icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定

この記事は、[すべてのルールの評価]モードを有効にしている組織のみを対象としています。この機能にアクセスするには、Zscalerアカウント チームにお問い合わせください。

デフォルトでは、Zscalerサービスはルールの順序に従ってインラインデータ損失防止(DLP)ポリシー ルールを評価し、評価は最初の一致で停止します。ただし、組織ですべてのルールの評価モードが有効になっている場合は、代わりにZscalerサービスですべてのルールを評価して、最も制限の厳しいアクションが設定されたルールを適用できます。[すべてのルールを評価]モードでは、同じアクションを持つ複数のルールが一致した場合にのみ、ルールの順序が使用されます。その場合、ルールの順序によってどのポリシー ルールがトリガーされるかが決まります。

Zscalerサービスによるルールの評価方法を変更する前に、まず既存のインラインDLPルールをすべて削除する必要があります。詳細については、DLPの高度な設定を行うを参照してください。

組織ですべてのルールを評価モードが有効になっている場合は、まず[DLPの高度な設定]ページ([管理]>[DLPの高度な設定])でZscalerサービスがインラインDLPルールを評価する方法を設定します。

次に、その設定に基づいてポリシー ルールを設定します。

  • すべてのルールを評価するようにZscalerサービスを設定する場合、例外ルールを作成できます。これは、必要なワークフローの一部として、インラインDLPポリシーに違反する可能性のあるタスクを実行する必要がある、組織の特定のユーザーまたはグループを除外するための子ルールです。各親ルールに割り当てることができる例外ルールの数に制限はありません。ルールを設定するときに、各ルールでZscaler DLPエンジンを使用するか、サードパーティーのDLPソリューションを使用するかについても指定します。

    すべてのルールを評価するようにDLPポリシー ルールを設定するには、次の操作を実行します。

    • 1. 必要に応じて、DLP辞書とエンジンを設定します。DLP辞書とエンジンをそのまま使用することも、ニーズに合わせて変更することもできます。カスタム辞書またはエンジンを作成することもできます。カスタムDLP辞書とエンジンを変更または作成しない場合は、この手順をスキップします。
    • 2. DLP通知テンプレートを構成します。ユーザーのトランザクションがDLPポリシー ルールに違反したときに組織の監査役に電子メールで通知する場合は、この構成が必要です。
    • 3. DLPポリシーに違反したトランザクションに関する情報をサードパーティソリューションに転送する場合は、ICAPサーバーを設定します。サードパーティのDLPソリューションがない場合、またはコンテンツを転送しない場合は、このステップをスキップします。
    • ポリシールールを定義する方法:

      1. [ポリシー]>[情報漏洩防止]に移動します。
      2. [DLP ルールの追加]をクリックします。
      3. [DLPルールの追加]ウィンドウで、次のように操作します。
        1. 次のDLPルールの属性を入力します。
      • [ルールの順序]:このフィールドは設定可能ですが、Zscalerサービスですべてのルールを評価するように設定されている場合、ルールの順序は親ルールには適用されません。
      • [重大度]:ドロップダウン メニューから違反の重大度([高]、[中]、[低]または[情報])を選択します。
      • ルール名:DLPルールの一意の名前を入力するか、デフォルトの名前を使用します。
      • [ルールのステータス]:有効化されたルールがアクティブに適用されます。無効化されたルールはアクティブに適用されませんが、ルールの順序内の位置を失うことはありません。Zscalerサービスはこのルールをスキップして、次のルールに移動します。
      • [ルールラベル]:ルールラベルを選択して、ルールと関連付けます。詳しくは、ルールラベルについてを参照してください。
      1. 下の基準を定義します。
      • [コンテンツ マッチング]: [DLPエンジンを選択]を選択して、最大4つのエンジンを選択します。DLPエンジンを検索することもできます。[なし]を選択した場合、ZscalerサービスはコンテンツのスキャンにDLPエンジンを使用しません。代わりに、サービスはフィルターとして機能し、指定した条件に基づいてコンテンツにのみフラグを立てます。[一致のみ]オプションは、[許可]と[ブロック]の両方のルール アクションで有効になります。[一致のみ]を選択して、サービスがアクションを実行するためにエンジンをトリガーする方法を設定できます。詳しくは、「DLPポリシーの構成例:一致のみ」を参照してください。
        • [一致のみ]の選択を解除すると、サービスがアクションを実行するために必要なエンジンは1つだけです。

      たとえば、次の2つのDLPルールを作成するとします。

      • [ルール1]: PCIエンジンを使用し、[一致のみ]オプションを選択し、[ルールをブロック]アクションを使用します。
      • [ルール2]: PIIエンジンと[ブロック]ルール アクションを使用します。

      [一致のみ]の選択を解除すると、トランザクションがPCIエンジンのみをトリガーすると、ルール1がトリガーされます。

      • [一致のみ]が選択されている場合、サービスがアクションを実行するには、すべてのエンジンをトリガーする必要があり、トランザクションは異なるルールの他のエンジンと一致してはなりません。

      たとえば、前の例と同じ2つのDLPルールがあるとします。

      • [ルール1]: PCIエンジンを使用し、[一致のみ]オプションを選択し、[ルールをブロック]アクションを使用します。
      • [ルール2]: PIIエンジンと[ブロック]ルール アクションを使用します。

      [一致のみ]を選択すると、トランザクションによってPCIエンジンとPIIエンジンの両方がトリガーされると、ルール2がトリガーされます。

      Zscaler DLPエンジンは最大400 MBのファイルに対応し、抽出されたテキストの最初の100 MBをスキャンできます。最大サイズは、アーカイブ ファイルから抽出されたファイルにも適用されます。

      • [HTTP GETクエリー パラメーターの検査]: DLPルールを設定して、URLカテゴリー(生成AIおよびMLアプリケーション、セーフ サーチ エンジン、翻訳ツール、Web検索、およびユーザー定義のカスタムURLカテゴリー)のHTTP GETクエリー パラメーターを検査できます。有効にするには、HTTP GETクエリー パラメーターに[有効]を選択し、ドロップダウン メニューからURLカテゴリーを選択します。詳細は、DLPの高度な設定の構成を参照してください。

        ドロップダウン メニューからユーザー定義のカスタムURLカテゴリーを選択するには、[DLPの高度な設定]ページ([管理]>[DLPの高度な設定])に移動し、ユーザー定義のURLを選択する必要があります。

      • [送信元IPグループ]:[任意]を選択してルールをすべての送信元IPグループに適用するか、任意の数の送信元IPグループを選択します。送信元IPグループを検索したり、[追加]アイコンをクリックして新しい送信元IPグループを追加したりすることもできます。
      • URLカテゴリー:[すべて]を選択して、ルールをすべてのURLカテゴリーに適用するか、任意の数のURLカテゴリーを選択します。URLカテゴリーを検索するか、追加アイコンをクリックして、新しいURLカテゴリーを作成することができます。特定のURLカテゴリーに送信されるコンテンツのみに適用されるDLPポリシールールを作成することができます。たとえば、[アダルト コンテンツURL]カテゴリーのWebサイトへのクレジットカード番号の送信をブロックするルールを作成することができます。

