はじめに
ウイルスバスター ビジネスセキュリティサービス (以下、VBBSS) の情報漏えい対策には、PCI / DSS、HIPAA、GLBA、SB-1386、US PII など、さまざまな規制の基準に準拠するために使用可能な事前定義済みの情報漏えい対策テンプレートを用意しています。
本製品Q&Aでは、VBBSS Web管理コンソールで情報漏えい対策の設定を支援する情報を記載しています。
※情報漏えい対策機能は WindowsOSのみがサポートされます。
詳細
情報漏えい対策の設定(Windowsデバイスが対象です)
- Web管理コンソールにログインし、[セキュリティエージェント]タブに移動します。
- 設定対象のエージェントが含まれるグループを選択し、[ポリシーの設定]をクリックします。
- [Windows]タブに移動し、左側のパネルから、[情報漏えい対策]をクリックして情報漏えい対策をオンにします。
ご注意
以下の場合には、ユーザがエンドポイントを再起動して情報漏えい対策の設定を適用する必要があります。
- 情報漏えい対策を初めて有効にする場合。
- 情報漏えい対策を有効にしているグループにエンドポイントを追加または移動する場合。
- カスタムポリシー設定を使用している子ドメイングループをポリシー継承に戻して親グループのポリシーを適用する場合で、かつ親グループで情報漏えい対策を有効にしている場合。
-
[ルール]タブで、[追加]をクリックします。
ご注意
- ポリシーに含めることのできるルールは最大40個です。
- ルールを追加しないと情報漏えい対策は動作しません。
- [このルールを有効にする]を選択して、ルールの名前と説明を記載します。
-
[すべてのテンプレート] リストまたは検索機能を使用してテンプレートを選択します。
ご注意
- ルールごとに含めることのできるテンプレートは最大200個です。
- ルールのチャネルを選択します。
いずれかのネットワークチャネルを選択した場合は、送信範囲を指定します。
- 選択したチャネルを通じて転送された機密データを検出した後に実行する処理を指定して、[追加]をクリックします。
- [放置およびログ]:送信を許可してログに記録します。
- [ブロック]:送信をブロックしてログに記録します。
- [保存]をクリックします。
情報漏えい対策の除外設定(Windowsデバイスが対象です)
- Web管理コンソールにログインし、[セキュリティエージェント]タブに移動します。
- 設定対象のエージェントが含まれるグループを選択し、[ポリシーの設定]をクリックします。
- [Windows]タブに移動し、左側のパネルから、[情報漏えい対策]をクリックして[除外]タブに移動します。
- [監視対象外] で、必要な設定を行います。
- [対象の追加] をクリックします。
-
チャネルを指定します。
-
[メールクライアント]: X500形式 (内部通信のみ) で、または受信者のメールドメインかアドレスを使用して、対象を指定します。
| 対象の形式 | 例 |
|---|---|
| X500 |
/o=company
/o=company/ou=subdomain/cn=recipients/cn=user
|
|
メールドメインまたはアドレス
|
company.com
user@company.com
|
-
[HTTP、HTTPS、FTP、SMBプロトコル]: IPアドレス、ホスト名、FQDN、またはネットワークアドレスとサブネットマスクによって対象を指定します。
- 必要に応じ、対象を除外する理由をメモに入力します。
- [追加] をクリックします。
[監視対象外のリムーバブルストレージデバイス] で、必要な設定を行います。
[デバイスの追加] をクリックします。
-
デバイスのベンダー名を指定し、必要に応じてデバイスの機種とシリアルID を指定して[追加] をクリックします。
※デバイスにデバイスリストツールをダウンロードして実行し、デバイスに接続されている外部デバイスに関する情報を取得する方法もございます。
このツールの使い方の詳細については、デバイスリストツールを実行するを参照してください。
-
[圧縮ファイルの検索除外] で、必要な設定を行います。
詳細については、解凍ルールを参照してください。
- [保存]をクリックします。
情報漏えい対策ポリシー
VBBSS は、情報漏えい対策ポリシーで定義された一連のルールに照らしてファイルまたはデータを評価します。ポリシーによって、不正な転送から保護する必要があるファイルやデータが判別され、転送の検出時に VBBSS で実行する処理が決定されます。
ご注意
- VBBSS では、サーバとセキュリティエージェント間のデータ送信は監視されません。
- 情報漏えい対策では、優先順位に従ってルールとテンプレートが処理されます。ルールが "[許可]" に設定されている場合、リスト内の次のルールが処理されます。ルールが "[ブロック]" に設定されている場合、ユーザの処理がブロックされ、そのルール/テンプレートはそれ以上処理されません。
表 . 情報漏えい対策ポリシーを定義する設定
| 設定 | 説明 |
|---|---|
| ルール | 情報漏えい対策ルールには複数のテンプレート、チャネル、処理を含むことができます。各ルールは、ルールを包含するDLPポリシーのサブセットです。 |
| テンプレート | 情報漏えい対策テンプレートは、データIDと論理演算子 (And、Or、Except) を組み合わせて条件文を形成します。特定の条件文を満たすファイルまたはデータだけに、DLPルールが適用されます。 DLPルールには、1つまたは複数のテンプレートを含めることができます。 情報漏えい対策では、テンプレートのチェック時に初回一致ルールが使用されます。これは、特定のファイルまたはデータがテンプレート内のデータIDに一致すると、それ以上他のテンプレートがチェックされないことを意味します。 |
| チャネル | チャネルは、機密情報を送信するエンティティです。情報漏えい対策では、メール、リムーバブルストレージデバイス、インスタントメッセンジャーアプリケーションなど、一般的な送信チャネルがサポートされます。 |
| 処理 | 情報漏えい対策は、いずれかのチャネルを通じて機密情報を送信する試みを検出したときに、指定された処理を実行します。 |
| 除外設定 | 除外設定は、設定されているDLPルールよりも優先して機能します。除外設定により、監視対象外と圧縮ファイルの検索を管理できます。 |
事前定義済みの情報漏えい対策テンプレート
情報漏えい対策で用意しているすべての事前定義済みのテンプレートの目的の一覧、および保護されるデータの例については、次の情報漏えい対策に関する製品Q&A からご確認ください。なお、これらのテンプレートは変更や削除ができません。
情報漏えい対策チャネル
情報漏えい対策は、機密情報を送信できるネットワーク、システム、およびアプリケーションチャネルを監視します。
サポートされているチャネルの一覧については、次の情報漏えい対策に関する製品Q&A をご確認ください。