icon-zia.svg
インターネットとSaaSへのセキュアなアクセス(ZIA)

Zscalerアウトバウンド メールDLP用のGmailの構成

Zscalerアウトバウンド メールデータ損失防止(DLP)により、GmailサーバーとZscalerの最先端のデータ損失防止(DLP)ツールとの間に接続を確立して、外部ドメインに送信されるアウトバウンド メールの機密データの漏洩を防ぐことができます。これを行うには、GmailサーバーとZscalerスマート ホスト間の双方向通信を許可するようにルーティングを構成し、コンプライアンス ルールを構成して、GmailサーバーからZscalerサービスへのメールの流れ、またはその逆を決定する必要があります。

この記事では、基本的なユース ケースでZscalerスマート ホストを使用するようにGmailサーバーを構成する方法について説明します。他のユース ケースでのGmailサーバーの構成については、Googleの技術ドキュメンテーションを参照してください。Microsoft Exchangeサーバーの構成の詳細は、Zscalerアウトバウンド メールDLP用のMicrosoft Exchangeの構成を参照してください。

Google管理コンソールで構成を変更する場合は、Googleサービス全体に伝播されてからユーザーに到達するまでに最長24時間かかることがあります。詳細は、Googleの技術ドキュメンテーションを参照してください。

Zscalerスマート ホストを使用するようにGmailサーバーを構成する手順は次の通りです。

    1. config.zscaler.comに移動します。[Zscaler構成]ページが表示されます。
    2. ページの左上にある[クラウド]のドロップダウン メニューから組織のZscalerクラウドを選択します。
    3. 左側のナビゲーションで、[メールDLP]に移動します。[メールDLP]ページには、Zscalerスマート ホストがGmailサーバーと通信するために構成する必要がある、すべてのアウトバウンド接続が一覧表示されます。

      アウトバウンド メールDLPの[Zscaler設定]ページのスクリーンショット

      閉じる
    4. このページに記載されるIPSはすべて、Zscalerスマート ホストと通信するためにGmailサーバーを設定する際に、追加する必要があるため、書き留めてください。
    閉じる

    1. Google管理コンソールにサイン インします。
    2. 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
      Gmailの概要ページが表示されます。
    3. [ホスト]をクリックします。
      [ホスト]ページが表示されます。
    4. [ホスト]ページで[ルートを追加]をクリックします。[メール ルートの追加]ウィンドウが表示されます。

    5. [メール ルートの追加]ウィンドウで、次の操作を行います。

      1. ホストの名前を指定した後、Zscalerスマート ホストのFQDNを指定します。

      スマートホストのFQDNは、ZIA管理ポータルのメール テナントを編集のページで確認できます。

      1. [セキュリティで保護された(TLS)接続経由でのメール送信を要求する(推奨)]を選択します。
    6. [保存]をクリックします。
    閉じる

    1. Google管理コンソールにサイン インします。
    2. 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
      Gmailの概要ページが表示されます。
    3. [ルーティング]をクリックします。
      [ルーティング]ページが表示されます。

    4. [ルーティング]ページの[SMTPリレー サービス]セクションで、[別のルールを追加]をクリックします。


      ルールをまだ設定していない場合は、[設定]をクリックしてルールを追加する必要があります。

      [設定を追加]ウィンドウが表示されます。

    5. [設定を追加]ウィンドウで、次の操作を行います。
      1. ルールの説明を指定します。
      2. [許可された送信者]セクションで、ドロップダウン メニューから[ドメイン内のアドレスのみ]を選択します。
      3. [認証]セクションで、[指定したIPアドレスからのメールのみを受け入れる]を選択します。
      4. [追加]をクリックし、オプションの説明と先ほど取得したZscalerスマート ホストのIP範囲を入力し、[有効化]を選択して、[保存]をクリックします。
      5. 必要に応じて、前の手順を繰り返します。
    6. [設定を追加]ウィンドウで、[保存]をクリックします。
    閉じる