      このフィールドからカスタムTLDカテゴリーを選択することもできます。

      逆に、DLPポリシー ルールを作成して、コンテンツをブロックするルールの対象から一部のサイトを除外することもできます。例えば、ある組織はソース コード全般を保護しながら、特定の許可されたサイトへのコンテンツの送信を許可する必要があるとします。これを実現するには、組織は送信するすべてのソース コードをブロックするルールを作成し、許可されたURLを含む特定のURLカテゴリーへのソース コード送信を許可する別のルールを作成することができます。

      特定のWebサイトまたはカスタムのURLカテゴリーをDLP評価から除外する場合は、そのWebサイトまたはURLカテゴリーを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      • クラウド アプリケーション:[すべて]を選択して、ルールをすべてのクラウド アプリケーションに適用するか、任意の数のクラウド アプリケーションを選択します。また、アプリケーションを検索することもできます。特定のクラウド アプリケーションに送信されるコンテンツのみに適用するDLPポリシールールを作成することができます。たとえば、Facebookへの攻撃的なコンテンツの投稿をブロックするルールを作成することができます。

      デフォルトで、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックして詳細を見る]リンクをクリックすると表示されます。このプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。

      逆に、特定のアプリケーションに対して特定の種類のコンテンツを許可するDLPポリシーのルールを作成することができます。たとえば、財務情報の公開を全般的にブロックするルールを設定し、Salesforceなどのアプリケーションに送信される財務情報を除外する別のルールを作成することができます。

      特定のクラウド アプリケーションをDLP評価から除外する場合は、そのクラウド アプリケーションを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      DLPポリシーは、組織のトラフィックを検査するときに、[URLカテゴリー]フィールドと[クラウド アプリケーション]フィールドにANDロジックを適用します。DLPルールをトリガーするには、Zscalerサービスがルールで選択したURLカテゴリーとクラウド アプリケーションをトランザクションで検出する必要があります。

      • [メール受信者のドメイン プロファイル] (Gmail、Outlookの場合):選択したドメイン プロファイルにのみルールを適用するには[含める]を選択し、選択したドメイン プロファイルではなく他のすべてのドメインプロファイルにルールを適用するには[除外]を選択します。最大8つのドメイン プロファイルを選択でき、ドメイン プロファイルを検索できます。
      • クラウド アプリケーション インスタンス:ルールを適用するクラウド アプリケーション インスタンスを選択します。ルールごとに最大8つのインスタンスを選択できます。

      クラウドアプリケーションインスタンスは、その親アプリケーションがクラウドアプリケーションとして選択されている場合にのみ表示されます。

      • [ZPA Application Segment]: [すべて]を選択してルールをすべてのZscaler Private Access (ZPA) Application Segmentに適用するか、最大255個のZPA Application Segmentを選択します。ZPA Application Segmentを検索することもできます。リストには、送信元IPアンカーオプションが有効になっているZPA Application Segmentsのみが表示されます。

        リストから[App Segmentを検査]オプションを選択した場合、構成済みルールがZIAテナントとペアになっているすべてのZPA Application Segmentsに適用されます。このオプションは、組織で[SIPA App Segments]サブスクリプションが有効になっている場合にのみ利用可能です。

      • [ファイル タイプ]:ドロップダウン メニューから、ルール用のファイル タイプを選択します。特定のファイル タイプを介して送信されるコンテンツにのみ適用される、DLPポリシー ルールを作成できます。Zscaler DLPエンジンを参照するポリシーは、外部DLPエンジンを参照するポリシーとは異なるファイル タイプをサポートします。Zscaler DLPエンジンは、最大100 MBのファイルをスキャンできます。アーカイブ済みファイルの場合、解凍時の個々のファイルのサイズも最大100 MBになります。
      • 最小データサイズ:DLPルールが適用される前にデータが満たすべき最小のサイズ要件を入力します。デフォルトの最小データサイズである0 KBは、最小データサイズの要件がないことを意味します。
      • ユーザー:DLPルールをユーザーに適用する方法を指定できます。
        • [含める]を選択して、選択したユーザーにルールを適用し、他のユーザーには適用しません。ドロップダウンメニューから[すべて]を選択してすべてのユーザーにルールを適用するか、最大4人のユーザーを選択します。
        • [除外]を選択して、選択したユーザーではなく、他のすべてのユーザーにルールを適用します。最大256人のユーザーを選択できます。

      ユーザーを選択するときは、ユーザーを検索するか、[追加]アイコンをクリックして新しいユーザーを追加できます。[認証されていないトラフィックのポリシー]を有効にしている場合は、[特別なユーザー]を選択してこのルールをすべての認証されていないユーザーに適用するか、特定の種類の認証されていないユーザーを選択することもできます。

      • グループDLPルールをグループに適用する方法を指定できます。
        • [含める]を選択して、選択したグループにルールを適用し、他のグループには適用しません。ドロップダウンメニューから[すべて]を選択してすべてのグループにルールを適用するか、最大8人のグループを選択します。
        • [除外]を選択して、選択したグループではなく、他のすべてのグループにルールを適用します。最大256人のグループを選択できます。

      グループを選択するときは、グループを検索するか、[追加]アイコンをクリックして新しいグループを追加できます。

      • 部門DLPルールを部門に適用する方法を指定できます。
        • [含める]を選択して、選択した部門にルールを適用し、他の部門には適用しません。ドロップダウンメニューから[すべて]を選択してルールをすべての部門に適用するか、最大8つの部門を選択します。
        • [除外]を選択して、選択した部門ではなく、他のすべての部門にルールを適用します。最大256の部門を選択できます。

      部署を選択する際、グループを検索するか、[追加]アイコンをクリックして新規の部署を追加できます。[未認証のトラフィックに対するポリシー]を有効にしている場合、[特別部署]を選択して、このルールをすべての未認証トランザクションに適用することもできます。

      認証されていないトラフィックに適用されるルールは、すべてのグループと部門に適用する必要があります。したがって、[ユーザー]または[部門の]認証されていないトラフィックにこのルールを適用することを選択した場合は、[グループ]と[部門]のドロップダウンメニューから[任意]を選択します。

      DLPポリシーは、組織のトラフィックを検査するときに、[ユーザー]、[グループ]および[部署]のフィールドにORロジックを適用します。DLPルールをトリガーするには、Zscalerサービスがルールで選択されたユーザー、グループまたは部署のうち少なくとも1つを検出する必要があります。

      • ユーザー リスク プロファイル:ルールを適用するユーザー リスク スコア レベルを選択します。値を選択しない場合、ポリシー評価の条件は無視されます。

      ユーザーには、閲覧アクティビティに基づいてリスクスコアが割り当てられます。リスク・スコアの範囲は、リスクスコアレベルとしてグループ化されます。

      デフォルトでは、次のユーザー リスク スコア レベルを使用できます。

      • :ユーザー リスク スコアが0から29の範囲のレベル
      • : ユーザー リスク スコアが 30 から 59 の範囲のレベル
      • :ユーザーリスクスコアが60から79の範囲のレベル
      • 重大:ユーザー リスク スコアが80から100の範囲のレベル

      組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズするには、Zscalerサポートにお問い合わせください。

