してください。
- インラインDLPルールの評価
この設定は、[すべてのルールの評価]モードを有効にしている組織のみで表示されます。この機能にアクセスするには、Zscalerアカウント チームにお問い合わせください。詳細については、[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定を参照してください。
[インラインDLPルールの評価]で、設定したルールをDLPエンジンが評価する方法を指定します。
- [ルールの順序に基づく]: DLPエンジンの評価にルールの順序を使用する場合は、このオプションを選択します。エンジンが一致するルールを見つけると、評価が停止します。
- [すべてのルールの評価]: DLPエンジンですべてのルールを評価する場合は、このオプションを選択します。複数のルールが一致する場合、ルール エンジンは、最も制限の厳しいアクションが設定されたルールを選択します。
選択した評価方法は、組織のすべてのインラインDLPルールに適用されます。評価方法を変更する場合は、まず既存のインラインDLPルールをすべて削除する必要があります。
閉じる - HTTP GETリクエストの検査
この機能にアクセスするには、Zscalerアカウント チームにお問い合わせください。
ポリシーでユーザー定義のカスタムURLカテゴリーを有効にするには、まず[DLPの高度な設定]ページに移動し、[HTTP GETリクエストの検査]に関連付けるURLカテゴリーを選択する必要があります。詳細は、コンテンツ インスペクションを含むDLPポリシー ルールの設定、および[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定を参照してください。
HTTP GETクエリー パラメーターで機密データを検査するには、次のように操作します。
[カスタムURL]ドロップダウン メニューで、リストからURLカテゴリーを選択します。カスタムURLカテゴリーを作成するには、カスタムURLカテゴリーの設定を参照してください。
- 保存 をクリックします。
- Cloud App & URL Exceptions for DLP
- 保存 と 変更を有効にする をクリックします。