従業員が周辺機器 (USB ドライブや Bluetooth など) を使用して機密ファイルを転送し、重大なビジネス上の損失を引き起こすことを防ぐために、SASE のオフィスデータ保護 (DLP) 機能を使用して周辺機器をコントロールします。これにより、機密データの転送をリアルタイムでモニタリングし、データ侵害のリスクを追跡できます。このトピックでは、コントロールポリシーの設定、機密性の高い動作の検出結果の表示、および周辺機器ホワイトリストの設定方法について説明します。
サポートされている周辺機器
|
オペレーティングシステム |
サポートされている周辺機器とインターフェイス |
説明 |
|
Windows |
|
USB Drive のみが、Prohibited、Read/Write、Read-only などのアクセス権限をサポートしています。他のすべてのデバイスとインターフェイスは、Prohibited オプションのみをサポートしています。このオプションを選択すると、従業員は対応するデバイスまたはインターフェイスを使用してデータを転送できなくなります。 USB Drive を Read/Write に設定すると、USB ドライブまたは USB ストレージを介した内部ファイルの転送は、機密性の高い動作の検出をトリガーします。 |
|
macOS |
|
前提条件
-
SASE インターネットアクセスセキュリティの Office Data Protection エディションを購入済みであること。詳細については、「Secure Access Service Edge の課金概要」、「Secure Access Service Edge の購入」をご参照ください。
-
ユーザーとユーザーグループを追加済みであること。詳細については、「LDAP ID ソースへの接続」および「ユーザーグループの設定」をご参照ください。
周辺機器コントロールポリシーの設定
Secure Access Service Edge コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Peripheral Management タブを選択し、Create Policy をクリックします。
-
Create Policy パネルで、次の表に基づいて設定を構成します。
設定項目
説明
Policy Name
ポリシーの名前。
長さは 2~32 文字で、文字、数字、ハイフン (-)、アンダースコア (_)、および中国語文字を使用できます。
Policy Description
ポリシーの説明。
Status
ポリシーのステータス:有効または無効。
ポリシーは有効になっている場合にのみ有効になります。
Priority
ポリシーの優先度。
優先度の値の範囲は 1~10 です。値が小さいほど優先度が高くなります。
Applicable User
ポリシーの影響を受けるユーザーまたはユーザーグループ。
Windows
-
サポートされている周辺機器:USB Drive、Printer、[ポータブルデバイス]、Card Reader、Optical Drive。
-
サポートされているデバイスインターフェイス:Bluetooth。
USB Drive のみが、Prohibited、Read/Write、Read-only を含むアクセス権限をサポートしています。他のすべてのデバイスとインターフェイスは、Prohibited オプションのみをサポートしています。このオプションを選択すると、従業員は対応するデバイスまたはインターフェイスを使用してデータを転送できなくなります。
macOS
-
サポートされている周辺機器:USB Drive。
-
サポートされているデバイスインターフェイス:Bluetooth、[AirDrop]。
USB Drive のみが、Prohibited、Read/Write、Read-only を含むアクセス権限をサポートしています。他のすべてのデバイスとインターフェイスは、Prohibited オプションのみをサポートしています。このオプションを選択すると、従業員は対応するデバイスまたはインターフェイスを使用してデータを転送できなくなります。
Approval Process Configuration
周辺機器がセキュリティリスクをもたらす場合、従業員による報告を許可するかどうかを選択できます。
従業員による報告を有効にする場合は、適切な承認フローを選択します。承認フローの作成の詳細については、「承認フローの設定」をご参照ください。
Prompt Display Configuration
周辺機器へのアクセスがブロックされたときに表示されるメッセージを設定します。メッセージは中国語と英語の両方で設定できます。
-
-
OK をクリックします。
作成後、ポリシーはポリシーリストに表示されます。オフィスデータ保護機能は、設定に基づいて周辺機器をコントロールします。
機密性の高い動作の検出結果の表示
USB Drive を Read/Write に設定すると、USB ドライブまたは USB ストレージを介した内部ファイルの転送は、機密性の高い動作の検出をトリガーします。検出結果に基づいて、システムは過去 30 日間、7 日間、または 24 時間のデータを分析します。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Sensitive Behavior Detection ページで、指定した期間中に USB ドライブおよび USB ストレージを介して送信された機密ファイルの統計を表示します。
-
機密ファイルの送信に関与した従業員のリストで、Details をクリックして、従業員のファイル転送に関する特定の情報を表示します。
-
特定のファイルの [操作] 列にある Details をクリックして、その機密メッセージ、一致したポリシー、オフィスエンドポイント、および転送方法を表示します。
周辺機器ホワイトリストの設定
SASE が特定の従業員を周辺機器の使用状況の監査とコントロールから除外するようにしたい場合は、オフィスデータ保護で周辺機器ホワイトリストを設定して、それらの従業員に許可ポリシーを適用します。
-
Peripheral Management ページで、Peripheral Whitelist をクリックします。
-
Whitelist タブで、従業員をホワイトリストに追加します。
[周辺機器コントロールホワイトリスト] ボックスに、ホワイトリストのエントリをカンマで区切って入力します。Enter キーを押して確定します。
-
Submit をクリックします。
ポリシー優先度の調整
周辺機器コントロールポリシーの優先度を調整するには、
アイコンをクリックして数値を変更します。優先度の値の範囲は 1~10 です。数値が小さいほど、優先度が高くなります。
ポリシーの無効化
現在の操作でポリシーが不要になった場合は、Policy Status を無効にします。ポリシー設定は保存されたままです。再度必要になった場合は、Policy Status を有効にするだけです。
ポリシーの削除
将来の操作でポリシーが不要になった場合は、Delete をクリックして削除します。
削除されたポリシーは回復できません。注意して操作してください。
参考資料
-
送信された機密ファイルのログを表示および追跡するには、「機密ファイル検出ログ」をご参照ください。
-
従業員が送信したファイルを検出してデータセキュリティを保護するには、「アウトバウンドファイルの検出によるデータセキュリティの保護」をご参照ください。
-
従業員の画面と印刷のウォーターマークを管理してデータセキュリティを保護するには、「ウォーターマークの管理によるデータセキュリティの保護」をご参照ください。