送信ファイルのデータ分類とカテゴリ分類の検出ルールを設定する - Secure Access Service Edge

従業員が機密ファイルを送信することによるデータ漏洩からのビジネス上の損失を防ぐために、Secure Access Service Edge (SASE) の送信ファイル検出機能を使用できます。この機能は、リアルタイムの検出とコントロールを提供します。分類とカテゴリ分類の検出ルールを設定して、データ漏洩の脅威を特定し、管理することができます。このドキュメントでは、送信ファイルに対してこれらのルールを設定する方法について説明します。

前提条件

インターネットアクセスセキュリティのために SASE の Office データ保護エディションを購入済みであること。詳細については、「請求概要」および「はじめに」をご参照ください。
企業のエンドポイントにインストールされている SASE アプリのバージョンが 4.3.1 以降であること。

設定方法

送信ファイルの分類とカテゴリ分類ルールを設定する際、要件に応じて次の 3 つの方法から 1 つを選択できます。これらの方法は、さまざまな管理要件を満たし、ルール設定の精度と効率を向上させ、送信ファイルのセキュリティとコンプライアンスを確保するように設計されています。

組み込みルール: SASE は、一般的なファイルタイプに対応するさまざまな組み込みの分類およびカテゴリ分類検出ルールを提供します。送信ポリシーを作成する際に適切なルールを選択して、機密データをより効率的に管理および保護できます。
カスタムルール: ファイルの内容、ファイル名、ファイル拡張子、データソースなど、複数のディメンションに基づいてカスタム検出ルールを作成できます。
AI 推奨ライブラリ: AI 推奨ライブラリから検出ルールを直接データ分類に追加できます。これにより、設定プロセスが大幅に簡素化されます。
警告
AI 推奨ライブラリの検出ルールを使用するには、まず資産マッピングを完了する必要があります。その後、大規模モデルがファイルから学習し、対応する検出ルールをインテリジェントに生成します。詳細については、「資産マッピングタスクの作成」をご参照ください。

カスタムルールの設定

ステップ 1: データ要素の作成

ファイルの内容、ファイル拡張子、データソースの禁止用語ライブラリ (辞書と正規表現) など、複数のディメンションに基づいてデータ要素を設定できます。

Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、Data Protection > Data Classification を選択します。

Data Classification ページで、Data Elements タブをクリックします。次の表の説明に従ってデータ要素を設定します。

タブ	説明	操作
Dictionaries and Regular Expressions	禁止用語ライブラリを設定します。辞書または正規表現を使用して、ファイルの内容をインテリジェントに検出できます。	ライブラリを追加するには: Create Sensitive Word Library をクリックします。 Create Sensitive Word Library パネルで、次のパラメーターを設定し、OK をクリックします。 Name: 禁止用語ライブラリの名前を入力します。 Type: 辞書または正規表現を設定して、ファイルの内容をインテリジェントに検証します。 Dictionary: 辞書の内容をカスタマイズします。一度に複数のエントリを追加できます。コンマ (,) で区切り、Enter キーを押します。 Regular Expression: カスタム正規表現を入力します。たとえば、式 `([A-Za-z0-9]+)` は、1 つ以上の大文字または小文字の英字または数字に一致します。正規表現を設定した後、Test Regular Expression をクリックし、テストフィールドを入力して式を検証できます。その他の操作: タイプやデータソースなどの基準でデータをフィルターします。 Actions 列で、Delete をクリックして、どのルールにも関連付けられていないライブラリを削除します。重要ライブラリが検出ルールに関連付けられている場合は、ライブラリを削除する前に、まずルールから関連付けを削除する必要があります。
Data Types	SASE は、いくつかの組み込みインテリジェントアルゴリズム分類を提供します。検出ルールを設定する際に、対応するアルゴリズム分類を選択できます。SASE は、選択されたアルゴリズム分類とファイルタイプを使用して、ファイルの内容を効率的かつ正確に検出します。	Associated Rules 列で、アルゴリズム分類で設定された検出ルールを表示できます。
Data Levels	SASE は、いくつかの組み込みインテリジェントアルゴリズムカテゴリ分類を提供します。検出ルールを設定する際に、対応するアルゴリズムカテゴリ分類を選択できます。SASE は、選択されたアルゴリズムカテゴリ分類、データ秘密度の一般的な定義、および機密データの量を使用して、ファイルの内容を効率的かつ正確に検出します。	Associated Rules 列で、アルゴリズムカテゴリ分類で設定された検出ルールを表示できます。
File Name Extensions	SASE は、いくつかの組み込みファイル拡張子を提供します。また、カスタムファイル拡張子を定義して、その拡張子に基づいてファイルを検出することもできます。	ファイル拡張子を追加するには: Add File Extension をクリックします。 Add File Extension パネルで、ファイル拡張子を入力し、OK をクリックします。その他の操作: データソースでデータをフィルターします。 Actions 列で、Delete をクリックしてカスタムファイル拡張子を削除します。
Data Source	Web Applications と Code Repository をデータソースとして追加できます。これらのソースからダウンロードされたファイルが送信されると、システムは自動的に検出をトリガーします。このメソッドは、機密データのフローを効果的にモニターし、特定のソースからのファイルが送信時にセキュリティポリシーに準拠していることを保証し、データ保護とコンプライアンスを強化します。	アプリケーションを追加するには: Create Application をクリックします。 Add Data Source パネルで、次のパラメーターを設定します: Web Applications Application Name: アプリケーションの名前を入力します。 Application Address: URL とファイルパスを入力します。Add をクリックして、複数のアプリケーションアドレスを入力できます。以下は設定例です。 URL: www.aliyun.com/api/file パス: /api/file Code Repository Repository Name: リポジトリの名前を入力します。 Git Repository URL: Git リポジトリアドレスを入力します。

