製品ガイド 改訂 A McAfee Data Loss Prevention Endpoint 10.0.0 McAfee ePolicy Orchestrator 用 著作権 © 2016 Intel Corporation 商標 Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標 です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。 ライセンス情報 ライセンス条項 お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます) をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文 書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規 定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額 全額をお返しいたします。 2 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 目次 9 まえがき このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 1 McAfee DLP Endpoint の概要 11 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 モニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 製品モジュールとその相互作用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 クライアント ソフトウェアの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 Microsoft Windows プラットフォーム上の McAfee DLP Endpoint . . . . . . . . . . . . . 19 OS X プラットフォーム上の McAfee DLP Endpoint . . . . . . . . . . . . . . . . . . 20 配備とインストール 2 23 配備オプションとシナリオ 配備の計画 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 McAfee DLP Endpoint および Device Control オプション . . . . . . . . . . . . . . . . 24 3 4 McAfee DLP Endpoint の Citrix 環境での配備 . . . . . . . . . . . . . . . . . . . . 25 システム要件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 McAfee DLP Endpoint および Device Control ソフトウェアのインストール 27 McAfee DLP 拡張ファイルのインストールとライセンス . . . . . . . . . . . . . . . . . . . . 27 後方互換性の適用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 ポリシーと移行データの変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 McAfee DLP Endpoint および Device Control クライアント ソフトウェアのインストール . . . . . . . 31 33 クライアント ソフトウェアとポリシーの配備 McAfee ePO を使用した McAfee DLP Endpoint クライアントの配備 . . . . . . . . . . . . . . . 33 インストールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 McAfee ePO によるポリシーの配備 . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 ポリシーまたはクライアントの設定の割り当て . . . . . . . . . . . . . . . . . . . . . 35 ポリシーの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 設定と使用 5 システム コンポーネントの設定 39 ポリシー カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 3 目次 ポリシー カタログの McAfee DLP の設定 . . . . . . . . . . . . . . . . . . . . . . . . . 39 McAfee DLP Endpoint 設定のインポートまたはエクスポート . . . . . . . . . . . . . . . 40 クライアントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 クライアントの設定パラメーターをサポートしています。 . . . . . . . . . . . . . . . . . 42 権限管理によるファイルの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 McAfee DLP の権限管理方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 サポートされている RM サーバー . . . . . . . . . . . . . . . . . . . . . . . . . 44 Rights Management サーバーの定義 . . . . . . . . . . . . . . . . . . . . . . . . 45 イベントをエビデンス付きで記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 エビデンスとエビデンス ストレージの使用 . . . . . . . . . . . . . . . . . . . . . . 45 エビデンス フォルダーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 ユーザーと権限セットの割り当ての制御 . . . . . . . . . . . . . . . . . . . . . . . . . . 48 エンドユーザーの定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 48 McAfee DLP 権限セットの割り当て . . . . . . . . . . . . . . . . . . . . . . . . . 49 6 McAfee DLP 権限セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 50 手動分類の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52 55 リムーバブル メディアの保護 デバイスの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56 デバイスをデバイス クラスで管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 デバイス クラスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 GUID の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 デバイス クラスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 デバイスをデバイス定義で管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59 デバイス定義の扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 デバイス プロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 Device Control ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 リムーバブル ストレージ デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . 66 プラグ アンド プレイ デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . 67 リムーバブル ストレージ ファイル アクセス デバイス ルールの作成 . . . . . . . . . . . . . 68 固定ハード ディスク デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . 69 Citrix デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 TrueCrypt デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . 70 リムーバブル ストレージ ファイル アクセス ルール . . . . . . . . . . . . . . . . . . . . . . 71 7 73 機密コンテンツの分類 分類モジュールのコンポーネント . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 分類の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 ファイルの送信先による分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . 75 ファイルの場所による分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 テキスト抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 McAfee DLP Endpoint のアプリケーションの分類方法 . . . . . . . . . . . . . . . . . 分類の定義と条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 78 ディクショナリの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 高度なパターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80 ドキュメントのプロパティまたはファイル情報を使用したコンテンツの分類 . . . . . . . . . . 80 アプリケーション テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . . 81 手動分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 埋め込みタグ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 登録文書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 ホワイトリストに登録されたテキスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 分類の作成と設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 分類の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 分類条件の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 McAfee Data Loss Prevention Endpoint 10.0.0 85 製品ガイド 目次 登録済み文書のアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 ホワイトリスト テキストへのファイルのアップロード . . . . . . . . . . . . . . . . . . 86 McAfee DLP Endpoint の分類コンポーネントの設定 . . . . . . . . . . . . . . . . . . . . . 87 コンテンツ フィンガープリント条件の作成 . . . . . . . . . . . . . . . . . . . . . . 87 使用例: アプリケーション ベースのフィンガープリント . . . . . . . . . . . . . . . . . 88 手動分類権限の割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 使用例: 手動分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 分類の定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 一般的な分類定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 ディクショナリ定義の作成またはインポート . . . . . . . . . . . . . . . . . . . . . 91 高度なパターンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 ネットワーク ポート範囲の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 93 ネットワーク アドレス範囲の作成 . . . . . . . . . . . . . . . . . . . . . . . . . 94 電子メール アドレス定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 94 ネットワーク プリンタ定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . 95 URL リスト定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 使用例: Titus Client のサードパーティ タグとの統合 . . . . . . . . . . . . . . . . . . . . . 96 使用例: Boldon James Email Classifier と分類条件の統合 . . . . . . . . . . . . . . . . . . . 96 8 99 ポリシーに関する操作 ポリシーの作成と割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 99 複数のポリシーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 定義のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 DLP ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 ポリシーの検証 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 105 機密コンテンツの保護 ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 データ保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106 アプリケーション ファイル アクセス保護ルール . . . . . . . . . . . . . . . . . . . . 107 クラウド保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 電子メール保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 ネットワーク通信保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 ネットワーク共有保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 プリンタ保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 リムーバブル ストレージ保護ルール . . . . . . . . . . . . . . . . . . . . . . . . 110 スクリーン キャプチャ防止ルール . . . . . . . . . . . . . . . . . . . . . . . . . 112 Web 送信保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 Device Control ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 検出ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 ホワイトリスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 エンドユーザー メッセージのカスタマイズ . . . . . . . . . . . . . . . . . . . . . . . . 115 ルール タイプに使用可能な対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 ルールとルール セットの作成と設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 ルール セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119 ポリシーへのルール セットの割り当て . . . . . . . . . . . . . . . . . . . . . . . 119 ルールの有効化、無効化、または削除 . . . . . . . . . . . . . . . . . . . . . . . 120 ルールと分類のインポートとエクスポート . . . . . . . . . . . . . . . . . . . . . . 120 ルールまたはルール セットの列の設定 . . . . . . . . . . . . . . . . . . . . . . . 121 ジャスティフィケーション定義の作成 . . . . . . . . . . . . . . . . . . . . . . . 121 通知の定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122 ルールの使用例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . McAfee Data Loss Prevention Endpoint 10.0.0 123 製品ガイド 5 目次 使用例: リムーバブル ストレージ デバイス ルールとホワイトリストに登録されたプロセス . . . . 123 使用例: リムーバブル デバイスを読み取り専用にする . . . . . . . . . . . . . . . . . . 124 使用例: iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電する . . . . . . . 125 使用例: 機密情報のディスクへの書き込みを防止します。 . . . . . . . . . . . . . . . . 125 使用例: 機密コンテンツのある送信メッセージが、指定されたドメイン以外に送信されるのをブロックしま す。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 使用例: 指定したユーザー グループにクレジット情報の送信を許可する . . . . . . . . . . . 128 使用例: 添付ファイルを、その宛先に基いて NEED-TO-SHARE に分類します . . . . . . . . . 129 10 McAfee DLP Endpoint 検出によるデータのスキャン 133 Discovery ルールによるファイルの保護 . . . . . . . . . . . . . . . . . . . . . . . . . 133 スキャンの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 エンドポイント検出クローラーによるコンテンツの検出 . . . . . . . . . . . . . . . . . . . . 134 検出ルールの作成と定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 スケジューラー定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 スキャンのセットアップ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 使用例: 隔離済みファイルまたは電子メール項目の復元 . . . . . . . . . . . . . . . . . 137 監視とレポート 11 141 インシデントと操作イベント モニタリングとレポート イベント . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 DLP インシデント マネージャー . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 インシデント マネージャーの動作の仕組み . . . . . . . . . . . . . . . . . . . . . 