  • Gmailのルールは、指定する条件に基づいて、さまざまなアクション(カスタム ヘッダーを追加する、機密情報を含むメールを拒否するなど)を実行するために使用されます。このステップでは、構成済みZscalerスマート ホストからの情報を持つヘッダーを追加して、ZscalerサービスがGmailサーバーからメール コンテンツを適切に受信して処理できるようにします。

    コンプライアンス ルールを設定して、Zscalerスマート ホストにヘッダーを追加するには、次の操作を行います。

    1. Google管理コンソールにサイン インします。
    2. 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
      Gmailの概要ページが表示されます。
    3. [コンプライアンス]をクリックします。
      [コンプライアンス]ページが表示されます。
    4. [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
      [設定を追加]ウィンドウが表示されます。
    5. [設定を追加]ウィンドウで、次の操作を行います。
      1. コンプライアンス ルールの説明を指定します。
      2. [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。

      3. [各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。

        1. ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
        2. [追加]をクリックします。
          [設定を追加]ウィンドウが表示されます。
        3. [設定を追加]ウィンドウで、次の操作を行います。
          1. ドロップダウン メニューから[メタデータの一致]を選択します。
          2. [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
          3. [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にない]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
          4. 保存 をクリックします。

        最初の[設定を追加]ウィンドウに戻ります。

        1. [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューの[メッセージの変更]を選択します。
        2. [ヘッダー]セクションで、[カスタム ヘッダーの追加]をクリックし、[追加]をクリックします。

          [設定を追加]ウィンドウが表示されます。
        3. [設定を追加]ウィンドウで、次の操作を行います。
          1. [ヘッダー キー]フィールドにZscaler-Tenantidを入力した後、ZIA管理ポータルの[ヘッダー値]フィールドから[転送ルールのキー]の値を貼り付けます。ZIA管理ポータルでメール テナントを構成するときに、[転送ルールのキー]の値をコピーしました。この値は、ZIA管理ポータルの[メール テナントを編集]ページでも確認できます。
          2. 保存 をクリックします。

        最初の[設定を追加]ウィンドウに戻ります。

        1. [設定を追加]ウィンドウの[ルート]セクションで、[ルートの変更]を選択してから、先ほど作成したホストをドロップダウン メニューから選択します。
        2. [オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
        3. 保存 をクリックします。

    閉じる

  • Zscalerスマート ホストによって処理されたが、ポリシー ルールによってブロックされていないメールを適切にルーティングするには、Gmailサーバーがそれらのメッセージを配信できるように、コンプライアンス ルールを設定する必要があります。

    Zscalerスマート ホストから受信したメールを配信するようにコンプライアンス ルールを設定するには、次の操作を行います。

    1. Google管理コンソールにサイン インします。
    2. 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
      Gmailの概要ページが表示されます。
    3. [コンプライアンス]をクリックします。
      [コンプライアンス]ページが表示されます。
    4. [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
      [設定を追加]ウィンドウが表示されます。
    5. [設定を追加]ウィンドウで、次の操作を行います。
      1. コンプライアンス ルールの説明を指定します。
      2. [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。

      3. [各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。

        1. ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
        2. [追加]をクリックします。
          [設定を追加]ウィンドウが表示されます。
        3. [設定を追加]ウィンドウで、次の操作を行います。
          1. ドロップダウン メニューから[メタデータの一致]を選択します。
          2. [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
          3. [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にある]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
          4. 保存 をクリックします。

        最初の[設定を追加]ウィンドウに戻ります。

        1. [設定を追加]ウィンドウで、もう一度[追加]をクリックします。
          [設定を追加]ウィンドウが表示されます。
        2. [設定を追加]ウィンドウで、次の操作を行います。
          1. ドロップダウン メニューから[高度なコンテンツの一致]を選択します。
          2. [ロケーション]セクションで、ドロップダウン メニューから[フル ヘッダー]を選択します。
          3. [一致タイプ]セクションで、ドロップダウン メニューから[次のテキストを含む]を選択し、[コンテンツ]フィールドにX-Zscaler-Block: 0と入力します。
          4. 保存 をクリックします。

