Secure Access Service Edge:管理者ガイド: 初期データ保護設定

ステップ 1: ID ソースの追加

ID ソースは、企業の従業員に ID 認証を提供します。SASE は、サードパーティおよび自己管理の ID 認証システムをサポートしています。サポートされている ID ソースには、Lightweight Directory Access Protocol (LDAP)、DingTalk、WeCom、Lark、Identity as a Service (IDaaS)、およびカスタム ID ソースが含まれます。ビジネスで複数の ID ソースを使用している場合は、それらすべてを設定できます。これにより、異なる ID ソースで SASE サービスを使用できます。

このトピックでは、カスタム ID ソースを例として、この機能の検証方法を説明します。

1. Secure Access Service Edge コンソールにログインします。

2. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

3. Identity synchronization タブをクリックし、Create IdP をクリックします。

4. Create IdP パネルで、Custom IdP を選択し、Configure をクリックします。

5. Basic Configurations セクションで、次の表に従って IdP Name と IdP Status を設定し、Next をクリックします。

   パラメーター	説明
   IdP Name	カスタム ID ソースの名前。 名前は 2～100 文字で、漢字、英字、数字、ハイフン (-)、アンダースコア (_) を使用できます。
   IdP Status	必要に応じてステータスを設定します。有効な値: Enabled: 他に有効なカスタム ID ソースがない場合は、作成中の ID ソースを有効にできます。 Closed: 他のカスタム ID ソースがすでに有効になっている場合は、新しい ID ソースを無効に設定できます。他のカスタム ID ソースを無効にした後、この新しい ID ソースを有効にできます。 重要 カスタム ID ソースを無効にすると、エンドユーザーは SASE クライアントを使用して内部アプリケーションにアクセスできなくなります。注意して進めてください。

6. Logon Settings セクションで、ログイン方法を設定します。

   パラメーター	説明
   PC Logon Method	Logon with Account and Password と Password-free Logon をサポートしています。 アカウントとパスワードによるログインを使用する場合、Two-factor Authentication を有効にできます。有効な値: OTP-based Authentication: 有効にした場合、OTP Mode を選択する必要があります。次のモードがサポートされています。 SASE モバイルクライアントにトークンを表示させる: これは組み込みの SASE OTP であり、従業員は SASE モバイルクライアントをインストールする必要があります。 サードパーティアプリのトークンを許可する: OTP クライアントの時計が同期されていることを確認してください。Alibaba Cloud アプリなどの標準的で一般的な OTP 認証ソフトウェアがサポートされています。 企業所有のトークンを許可する: 自社開発の企業 OTP をサポートするには、技術サポート担当者の支援を受けて設定します。 Verification Code-based Authentication: ショートメッセージとメールの検証コードをサポートしています。設定された ID ソースの各ユーザーに携帯電話番号またはメールアドレスが記録されていることを確認してください。 パスワードなしのログインを使用する場合、まず SASE モバイルクライアントをダウンロードしてログインし、次に QR コード認証を実行する必要があります。
   Mobile Device Logon Method	Logon with Account and Password と Fingerprint or Face Recognition をサポートしています。 アカウントとパスワードによるログインを使用する場合、Two-factor Authentication を有効にできます。有効な値: OTP-based Authentication: OTP-based Authentication を有効にする前に、PC の OTP 認証を有効にし、Allow Tokens on Third-party Applications または Allow Enterprise-owned Tokens を選択する必要があります。モバイルトークンの設定は PC の設定と同じです。 Verification Code-based Authentication: Verification Code-based Authentication を有効にする前に、設定された ID ソースの各ユーザーに携帯電話番号またはメールアドレスが記録されていることを確認してください。 指紋または顔認識認証を使用する場合でも、SASE クライアントへの初回ログイン時にはアカウント名とパスワードを入力する必要があります。

7. [確認] をクリックして設定を完了します。

ステップ 2: ユーザーグループの追加

1. Secure Access Service Edge コンソールにログインします。

2. 左側のナビゲーションウィンドウで、Identity Authentication > Identity Access を選択します。

3. User Group Management タブで、Create User Group をクリックします。

4. Create User Group パネルで、次の表に従ってユーザーグループ情報を入力します。

   パラメーター	説明
   User Group Name	ユーザーグループの名前。
   Description	ユーザーグループの説明。
   Group Scope	ユーザーグループの範囲を設定します。有効な値: Organizational Structure: Organizational Structure を選択すると、既存の Organizational Structure 情報が表示されます。必要な構造を選択します。 Account Name: Account Name を選択すると、Configure Account Name 入力ボックスが表示されます。 Email Address: Email Address を選択すると、Configure Email Address 入力ボックスが表示されます。 Mobile Phone Number: Mobile Phone Number を選択すると、Configure Mobile Phone Number 入力ボックスが表示されます。
   Configure Relationship	ユーザーグループの関係を設定します。有効な値: Equal To Not Equal To

5. OK をクリックします。

ステップ 3: データ分類ルールの表示

SASE は、一般的な企業データ、顧客データ、個人データを識別するための組み込みの識別ルールを提供します。これらの組み込みルールを表示して、そのカバー範囲を理解できます。また、識別ルールをカスタマイズすることもできます。たとえば、個人の履歴書を含むファイルの送信転送を検出するカスタムルールを作成できます。

