資産マッピングは、従業員の端末上のファイルをスキャンし、感度レベル別に分類して、その結果を SASE コンソールにレポートします。データ損失防止 (DLP) ポリシーを設定する前に資産マッピングタスクを実行してください。スキャン結果により、フリート全体にどのような機密データが存在するかを把握し、基盤モデルベースのインテリジェント学習を使用して識別ルールを自動的に生成できます。
前提条件
開始する前に、以下を確認してください。
インターネットアクセス DLP を購入済みであること。詳細については、「課金概要」および「SASE の利用開始」をご参照ください。
従業員および部門情報が SASE に追加済みであること。詳細については、「LDAP IdP を SASE に接続」および「ユーザーグループの設定」をご参照ください。
スキャン対象の端末に SASE クライアント V4.3.1 以降がインストール済みであること。
仕組み
資産マッピングタスクを開始すると、各対象端末の SASE クライアントが、設定したスキャンモードとパフォーマンス設定に従ってファイルをスキャンします。指定された感度レベルに一致するファイルはコンソールにレポートされ、そこで内容をプレビューしたり、識別ルールの生成に使用したりできます。
SASE は、次の 2 種類のタスクをサポートしています。
即時タスク — すぐにスキャンを開始します。タスクは 72 時間有効です。ユーザーがその期間中に SASE クライアントにログインしない場合、そのユーザーの端末はスキャンされません。
定期タスク — 定義した定期スケジュールで実行され、定期的に端末をスキャンします。
ステップ 1:資産マッピングタスクの作成
即時タスクの作成
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、[データ損失防止] > [資産マップ] を選択します。
[資産マップ] ページで、[資産マッピングの開始] をクリックします。
[資産マッピングの開始] パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。
| パラメーター | 説明 |
|---|---|
| タスク名 | タスクの名前。 |
| 感度レベルによるレポート | レポートするファイルの感度レベル。システムは識別ルールを使用してファイルを分類し、選択したレベルのファイルのみをレポートします。 |
| スキャンモード | スキャンするファイルの範囲。ガイダンスについては、「スキャンモードの選択」をご参照ください。 |
| パフォーマンスプリファレンス | タスクがリソース消費とスキャンの網羅性のバランスをどのように取るか。ガイダンスについては、「パフォーマンスプリファレンスの選択」をご参照ください。 |
| 適用ユーザー | スキャンする端末:[すべてのユーザー] (SASE クライアントがインストールされているすべての端末) または [一部のユーザー] (選択した特定のユーザーグループ)。 |
| 例外ユーザー | タスクから除外するユーザー。複数のユーザー名はコンマ (,) で区切って入力します。 |
定期タスクの作成
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、[データ損失防止] > [資産マップ] を選択します。
[資産マップ] ページで、[資産マッピングタスク] をクリックします。
[資産マッピングタスク] ページで、[資産マッピングタスクの作成] をクリックします。
[定期資産マッピングタスクの作成] パネルで、次の表に示すパラメーターを設定し、[OK] をクリックします。
| パラメーター | 説明 |
|---|---|
| タスク名 | タスクの名前。 |
| 優先度 | タスクの優先度。有効値:1~100。値が小さいほど優先度が高くなります。 |
| 感度レベルによるレポート | レポートするファイルの感度レベル。識別ルールの詳細については、「アウトバウンド転送されるファイルの識別ルールを設定」をご参照ください。 |
| ステータス | 作成後すぐにタスクを有効にするかどうか。 |
| スキャンモード | スキャンするファイルの範囲。ガイダンスについては、「スキャンモードの選択」をご参照ください。 |
| 頻度 | タスクの実行頻度。 |
| パフォーマンスプリファレンス | タスクがリソース消費とスキャンの網羅性のバランスをどのように取るか。ガイダンスについては、「パフォーマンスプリファレンスの選択」をご参照ください。 |
| 適用ユーザー | スキャンする端末:[すべてのユーザー] または [一部のユーザー] (特定のユーザーグループ)。 |
| 例外ユーザー | タスクから除外するユーザー。複数のユーザー名はコンマ (,) で区切ります。 |
スキャンモードの選択
| スキャンモード | スキャン対象 | 使用シーン |
|---|---|---|
| クイックスキャン | 主要なシステムパス:サービス、ドライバー、スタートアップ項目、実行中のプロセス、ダウンロード、デスクトップ、およびドキュメントディレクトリ | 新規デプロイメントの初回スキャン、または端末のパフォーマンスへの影響を最小限に抑えたい場合 |
| カスタムスキャン | 指定したパス (ファイル、フォルダ、ドライブ文字、または Windows 環境変数) | 機密データが既知のディレクトリに集中している場合 |
| フルディスクスキャン | 端末上のすべてのファイル | 完全なカバー率が必要で、より長いスキャン時間を許容できる場合 |
カスタムスキャンのパス形式:
| パスの種類 | 例 |
|---|---|
| ファイルパス | C:\scan_dir\scan_file.exe |
| フォルダ (ディレクトリ内のすべてのファイル) | C:\scan_dir |
| ドライブ (ディスク上のすべてのファイル) | C:\ |
| Windows 環境変数 | %APPDATA% |
カスタムスキャンでは、[除外スキャンパス] を使用して、スキップするパスを指定します。
パフォーマンスプリファレンスの選択
| モード | リソース使用量 | スキャン動作 | 使用シーン |
|---|---|---|---|
| エクスペリエンス優先 | 最小限 | システムリソースが必要な場合、スキャンが一時停止またはキャンセルされることがあります | 勤務時間中にアクティブに使用される端末 |
| バランスモード | 中程度 | ユーザーエクスペリエンスに目立った影響を与えることなくスキャンが完了します | ほとんどのデプロイメント |
| セキュリティ優先 | 高 | スキャンは最高の優先度で実行されます | 調査中の端末、またはデータ漏えいの疑いがある端末 |
ステップ 2:資産マッピングタスクの表示
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、[データ損失防止] > [資産マップ] を選択します。
[資産マップ] ページで、[タスク管理] をクリックします。