        Google管理者コンソールの[カスタム ヘッダーを追加]オプションのスクリーンショット

        閉じる

        最初の[設定を追加]ウィンドウに戻ります。

        1. [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューから[メッセージの変更]を選択します。
        2. [ヘッダー]セクションで、[X-Gm-Original-Toヘッダーの追加]を選択します。
        3. 下にスクロールして[オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
        4. 保存 をクリックします。

    閉じる

  • 最後のセットアップ手順として、Zscalerスマート ホストによって処理され、ポリシー ルールによってブロックされたメールをGmailサーバーが拒否するように、コンプライアンス ルールを設定する必要があります。このルールを適用すると、X-Zscaler-Blockヘッダー値が1で返されたすべてのメールが拒否され、受信者に配信されません。代わりに、送信者は拒否メッセージを受信します。

    Zscalerスマート ホストから受信し、ブロックされたメールを拒否するようにコンプライアンス ルールを設定するには、次の操作を行います。

    1. Google管理コンソールにサイン インします。
    2. 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
      Gmailの概要ページが表示されます。
    3. [コンプライアンス]をクリックします。
      [コンプライアンス]ページが表示されます。
    4. [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
      [設定を追加]ウィンドウが表示されます。

    5. [設定を追加]ウィンドウで、次の操作を行います。

      1. コンプライアンス ルールの説明を指定します。
      2. [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。
      3. [各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。
        1. ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
        2. [追加]をクリックします。
          [設定を追加]ウィンドウが表示されます。
        3. [設定を追加]ウィンドウで、次の操作を行います。
          1. ドロップダウン メニューから[メタデータの一致]を選択します。
          2. [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
          3. [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にある]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
          4. 保存 をクリックします。

      最初の[設定を追加]ウィンドウに戻ります。

      1. [設定を追加]ウィンドウで、もう一度[追加]をクリックします。
        [設定を追加]ウィンドウが表示されます。
      2. [設定を追加]ウィンドウで、次の操作を行います。
        1. ドロップダウン メニューから[高度なコンテンツの一致]を選択します。
        2. [ロケーション]セクションで、ドロップダウン メニューから[フル ヘッダー]を選択します。
        3. [一致タイプ]セクションで、ドロップダウン メニューから[次のテキストを含む]を選択し、[コンテンツ]フィールドにX-Zscaler-Block: 1と入力します。
        4. 保存 をクリックします。

      Google管理者コンソールの[カスタム ヘッダーを追加]オプションのスクリーンショット

      閉じる

      最初の[設定を追加]ウィンドウに戻ります。

      1. [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューから[メッセージの削除]を選択します。
      2. [拒否通知のカスタマイズ]フィールドに、メールに機密情報が含まれていることを送信者に通知するメッセージ(機密情報または秘密情報が検出されました)を入力します。
      3. [オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
      4. 保存 をクリックします。

    閉じる

これらの設定が構成され、機密情報を検出してブロックするようにZscalerアウトバウンド メール ポリシー ルールが設定されている場合、ユーザーが機密情報または秘密情報を含むメールを外部ドメインに送信しようとすると、メールがブロックされたというメッセージをGmailサーバーから受信します。

関連記事s
Zscalerアウトバウンド メールDLPとは何か?Zscalerアウトバウンド メールDLPのステップ バイ ステップ構成ガイドアウトバウンド メール ポリシーの適用についての理解メール テナントについてメール テナントの追加メール テナントの編集Zscalerアウトバウンド メールDLP用のGmailの構成Zscalerアウトバウンド メールDLP用のMicrosoft Exchangeの構成メール プロファイルについてメール プロファイルの追加メール プロファイルの編集アウトバウンド メール ポリシーについてアウトバウンド メール ポリシー ルールの構成