インターネットとSaaSへのセキュアなアクセス(ZIA)
DLPエンジンの説明
DLPエンジンは、1つまたは複数のDLP辞書の集まりです。Zscalerサービスは定義済みのDLPエンジンを提供し、カスタムDLPエンジンもサポートします。
- 定義済みのDLPエンジン:Zscalerサービスは、5つの定義済みエンジン(HIPAA、GLBA、PCI、攻撃的な言葉、自傷行為やネットいじめ)を提供します。これらのエンジンには、既定のDLP辞書が含まれています。たとえば、PCIエンジンには、クレジットカードと社会保障番号の辞書が含まれています。定義済みエンジンを編集することもできます。詳細については、定義済みDLPエンジンの編集を参照してください。
[自傷行為とネットいじめ]のエンジンは、K-12教育関係者の使用を想定しています。教育関係者の方は、Zscaler Account Teamに連絡してこの機能を有効にしてください。
- カスタムDLPエンジン:カスタムDLPエンジンを作成して、DLPエンジンのページでまたはクラウド サービスAPIを通して、組織に関連するコンテンツを検出できます。最大512個のカスタムDLPエンジンを作成できます。詳細については、カスタムDLPエンジンの追加およびクラウド サービスとサンドボックス送信APIについてを参照してください。
DLPエンジンの式の作成
定義済みまたはカスタムDLPエンジンを構成する場合、DLP辞書と演算子を組み合わせて論理式を作成できます。演算子には、All(AND)、Any(OR)、Exclude(AND NOT)およびSumが含まれます。Sum演算子を使用すると、DLPエンジンで指定された辞書のグループをトリガーする一致の合計を指定できます。
DLPエンジン式を作成するには、演算子と辞書を使用して部分式を作成します。部分式は、エンジンをトリガーするためにエンジンの辞書をトリガーする方法のロジックを決定します。Sum演算子は、部分式の一部として使用できます。ただし、Sum演算子を使用する式または部分式に部分式を追加することはできません。
たとえば、次の式は同じ辞書を使用します。ただし、副式は異なる方法で適用されるため、各式のロジックは異なります。
- ((ABA Bank Routing Numbers > 0) AND (Credit Cards > 0)) OR (Financial Statements > 0)
- (ABA Bank Routing Numbers > 0) AND ((Credit Cards > 0) OR (Financial Statements > 0))
一致カウントの設定
選択した演算子と辞書に応じて、辞書または辞書のグループをDLPエンジンに追加するときに、一致カウント値も構成する必要があります。一致カウントは、辞書または辞書のグループをトリガーするしきい値です。
辞書は、指定された数よりも多くの一致が見つかった場合にのみトリガーされます。例えば:
- 3つの辞書で式でSum演算子を使用し、一致カウント6を入力すると、3つの辞書間で7つ以上の一致がある場合にのみポリシーがトリガーされます。
- 同様に、一致カウントを必要とする辞書で他の演算子(All、Any、またはExclude)を使用し、一致カウント6を入力した場合、辞書は、その辞書で7つ以上の一致が見つかった場合にのみトリガーされます。個別の一致カウントを持つ複数の辞書を選択した場合、辞書は個々の辞書のしきい値に達した場合にのみトリガーされます。
辞書を複数のエンジンに追加し、辞書をエンジンに追加するたびに異なる一致カウント値を指定できます。たとえば、5つ以上の個人を特定できる情報(PII)のインスタンスを含むすべてのファイルアップロードをブロックするDLPポリシールールと、ファイルのアップロードにPIIのインスタンスが最低でも1つ含まれている場合にメール通知を送信する別のポリシールールを作成するとします。このシナリオでは、次のことができます。
- ブロックポリシールールに、それぞれ一致カウント値が4のPII辞書を持つDLPエンジンを1つ作成します。また、このルールの注文番号が通知ポリシールールの前にあることを確認する必要があります。
- 通知ポリシールールのために、それぞれが一致カウント値0を持つPII辞書を持つ第2のDLPエンジンを作成します。
事前定義された辞書の信頼スコアしきい値を変更するには、この設定を辞書自体で構成する必要がある。詳細については、信頼スコアしきい値の設定を参照してください。