インターネットとSaaSへのセキュアなアクセス(ZIA)
Zscalerアウトバウンド メールDLP用のGmailの構成
Zscalerアウトバウンド メールデータ損失防止(DLP)により、GmailサーバーとZscalerの最先端のデータ損失防止(DLP)ツールとの間に接続を確立して、外部ドメインに送信されるアウトバウンド メールの機密データの漏洩を防ぐことができます。これを行うには、GmailサーバーとZscalerスマート ホスト間の双方向通信を許可するようにルーティングを構成し、コンプライアンス ルールを構成して、GmailサーバーからZscalerサービスへのメールの流れ、またはその逆を決定する必要があります。
この記事では、基本的なユース ケースでZscalerスマート ホストを使用するようにGmailサーバーを構成する方法について説明します。他のユース ケースでのGmailサーバーの構成については、Googleの技術ドキュメンテーションを参照してください。Microsoft Exchangeサーバーの構成の詳細は、Zscalerアウトバウンド メールDLP用のMicrosoft Exchangeの構成を参照してください。
Google管理コンソールで構成を変更する場合は、Googleサービス全体に伝播されてからユーザーに到達するまでに最長24時間かかることがあります。詳細は、Googleの技術ドキュメンテーションを参照してください。
Zscalerスマート ホストを使用するようにGmailサーバーを構成する手順は次の通りです。
- 1. Zscalerスマート ホストのIP範囲を取得します。
- config.zscaler.comに移動します。[Zscaler構成]ページが表示されます。
- ページの左上にある[クラウド]のドロップダウン メニューから組織のZscalerクラウドを選択します。
- 左側のナビゲーションで、[メールDLP]に移動します。[メールDLP]ページには、Zscalerスマート ホストがGmailサーバーと通信するために構成する必要がある、すべてのアウトバウンド接続が一覧表示されます。
画像を参照してください。 - このページに記載されるIPSはすべて、Zscalerスマート ホストと通信するためにGmailサーバーを設定する際に、追加する必要があるため、書き留めてください。
- 2. Zscalerスマート ホストにアウトバウンド メールを転送するようにホストを設定します。
- Google管理コンソールにサイン インします。
- 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
画像を参照してください。 Gmailの概要ページが表示されます。
- [ホスト]をクリックします。
[ホスト]ページが表示されます。 - [ホスト]ページで[ルートを追加]をクリックします。画像を参照してください。[メール ルートの追加]ウィンドウが表示されます。
[メール ルートの追加]ウィンドウで、次の操作を行います。
- ホストの名前を指定した後、Zscalerスマート ホストのFQDNを指定します。
スマートホストのFQDNは、ZIA管理ポータルのメール テナントを編集のページで確認できます。
- [セキュリティで保護された(TLS)接続経由でのメール送信を要求する(推奨)]を選択します。
- [保存]をクリックします。
画像を参照してください。
- 3. スキャン後にメールを受信するようにルーティングを設定します。
- Google管理コンソールにサイン インします。
- 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
画像を参照してください。 Gmailの概要ページが表示されます。
- [ルーティング]をクリックします。
[ルーティング]ページが表示されます。 [ルーティング]ページの[SMTPリレー サービス]セクションで、[別のルールを追加]をクリックします。
画像を参照してください。
ルールをまだ設定していない場合は、[設定]をクリックしてルールを追加する必要があります。
[設定を追加]ウィンドウが表示されます。
- [設定を追加]ウィンドウで、次の操作を行います。
- ルールの説明を指定します。
- [許可された送信者]セクションで、ドロップダウン メニューから[ドメイン内のアドレスのみ]を選択します。
- [認証]セクションで、[指定したIPアドレスからのメールのみを受け入れる]を選択します。
- [追加]をクリックし、オプションの説明と先ほど取得したZscalerスマート ホストのIP範囲を入力し、[有効化]を選択して、[保存]をクリックします。
- 必要に応じて、前の手順を繰り返します。
- [設定を追加]ウィンドウで、[保存]をクリックします。
画像を参照してください。
- 4. Zscalerスマート ホストにヘッダーを追加するように、コンプライアンス ルールを設定します。
Gmailのルールは、指定する条件に基づいて、さまざまなアクション(カスタム ヘッダーを追加する、機密情報を含むメールを拒否するなど)を実行するために使用されます。このステップでは、構成済みZscalerスマート ホストからの情報を持つヘッダーを追加して、ZscalerサービスがGmailサーバーからメール コンテンツを適切に受信して処理できるようにします。
コンプライアンス ルールを設定して、Zscalerスマート ホストにヘッダーを追加するには、次の操作を行います。
- Google管理コンソールにサイン インします。
- 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
画像を参照してください。 Gmailの概要ページが表示されます。
- [コンプライアンス]をクリックします。
[コンプライアンス]ページが表示されます。 - [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- コンプライアンス ルールの説明を指定します。
- [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。
[各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。
- ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
- [追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- ドロップダウン メニューから[メタデータの一致]を選択します。
- [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
- [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にない]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
- 保存 をクリックします。
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューの[メッセージの変更]を選択します。
- [ヘッダー]セクションで、[カスタム ヘッダーの追加]をクリックし、[追加]をクリックします。
画像を参照してください。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- [ヘッダー キー]フィールドに
Zscaler-Tenantid
を入力した後、ZIA管理ポータルの[ヘッダー値]フィールドから[転送ルールのキー]の値を貼り付けます。ZIA管理ポータルでメール テナントを構成するときに、[転送ルールのキー]の値をコピーしました。この値は、ZIA管理ポータルの[メール テナントを編集]ページでも確認できます。 - 保存 をクリックします。