1. Secure Access Service Edge コンソールにログインします。

2. 左側のナビゲーションウィンドウで、Data Protection > Data Classification を選択します。

3. Data Classification > Identification Rules タブで、左側の Data Category セクションにある個人の履歴書に関する組み込み識別ルールの詳細を表示します。

ステップ 4: 送信ファイルポリシーの設定

SASE の機密ファイル検出機能は、データ要素の特性に基づいて機密ファイルを自動的に識別します。SASE は、データ要素、データの型、および感度レベルを使用してデータテンプレートを作成します。このテンプレートは、処理アクションなどの条件と組み合わされて、従業員が送信したファイルが機密であるかどうかを識別する検出ポリシーを作成します。

1. Secure Access Service Edge コンソールにログインします。

2. 左側のナビゲーションウィンドウで、Data Protection > Policy Center を選択します。

3. Policy Center > Outbound Transfer Management タブで、Create Policy をクリックします。

4. Create Policy パネルで、次の表に従って送信ファイルポリシーを作成します。その後、OK をクリックします。

   パラメーター		説明
   Policy Information	Policy Name	ポリシーの名前。
   	Policy Description	ポリシーの説明。
   	Risk Level	ポリシーを次の 4 つのリスクレベルのいずれかに設定できます。 Extremely High: 退職予定の従業員のユーザーグループからの送信転送、非常に高いリスクのユーザーグループからの送信転送、L4 ファイルの送信転送などのイベント。 High: 高リスクのユーザーグループからの送信転送や L3 ファイルの送信転送などのイベント。 Medium: 中リスクのユーザーグループからの送信転送や L2 ファイルの送信転送などのイベント。 Low: 監査目的のすべての送信転送。
   	Action	ポリシーの操作。有効な値: Audit Only Audit and Prompt Block and Notify Block Only 操作を [ブロックと通知] または [ブロックのみ] に設定した場合は、ブロックタイプも選択する必要があります。 Block All: SASE アプリは、すべての送信ファイル転送をリアルタイムでブロックし、監査します。 Intelligently Block: SASE アプリは、データテンプレートで定義された特性に基づいて、機密ファイルの送信転送をリアルタイムでブロックします。効果的なリアルタイムブロッキングを確保するために、SASE アプリはエンドポイント上のファイルをスキャンし、事前に感度レベルを割り当てます。スキャンタスクが完了するまで、すべての送信転送はデフォルトでブロックされ、ブロッキングポリシーは有効になりません。スキャンとラベリングはエンドポイントで実行され、報告されません。
   	Source File Retention	ソースファイル情報を保持するかどうかを指定します。
   	Retain Screenshot File	スクリーンショットの証拠を保持するかどうかを指定します。
   	Status	ポリシーのステータス。有効な値: 有効: ポリシーは有効です。SASE はポリシーに基づいてファイルを検出します。 無効: ポリシーは有効ではありません。
   Data Identification Rule Settings	Data Identification Rule	設定済みの識別ルールを選択します。識別ルールの設定方法の詳細については、「送信ファイルの分類とカテゴリ分けのための検出ルールの設定」をご参照ください。
   	Transmission Channel	データ伝送チャネルを選択します。従業員が選択されたチャネルを介してファイルを転送すると、機密ファイル検出がトリガーされます。サポートされているチャネルタイプの一部またはすべてを選択できます。 インスタントメッセージ (ソフトウェア)、メール (ソフトウェア)、FTP チャネル、ネットワーク共有、印刷、モバイルストレージ、クラウドドライブ (ソフトウェア)、クラウドノート (ソフトウェア)、リモートデスクトップ、コードホスティング (ソフトウェア)、大規模言語モデル (ソフトウェア)、クラウドドライブ (Web)、メール (Web)、コードホスティング (Web)、クラウドノート (Web)、クラウドブログ、大規模言語モデル (Web)、ソーシャルメディア、インスタントメッセージ (Web)、その他。
   Effective Scope	User Group	ポリシーが適用されるユーザーグループを選択します。
   Approval Process Configuration		従業員が送信ファイル転送のリスクがある場合にレポートを提出できるかどうかを指定します。 従業員が承認のためにレポートを提出できるようにする場合は、承認ワークフローを選択します。承認ワークフローの作成方法の詳細については、「承認ワークフローの設定」をご参照ください。
   Prompt Display Configuration		送信ファイル転送がブロックされたときに表示される通知メッセージを設定します。メッセージは中国語と英語で設定できます。

ステップ 5: 監査ログの表示

設定が完了したら、監査ログで送信された機密ファイルの検出結果を表示できます。

1. 左側のナビゲーションウィンドウで、Log Analysis > Log Audit を選択します。

2. Log Audit > Sensitive File Detection タブで、監査ログを表示します。Last Hour、Last 6 Hours、Last Day、Last 7 Days、Last Month などの時間範囲を選択できます。

3. 管理したい検出された送信転送を見つけ、Actions 列の Details をクリックして、Sensitive Message、Screenshot Evidence、Hit Policy、Office Terminal、Outbound Transfer Channel、Account Information などの詳細を表示します。