従業員が組織外へファイルを送信する際、SASE は各転送を、お客様が定義した分類および分類検出ルールに基づいて検査します。ルールに一致したファイルは、アウトバウンドポリシーで定義された実行アクションをトリガーします。本トピックでは、これらのルールの定義方法について説明します。
前提条件
開始する前に、以下の条件を満たしていることを確認してください。
設定方法
SASE では、アウトバウンドファイルの検出ルールを設定するための 3 つの方法が提供されています。ご状況に応じて適切な方法を選択してください。
| 方法 | 使用タイミング |
|---|---|
| 組み込みルール | まずこちらから始めます。SASE には、一般的なファイルタイプ向けの検出ルールが事前に含まれています。アウトバウンドポリシーを作成する際にこれらを選択すると、追加の設定は不要です。 |
| カスタムルール | 組み込みルールでは要件を満たせない場合に使用します。ファイル内容、ファイル名、ファイル拡張子、データソースなど、複数のディメンションにわたる条件を定義できます。 |
| AI 推奨ライブラリ | 資産マッピングを完了済みの場合に使用します。大規模モデルがお客様のファイルから学習し、検出ルールを自動生成します。 |
AI 推奨ライブラリの検出ルールを使用するには、まず資産マッピングを完了してください。その後、大規模モデルがお客様のファイルから学習し、対応する検出ルールを知的に生成します。詳細については、「資産マッピングタスクの作成」をご参照ください。
カスタムルールの設定
カスタムルールは、以下の 2 段階で構築されます。
データ要素の作成 — 敏感語辞書(辞書および正規表現)、ファイル拡張子、データソースといった、検出の基本単位を定義します。
検出ルールの作成 — 上記の要素を条件と感度レベルとともに組み合わせ、1 つのルールとして定義します。SASE はこのルールを、各アウトバウンドファイルに対して評価します。
ステップ 1:データ要素の作成
データ要素は、カスタム検出ルールの構成単位です。SASE では、データ保護 > データ分類 > データ要素 の下にある 4 つのタブで整理されています。
Secure Access Service Edge コンソール にログインします。
左側ナビゲーションウィンドウで、データ保護 > データ分類 を選択します。
データ分類 ページで、データ要素 タブをクリックします。

必要に応じて各タブを設定します。
辞書および正規表現
SASE がファイル名およびファイル内容に対して照合する敏感語辞書を作成します。
敏感語辞書の作成手順:
敏感語辞書の作成 をクリックします。
敏感語辞書の作成 パネルで、以下のパラメーターを設定し、OK をクリックします。
辞書:検出対象の単語またはフレーズを入力します。カンマ(,)で区切り、Enter キーを押すことで、複数のエントリを一度に追加できます。
正規表現:カスタムの正規表現を入力します。例:
([A-Za-z0-9]+)は、1 文字以上の英大文字・英小文字・数字に一致します。式を入力後、正規表現のテスト をクリックし、テスト用の文字列を入力して検証してください。
パラメーター 説明 名前 敏感語辞書の名前 タイプ 辞書 または 正規表現
その他の操作:
タイプまたはデータソース別にライブラリを絞り込みます。
辞書を削除するには、操作 列の 削除 をクリックします。
検出ルールに関連付けられた辞書は削除できません。関連付けを解除してから削除してください。
データの型
SASE には、組み込みのアルゴリズムによる分類が提供されています。検出ルールを設定する際には、適切なアルゴリズム分類を選択してください。SASE は、ファイルタイプと併せてこの分類を使用してファイル内容を検出します。
特定のアルゴリズム分類がどの検出ルールで使用されているかを確認するには、関連付けられたルール 列を参照してください。
データレベル
SASE には、組み込みのアルゴリズムによる分類が提供されています。検出ルールを設定する際には、適切なアルゴリズム分類を選択してください。SASE は、データの機密度に関する一般的な定義および機密データの量と併せてこの分類を使用してファイル内容を検出します。
特定のアルゴリズム分類がどの検出ルールで使用されているかを確認するには、関連付けられたルール 列を参照してください。
ファイル名拡張子
SASE には、組み込みのファイル拡張子が含まれています。カスタム拡張子を追加することで、ファイルの拡張子に基づいた検出が可能になります。
ファイル拡張子の追加手順:
ファイル拡張子の追加 をクリックします。
ファイル拡張子の追加 パネルで、ファイル拡張子を入力し、OK をクリックします。
その他の操作:
データソースで拡張子をフィルター処理できます。
カスタム拡張子を削除するには、操作 列の 削除 をクリックします。
データソース
Web アプリケーション および コードリポジトリ をデータソースとして登録します。登録済みのソースからダウンロードされたファイルがアウトバウンド送信される場合、SASE は自動的に検出をトリガーします。
データソースの追加手順:
アプリケーションの作成 をクリックします。
データソースの追加 パネルで、ソースタイプに応じたフィールドを設定します。
Web アプリケーション:
パラメーター 説明 例 アプリケーション名 アプリケーションの名前 — アプリケーションアドレス URL およびファイルパス。複数のアドレスを登録する場合は、追加 をクリックします。 URL: www.aliyun.com/api/file;パス:/api/fileコードリポジトリ:
パラメーター 説明 リポジトリ名 リポジトリの名前 Git リポジトリ URL Git リポジトリのアドレス OK をクリックします。
ステップ 2:検出ルールの作成
検出ルールは、データ要素を条件として組み合わせ、SASE が各アウトバウンドファイルに対して評価するものです。各ルールはデータカテゴリに属し、感度レベルを持ちます。
検出ルールの作成
Secure Access Service Edge コンソール にログインします。
左側ナビゲーションウィンドウで、データ保護 > データ分類 を選択します。
データ分類 ページで、識別ルール タブをクリックします。
左側の データカテゴリ 領域で、作成 をクリックし、続いて カテゴリの作成 をクリックします。