      • ロケーション:[すべて]を選択して、ルールをすべてのロケーションに適用するか、または最大8ロケーションまで選択します。また、ロケーションを検索することも、追加アイコンをクリックして新しいロケーションを追加することもできます。
      • [ロケーション グループ]:[すべて]を選択して、ルールをすべてのロケーション グループに適用するか、または最大32のロケーション グループを選択します。また、ロケーション グループを検索することもできます。
      • 時間:[常時]を選択して、このルールをすべての時間間隔に適用するか、または最大2つの時間間隔を選択します。また、時間間隔を検索するか、追加アイコンをクリックして、新しい時間間隔を追加することもできます。
      • [プロトコル]:ルールを適用するプロトコルを選択します。
        • HTTP:HTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • HTTPS:TLS/SSLによって暗号化されたHTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • ネイティブFTP:ネイティブFTPサーバーからのデータトランザクションとファイルのアップロード。
      • [ワークロード グループ]:ルールを適用するワークロード グループを最大8つ選択します。ワークロード グループを検索することもできます。[なし]を選択すると、ポリシーの評価時にワークロード グループが無視されます。詳細は、「ワークロード グループについて」を参照してください。
      • ダウンロードの検査:特定のクラウド アプリからダウンロードされたコンテンツのDLPインスペクションを許可するには、このオプションを有効にします。このオプションが有効になっている場合は、URLカテゴリーに[すべて]を選択し、クラウド アプリケーションに少なくとも1つのクラウド アプリを選択する必要があります。無効にすると、DLPルールはクラウド アプリに送信されるコンテンツにのみ適用されます。
      1. (省略可)DLPインシデント レシーバーの場合、次の手順を実行します。
      • サードパーティーのDLPソリューションがない場合、またはコンテンツを転送しない場合は、以下の[Zscalerインシデント レシーバー]フィールドまたは[ICAPレシーバー]フィールドを[なし]のままにします。
      • このポリシー ルールによってキャプチャーされたトランザクションをDLPインシデント レシーバに転送する場合:
        1. [インシデント レシーバー]で、DLPインシデント レシーバーが[ICAP]レシーバーであるか、[Zscalerインシデント レシーバー]であるかを選択します。
        2. ドロップダウン メニューから該当する[ICAPレシーバー]または[Zscalerインシデント レシーバー]を選択します。このステップを完了するには、ICAPレシーバーまたはZscalerインシデント レシーバーを設定する必要があります。

      サードパーティーのDLPソリューションで、ここで設定するルールと同じデータ タイプを検出するルールが設定されていることを確認します。例えば、クレジット カード データをブロックするZscaler DLPルールを設定する場合は、サードパーティー ソリューションでもクレジット カード データをブロックするルールを設定する必要があります。

      そうしないと、特定のルール違反に関してZscalerがソリューションに送信する情報は、オンプレミス ソリューションのダッシュボードに表示されません。ただし、ルールは正確に対応している必要はありません。データ タイプ以外のルールの他の条件が対応していることを確認する必要はありません。例えば、Zscaler DLPルールで特定のURLカテゴリーへのクレジット カード番号の送信がブロックされる場合、オンプレミスのDLPソリューションのルールでもクレジット カード番号をブロックする必要がありますが、URLカテゴリーの条件に一致する必要はありません。

      1. ルールの[アクション]を選択します。
        • [許可]:サービスはトランザクションを許可し、ログ記録します。
        • [ブロック]:サービスはトランザクションをブロックし、ログ記録します。
        • [確認:]ユーザーは、トランザクションの続行を正当化することも、トランザクションを完全にキャンセルすることもできます。どちらの場合も、サービスはそれに応じてトランザクションをログ記録します。

      エンド ユーザーがアクションを実行せずに確認メッセージがタイムアウトした場合、Zscalerサービスは自動的にトランザクションをキャンセルします。詳細は、ユーザー確認通知テンプレートの構成を参照してください。

      1. (省略可)次の[通知]設定を定義します。
      • ルールのメール通知を設定します。監査役と通知テンプレートを選択しない場合、このルールの通知は送信されません。
        • [メール監査役のタイプ]:監査役が[ホスト]されたデータベースからのものか、組織の[外部]からのものかを選択します。
          • 以下の手順で監査役を選択します。
            • [メール監査役]:監査役がホストされたデータベースからのものである場合は、監査役を選択または検索します。
            • [監査役のメール アドレス]:監査役が外部の場合は、監査役のメール アドレスを入力します。
        • [メール通知テンプレート]:ドロップダウン メニューから通知テンプレートを選択します。
      • ルールのエンド ユーザー通知(EUN)を設定します。エンドポイントに表示されるEUNメッセージのタイプは、ルールに設定された[アクション]によって異なります。
        • [エンド ユーザー通知]:コンテンツがDLPポリシー ルールをトリガーしたときにエンドポイントにEUNメッセージを表示するには[表示]を選択し、EUNメッセージを表示しない場合は[非表示]を選択します。
        • [カスタム メッセージ]:インラインWeb DLP用に設定されたデフォルトのEUNメッセージを使用するには[デフォルト]を選択するか、ドロップダウン メニューからカスタムEUNメッセージを選択します。また、カスタム メッセージを検索したり、[追加]アイコンをクリックして新しいカスタム メッセージを追加したりすることもできます。
      1. (省略可)追加のメモや情報などの[説明]を入力します。説明は10,240文字以内にしてください。
      2. 保存変更を有効にする をクリックします。

      例えば、定義済みのZscaler DLPエンジンを使用するポリシー ルールが次の図に示すように設定されている場合、Zscalerサービスは次のようなすべてのファイルをブロックします。

      • 医療情報
      • サイズが 1000 KB を超えている
      • オペレーション グループのユーザーから Gmail 経由で送信されている

      Zscalerサービスは、ポリシー違反に関するメール通知を組織の監査役に送信しますが、インシデント受信者に情報は転送しません。

      閉じる
    • 例外ルールは、必要なワークフローの一部として、インラインDLPポリシーに違反する可能性のあるタスクを実行する必要がある、組織の特定のユーザーまたはグループを除外するための子ルールです。各親ルールに割り当てることができる例外ルールの数に制限はありません。

      例外ルールを定義する手順は次の通りです。

      1. [ポリシー]>[情報漏洩防止]に移動します。
      2. リストで既存のインラインDLPルールを検索し、[例外ルールを追加]アイコンをクリックします。[DLP例外ルールを追加]ウィンドウが表示されます。
      3. [DLP例外ルールを追加]ウィンドウで、次の操作を行います。
        1. 次の[DLP例外ルール]の属性を入力します。
      • [ルールの順序]:すべての親ルールが評価されます。複数のルールが一致する場合は、最も制限の厳しいアクションが設定された、ルールの順序が最も高いルールが適用されます。例外ルールの評価は最初の一致で停止し、一致時に例外ルールによって親ルールが置き換えられます。
      • [重大度]:ドロップダウン メニューから違反の重大度([高]、[中]、[低]または[情報])を選択します。
      • [親ルール名]:このフィールドは親ルールから継承され、変更できません。
      • [例外ルール名]: DLP例外ルールの一意の名前を入力するか、デフォルトの名前を使用します。
      • [ルールのステータス]:有効化された例外ルールがアクティブに適用されます。無効化された例外ルールはアクティブに適用されませんが、ルールの順序内の位置を失うことはありません。Zscalerサービスはこのルールをスキップして、次の例外ルールに移動します。
      • [ルール ラベル]:例外ルールではルール ラベルを設定できません。
      1. 下の基準を定義します。
      • [コンテンツ マッチング]: [DLPエンジンを選択]を選択して、最大4つのエンジンを選択します。DLPエンジンを検索することもできます。[なし]を選択した場合、ZscalerサービスはコンテンツのスキャンにDLPエンジンを使用しません。代わりに、サービスはフィルターとして機能し、指定した条件に基づいてコンテンツにのみフラグを立てます。[一致のみ]オプションは、[許可]と[ブロック]の両方のルール アクションで有効になります。[一致のみ]を選択して、サービスがアクションを実行するためにエンジンをトリガーする方法を設定できます。詳しくは、「DLPポリシーの構成例:一致のみ」を参照してください。
        • [一致のみ]の選択を解除すると、サービスがアクションを実行するために必要なエンジンは1つだけです。