- [ヘッダー キー]フィールドに
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウの[ルート]セクションで、[ルートの変更]を選択してから、先ほど作成したホストをドロップダウン メニューから選択します。
- [オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
- 保存 をクリックします。
- 5. Zscalerスマート ホストから受信したメールを配信するようにコンプライアンス ルールを設定します。
Zscalerスマート ホストによって処理されたが、ポリシー ルールによってブロックされていないメールを適切にルーティングするには、Gmailサーバーがそれらのメッセージを配信できるように、コンプライアンス ルールを設定する必要があります。
Zscalerスマート ホストから受信したメールを配信するようにコンプライアンス ルールを設定するには、次の操作を行います。
- Google管理コンソールにサイン インします。
- 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
画像を参照してください。 Gmailの概要ページが表示されます。
- [コンプライアンス]をクリックします。
[コンプライアンス]ページが表示されます。 - [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- コンプライアンス ルールの説明を指定します。
- [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。
[各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。
- ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
- [追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- ドロップダウン メニューから[メタデータの一致]を選択します。
- [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
- [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にある]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
- 保存 をクリックします。
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウで、もう一度[追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- ドロップダウン メニューから[高度なコンテンツの一致]を選択します。
- [ロケーション]セクションで、ドロップダウン メニューから[フル ヘッダー]を選択します。
- [一致タイプ]セクションで、ドロップダウン メニューから[次のテキストを含む]を選択し、[コンテンツ]フィールドに
X-Zscaler-Block: 0
と入力します。 - 保存 をクリックします。
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューから[メッセージの変更]を選択します。
- [ヘッダー]セクションで、[X-Gm-Original-Toヘッダーの追加]を選択します。
- 下にスクロールして[オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
- 保存 をクリックします。
- 6. Zscalerスマート ホストから受信したメールを拒否するようにコンプライアンス ルールを設定します。
最後のセットアップ手順として、Zscalerスマート ホストによって処理され、ポリシー ルールによってブロックされたメールをGmailサーバーが拒否するように、コンプライアンス ルールを設定する必要があります。このルールを適用すると、
X-Zscaler-Block
ヘッダー値が1
で返されたすべてのメールが拒否され、受信者に配信されません。代わりに、送信者は拒否メッセージを受信します。Zscalerスマート ホストから受信し、ブロックされたメールを拒否するようにコンプライアンス ルールを設定するには、次の操作を行います。
- Google管理コンソールにサイン インします。
- 左側のナビゲーションで、[アプリ]>[Google Workspace]>[Gmail]の順に移動します。
画像を参照してください。 Gmailの概要ページが表示されます。
- [コンプライアンス]をクリックします。
[コンプライアンス]ページが表示されます。 - [コンプライアンス]ページの[コンテンツ コンプライアンス]セクションで、[別のルールを追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 [設定を追加]ウィンドウで、次の操作を行います。
- コンプライアンス ルールの説明を指定します。
- [影響を受けるメール メッセージ]セクションで、[アウトバウンド]を選択します。
- [各メッセージで検索するコンテンツを説明する式を追加]セクションで、次の操作を行います。
- ドロップダウン メニューから[次のすべてがメッセージと一致する場合]を選択します。
- [追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- ドロップダウン メニューから[メタデータの一致]を選択します。
- [属性]セクションで、ドロップダウン メニューから[ソースIP]を選択します。
- [一致タイプ]セクションで、ドロップダウン メニューから[送信元IPが範囲内にある]を選択し、Zscalerスマート ホストで先ほど取得したIP範囲を追加します。
- 保存 をクリックします。
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウで、もう一度[追加]をクリックします。
[設定を追加]ウィンドウが表示されます。 - [設定を追加]ウィンドウで、次の操作を行います。
- ドロップダウン メニューから[高度なコンテンツの一致]を選択します。
- [ロケーション]セクションで、ドロップダウン メニューから[フル ヘッダー]を選択します。
- [一致タイプ]セクションで、ドロップダウン メニューから[次のテキストを含む]を選択し、[コンテンツ]フィールドに
X-Zscaler-Block: 1
と入力します。 - 保存 をクリックします。
最初の[設定を追加]ウィンドウに戻ります。
- [設定を追加]ウィンドウの[上記の式が一致する場合、次を実行]セクションで、ドロップダウン メニューから[メッセージの削除]を選択します。
- [拒否通知のカスタマイズ]フィールドに、メールに機密情報が含まれていることを送信者に通知するメッセージ(
機密情報または秘密情報が検出されました
)を入力します。 - [オプションを表示]をクリックし、[影響を受けるアカウントの種類]セクションで、すべてのオプション([ユーザー]、[グループ]、[認識されない/すべてをキャッチ])を選択します。
- 保存 をクリックします。
これらの設定が構成され、機密情報を検出してブロックするようにZscalerアウトバウンド メール ポリシー ルールが設定されている場合、ユーザーが機密情報または秘密情報を含むメールを外部ドメインに送信しようとすると、メールがブロックされたというメッセージをGmailサーバーから受信します。
画像を参照してください。