従業員がインスタントメッセージ (IM) やメールなどのチャネルを通じて機密ファイルを外部に持ち出すことによる重大なビジネス上の損失を防ぐため、SASE のデータ損失防止 (DLP) 機能を使用して、送信されるファイルを迅速に検出し、制御できます。これにより、機密データの持ち出しをリアルタイムでモニタリングし、データ漏えいのリスクを管理できます。このトピックでは、ファイル持ち出し検出ポリシーの設定方法と、持ち出されたデータに関する統計の表示方法について説明します。
前提条件
-
SASE のインターネットアクセスセキュリティの Office Data Protection エディションを購入済みであること。詳細については、「Office Security Platform の課金の概要」をご参照ください。
-
従業員と部門の情報を追加済みであること。詳細については、「LDAP IdP を SASE に接続」および「ユーザーグループの設定」をご参照ください。
アウトバウンドファイル検出ポリシーの設定
SASE の機密ファイル検出機能は、機密データ要素を特徴として使用し、機密ファイルを自動的に識別します。データテンプレートは、データ要素、データ型、および感度レベルで構成されます。このテンプレートはアクションと組み合わされて検出ポリシーを形成し、従業員からのアウトバウンドファイルが機密であるかどうかを識別するのに役立ちます。
SASE には、複数の組み込みデータテンプレート (一般的な会社データ、顧客データ、個人データなど) があります。これらのデータテンプレートがお客様のビジネス要件を満たさない場合は、機密データ要素を作成して新しいデータテンプレートを構築できます。
-
左側のナビゲーションバーで、 を選択します。
-
Outbound Transfer Management タブで、Create Policy をクリックします。
-
Create Policy パネルで、次の情報を設定します。その後、OK をクリックします。
パラメーター
説明
Policy Information
Policy Name
ポリシーの名前。
Policy Description
ポリシーの説明。
Risk Level
ポリシーのリスクレベル。4 つのレベルが利用可能です:
-
Extremely High:退職予定のユーザーグループからのアウトバウンドイベント、極めて高いリスクのユーザーグループからのアウトバウンドイベント、L4 ファイルを含むアウトバウンドイベントなど。
-
High:高リスクのユーザーグループの持ち出しイベント、L3 ファイルの持ち出しイベントなど。
-
Medium:中リスクのユーザーグループからのアウトバウンドイベントや L2 ファイルのアウトバウンドイベントなど。
-
Low:すべてのアウトバウンドトラフィックを対象とする包括的なイベント。
Action
ポリシーがトリガーされたときに実行するアクション。4 つのアクションが利用可能です:
-
Audit Only
-
Audit and Prompt
-
Block and Notify
-
Block Only
[ブロックと通知] または [ブロックのみ] を選択した場合は、ブロックタイプも選択する必要があります:[すべてブロック] または [インテリジェントブロック]。
-
Block All:SASE アプリは、すべてのアウトバウンドファイルアクティビティをリアルタイムでインターセプトし、監査します。
-
Intelligently Block:SASE アプリは、データテンプレートで定義された機密ファイルの特徴に基づいて、ファイルをリアルタイムでブロックします。ブロックの効果を確保するため、SASE アプリは事前にエンドポイントファイルをスキャンし、感度レベルでタグ付けします。スキャンが完了するまで、すべてのファイルはデフォルトでブロックされ、ブロックポリシーは有効になりません。スキャンとタグ付けはエンドポイントで実行され、レポートされません。
Source File Retention
元のアウトバウンドファイルを保存するかどうかを指定します。
Retain Screenshot File
スクリーンショットの証拠を保存するかどうかを指定します。
Status
ポリシーのステータス。有効な値:
-
有効:ポリシーが有効になり、SASE はポリシーに基づいてファイルをスキャンします。
-
無効:ポリシーはアクティブではありません。
Data Identification Rule Settings
