ユーザーが職場で USB フラッシュドライブや Bluetooth などの周辺機器を使用して機密ファイルを外部に転送すると、大きなビジネス損失が発生する可能性があります。このような問題を防ぐために、Secure Access Service Edge (SASE) のデータ損失防止(DLP)機能を使用できます。この機能を使用すると、周辺機器の管理、機密ファイルの外部転送のリアルタイム監視、およびデータ漏洩の監視を行うことができます。このトピックでは、周辺機器制御ポリシーの設定方法、機密性の高い動作検出結果の表示方法、およびユーザー固有の周辺機器ホワイトリストの設定方法について説明します。
サポートされている周辺機器
オペレーティングシステム | サポートされている周辺機器とデバイスポート | 説明 |
Windows |
| USB フラッシュドライブおよび USB ストレージデバイスで使用できるオプションは、使用不可、読み取り/書き込み、読み取り専用です。USB フラッシュドライブおよび USB ストレージデバイス以外の周辺機器で使用できるオプションは、使用不可です。周辺機器またはデバイスポートで「使用不可」を選択すると、ユーザーはその周辺機器またはデバイスポートを使用してデータを送信できなくなります。 USB フラッシュドライブと USB ストレージを 読み取り/書き込みに設定すると、ユーザーが USB フラッシュドライブまたは USB ストレージデバイスを使用して内部ファイルを転送したときに、機密性の高い動作検出がトリガーされます。 |
macOS |
|
前提条件
SASE の Internet Access DLP Edition が購入されていること。詳細については、「課金概要」および「サービス購入」をご参照ください。
ユーザーが追加され、ユーザーグループが作成されていること。詳細については、「LDAP IdP を SASE に接続する」および「ユーザーグループを設定する」をご参照ください。
周辺機器制御ポリシーを設定する
SASE コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[周辺機器管理] タブをクリックし、[ポリシーの作成] をクリックします。
[ポリシーの作成] パネルで、パラメーターを設定します。次の表で、パラメーターについて説明します。
パラメーター
説明
ポリシー名
ポリシーの名前。
名前は 2 ~ 32 文字で、文字、数字、ハイフン(-)、アンダースコア(_)を含めることができます。
ポリシーの説明
ポリシーの説明。
ステータス
ポリシーのステータス。スイッチをオンまたはオフにして、ポリシーを有効または無効にすることができます。
ポリシーは、スイッチがオンの場合にのみ有効になります。
優先度
ポリシーの優先度。
有効な値: 1 ~ 10。値が小さいほど、優先度が高くなります。
適用ユーザー
ポリシーが適用されるユーザーまたはユーザーグループ。
Windows
周辺機器の有効な値: USB フラッシュドライブと USB ストレージ、プリンター、ポータブルデバイス、カードリーダー、光学ドライブ。
デバイスポートの有効な値: Bluetooth。
USB フラッシュドライブおよび USB ストレージデバイスで使用できるオプションは、使用不可、読み取り/書き込み、読み取り専用です。USB フラッシュドライブおよび USB ストレージデバイス以外の周辺機器で使用できるオプションは、使用不可です。周辺機器またはデバイスポートで「使用不可」を選択すると、ユーザーはその周辺機器またはデバイスポートを使用してデータを送信できなくなります。
macOS
周辺機器の有効な値: USB フラッシュドライブと USB ストレージ。
デバイスポートの有効な値: Bluetooth と AirDrop。
USB フラッシュドライブおよび USB ストレージデバイスで使用できるオプションは、使用不可、読み取り/書き込み、読み取り専用です。USB フラッシュドライブおよび USB ストレージデバイス以外の周辺機器で使用できるオプションは、使用不可です。周辺機器またはデバイスポートで「使用不可」を選択すると、ユーザーはその周辺機器またはデバイスポートを使用してデータを送信できなくなります。
承認プロセス設定
リスクのある周辺機器を使用する場合に、ユーザーが承認申請を送信できるかどうかを指定します。
ユーザーが承認申請を送信できるように選択した場合は、適切な承認ワークフローを選択する必要があります。詳細については、「承認ワークフローを作成する」をご参照ください。
プロンプト表示設定
ユーザーがリスクのある周辺機器を使用する場合に、ダイアログボックスに表示されるプロンプトメッセージを設定します。中国語または英語でメッセージを指定できます。
[OK] をクリックします。
ポリシーが作成されると、ポリシーリストに表示されます。DLP は、ポリシーに基づいて周辺機器を管理します。
機密性の高い動作検出の結果を表示する
USB フラッシュドライブと USB ストレージを 読み取り/書き込みに設定すると、ユーザーが USB フラッシュドライブまたは USB ストレージデバイスを使用して内部ファイルを転送したときに、機密性の高い動作検出がトリガーされます。その後、DLP は検出結果に基づいて過去 30 日間、7 日間、または 24 時間のデータを分析します。
左側のナビゲーションペインで、 を選択します。
[機密性の高い動作検出] ページで、指定された期間内に USB フラッシュドライブまたは USB ストレージデバイスを使用して実行された機密ファイルの外部転送に関する統計情報を表示します。
ページの下部で、機密ファイルを外部に転送したユーザーのリストを表示します。次に、ユーザーを見つけて、[操作] 列の [詳細] をクリックして詳細情報を表示します。
ファイルを見つけて、[操作] 列の [詳細] をクリックして、ファイルの詳細情報を表示します。情報には、機密メッセージ、ヒットポリシー、オフィスターミナル、外部転送チャネルが含まれます。
周辺機器ホワイトリストを設定する
企業内のユーザーの外部転送を SASE で監査または管理したくない場合は、DLP で周辺機器ホワイトリストを設定して操作を許可できます。
[周辺機器管理] ページで、[周辺機器ホワイトリスト] をクリックします。
[ホワイトリスト] タブで、ビジネス要件に基づいてホワイトリストにユーザーを追加します。
[送信] をクリックします。
ポリシーの優先度を変更する
周辺機器制御ポリシーの優先度を変更するには、
アイコンをクリックして別の優先度の値を入力します。有効な値: 1 ~ 10。値が小さいほど、優先度が高くなります。
ポリシーを無効にする
周辺機器制御ポリシーが不要になった場合は、ポリシーを見つけて、[ポリシーステータス] 列のスイッチをオフにして、ポリシーを無効にします。ポリシーは無効化された後も保持されます。[ポリシーステータス] 列のスイッチをオンにすると、ポリシーを再度有効にできます。
ポリシーを削除する
周辺機器制御ポリシーが不要になった場合は、ポリシーを見つけて、[操作] 列の [削除] をクリックします。
ポリシーを削除すると、復元できません。注意して操作してください。
関連情報
機密ファイルの外部転送のログを表示および追跡する方法の詳細については、「機密ファイル検出」をご参照ください。
外部に転送されたファイルを検出する方法の詳細については、「データセキュリティを確保するための送信ファイル転送の監視」をご参照ください。
画面ウォーターマークとプリンターウォーターマークを管理する方法の詳細については、「データセキュリティを確保するためのウォーターマークの管理」をご参照ください。