      たとえば、次の2つのDLP例外ルールを作成するとします。

      • [ルール1]: PCIエンジンを使用し、[一致のみ]オプションを選択し、[ルールをブロック]アクションを使用します。
      • [ルール2]: PIIエンジンと[ブロック]ルール アクションを使用します。

      [一致のみ]の選択を解除すると、トランザクションがPCIエンジンのみをトリガーすると、ルール1がトリガーされます。

      • [一致のみ]が選択されている場合、サービスがアクションを実行するには、すべてのエンジンをトリガーする必要があり、トランザクションは異なるルールの他のエンジンと一致してはなりません。

      たとえば、前の例と同じ2つのDLP例外ルールがあるとします。

      • [ルール1]: PCIエンジンを使用し、[一致のみ]オプションを選択し、[ルールをブロック]アクションを使用します。
      • [ルール2]: PIIエンジンと[ブロック]ルール アクションを使用します。

      [一致のみ]を選択すると、トランザクションによってPCIエンジンとPIIエンジンの両方がトリガーされると、ルール2がトリガーされます。

      Zscaler DLPエンジンは最大400 MBのファイルに対応し、抽出されたテキストの最初の100 MBをスキャンできます。最大サイズは、アーカイブ ファイルから抽出されたファイルにも適用されます。

      • [HTTP GETクエリー パラメーターの検査]: DLPルールを設定して、URLカテゴリー(生成AIおよびMLアプリケーション、セーフ サーチ エンジン、翻訳ツール、Web検索、およびユーザー定義のカスタムURLカテゴリー)のHTTP GETクエリー パラメーターを検査できます。有効にするには、HTTP GETクエリー パラメーターに[有効]を選択し、ドロップダウン メニューからURLカテゴリーを選択します。詳細は、DLPの高度な設定の構成を参照してください。

        ドロップダウン メニューからユーザー定義のカスタムURLカテゴリーを選択するには、[DLPの高度な設定]ページ([管理]>[DLPの高度な設定])に移動し、ユーザー定義のURLを選択する必要があります。

      • [送信元IPグループ]:[任意]を選択してルールをすべての送信元IPグループに適用するか、任意の数の送信元IPグループを選択します。送信元IPグループを検索したり、[追加]アイコンをクリックして新しい送信元IPグループを追加したりすることもできます。
      • [URLカテゴリー]: [任意]を選択して、ルールをすべてのURLカテゴリーに適用するか、任意の数のURLカテゴリーを選択します。URLカテゴリーを検索するか、[追加]アイコンをクリックして新しいURLカテゴリーを作成できます。特定のURLカテゴリーに送信されるコンテンツのみに適用される、DLPポリシー ルールを作成できます。例えば、[アダルト コンテンツURL]カテゴリーのWebサイトへのクレジット カード番号の送信をブロックする、例外ルールを作成できます。

      このフィールドからカスタムTLDカテゴリーを選択することもできます。

      逆に、DLPポリシー ルールを作成して、コンテンツをブロックするルールの対象から一部のサイトを除外することもできます。例えば、ある組織はソース コード全般を保護しながら、特定の許可されたサイトへのコンテンツの送信を許可する必要があるとします。これを実現するには、組織は送信するすべてのソース コードをブロックするルールを作成し、許可されたURLを含む特定のURLカテゴリーへのソース コード送信を許可する別のルールを作成することができます。

      特定のWebサイトまたはカスタムのURLカテゴリーをDLP評価から除外する場合は、そのWebサイトまたはURLカテゴリーを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      • [クラウド アプリケーション]: [任意]を選択して、ルールをすべてのクラウド アプリケーションに適用するか、任意の数のクラウド アプリケーションを選択します。アプリケーションを検索することもできます。特定のクラウド アプリケーションに送信されるコンテンツのみに適用される、DLPポリシー ルールを作成できます。例えば、Facebookへの不快なコンテンツの投稿をブロックするルールを作成できます。

      デフォルトで、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックして詳細を見る]リンクをクリックすると表示されます。このプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。

      逆に、特定のアプリケーションに対して特定の種類のコンテンツを許可するDLPポリシーのルールを作成することができます。たとえば、財務情報の公開を全般的にブロックするルールを設定し、Salesforceなどのアプリケーションに送信される財務情報を除外する別のルールを作成することができます。

      特定のクラウド アプリケーションをDLP評価から除外する場合は、そのクラウド アプリケーションを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      DLPポリシーは、組織のトラフィックを検査するときに、[URLカテゴリー]フィールドと[クラウド アプリケーション]フィールドにANDロジックを適用します。DLP例外ルールをトリガーするには、Zscalerサービスがルールで選択したURLカテゴリーとクラウド アプリケーションをトランザクションで検出する必要があります。

      • [メール受信者のドメイン プロファイル] (Gmail、Outlookの場合):選択したドメイン プロファイルにのみルールを適用するには[含める]を選択し、選択したドメイン プロファイルではなく他のすべてのドメインプロファイルにルールを適用するには[除外]を選択します。最大8つのドメイン プロファイルを選択でき、ドメイン プロファイルを検索できます。
      • [クラウド アプリケーション インスタンス]:例外ルールを適用するクラウド アプリケーション インスタンスを選択します。例外ルールごとに最大8つのインスタンスを選択できます。

      クラウドアプリケーションインスタンスは、その親アプリケーションがクラウドアプリケーションとして選択されている場合にのみ表示されます。

      • [ZPA Application Segment]: [すべて]を選択して例外ルールをすべてのZscaler Private Access (ZPA) Application Segmentに適用するか、最大255個のZPA Application Segmentを選択します。ZPA Application Segmentを検索することもできます。

      リストには、送信元IPアンカーオプションが有効になっているZPA Application Segmentsのみが表示されます。詳細は、送信元IPのアンカリングについてを参照してください。