設定が完了したら、OK をクリックします。

ステップ 2: カスタム検出ルールの作成

SASE は、一般的なファイルタイプに対してデフォルトの分類およびカテゴリ分類検出ルールを提供します。これらのルールは、送信ファイルポリシーを設定する際に直接使用できます。また、必要に応じてカスタム検出ルールを作成し、資産マップ機能によって報告されたファイルを使用して検証することもできます。このプロセスにより、ルール設定の正確性と適用性が保証されます。

検出ルールの作成

Secure Access Service Edge コンソールにログインします。
左側のナビゲーションウィンドウで、Data Protection > Data Classification を選択します。
Data Classification ページで、Identification Rules タブをクリックします。
左側の Data Category エリアで、Create をクリックし、次に Create Category をクリックします。
Create Category ダイアログボックスで、分類名を入力し、OK をクリックします。
作成したデータ分類の右側にある Create Rule Group をクリックします。これにより、データ分類の検出ルールが作成されます。

Create Group パネルで、次の情報を設定します。その後、OK をクリックします。

設定項目	説明
Rule Name	検出ルールの名前。名前は 2～32 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を使用できます。
Data Category	グループのデータ分類を選択します。
Sensitivity Level	ファイルの感度レベルを設定します。有効な値: L4: 機密データこのレベルには、ビジネス運用内のお客様の機密性の高い個人情報が含まれます。また、1 つ以上の部門にわたる集約から生成されたマクロレベルの特徴データ、予測データ、信用データも含まれます。この情報の不正な開示は社内で固く禁じられており、ビジネスに深刻な悪影響や体系的な脅威を直接引き起こし、重大な法的責任につながります。このレベルには、主要な経営判断、投資、資金調達に関与する特定の担当者の通信記録も含まれます。 L3: 極秘/プライベートデータこのレベルには、ビジネス運用中に部門レベルで集約された顧客情報とビジネスデータが含まれます。不正な開示は、会社、顧客、または従業員に直接的または間接的に悪影響や脅威を与える可能性があります。また、顧客または会社に金銭的、商業的、または評判上の損失をもたらし、潜在的な法的責任につながる可能性もあります。 L2: 内部データこのレベルには、従業員または秘密保持契約に署名した第三者のみがアクセスできる会社のデータと顧客情報が含まれます。また、オーナーが特定のグループへの開示に同意した情報も含まれます。不正な開示は、顧客、一部のビジネス運用、または従業員に軽微または取るに足らない悪影響を与える可能性があります。 L1: 公開データこのレベルには、一般にアクセス可能であるか、顧客によって公開が設定されているデータが含まれます。このデータの公開は、セキュリティ上または法的な問題を引き起こしません。
Rule Configuration	機密データ検出ルールを設定します。たとえば、「ファイル名に給与を含む」というルールを設定すると、システムはファイル名に「給与」を含むファイルを機密として検出します。ビジネスニーズに基づいて検出ポリシーがファイルの内容を正確かつ包括的に照合できるように、複数のルールを設定することをお勧めします。複数のルール間の条件付き関係を AND または OR に設定できます。

検出ルールパラメーターの説明

ファイル名

オプション	論理接続	内容
キーワード	すべてを含む, いずれかを含む, いずれも含まない	検出するテキストを入力します。
辞書	すべてを含む, いずれも含まない	Data Elements > Dictionaries and Regular Expressions タブの禁止用語ライブラリから辞書を選択し、ヒット数を設定します。
正規表現	すべてを含む, いずれも含まない	Data Elements > Dictionaries and Regular Expressions タブの禁止用語ライブラリから正規表現を選択し、ヒット数を設定します。

