すべてのプロダクト
Search
ドキュメントセンター

Secure Access Service Edge:アウトバウンドファイルの分類ルールの設定

最終更新日:Apr 01, 2026

従業員が組織外へファイルを送信する際、SASE は各転送を、お客様が定義した分類および分類検出ルールに基づいて検査します。ルールに一致したファイルは、アウトバウンドポリシーで定義された実行アクションをトリガーします。本トピックでは、これらのルールの定義方法について説明します。

前提条件

開始する前に、以下の条件を満たしていることを確認してください。

  • インターネットアクセスセキュリティ向けに、SASE の Office Data Protection Edition を購入済みであること。詳細については、「課金概要」および「クイックスタート」をご参照ください。

  • 企業のエンドポイントに SASE アプリケーション バージョン 4.3.1 以降がインストール済みであること

設定方法

SASE では、アウトバウンドファイルの検出ルールを設定するための 3 つの方法が提供されています。ご状況に応じて適切な方法を選択してください。

方法使用タイミング
組み込みルールまずこちらから始めます。SASE には、一般的なファイルタイプ向けの検出ルールが事前に含まれています。アウトバウンドポリシーを作成する際にこれらを選択すると、追加の設定は不要です。
カスタムルール組み込みルールでは要件を満たせない場合に使用します。ファイル内容、ファイル名、ファイル拡張子、データソースなど、複数のディメンションにわたる条件を定義できます。
AI 推奨ライブラリ資産マッピングを完了済みの場合に使用します。大規模モデルがお客様のファイルから学習し、検出ルールを自動生成します。
警告

AI 推奨ライブラリの検出ルールを使用するには、まず資産マッピングを完了してください。その後、大規模モデルがお客様のファイルから学習し、対応する検出ルールを知的に生成します。詳細については、「資産マッピングタスクの作成」をご参照ください。

カスタムルールの設定

カスタムルールは、以下の 2 段階で構築されます。

  1. データ要素の作成 — 敏感語辞書(辞書および正規表現)、ファイル拡張子、データソースといった、検出の基本単位を定義します。

  2. 検出ルールの作成 — 上記の要素を条件と感度レベルとともに組み合わせ、1 つのルールとして定義します。SASE はこのルールを、各アウトバウンドファイルに対して評価します。

ステップ 1:データ要素の作成

データ要素は、カスタム検出ルールの構成単位です。SASE では、データ保護 > データ分類 > データ要素 の下にある 4 つのタブで整理されています。

  1. Secure Access Service Edge コンソール にログインします。

  2. 左側ナビゲーションウィンドウで、データ保護 > データ分類 を選択します。

  3. データ分類 ページで、データ要素 タブをクリックします。

image

必要に応じて各タブを設定します。

辞書および正規表現

SASE がファイル名およびファイル内容に対して照合する敏感語辞書を作成します。

敏感語辞書の作成手順:

  1. 敏感語辞書の作成 をクリックします。

  2. 敏感語辞書の作成 パネルで、以下のパラメーターを設定し、OK をクリックします。

    • 辞書:検出対象の単語またはフレーズを入力します。カンマ(,)で区切り、Enter キーを押すことで、複数のエントリを一度に追加できます。

    • 正規表現:カスタムの正規表現を入力します。例:([A-Za-z0-9]+) は、1 文字以上の英大文字・英小文字・数字に一致します。式を入力後、正規表現のテスト をクリックし、テスト用の文字列を入力して検証してください。

    パラメーター説明
    名前敏感語辞書の名前
    タイプ辞書 または 正規表現

その他の操作:

  • タイプまたはデータソース別にライブラリを絞り込みます。

  • 辞書を削除するには、操作 列の 削除 をクリックします。

重要

検出ルールに関連付けられた辞書は削除できません。関連付けを解除してから削除してください。

データの型

SASE には、組み込みのアルゴリズムによる分類が提供されています。検出ルールを設定する際には、適切なアルゴリズム分類を選択してください。SASE は、ファイルタイプと併せてこの分類を使用してファイル内容を検出します。

特定のアルゴリズム分類がどの検出ルールで使用されているかを確認するには、関連付けられたルール 列を参照してください。

データレベル

SASE には、組み込みのアルゴリズムによる分類が提供されています。検出ルールを設定する際には、適切なアルゴリズム分類を選択してください。SASE は、データの機密度に関する一般的な定義および機密データの量と併せてこの分類を使用してファイル内容を検出します。

特定のアルゴリズム分類がどの検出ルールで使用されているかを確認するには、関連付けられたルール 列を参照してください。

ファイル名拡張子

SASE には、組み込みのファイル拡張子が含まれています。カスタム拡張子を追加することで、ファイルの拡張子に基づいた検出が可能になります。

ファイル拡張子の追加手順:

  1. ファイル拡張子の追加 をクリックします。

  2. ファイル拡張子の追加 パネルで、ファイル拡張子を入力し、OK をクリックします。

その他の操作:

  • データソースで拡張子をフィルター処理できます。

  • カスタム拡張子を削除するには、操作 列の 削除 をクリックします。

データソース

Web アプリケーション および コードリポジトリ をデータソースとして登録します。登録済みのソースからダウンロードされたファイルがアウトバウンド送信される場合、SASE は自動的に検出をトリガーします。

データソースの追加手順:

  1. アプリケーションの作成 をクリックします。

  2. データソースの追加 パネルで、ソースタイプに応じたフィールドを設定します。

    Web アプリケーション:

    パラメーター説明
    アプリケーション名アプリケーションの名前
    アプリケーションアドレスURL およびファイルパス。複数のアドレスを登録する場合は、追加 をクリックします。URL:www.aliyun.com/api/file;パス:/api/file

    コードリポジトリ:

    パラメーター説明
    リポジトリ名リポジトリの名前
    Git リポジトリ URLGit リポジトリのアドレス
  3. OK をクリックします。

ステップ 2:検出ルールの作成

検出ルールは、データ要素を条件として組み合わせ、SASE が各アウトバウンドファイルに対して評価するものです。各ルールはデータカテゴリに属し、感度レベルを持ちます。

検出ルールの作成

  1. Secure Access Service Edge コンソール にログインします。

  2. 左側ナビゲーションウィンドウで、データ保護 > データ分類 を選択します。

  3. データ分類 ページで、識別ルール タブをクリックします。

  4. 左側の データカテゴリ 領域で、作成 をクリックし、続いて カテゴリの作成 をクリックします。

    image

  5. カテゴリの作成 ダイアログボックスで、分類名を入力し、OK をクリックします。

  6. 作成した データ分類 の右側にある ルールグループの作成 をクリックします。

    image

  7. グループの作成 パネルで、以下の項目を設定し、OK をクリックします。

    パラメーター説明
    ルール名2~32 文字。漢字、英字、数字、ハイフン(-)、アンダースコア(_)が使用可能です。
    データカテゴリこのルールが属するデータ分類
    感度レベルこのルールの対象となるファイルの感度レベル。以下に示す「感度レベル」をご参照ください。
    ルール設定検出条件。例:「ファイル名に salary が含まれる」というルールは、ファイル名に "salary" を含むすべてのファイルを検出します。image 複数の条件を設定し、ビジネス要件に応じて論理関係を AND または OR に設定できます。

感度レベル

レベル範囲
L4:機密データ顧客の機微な個人情報;部門横断的なマクロレベルの特徴量データ、予測データ、信用データ。無許可での開示は、重大な悪影響、システム全体への脅威、または重大な法的責任を引き起こします。主要な意思決定、投資、資金調達に関与する人員の通信記録も該当します。
L3:非公開データ部門レベルで集約された顧客情報および業務データ。無許可での開示により、企業、顧客、または従業員に対して直接的または間接的な損害が生じ、財務的・商業的・評判上の損失や法的責任を招く可能性があります。
L2:社内データ従業員または秘密保持契約(NDA)を締結済みの第三者のみがアクセス可能な企業データおよび顧客情報。無許可での開示は、軽微な悪影響を及ぼします。
L1:公開データ一般に公開されている、または公開が承認されたデータ。公表によるセキュリティ上または法的なリスクはありません。

検出ルールのパラメーター

ルール設定 セクションでは、6 つのディメンションにわたる条件を設定できます。条件間の論理関係を AND または OR に設定します。

ファイル名

オプション論理接続内容
キーワードすべて含む、いずれか含む、含まない検出対象のテキストを入力します。
辞書すべて含む、含まないデータ要素 > 辞書および正規表現 から辞書を選択し、ヒット数を設定します。
正規表現すべて含む、含まないデータ要素 > 辞書および正規表現 から正規表現を選択し、ヒット数を設定します。

ファイル内容

オプション論理関係内容
キーワードすべてを含む、いずれかを含む、含まない検出対象のテキストを入力します。
辞書すべてを含む、含まないデータ要素 > 辞書および正規表現 から辞書を選択し、ヒット数を設定します。
正規表現すべてを含む、含まないデータ要素 > 辞書および正規表現 から正規表現を選択し、ヒット数を設定します。
アルゴリズム推奨データの型すべてを含む、いずれかを含む、含まないデータ要素 > データの型 からアルゴリズム分類を選択します。
アルゴリズム推奨データレベルいずれかを含む、含まないデータ要素 > データレベル からアルゴリズム分類を選択します。

データソース

論理関係内容
いずれかを含む、含まないアプリケーションタイプ別にアプリケーションを選択します。複数選択可能です。

サポートされるアプリケーションタイプ:

  • インスタントメッセージアプリケーション:Lark、DingTalk、WeCom、WeChat、QQ など

  • Web アプリケーションデータ要素 > データソース タブで設定済みのアプリケーション

ファイルタイプ

オプション論理関係内容
ファイル形式いずれかを含む、含まない一般的なファイル形式を選択します。複数選択可能です。
ファイル名拡張子いずれかを含む、含まないデータ要素 > ファイル名拡張子 タブで設定済みのファイル拡張子を選択します。

ファイルサイズ

論理関係内容
以上、以下、[A,B] の範囲内ファイルサイズの検出範囲を入力します。

ファイル暗号化

オプション内容
暗号化はい または いいえ を選択します。

検出ルールの管理

カスタム検出ルールおよび大規模モデルによって生成されたルールを編集、有効化、無効化、または拡張できます。

  • 編集:検出ルールを表示および変更するには、グループ情報の編集 をクリックします。

  • 有効化/無効化:検出ルールの有効/無効を切り替えるには、ルールステータス スイッチをクリックします。

  • サブルール:より細かい制御を行うために、既存の検出ルールの下にサブルールを作成できます。

image

次のステップ