Data Identification Rule
既存の識別ルールを選択します。作成方法については、「アウトバウンドファイルの分類のための検出ルールの設定」をご参照ください。
Transmission Channel
モニタリングする伝送チャネルを選択します。ポリシーは、選択されたいずれかのチャネルを通じて転送されるファイルに適用されます。サポートされている次のチャネルタイプのすべてまたは一部を選択できます:
インスタントメッセージ (ソフトウェア)、メール (ソフトウェア)、FTP、ネットワーク共有、印刷、モバイルストレージ、クラウドドライブ (ソフトウェア)、クラウドノート (ソフトウェア)、リモートデスクトップ、コードホスティング (ソフトウェア)、大規模言語モデル (ソフトウェア)、クラウドドライブ (Web)、メール (Web)、コードホスティング (Web)、クラウドノート (Web)、クラウドブログ、大規模言語モデル (Web)、ソーシャルメディア、インスタントメッセージ (Web)、その他。
Effective Scope
User Group
ポリシーが適用されるユーザーグループを選択します。
Approval Process Configuration
従業員がブロックされたファイル転送の承認をリクエストできるかどうかを指定します。
このオプションを有効にする場合は、承認ワークフローを選択する必要があります。承認ワークフローの作成方法については、「承認ワークフローの設定」をご参照ください。
Prompt Display Configuration
ファイル転送がブロックされたときにユーザーに表示される通知メッセージを設定します。メッセージは中国語と英語の両方で設定できます。
-
機密ファイル検出統計の表示
ポリシーを設定すると、DLP 機能は従業員によって転送されたファイルを自動的に検出します。検出結果に基づいて、過去 30 日間、7 日間、または 24 時間に発生した機密ファイルのアウトバウンド転送と異常なアクティビティを分析します。
-
機密ファイル検出は、30 MB 以下のアウトバウンド機密ファイルを識別し、上位 5 つの機密ファイルタイプとその割合に関する統計を提供します。
-
異常なアクティビティのレコードは、特定の高リスクイベントに対して生成されます。機密ファイル検出とは異なり、これらのファイルの内容はスキャンされません。異常なアクティビティには細心の注意を払い、ファイルに機密情報が含まれているかどうかを手動で確認する必要があります。異常なアクティビティのタイプを次の表に示します:
異常なアクティビティのタイプ
説明
大規模なアウトバウンドファイル
従業員がオンラインまたはオフラインで 30 MB を超えるファイルを転送します。
大規模なファイルのオフライン転送は、重大なビジネス上の損失を防ぐために厳重なモニタリングが必要です。
周辺機器へのファイルのコピー
従業員が 30 MB 未満のファイルを周辺機器にコピーします。これは、ユーザーがオンラインまたはオフラインのときに発生する可能性があります。
周辺機器へのオフラインコピーは、重大なビジネス上の損失を防ぐために厳重なモニタリングが必要です。
アウトバウンドしきい値の超過
ユーザーがオフラインで複数のファイルを転送し、合計サイズが 1 GB を超えます。
このしきい値を超えた場合は、重大なビジネス上の損失を防ぐために厳重なモニタリングが必要です。
-
左側のナビゲーションバーで、 を選択します。
-
Sensitive Behavior Identification セクションで、指定した時間範囲で検出された従業員の機密性の高い動作を表示します。

機密ファイルのアウトバウンドレコードの表示
SASE は、30 MB 以下のアウトバウンドファイルをスキャンして機密情報を検出し、アウトバウンド機密ファイルの詳細をログに記録します。これらのログを使用して、機密ファイルの内容を確認できます。
-
Sensitive Behavior Detection ページで、従業員からのアウトバウンド機密ファイルのリストを表示します。
リストの上部にあるドロップダウンリストと検索ボックスを使用して、時間範囲 (デフォルトは過去 24 時間) とユーザー名でフィルタリングします。テーブルには、ユーザー名、部門、異常なアクティビティ、最初のアウトバウンド時間、アウトバウンド機密ファイルの数、機密ファイルの合計サイズなどの列が含まれます。[操作] をクリックして、ユーザーの詳細な転送レコードを表示します。
-