      • [ファイル タイプ]:ドロップダウン メニューから、例外ルールのファイル タイプを選択します。特定のファイル タイプを介して送信されるコンテンツにのみ適用される、DLPポリシー ルールを作成できます。Zscaler DLPエンジンを参照するポリシーは、外部DLPエンジンを参照するポリシーとは異なるファイル タイプをサポートします。Zscaler DLPエンジンは、最大100 MBのファイルをスキャンできます。アーカイブ済みファイルの場合、解凍時の個々のファイルのサイズも最大100 MBになります。
      • [最小データ サイズ]: DLP例外ルールが適用される前にデータが満たす必要がある最小サイズ要件を入力します。デフォルトの最小データ サイズである0 KBは、最小データ サイズ要件がないことを意味します。
      • [ユーザー]: DLP例外ルールをユーザーに適用する方法を指定できます。
        • 選択したユーザーに例外ルールを適用し、他のユーザーには適用しない場合は、[含める]を選択します。ドロップダウン メニューから[任意]を選択してすべてのユーザーにルールを適用するか、最大4名のユーザーを選択します。
        • [除外]を選択して、選択されていない他のすべてのユーザーに例外ルールを適用します。最大256人のユーザーまで選択できます。

      ユーザーを選択するときは、ユーザーを検索するか、[追加]アイコンをクリックして新しいユーザーを追加できます。[認証されていないトラフィックのポリシー]を有効にしている場合は、[特別なユーザー]を選択してこのルールをすべての認証されていないユーザーに適用するか、特定の種類の認証されていないユーザーを選択することもできます。

      • [グループ]: DLP例外ルールをグループに適用する方法を指定できます。
        • 選択したグループに例外ルールを適用し、他のグループには適用しない場合は、[含める]を選択します。ドロップダウン メニューから[任意]を選択して例外ルールをすべてのグループに適用するか、最大8つのグループを選択します。
        • [除外]を選択して、選択したグループではない他のすべてのグループに例外ルールを適用します。最大256個のグループを選択できます。

      グループを選択するときは、グループを検索するか、[追加]アイコンをクリックして新しいグループを追加できます。

      • [部署]: DLP例外ルールを部署に適用する方法を指定できます。
        • [含める]を選択すると、選択した部署に例外ルールが適用され、他の部署には適用されません。ドロップダウン メニューから[任意]を選択してすべての部署に例外ルールを適用するか、最大8つの部署を選択します。
        • [除外]を選択して、選択した部署ではない他のすべての部署に例外ルールを適用します。最大256個の部署を選択できます。

      部署を選択する際、グループを検索するか、[追加]アイコンをクリックして新規の部署を追加できます。[未認証のトラフィックに対するポリシー]を有効にしている場合、[特別部署]を選択して、このルールをすべての未認証トランザクションに適用することもできます。

      認証されていないトラフィックに適用されるルールは、すべてのグループと部門に適用する必要があります。したがって、[ユーザー]または[部門の]認証されていないトラフィックにこのルールを適用することを選択した場合は、[グループ]と[部門]のドロップダウンメニューから[任意]を選択します。

      DLPポリシーは、組織のトラフィックを検査するときに、[ユーザー]、[グループ]および[部署]のフィールドにORロジックを適用します。DLP例外ルールをトリガーするには、Zscalerサービスがルールで選択されたユーザー、グループまたは部署のうち少なくとも1つを検出する必要があります。

      • [ユーザー リスク プロファイル]:例外ルールを適用する対象となるユーザー リスク スコア レベルを選択します。値を選択しないと、ポリシー評価でこの基準が無視されます。

      ユーザーには、閲覧アクティビティに基づいてリスクスコアが割り当てられます。リスク・スコアの範囲は、リスクスコアレベルとしてグループ化されます。

      デフォルトでは、次のユーザー リスク スコア レベルを使用できます。

      • :ユーザー リスク スコアが0から29の範囲のレベル
      • : ユーザー リスク スコアが 30 から 59 の範囲のレベル
      • :ユーザーリスクスコアが60から79の範囲のレベル
      • 重大:ユーザー リスク スコアが80から100の範囲のレベル

      組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズするには、Zscalerサポートにお問い合わせください。

      • [ロケーション]: [任意]を選択して、例外ルールをすべてのロケーションに適用するか、最大8個のロケーションを選択します。また、ロケーションを検索することも、[追加]アイコンをクリックして新しいロケーションを追加することもできます。
      • [ロケーション グループ]: [任意]を選択して、例外ルールをすべてのロケーション グループに適用するか、最大32個のロケーション グループを選択します。ロケーション グループを検索することもできます。
      • 時間:[常時]を選択して、このルールをすべての時間間隔に適用するか、または最大2つの時間間隔を選択します。また、時間間隔を検索するか、追加アイコンをクリックして、新しい時間間隔を追加することもできます。
      • [プロトコル]:例外ルールを適用するプロトコルを選択します。
        • HTTP:HTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • HTTPS:TLS/SSLによって暗号化されたHTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • ネイティブFTP:ネイティブFTPサーバーからのデータトランザクションとファイルのアップロード。
      • [ワークロード グループ]:ルールを適用するワークロード グループを最大8つ選択します。ワークロード グループを検索することもできます。[なし]を選択すると、ポリシーの評価時にワークロード グループが無視されます。詳細は、「ワークロード グループについて」を参照してください。
      • [ダウンロードの検査]:特定のクラウド アプリからダウンロードされたコンテンツのDLPインスペクションを許可するには、このオプションを有効にします。このオプションが有効になっている場合は、[URLカテゴリー]で[任意]を選択し、[クラウド アプリケーション]で少なくとも1つのクラウド アプリを選択する必要があります。このオプションを無効にすると、DLP例外ルールは、クラウド アプリに送信されるコンテンツにのみ適用されます。
      1. (省略可)DLPインシデント レシーバーの場合、次の手順を実行します。
      • サードパーティーのDLPソリューションがない場合、またはコンテンツを転送しない場合は、以下の[Zscalerインシデント レシーバー]フィールドまたは[ICAPレシーバー]フィールドを[なし]のままにします。
      • このポリシー ルールによってキャプチャーされたトランザクションをDLPインシデント レシーバに転送する場合:
        1. [インシデント レシーバー]で、DLPインシデント レシーバーが[ICAP]レシーバーであるか、[Zscalerインシデント レシーバー]であるかを選択します。
        2. ドロップダウン メニューから該当する[ICAPレシーバー]または[Zscalerインシデント レシーバー]を選択します。このステップを完了するには、ICAPレシーバーまたはZscalerインシデント レシーバーを設定する必要があります。

      サードパーティーのDLPソリューションで、ここで設定する例外ルールと同じデータ タイプを検出するルールが設定されていることを確認します。例えば、クレジット カード データをブロックするZscaler DLP例外ルールを設定する場合は、サードパーティーのソリューションでもクレジット カード データをブロックするルールを設定する必要があります。

      そうしないと、特定のルール違反に関してZscalerがソリューションに送信する情報は、オンプレミス ソリューションのダッシュボードに表示されません。ただし、ルールは正確に対応している必要はありません。データ タイプ以外のルールの他の条件が対応していることを確認する必要はありません。例えば、Zscaler DLP例外ルールで特定のURLカテゴリーへのクレジット カード番号の送信がブロックされる場合、オンプレミスのDLPソリューションのルールでもクレジット カード番号をブロックする必要がありますが、URLカテゴリーの条件に一致する必要はありません。

