クラウドアセットがアウトバウンド接続を行う際、機密データ漏洩のリスクがあります。Cloud Firewall の機密データ漏洩検出機能は、このような漏洩 (リスクのあるペイロードを含む) を迅速に特定して記録し、ビジネス上の損失を防ぐのに役立ちます。このトピックでは、機密データ漏洩検出機能の使用方法について説明します。
サポート対象のエディションと課金
この機能は、Cloud Firewall のビジネス トラフィック保護パフォーマンスに影響を与えません。
Cloud Firewall は、アウトバウンドトラフィック内の機密データを検出します。購入ページでこの機能を有効にすると、トラフィック検出のためのデフォルトの月次無料クォータが付与されます。クォータは、Premium Edition では 100 GB、Enterprise Edition では 300 GB、Ultimate Edition では 500 GB、Cloud Firewall (従量課金) エディションでは 100 GB です。無料クォータを超過したトラフィックは 0.02 USD/GB で課金 (後払い) され、請求書は翌日に生成されます。従量課金 Savings Plan (プリペイド) を使用して料金を相殺できます。コンソールでモニタリング対象のアセットを追加できます。
詳細な手順については、「機密データ漏洩検出の有効化」をご参照ください。
|
課金方法 |
エディション |
月次無料クォータ |
超過料金 (後払い) |
従量課金 Savings Plan |
|
サブスクリプション |
Premium Edition |
100 GB |
0.02 USD/GB |
|
|
Enterprise Edition |
300 GB |
|||
|
Ultimate Edition |
500 GB |
|||
|
従量課金 |
Cloud Firewall (従量課金) |
100 GB |
0.02 USD/GB |
サポートされる機密データの種類
Cloud Firewall は、パブリック IP アドレスからのアウトバウンドトラフィックに含まれる以下の種類の機密データを検出できます。
-
AccessKey ID
-
パスポート番号 (中国本土)
-
デビットカード番号
-
ID カード番号 (香港 (中国))
-
香港・マカオ往来通行証の番号
-
ID カード番号 (中国本土)
-
軍人 ID 番号
-
秘密鍵
IPS 設定ページでは、データ漏洩セクションで Cloud Firewall が識別できるデータタイプを確認できます。ビジネスニーズに応じて、特定のデータタイプの検出を有効または無効にできます。Cloud Firewall は、検出された機密データを含むトラフィックを自動的にブロックしません。このトラフィックをブロックするには、Cloud Firewall でアクセス制御ポリシーを設定する必要があります。
前提条件
インターネット境界ファイアウォールが有効になっている必要があります。詳細については、「インターネット境界ファイアウォールの有効化」をご参照ください。
機密データ漏洩検出の有効化
サブスクリプション
新規ユーザー
Cloud Firewall サブスクリプションを購入する際に、購入ページで [Sensitive Data Leak Detection] オプションで [Yes] を選択します。
既存ユーザー
以下のいずれかのページから機能を有効にできます。
-
アップグレードページ
機密データ漏洩検出 オプションで はい を選択します。
-
機能ページ
機密データ漏洩検出 オプションで はい を選択します。
左側メニューで、 [Data Detection and Response] > [Data Leak] を選択します。
従量課金
従量課金エディションの場合、 データ侵害 ページに移動し、。
クラウドアセットのデータ漏洩検出の設定
モニタリング対象の各アセットについて、データ漏洩検出を有効にする必要があります。Cloud Firewall は、これらのアセットからインターネットへのアウトバウンドトラフィックを検査し、潜在的な機密データの漏洩を特定します。
この機能は、HTTP などの平文プロトコル上のトラフィックを検査します。HTTPS などの暗号化されたトラフィックはサポートされていません。
-
Cloud Firewall コンソールにログインします。左側メニューで、 を選択します。
-
データ漏えい ページの右上隅にある アセットの割り当て をクリックします。
-
対象のパブリック IP アドレスを見つけ、 [操作] 列の [データ侵害の検出] を有効にする をクリックします。
-
アセットの割り当て パネルの右上隅にある 1 日のトラフィック処理上限 をクリックして、1 日の処理上限を設定します。
説明-
設定する上限は指定された範囲内である必要があり、当日にすでに処理されたトラフィック量より低くすることはできません。
-
適切な上限を決定するには、アウトバウンドリクエストのトラフィックをご参照ください。アセットの割り当て パネルで、過去 7 日間のアウトバウンドリクエストのトラフィックを表示できます。
-
検出タイプの表示または設定
保護設定ページ
以下のいずれかの方法でデータ漏洩保護設定ページに移動できます。
-
左側メニューで データ侵害 を選択し、ページの右上隅にある Prevention Configuration をクリックします。
-
左側メニューで IPS の設定 を選択し、ページ上の データ侵害 カードを見つけます。
検出タイプの表示と管理
データ漏洩保護設定ページに移動した後、サポートされる機密データの種類とその現在のステータスを表示できます。
特定の種類のデータの検出を停止するには、対応する アクション 列の 無効 をクリックします。
データ漏洩統計の表示
「機密データ統計」エリアには、選択した期間におけるアセットのデータ漏洩ステータスが表示されます。
「データタイプ分布」エリアには、選択した期間における漏洩の内訳がタイプ別に表示されます。これは、アセットの動作を監査し、ビジネス上の損失を防ぐのに役立ちます。
「機密データ統計」エリアには、機密データ漏洩イベントの数、データ漏洩が検出されたアセットの数、検出されたアウトバウンドトラフィックの合計などの主要なメトリクスが表示されます。このページには、「漏洩アセットと宛先 IP の分布」セクションも含まれており、それぞれの上位 5 件がランキング形式で表示されます。下部のイベントリストには各インシデントの詳細が表示され、リスクレベル、秘密度レベル、データタイプ、エリア、ソース IP などの基準でフィルタリングできます。各エントリには、イベント時刻、イベント名、機密データの種類、データ量、リスクレベル、ソース IP と宛先 IP、トラフィックサイズ、保護ステータスが表示されます。
データ漏洩詳細の表示
表示されるデータは、選択した期間に対応します。詳細を表示 をクリックすると データ侵害の詳細 パネルが開き、漏洩情報、リスクのあるペイロード、機密データリスト、イベント詳細を確認できます。このパネルでは、宛先が安全かどうかを評価するのに役立つ、宛先 IP アドレスまたはドメイン名のインテリジェンスプロファイルも提供されます。
漏洩イベントに基づいて、Cloud Firewall は漏洩の再発を防ぐための ACL ポリシーの設定などの推奨アクションを提供します。ビジネスニーズを評価し、データ漏洩のリスクを軽減するための対策を講じることができます。
課金情報の表示
請求管理ページ
請求管理ページに移動して、機密データ漏洩検出によって消費されたトラフィックを表示できます。
-
左側メニューで システム設定 > 請求書の管理 を選択し、 機密データ漏洩検出 タブを選択します。
トラフィックと請求の表示
請求書の管理 ページの 機密データ漏洩検出 タブで、この機能の課金対象トラフィックを表示できます。
機密データ漏洩検出は日次で課金されます。請求管理ページのデータは翌日 (T+1) に更新されます。前日の料金は、毎日 18:00 頃に計算および決済されます。この機能を無効にした場合、当日の請求は翌日の 18:00 頃に生成されます。
リストの右上隅にある 充当の明細表示 または 請求書詳細の表示 をクリックして、 [Expenses and Costs][コンソール]に移動します。そこで、従量課金 Savings Plan の相殺詳細や、生成された請求書の詳細を表示できます。