Actions 列の Details をクリックします。Outbound Transfers of Sensitive Files タブで、指定された従業員によって持ち出された機密ファイルのデータ統計とファイルリストを表示します。
特徴
説明
期間
クエリのカスタム時間範囲を設定できます。
データ統計
指定された期間内のアウトバウンド機密ファイルの統計を表示します。これには、ファイルの数、チャネル、サイズが含まれます。
機密ファイルリスト
アウトバウンド機密ファイルのリストを、感度レベル、データ型、一致したデータテンプレート、ヒット数とともに表示します。フィルターを使用して必要なデータを見つけることもできます。
-
Download をクリックして、機密ファイルをローカルコンピューターにダウンロードして表示します。
-
Details をクリックします。Details パネルでは、現在の機密ファイルに関する情報を表示できます。これには、Data Flow、Key Information、Sensitive File 情報 (ファイルの Download を含む)、Screenshot Evidence、Hit Policy、および持ち出しに関する詳細 ( Office Terminal、Outbound Transfer Channel、Account Information など) が含まれます。
-
異常なアクティビティレコードの表示
SASE は、30 MB を超えるアウトバウンドファイル、外部デバイスへのファイルのコピー、単一ユーザーの合計アウトバウンドファイルが 1 GB を超えるなどのイベントを記録するのに役立ちます。重大なビジネス上の損失を防ぐために、これらの異常なイベントに関連する従業員を厳重にモニタリングする必要があります。30 MB を超えるアウトバウンドファイルについては、ファイルの内容に機密情報が含まれているかどうかを手動で確認する必要があります。
-
Sensitive Behavior Detection ページで、従業員によってトリガーされた異常イベントを表示できます。
-
Abnormal Event 列の値をクリックし、Abnormal Events タブで指定されたユーザーの異常イベントログを表示します。
また、Actions 列の Details をクリックして、Abnormal Events タブで関連レコードを表示することもできます。
このタブでは、日付範囲、イベントタイプ、アウトバウンド転送チャネル、およびファイル名でレコードをフィルタリングできます。テーブルには、イベントタイプ、時間、デバイスタイプ、アウトバウンド情報、ファイル情報、エンドポイント名などのフィールドが表示されます。
検出結果の保持期間の設定
SASE は、デフォルトで検出結果を 7 日間保存します。ログストレージサービスを有効にすると、30 日間保存できます。詳細については、「Office Security Platform の課金の概要」をご参照ください。
機密ファイルのストレージ設定
SASE は、デフォルトで 1 GB の無料ストレージ機能を有効にします。
-
より多くのストレージ容量が必要な場合は、右上隅の Scale Up をクリックしてファイルストレージ容量を購入します。料金の詳細については、「Office Security Platform の課金の概要」をご参照ください。
-
新しい機密ファイルの保存を停止するには、右上隅のストレージスイッチをオフにします。この操作は以前に保存されたファイルを削除しませんが、新しいファイルが保存されるのを防ぎます。
-
保存されている機密ファイルをクリアする必要がある場合は、右上隅の Clear をクリックし、Clear by Time Range または Clear All を選択します。
機密ファイルのカスタムストレージ設定
SASE インターネットアクセスセキュリティの Office Data Protection エディションは、機密ファイルのカスタムストレージをサポートしています。詳細については、「カスタムストレージの設定」をご参照ください。
関連ドキュメント
-
アウトバウンド機密ファイルのログ詳細を表示および追跡するには、「機密ファイル検出ログ」をご参照ください。
-
従業員の周辺機器へのアクセスを管理してデータを保護するには、「周辺機器の管理によるデータ保護」をご参照ください。
-
画面および印刷のウォーターマークを管理してデータを保護するには、「ウォーターマークの管理によるデータ保護」をご参照ください。