      1. ルールの[アクション]を選択します。
        • [許可]:サービスはトランザクションを許可し、ログ記録します。
        • [ブロック]:サービスはトランザクションをブロックし、ログ記録します。
        • [確認:]ユーザーは、トランザクションの続行を正当化することも、トランザクションを完全にキャンセルすることもできます。どちらの場合も、サービスはそれに応じてトランザクションをログ記録します。

      エンド ユーザーがアクションを実行せずに確認メッセージがタイムアウトした場合、Zscalerサービスは自動的にトランザクションをキャンセルします。詳細は、ユーザー確認通知テンプレートの構成を参照してください。

      1. (省略可)次の[通知]設定を定義します。
      • ルールのメール通知を設定します。監査役と通知テンプレートを選択しない場合、このルールの通知は送信されません。
        • [メール監査役のタイプ]:監査役が[ホスト]されたデータベースからのものか、組織の[外部]からのものかを選択します。
          • 以下の手順で監査役を選択します。
            • [メール監査役]:監査役がホストされたデータベースからのものである場合は、監査役を選択または検索します。
            • [監査役のメール アドレス]:監査役が外部の場合は、監査役のメール アドレスを入力します。
        • [メール通知テンプレート]:ドロップダウン メニューから通知テンプレートを選択します。
      • ルールのエンド ユーザー通知(EUN)を設定します。エンドポイントに表示されるEUNメッセージのタイプは、ルールに設定された[アクション]によって異なります。
        • [エンド ユーザー通知]:コンテンツがDLPポリシー ルールをトリガーしたときにエンドポイントにEUNメッセージを表示するには[表示]を選択し、EUNメッセージを表示しない場合は[非表示]を選択します。
        • [カスタム メッセージ]:インラインWeb DLP用に設定されたデフォルトのEUNメッセージを使用するには[デフォルト]を選択するか、ドロップダウン メニューからカスタムEUNメッセージを選択します。また、カスタム メッセージを検索したり、[追加]アイコンをクリックして新しいカスタム メッセージを追加したりすることもできます。
      1. (省略可)追加のメモや情報などの[説明]を入力します。説明は10,240文字以内にしてください。
      2. 保存変更を有効にする をクリックします。

      例えば、次の画像に示すように設定された定義済みZscaler DLPエンジンを使用する例外ルールについては、Zscalerサービスは、次の条件のPDFファイルをすべて許可します。

      • 医療情報
      • 任意のサイズのもの
      • サービス管理者グループのメンバーによってGmail経由で送信されるもの

      閉じる
    閉じる
  • 組織で[すべてのルールの評価]モードが有効になっている場合にルールの順序を使用するようにDLPポリシー ルールを設定することは、Zscalerサービスが最初の一致でルールの評価を停止するという点で、基本的にデフォルトのZscalerの動作に似ています。最大の違いは、コンテンツ インスペクションを使用してDLPルールを作成するか、コンテンツ インスペクションなしでDLPルールを作成するかを最初に選択するのではなく、DLPルールを作成するオプションが1つしかないことです。さらに、すべてのルールを評価するようにDLPポリシー ルールを設定する場合とは異なり、例外ルールを作成するオプションはありません。

    ルールの順序を使用するようにDLPポリシー ルールを設定するには、次の操作を実行します。

    • 1. 必要に応じて、DLP辞書とエンジンを設定します。DLP辞書とエンジンをそのまま使用することも、ニーズに合わせて変更することもできます。カスタム辞書またはエンジンを作成することもできます。カスタムDLP辞書とエンジンを変更または作成しない場合は、この手順をスキップします。
    • 2. DLP通知テンプレートを構成します。ユーザーのトランザクションがDLPポリシー ルールに違反したときに組織の監査役に電子メールで通知する場合は、この構成が必要です。
    • 3. DLPポリシーに違反したトランザクションに関する情報をサードパーティソリューションに転送する場合は、ICAPサーバーを設定します。サードパーティのDLPソリューションがない場合、またはコンテンツを転送しない場合は、このステップをスキップします。
    • ポリシールールを定義する方法:

      1. [ポリシー]>[情報漏洩防止]に移動します。
      2. [DLP ルールの追加]をクリックします。
      3. [DLPルールの追加]ウィンドウで、次のように操作します。
        1. 次のDLPルールの属性を入力します。
      • [ルールの順序]:ポリシー ルールは数値の昇順で評価され(ルール1の次はルール2など)、[ルールの順序]はこのルールの順序を反映します。この値は変更できますが、[管理者ランク]を有効にした場合、割り当てられた管理者ランクによって、選択できるルールの順序の値が決まります。
      • [重大度]:ドロップダウン メニューから違反の重大度([高]、[中]、[低]または[情報])を選択します。
      • ルール名:DLPルールの一意の名前を入力するか、デフォルトの名前を使用します。
      • [ルールのステータス]:有効化されたルールがアクティブに適用されます。無効化されたルールはアクティブに適用されませんが、ルールの順序内の位置を失うことはありません。Zscalerサービスはこのルールをスキップして、次のルールに移動します。
      • [ルールラベル]:ルールラベルを選択して、ルールと関連付けます。詳しくは、ルールラベルについてを参照してください。
      1. 下の基準を定義します。
      • [コンテンツ マッチング]: [DLPエンジンを選択]を選択して、最大4つのエンジンを選択します。DLPエンジンを検索することもできます。[なし]を選択した場合、ZscalerサービスはコンテンツをスキャンするのにDLPエンジンを使用しません。代わりに、このサービスはフィルターとして機能し、指定した条件に基づいてコンテンツにフラグを付けるのみです。
      • これを選択しない場合、サービスがアクションを実行するために必要なエンジンは1つのみです。
      • 選択した場合、サービスが動作するためには、すべてのエンジンが起動する必要があり、トランザクションは異なるルールからの他のエンジンと一致してはいけません。

      たとえば、PCIエンジンを使用してDLPルールを作成し、一致のみのオプションを選択します。この場合、トランザクションが PCI エンジンと HIPAA エンジンの両方をトリガーしても、ルールはトリガーされません。 トランザクションがPCIエンジンのみをトリガーするときにのみトリガーされます。

      Zscaler DLPエンジンは最大400 MBのファイルに対応し、抽出されたテキストの最初の100 MBをスキャンできます。最大サイズは、アーカイブ ファイルから抽出されたファイルにも適用されます。

      • [HTTP GETクエリー パラメーターの検査]: DLPルールを設定して、URLカテゴリー(生成AIおよびMLアプリケーション、セーフ サーチ エンジン、翻訳ツール、Web検索、およびユーザー定義のカスタムURLカテゴリー)のHTTP GETクエリー パラメーターを検査できます。有効にするには、HTTP GETクエリー パラメーターに[有効]を選択し、ドロップダウン メニューからURLカテゴリーを選択します。詳細は、DLPの高度な設定の構成を参照してください。

        ドロップダウン メニューからユーザー定義のカスタムURLカテゴリーを選択するには、[DLPの高度な設定]ページ([管理]>[DLPの高度な設定])に移動し、ユーザー定義のURLを選択する必要があります。

