従業員が USB フラッシュドライブ、Bluetooth、AirDrop などの周辺機器を介して機密ファイルを転送すると、組織が重大なデータ損失にさらされる可能性があります。Secure Access Service Edge (SASE) のデータ損失防止 (DLP) 機能を使用すると、従業員が使用できる周辺機器をコントロールし、アウトバウンドファイル転送をリアルタイムでモニターし、機密性の高い動作イベントを調査できます。
このトピックでは、周辺機器コントロールポリシーの作成、機密性の高い動作の検出結果の確認、周辺機器ホワイトリストの管理、およびその他のポリシー管理タスクの実行方法について説明します。
サポートされている周辺機器
| OS | 周辺機器 | デバイスポート |
|---|---|---|
| Windows | USB フラッシュドライブ、USB ストレージデバイス、プリンター、ポータブルデバイス、カードリーダー、光学ドライブ | Bluetooth |
| macOS | USB フラッシュドライブおよび USB ストレージデバイス | Bluetooth、AirDrop |
デバイスタイプ別のコントロールオプション:
USB フラッシュドライブおよび USB ストレージデバイス:[使用不可]、[読み取り/書き込み]、または [読み取り専用]
その他のすべての周辺機器およびデバイスポート:[使用不可] のみ
[USB フラッシュドライブおよび USB ストレージ] が [読み取り/書き込み] に設定されている場合、ユーザーが USB フラッシュドライブまたは USB ストレージデバイスを使用して内部ファイルを転送するたびに、DLP は機密性の高い動作の検出をトリガーします。
前提条件
開始する前に、次のことを確認してください:
SASE の Internet Access DLP Edition を購入済みであること。詳細については、「課金概要」および「サービスの購入」をご参照ください。
ユーザーを追加し、ユーザーグループを作成済みであること。詳細については、「LDAP IdP を SASE に接続」および「ユーザーグループの設定」をご参照ください。
周辺機器コントロールポリシーの作成
SASE コンソールにログインします。
左側のナビゲーションウィンドウで、データ損失防止 > ポリシーセンター を選択します。
周辺機器管理 タブをクリックし、ポリシーの作成 をクリックします。
ポリシーの作成 パネルで、次のパラメーターを設定します。
パラメーター 説明 ポリシー名 ポリシーの名前。2~32 文字で、文字、数字、ハイフン (-)、アンダースコア (_) を使用できます。 ポリシーの説明 ポリシーの任意の説明。 ステータス ポリシーを有効または無効にします。ポリシーは、スイッチがオンの場合にのみ有効になります。 優先度 1 から 10 までの数字。数字が小さいほど優先度が高くなります。 適用ユーザー このポリシーが適用されるユーザーまたはユーザーグループ。 Windows コントロールする周辺機器とデバイスポートを選択します。USB フラッシュドライブおよび USB ストレージデバイスの場合は、[使用不可]、[読み取り/書き込み]、または [読み取り専用] を選択します。その他のすべての周辺機器と Bluetooth の場合、選択できるオプションは [使用不可] のみです。 macOS コントロールする周辺機器とデバイスポートを選択します。USB フラッシュドライブおよび USB ストレージデバイスの場合は、[使用不可]、[読み取り/書き込み]、または [読み取り専用] を選択します。Bluetooth と AirDrop の場合、選択できるオプションは [使用不可] のみです。 承認プロセスの設定 ユーザーがリスクのある周辺機器を使用したい場合に、承認申請を提出できるかどうかを指定します。このオプションを有効にする場合は、承認ワークフローを選択します。詳細については、「承認ワークフローの作成」をご参照ください。 プロンプト表示設定 ユーザーがリスクのある周辺機器を使用しようとしたときにダイアログボックスに表示されるプロンプトメッセージを設定します。中国語と英語をサポートしています。 OK をクリックします。
ポリシーがポリシーリストに表示され、DLP はそのポリシーに基づいて周辺機器を管理します。
例:財務チームには USB ドライブへの読み取り専用アクセス権を付与し、IT チームには完全な読み取り/書き込みアクセス権を許可するには、2 つのポリシーを作成します。1 つは財務ユーザーグループを対象とし [読み取り専用] に設定し、もう 1 つは IT ユーザーグループを対象とし [読み取り/書き込み] に設定します。ユーザーが両方のグループに属している場合に IT ポリシーが優先されるように、IT ポリシーにはより小さい優先度の数値を割り当てます。
機密性の高い動作の検出結果の表示
[USB フラッシュドライブおよび USB ストレージ] が [読み取り/書き込み] に設定されている場合、DLP は内部ファイルの転送を自動的に検出し、機密性の高い動作イベントとしてログに記録します。DLP は、過去 30 日間、7 日間、または 24 時間のデータを分析します。
以下のイベントの詳細が、検出された各転送について記録されます:[機密メッセージ]、ヒットポリシー、オフィス端末、および送信転送チャネル。
左側のナビゲーションウィンドウで、データ損失防止 > 機密性の高い動作の検出 を選択します。
機密性の高い動作の検出 ページで、選択した期間内に USB フラッシュドライブまたは USB ストレージデバイスを使用して実行された機密ファイルのアウトバウンド転送に関する統計を確認します。
ページ下部のユーザーリストでユーザーを見つけ、[操作] 列の 詳細 をクリックして、そのユーザーのアクティビティを確認します。
結果からファイルを見つけ、[操作] 列の 詳細 をクリックして、完全なイベント情報を表示します。
周辺機器ホワイトリストの設定
すべての周辺機器コントロールポリシーから免除するユーザーをホワイトリストに追加します。ホワイトリストは、日常的に USB 接続デバイスを管理する IT 管理者など、正当な理由で周辺機器を自由に使用する必要があるユーザー向けに設計されています。ホワイトリストは短く保ち、明確なビジネス上の正当な理由があるユーザーに限定してください。
周辺機器管理 ページで、周辺機器ホワイトリスト をクリックします。
ホワイトリスト タブで、免除するユーザーを追加します。
送信 をクリックします。
その他のポリシー操作
ポリシーの優先度の変更
ポリシーの横にある 
アイコンをクリックし、新しい優先度の値 (1~10) を入力します。数字が小さいほど優先度が高くなります。
ポリシーの無効化
ポリシーを見つけ、ポリシーステータス 列のスイッチをオフにします。ポリシーは保持され、いつでも再度有効にできます。
ポリシーの削除
ポリシーを見つけ、[操作] 列の 削除 をクリックします。
削除されたポリシーは復元できません。
次のステップ
機密ファイル転送のログを表示および追跡するには、「機密ファイルの検出」をご参照ください。
他のチャンネル経由のファイル転送をモニターするには、アウトバウンドファイル転送をモニターしてデータセキュリティを確保するをご参照ください。
画面およびプリンターのウォーターマークを管理するには、「データセキュリティを確保するためのウォーターマークの管理」をご参照ください。