ファイル本文

オプション	論理接続	内容
キーワード	すべてを含む, いずれかを含む, いずれも含まない	検出するテキストを入力します。
辞書	すべてを含む, いずれも含まない	Data Elements > Dictionaries and Regular Expressions タブの禁止用語ライブラリから辞書を選択し、ヒット数を設定します。
正規表現	すべてを含む, いずれも含まない	Data Elements > Dictionaries and Regular Expressions タブの禁止用語ライブラリから正規表現を選択し、ヒット数を設定します。
推奨アルゴリズム分類	すべてを含む, いずれかを含む, いずれも含まない	Data Elements > Data Types タブの組み込みオプションから推奨アルゴリズム分類を選択します。
推奨アルゴリズムカテゴリ分類	いずれかを含む, いずれも含まない	Data Elements > Data Levels タブの組み込みオプションから推奨アルゴリズムカテゴリ分類を選択します。

データソース

論理接続

内容

いずれかを含む, いずれも含まない

アプリケーションタイプに基づいてデータソースアプリケーションを選択します。複数のアプリケーションを選択できます。

Instant Messaging Application: Lark、DingTalk、WeCom、WeChat、QQ などが含まれます。
Web Applications: Data Elements > Data Source タブで設定されたアプリケーションを選択します。

ファイルタイプ

オプション	論理接続	内容
ファイル形式	いずれかを含む, いずれも含まない	一般的なファイル形式を選択します。複数の形式を選択できます。
ファイル拡張子	いずれかを含む, いずれも含まない	Data Elements > File Name Extensions タブで設定されたファイル拡張子を選択します。

ファイルサイズ

論理接続	内容
以上, 以下, [A, B] の範囲内	ファイルサイズの検出範囲を入力します。

ファイル暗号化

オプション	内容
暗号化されているか	はいまたはいいえを選択します。

検出ルールの検証

ビジネスニーズに応じて、ファイルを検証するためにさまざまな方法を選択できます。ルール検証機能は、検出ルールの正確性と適用性を確認するために使用されます。ルールの実際の使用には影響しません。

検証したい検出ルールについて、Rule Verification セクションに移動し、Verify をクリックします。
Data Verification ダイアログボックスで、Verification Method を選択します。その後、OK をクリックします。
SASE は、設定された検出ルールを使用して、選択された検証方法に基づいてファイルをフィルターおよび検証します。その後、ルールに一致するファイルが表示されます。
- Verify Based on Files Used for Generating Rule: 大規模モデルが資産マップ機能で分析した最新のファイルに対してルールを検証します。
  警告
  この検証方法を使用するには、まず大規模モデルを使用して資産マップ機能で報告されたファイルから学習する必要があります。詳細については、「インテリジェントなルール生成」をご参照ください。
- Verify Based on Most Recently Detected Files: 資産マップ機能によって報告された最新のファイルに対してルールを検証します。
Actions 列で、Preview をクリックしてファイル情報をプレビューし、ルール設定の正確性を確認できます。

その他の操作

カスタム検出ルールまたは大規模モデルによって生成されたルールを編集、有効化、または無効化できます。また、既存の検出ルールの下にサブ-ルールを作成して、より詳細な管理と柔軟な設定を行うこともできます。

編集: Edit Group Information をクリックして、設定された検出ルールを表示および変更します。
有効化/無効化: Rule Status スイッチをクリックして、検出ルールを有効または無効にします。

AI 推奨ライブラリを使用した検出ルールの設定

SASE は、エンドポイントファイルをマッピングして資産マップを生成します。大規模言語モデルを使用してこれらのファイルから学習し、ファイルタイプに基づいて検出ルールを自動的に作成します。AI 推奨ライブラリからこれらの推奨ルールを有効にし、組み込みまたはカスタムのデータ分類に追加して、設定を簡素化できます。

Data Classification ページで、Intelligent Recommendation Library タブをクリックします。
Intelligent Recommendation Library タブで、AI が生成した検出ルールを選択し、Enable Recommended Rule をクリックします。
Enable Recommended Rule ダイアログボックスで、ルールのデータ分類を選択します。ルールが有効になると、選択したデータ分類で編集および再分類できます。

参考資料

インテリジェントなルール生成の詳細については、「インテリジェントなルール生成」をご参照ください。
設定ファイルの漏洩検出ポリシーで分類およびカテゴリ分類検出ルールを使用する方法の詳細については、「設定ファイルの漏洩検出ポリシー」をご参照ください。
資産マッピングの詳細については、「資産マッピングタスクの作成」をご参照ください。