      • [送信元IPグループ]:[任意]を選択してルールをすべての送信元IPグループに適用するか、任意の数の送信元IPグループを選択します。送信元IPグループを検索したり、[追加]アイコンをクリックして新しい送信元IPグループを追加したりすることもできます。
      • URLカテゴリー:[すべて]を選択して、ルールをすべてのURLカテゴリーに適用するか、任意の数のURLカテゴリーを選択します。URLカテゴリーを検索するか、追加アイコンをクリックして、新しいURLカテゴリーを作成することができます。特定のURLカテゴリーに送信されるコンテンツのみに適用されるDLPポリシールールを作成することができます。たとえば、[アダルト コンテンツURL]カテゴリーのWebサイトへのクレジットカード番号の送信をブロックするルールを作成することができます。

      このフィールドからカスタムTLDカテゴリーを選択することもできます。

      逆に、DLPポリシー ルールを作成して、コンテンツをブロックするルールの対象から一部のサイトを除外することもできます。例えば、ある組織はソース コード全般を保護しながら、特定の許可されたサイトへのコンテンツの送信を許可する必要があるとします。これを実現するには、組織は送信するすべてのソース コードをブロックするルールを作成し、許可されたURLを含む特定のURLカテゴリーへのソース コード送信を許可する別のルールを作成することができます。

      特定のWebサイトまたはカスタムのURLカテゴリーをDLP評価から除外する場合は、そのWebサイトまたはURLカテゴリーを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      • クラウド アプリケーション:[すべて]を選択して、ルールをすべてのクラウド アプリケーションに適用するか、任意の数のクラウド アプリケーションを選択します。また、アプリケーションを検索することもできます。特定のクラウド アプリケーションに送信されるコンテンツのみに適用するDLPポリシールールを作成することができます。たとえば、Facebookへの攻撃的なコンテンツの投稿をブロックするルールを作成することができます。

      デフォルトで、このフィールドには最初の100個のクラウド アプリケーションが表示されます。後続の100個のクラウド アプリケーションは、リストの下部にある[クリックして詳細を見る]リンクをクリックすると表示されます。このプロセスを繰り返して、残りのクラウド アプリケーションを表示できます。

      逆に、特定のアプリケーションに対して特定の種類のコンテンツを許可するDLPポリシーのルールを作成することができます。たとえば、財務情報の公開を全般的にブロックするルールを設定し、Salesforceなどのアプリケーションに送信される財務情報を除外する別のルールを作成することができます。

      特定のクラウド アプリケーションをDLP評価から除外する場合は、そのクラウド アプリケーションを[DLPのクラウド アプリとURLの例外]リストに追加する必要があります。詳細は、「DLP詳細設定の構成」を参照してください。

      DLPポリシーは、組織のトラフィックを検査するときに、[URLカテゴリー]フィールドと[クラウド アプリケーション]フィールドにANDロジックを適用します。DLPルールをトリガーするには、Zscalerサービスがルールで選択したURLカテゴリーとクラウド アプリケーションをトランザクションで検出する必要があります。

      • [メール受信者のドメイン プロファイル] (Gmail、Outlookの場合):選択したドメイン プロファイルにのみルールを適用するには[含める]を選択し、選択したドメイン プロファイルではなく他のすべてのドメインプロファイルにルールを適用するには[除外]を選択します。最大8つのドメイン プロファイルを選択でき、ドメイン プロファイルを検索できます。
      • クラウド アプリケーション インスタンス:ルールを適用するクラウド アプリケーション インスタンスを選択します。ルールごとに最大8つのインスタンスを選択できます。

      クラウドアプリケーションインスタンスは、その親アプリケーションがクラウドアプリケーションとして選択されている場合にのみ表示されます。

      • [ZPA Application Segment]: [すべて]を選択してルールをすべてのZscaler Private Access (ZPA) Application Segmentに適用するか、最大255個のZPA Application Segmentを選択します。ZPA Application Segmentを検索することもできます。

      リストには、送信元IPアンカーオプションが有効になっているZPA Application Segmentsのみが表示されます。詳細は、送信元IPのアンカリングについてを参照してください。

      • [ファイル タイプ]:ドロップダウン メニューから、ルール用のファイル タイプを選択します。特定のファイル タイプを介して送信されるコンテンツにのみ適用される、DLPポリシー ルールを作成できます。Zscaler DLPエンジンを参照するポリシーは、外部DLPエンジンを参照するポリシーとは異なるファイル タイプをサポートします。Zscaler DLPエンジンは、最大100 MBのファイルをスキャンできます。アーカイブ済みファイルの場合、解凍時の個々のファイルのサイズも最大100 MBになります。
      • 最小データサイズ:DLPルールが適用される前にデータが満たすべき最小のサイズ要件を入力します。デフォルトの最小データサイズである0 KBは、最小データサイズの要件がないことを意味します。
      • ユーザー:DLPルールをユーザーに適用する方法を指定できます。
        • [含める]を選択して、選択したユーザーにルールを適用し、他のユーザーには適用しません。ドロップダウンメニューから[すべて]を選択してすべてのユーザーにルールを適用するか、最大4人のユーザーを選択します。
        • [除外]を選択して、選択したユーザーではなく、他のすべてのユーザーにルールを適用します。最大256人のユーザーを選択できます。

      ユーザーを選択するときは、ユーザーを検索するか、[追加]アイコンをクリックして新しいユーザーを追加できます。[認証されていないトラフィックのポリシー]を有効にしている場合は、[特別なユーザー]を選択してこのルールをすべての認証されていないユーザーに適用するか、特定の種類の認証されていないユーザーを選択することもできます。

      • グループDLPルールをグループに適用する方法を指定できます。
        • [含める]を選択して、選択したグループにルールを適用し、他のグループには適用しません。ドロップダウンメニューから[すべて]を選択してすべてのグループにルールを適用するか、最大8人のグループを選択します。
        • [除外]を選択して、選択したグループではなく、他のすべてのグループにルールを適用します。最大256人のグループを選択できます。

      グループを選択するときは、グループを検索するか、[追加]アイコンをクリックして新しいグループを追加できます。

      • 部門DLPルールを部門に適用する方法を指定できます。
        • [含める]を選択して、選択した部門にルールを適用し、他の部門には適用しません。ドロップダウンメニューから[すべて]を選択してルールをすべての部門に適用するか、最大8つの部門を選択します。
        • [除外]を選択して、選択した部門ではなく、他のすべての部門にルールを適用します。最大256の部門を選択できます。

      部署を選択する際、グループを検索するか、[追加]アイコンをクリックして新規の部署を追加できます。[未認証のトラフィックに対するポリシー]を有効にしている場合、[特別部署]を選択して、このルールをすべての未認証トランザクションに適用することもできます。

      認証されていないトラフィックに適用されるルールは、すべてのグループと部門に適用する必要があります。したがって、[ユーザー]または[部門の]認証されていないトラフィックにこのルールを適用することを選択した場合は、[グループ]と[部門]のドロップダウンメニューから[任意]を選択します。

      DLPポリシーは、組織のトラフィックを検査するときに、[ユーザー]、[グループ]および[部署]のフィールドにORロジックを適用します。DLPルールをトリガーするには、Zscalerサービスがルールで選択されたユーザー、グループまたは部署のうち少なくとも1つを検出する必要があります。

