キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
告知

JTAC-Mid-Career-Recruitment-2021.8

 

Umbrella: SWG の DLP 機能について

235
閲覧回数
0
いいね!
0
コメント

 

2022 4 28 日現在の情報をもとに作成しています

 

1. はじめに

 

本記事では、SWG (Secure Web Gateway) に新たに追加された DLP (Data Loss Prevention) 機能について紹介します。

 

Manage the Data Loss Prevention Policy

https://docs.umbrella.com/umbrella-user-guide/docs/manage-data-protection-policies

 

なお、DLP を利用するには SIG Advantage または専用のアドオンを契約する必要があります。詳しくは以下の公開情報を参照してください。

 

Cisco Umbrella Packages

https://umbrella.cisco.com/products/umbrella-enterprise-security-packages

Data loss prevention の項

 

2. DLP とは

 

DLP とは、組織外部への情報漏洩を防ぐセキュリティ製品または機能のことです。具体的には、内部から外部へ送られる通信を監視し、組織にとって重要な情報が外部へ送られたことを検知すると、それをブロックします。

 

Umbrella の DLP SWG に含まれており、SWG に到達したパケットを監視して、組織にとって重要な情報があれば Umbrella Dashboard で設定した DLP ポリシーに従い、ブロック (またはモニタリング) を行います。

 

pic1.png

 

なお、情報漏洩に使われる通信のほとんどが HTTPS 通信を使用することから、あらかじめ Web ポリシー (Web Policy) 内で HTTPS 検査を有効にしておく必要があります。

 

3. 保護するデータ分類の決定

 

DLP ポリシーを設定するのに先立ち、まずは保護対象とするデータの分類を決めます。

 

Umbrella Dashboard のポリシー (Policies) > データ分類 (Data Classification) を開き、右上の追加ボタンをクリックします。

 

pic2.png

 

「新しいデータ分類の追加」画面が開きますので、「データ分類名」に任意の名前を入力し、「組み込みのデータ識別子」の中から保護したいデータの種類 (データ識別子) を探し、チェックを入れます。以下の画像は、IP アドレスが外部に漏れるのを防ぐ設定をした例です。

 

pic3.png

 

なお、複数のデータ識別子にチェックを入れる必要がある場合、「Select Boolean Operator」にある OR 条件または AND 条件のどちらか適切な方にチェックを入れます。

 

もし、組み込みで用意されたデータ識別子に目的のものがない場合は、右上の「カスタムディクショナリの追加」リンクから、オリジナルの文字列や正規表現を追加できます。

 

最後に「保存」ボタンを押し、登録は完了です。以下の画像のように、今作成した新しいエントリーがデータ分類画面に表示されます。

 

pic4.png

 

4. DLP ポリシーの設定

 

次に、どのアイデンティティどの宛先にアクセスした際の通信を保護するかを指定する DLP ポリシーの設定を行います。

 

Umbrella Dashboard のポリシー (Policies) > DLPポリシー (Data Loss Prevention Policy) を開き、「ルールの追加 (ADD RULE)」をクリックします。

 

pic5.png

 

DLP ポリシーの作成画面が開きますので、「ルール名」に任意の名前を入れ、「Severity」から適当な重要度を選択します。

 

「アクション」で設定できる項目は 2 種類あり、「モニタリング」の場合は通信がこのポリシーに該当したとしてもブロックは行わず、「ブロック」の場合は実際にブロックを行います。

 

「アイデンティティ」の項目では、保護対象となるアイデンティティを選択します。DLP はあくまで Web ポリシーに付随する機能であるため、DNS ポリシー専用のアイデンティティは選択できないことに注意してください。

 

pic6.png

 

「データ分類」の項目では、先ほど作成したデータ分類にチェックを入れます。この際、DLP が通信のコンテンツ部分のみを調査するか、ファイル名のみを調査するか、またはその両方を調査するかを選べます。

 

pic7.png

 

「送信先」の項では、保護を行う送信先アプリケーションを選択します。画像は Gmail を選択した時のものです。

 

pic8.png

 

※ このリストに含まれないアプリケーションは保護対象となりません

 

最後に、「保存」ボタンをクリックして設定完了です。以下のように、登録した DLP ポリシーが画面に表示されます。

 

pic9.png

 

この後、作成した DLP ポリシーを既存の Web ポリシーと関連付ける必要はありません。言い換えると、SWG に送られてきた全ての Web 通信が DLP ポリシーを適用する対象の候補となり、その中から先ほど DLP ポリシーで指定したアイデンティティおよび送信先と合致した通信が実際の調査対象となります。

 

では、今作成したポリシーが実際に有効かを確認してみます。Gmail を開き、メール本文に IP アドレスを含むメールを作成し、送信ボタンを押します。

 

pic10.png

 

しかし、メールの送信は行われず、以下のエラー メッセージが表示されます。

 

pic11.png

 

5. レポートの表示

 

DLP に関するレポートは、いつものアクティビティ検索 (Activity Search) レポートではなく、DLP 専用の DLP レポート (Data Loss Prevention) に表示されます。

 

以下は、前項で行ったメール送信の実際のログです。

 

pic12.png

 

更に右端の…から詳細を確認すると、具体的な検知情報が表示されます。

 

pic13.png