[タスク管理] ページで、すべての即時タスクと定期タスクを表示します。
[スキャンモード]、[パフォーマンスプリファレンスモード]、または [タスクステータス] でタスクをフィルタリングします。
実行中のタスクをキャンセルするには、[操作] 列の [タスクのキャンセル] をクリックします。

ステップ 3:レポートされたファイルの表示
タスクが完了すると、システムは設定した感度レベルに一致するファイルをレポートします。
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、[データ損失防止] > [資産マップ] を選択します。
[資産マップ] ページで、ファイルリストを確認します。
時間範囲、感度レベル、ファイル名、ユーザー名、部門、デバイス名、デバイス IP アドレス、またはデバイスの MAC (Media Access Control) アドレスでファイルをフィルタリングします。
ファイルの内容を表示するには、[操作] 列の [プレビュー] をクリックします。
インテリジェント学習タスクを実行してルールを生成
資産マッピングタスクが完了した後、最も信頼性の高いデータを持つファイルを選択し、インテリジェント学習タスクを実行します。SASE は基盤モデルを使用して選択されたファイルを分析し、識別ルールを生成します。これらのルールは、DLP ポリシー設定で使用するためにインテリジェント推奨ライブラリに追加されます。ライブラリの設定の詳細については、「アウトバウンド転送されるファイルの識別ルールを設定」をご参照ください。
SASE では、インテリジェント学習を初めて利用するユーザーに 3 回の無料セッションが提供されます。これらを使い切った後は、毎月 1 回の追加無料セッションが提供されます。
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、[データ損失防止] > [資産マップ] を選択します。
[資産マップ] ページで、[ルールのインテリジェント生成] をクリックします。

[ルールのインテリジェント生成] パネルで、[新しい学習タスクの開始] をクリックします。次の表に示すパラメーターを設定し、[開始] をクリックします。
| パラメーター | 説明 |
|---|---|
| 学習用ファイル | 学習に使用するファイルの数。効果的で正確なルールのためには、少なくとも 5,000 ファイルを含めてください。 |
| 検出時間 | 検出時間の範囲。システムはこの期間内にレポートされたファイルを使用します。 |
| ファイルサイズ | ファイルサイズでフィルタリングします。10 KB 以上のファイルのみ含めることができます。 |
| ファイル形式 | 含めるファイル形式。サポートされている形式:.ppt、.pptx、.pptm、.keynote、.key、.pages、.page、.dps、.xls、.xlsx、.xlsm、.xlam、.xlsb、.csv、.numbers、.lbx、.et、.doc、.docx、.docm、.dotm、.wps、.pdf、.ofd |
次のステップ
アウトバウンド転送されるファイルの識別ルールを設定する — インテリジェント学習タスクから生成された識別ルールを使用して、機密ファイルのアウトバウンド転送を検出し、ブロックします。