      • ユーザー リスク プロファイル:ルールを適用するユーザー リスク スコア レベルを選択します。値を選択しない場合、ポリシー評価の条件は無視されます。

      ユーザーには、閲覧アクティビティに基づいてリスクスコアが割り当てられます。リスク・スコアの範囲は、リスクスコアレベルとしてグループ化されます。

      デフォルトでは、次のユーザー リスク スコア レベルを使用できます。

      • :ユーザー リスク スコアが0から29の範囲のレベル
      • : ユーザー リスク スコアが 30 から 59 の範囲のレベル
      • :ユーザーリスクスコアが60から79の範囲のレベル
      • 重大:ユーザー リスク スコアが80から100の範囲のレベル

      組織のこれらのレベルのユーザー リスク スコア範囲をカスタマイズするには、Zscalerサポートにお問い合わせください。

      • ロケーション:[すべて]を選択して、ルールをすべてのロケーションに適用するか、または最大8ロケーションまで選択します。また、ロケーションを検索することも、追加アイコンをクリックして新しいロケーションを追加することもできます。
      • [ロケーション グループ]:[すべて]を選択して、ルールをすべてのロケーション グループに適用するか、または最大32のロケーション グループを選択します。また、ロケーション グループを検索することもできます。
      • 時間:[常時]を選択して、このルールをすべての時間間隔に適用するか、または最大2つの時間間隔を選択します。また、時間間隔を検索するか、追加アイコンをクリックして、新しい時間間隔を追加することもできます。
      • [プロトコル]:ルールを適用するプロトコルを選択します。
        • HTTP:HTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • HTTPS:TLS/SSLによって暗号化されたHTTP Webサイトからのデータ トランザクションとファイルのアップロード。
        • ネイティブFTP:ネイティブFTPサーバーからのデータトランザクションとファイルのアップロード。
      • [ワークロード グループ]:ルールを適用するワークロード グループを最大8つ選択します。ワークロード グループを検索することもできます。[なし]を選択すると、ポリシーの評価時にワークロード グループが無視されます。詳細は、「ワークロード グループについて」を参照してください。
      • ダウンロードの検査:特定のクラウド アプリからダウンロードされたコンテンツのDLPインスペクションを許可するには、このオプションを有効にします。このオプションが有効になっている場合は、URLカテゴリーに[すべて]を選択し、クラウド アプリケーションに少なくとも1つのクラウド アプリを選択する必要があります。無効にすると、DLPルールはクラウド アプリに送信されるコンテンツにのみ適用されます。
      1. (省略可)DLPインシデント レシーバーの場合、次の手順を実行します。
      • サードパーティーのDLPソリューションがない場合、またはコンテンツを転送しない場合は、以下の[Zscalerインシデント レシーバー]フィールドまたは[ICAPレシーバー]フィールドを[なし]のままにします。
      • このポリシー ルールによってキャプチャーされたトランザクションをDLPインシデント レシーバに転送する場合:
        1. [インシデント レシーバー]で、DLPインシデント レシーバーが[ICAP]レシーバーであるか、[Zscalerインシデント レシーバー]であるかを選択します。
        2. ドロップダウン メニューから該当する[ICAPレシーバー]または[Zscalerインシデント レシーバー]を選択します。このステップを完了するには、ICAPレシーバーまたはZscalerインシデント レシーバーを設定する必要があります。

      サードパーティーのDLPソリューションで、ここで設定するルールと同じデータ タイプを検出するルールが設定されていることを確認します。例えば、クレジット カード データをブロックするZscaler DLPルールを設定する場合は、サードパーティー ソリューションでもクレジット カード データをブロックするルールを設定する必要があります。

      そうしないと、特定のルール違反に関してZscalerがソリューションに送信する情報は、オンプレミス ソリューションのダッシュボードに表示されません。ただし、ルールは正確に対応している必要はありません。データ タイプ以外のルールの他の条件が対応していることを確認する必要はありません。例えば、Zscaler DLPルールで特定のURLカテゴリーへのクレジット カード番号の送信がブロックされる場合、オンプレミスのDLPソリューションのルールでもクレジット カード番号をブロックする必要がありますが、URLカテゴリーの条件に一致する必要はありません。

      1. ルールの[アクション]を選択します。
        • [許可]:サービスはトランザクションを許可し、ログ記録します。
        • [ブロック]:サービスはトランザクションをブロックし、ログ記録します。
        • [確認:]ユーザーは、トランザクションの続行を正当化することも、トランザクションを完全にキャンセルすることもできます。どちらの場合も、サービスはそれに応じてトランザクションをログ記録します。

      エンド ユーザーがアクションを実行せずに確認メッセージがタイムアウトした場合、Zscalerサービスは自動的にトランザクションをキャンセルします。詳細は、ユーザー確認通知テンプレートの構成を参照してください。

      1. (省略可)次の[通知]設定を定義します。
      • ルールのメール通知を設定します。監査役と通知テンプレートを選択しない場合、このルールの通知は送信されません。
        • [メール監査役のタイプ]:監査役が[ホスト]されたデータベースからのものか、組織の[外部]からのものかを選択します。
          • 以下の手順で監査役を選択します。
            • [メール監査役]:監査役がホストされたデータベースからのものである場合は、監査役を選択または検索します。
            • [監査役のメール アドレス]:監査役が外部の場合は、監査役のメール アドレスを入力します。
        • [メール通知テンプレート]:ドロップダウン メニューから通知テンプレートを選択します。
      • ルールのエンド ユーザー通知(EUN)を設定します。エンドポイントに表示されるEUNメッセージのタイプは、ルールに設定された[アクション]によって異なります。
        • [エンド ユーザー通知]:コンテンツがDLPポリシー ルールをトリガーしたときにエンドポイントにEUNメッセージを表示するには[表示]を選択し、EUNメッセージを表示しない場合は[非表示]を選択します。
        • [カスタム メッセージ]:インラインWeb DLP用に設定されたデフォルトのEUNメッセージを使用するには[デフォルト]を選択するか、ドロップダウン メニューからカスタムEUNメッセージを選択します。また、カスタム メッセージを検索したり、[追加]アイコンをクリックして新しいカスタム メッセージを追加したりすることもできます。
      1. (省略可)追加のメモや情報などの[説明]を入力します。説明は10,240文字以内にしてください。
      2. 保存変更を有効にする をクリックします。

      例えば、定義済みのZscaler DLPエンジンを使用するポリシー ルールが次の図に示すように設定されている場合、Zscalerサービスは次のようなすべてのファイルをブロックします。

      • 医療情報
      • サイズが 1000 KB を超えている
      • オペレーション グループのユーザーから Gmail 経由で送信されている

      Zscalerサービスは、ポリシー違反に関するメール通知を組織の監査役に送信しますが、インシデント受信者に情報は転送しません。

      閉じる
    閉じる
関連記事s
情報漏洩防止についてコンテンツ検証を含むDLPポリシールールの設定コンテンツ検証を含まないDLPポリシールールの設定[すべてのルールの評価]モードを有効にしたDLPポリシー ルールの設定DLPの詳細設定の構成データサイズによるアウトバウンドコンテンツの監視とブロックDLPポリシーの設定例。マッチングのみWebex TeamsリアルタイムDLPのステップバイステップ設定ガイドSSOを使用したDSPM管理ポータルへのアクセス