カテゴリの作成 ダイアログボックスで、分類名を入力し、OK をクリックします。
作成した データ分類 の右側にある ルールグループの作成 をクリックします。

グループの作成 パネルで、以下の項目を設定し、OK をクリックします。
パラメーター 説明 ルール名 2~32 文字。漢字、英字、数字、ハイフン(-)、アンダースコア(_)が使用可能です。 データカテゴリ このルールが属するデータ分類 感度レベル このルールの対象となるファイルの感度レベル。以下に示す「感度レベル」をご参照ください。 ルール設定 検出条件。例:「ファイル名に salary が含まれる」というルールは、ファイル名に "salary" を含むすべてのファイルを検出します。
複数の条件を設定し、ビジネス要件に応じて論理関係を AND または OR に設定できます。
感度レベル
| レベル | 範囲 |
|---|---|
| L4:機密データ | 顧客の機微な個人情報;部門横断的なマクロレベルの特徴量データ、予測データ、信用データ。無許可での開示は、重大な悪影響、システム全体への脅威、または重大な法的責任を引き起こします。主要な意思決定、投資、資金調達に関与する人員の通信記録も該当します。 |
| L3:非公開データ | 部門レベルで集約された顧客情報および業務データ。無許可での開示により、企業、顧客、または従業員に対して直接的または間接的な損害が生じ、財務的・商業的・評判上の損失や法的責任を招く可能性があります。 |
| L2:社内データ | 従業員または秘密保持契約(NDA)を締結済みの第三者のみがアクセス可能な企業データおよび顧客情報。無許可での開示は、軽微な悪影響を及ぼします。 |
| L1:公開データ | 一般に公開されている、または公開が承認されたデータ。公表によるセキュリティ上または法的なリスクはありません。 |
検出ルールのパラメーター
検出ルールの管理
カスタム検出ルールおよび大規模モデルによって生成されたルールを編集、有効化、無効化、または拡張できます。
編集:検出ルールを表示および変更するには、グループ情報の編集 をクリックします。
有効化/無効化:検出ルールの有効/無効を切り替えるには、ルールステータス スイッチをクリックします。
サブルール:より細かい制御を行うために、既存の検出ルールの下にサブルールを作成できます。

次のステップ
ファイル資産から検出ルールを自動生成するには、「インテリジェントなルール生成」をご参照ください。
アウトバウンドファイル検出ポリシーで分類および分類ルールを適用するには、「ファイル流出検出ポリシーの設定」をご参照ください。
資産マッピングを設定するには、「資産マッピングタスクの作成」をご参照ください。