142 インシデントの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 インシデントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 インシデントのソートとフィルタリング . . . . . . . . . . . . . . . . . . . . . . . 145 列表示の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 インシデント フィルターの設定 . . . . . . . . . . . . . . . . . . . . . . . . . 146 インシデントの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 インシデントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 単一のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 複数のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 ラベルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 151 ケースの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 ケースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 ケースの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 ケース情報の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 インシデントのケースへの割り当て . . . . . . . . . . . . . . . . . . . . . . . . 153 ケースからのラベルの追加と削除 . . . . . . . . . . . . . . . . . . . . . . . . . 153 ケースの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 ケースへのラベルの追加と削除 . . . . . . . . . . . . . . . . . . . . . . . . . . 155 ケースの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 155 157 管理データの収集と管理 サーバー タスクの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 イベントの完全削除 タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . 158 自動メール通知 タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 159 レビューアー設定タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 160 結果のモニター タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 レポートの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 レポートのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 レポート オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161 事前定義されたダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . 162 6 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 目次 データのロールアップ、サーバー タスクの作成 . . . . . . . . . . . . . . . . . . . . 163 メンテナンスとトラブルシューティング 13 McAfee DLP Endpoint の診断 167 診断ツール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 エージェントのステータスのチェック . . . . . . . . . . . . . . . . . . . . . . . 167 診断ツールを実行します . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 ポリシーの調整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 索引 McAfee Data Loss Prevention Endpoint 10.0.0 171 製品ガイド 7 目次 8 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド まえがき このガイドでは、McAfee 製品の操作に必要な情報を提供します。 目次 このガイドについて 製品マニュアルの検索 このガイドについて ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。 対象読者 McAfee では、対象読者を限定してマニュアルを作成しています。 このガイドの情報は、主に以下の読者を対象としています。 • 管理者 - 企業のセキュリティ プログラムを実装し、施行する担当者。 • セキュリティ担当者 - 重要な機密情報を判断し、企業の知的財産を保護する企業ポリシーを守る立場にある担当 者。 表記法則 このガイドでは、以下の表記規則とアイコンを使用しています。 イタリック マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。 太字 特に強調するテキストを表します。 モノスペース コマンド、ユーザーが入力するテキスト、コードのサンプル、画面に表示されるメッセージを表 します。 [やや狭い太字] オプション、メニュー、ボタン、ダイアログ ボックスなど、製品インターフェースのテキストを 表します。 青色のハイパー テキスト トピックまたは外部サイトへのリンクを表します。 注: 読み手に注意を促す場合や、別の操作手順を提示する場合に使用します。 ヒント: ベストプラクティスの情報を表します。 重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データの保護 に役立つ情報を表します。 警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項を表しま す。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 9 まえがき 製品マニュアルの検索 製品マニュアルの検索 [ServicePortal] では、リリースされた製品の情報 (製品マニュアル、技術情報など) を入手できます。 タスク 10 1 [ServicePortal] (https://support.mcafee.com) に移動して、[Knowledge Center] タブをクリックします。 2 [Knowledge Base] ペインの [コンテンツのソース] で [製品マニュアル] をクリックします。 3 製品とバージョンを選択して [検索] をクリックします。マニュアルの一覧が表示されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 1 McAfee DLP Endpoint の概要 データ漏えいとは、アプリケーション、物理デバイスおよびネットワーク プロトコルなどのチャネルを介して、認証 されていない通信が行われる結果、機密情報や個人情報が企業から流出することを指します。 Data Loss Prevention ソフトウェアは、事前に定義された情報セキュリティ ポリシーを強制して、データ漏えいを防止しま す。 保護するデータは、3 つのベトル — 使用中のデータ、移動中のデータ、および保存中のデータ に従って分類され利 用されます。 表 1-1 データ ベクトルの説明 データ ベク 説明 トル 関連する製品 使用中のデ ータ 使用中のデータは、エンドポイント デバイスのユーザーのアクション McAfee Data Loss に適用されます。 たとえば、リムーバブル メディアへのデータとファ Prevention Endpoint イルのコピー、ローカル プリンタへのファイルの印刷、およびスクリ (McAfee DLP Endpoint) ーン キャプチャなどです。 移動中のデ ータ 移動中のデータは、ネットワーク上の実時間のトラフィックに適用さ れます。 トラフィックが解析、分類されて McAfee Data Loss Prevention (McAfee DLP) (McAfee DLP) データベースに保存され ます。 保存データ ® ® • McAfee Data Loss Prevention Monitor (McAfee DLP Monitor) ® • McAfee Data Loss Prevention Prevent (McAfee DLP Prevent) ® 保存データは、データベース、ファイル共有、およびリポジトリ上の • McAfee Data Loss データに適用されます。 McAfee DLP は、保存データをスキャン、追 Prevention Discover 跡して、修復アクションを実行します。 (McAfee DLP Discover) ® • McAfee DLP Endpoint 検 出 目次 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管 理 製品モジュールとその相互作用 クライアント ソフトウェアの動作 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 11 1 McAfee DLP Endpoint の概要 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管理 McAfee DLP Endpoint および Device Control — エンドポイントのコン テンツとリムーバブル メディアの管理 McAfee DLP Endpoint は、企業ユーザーのコンピューター上の機密コンテンツのアクションを検査します。 McAfee Device Control は、許可されていないリムーバブル メディア デバイスの使用を防止します。 McAfee DLP Endpoint には、すべての Device Control の機能が含まれ、さらに、データ漏洩の可能性のあるチャネル経由 のデータ漏洩に対して保護します。 主な機能 McAfee Device Control: • リムーバブル デバイスにコピーできるデータを制御し、デバイスそのものも制御します。 デバイスを完全にブロ ックし、読み出し専用にし、またはリムーバブル ドライブからのアプリケーションの実行をブロックします。 • USB ドライブ、スマートフォン、Bluetooth デバイス、およびその他のリムーバブル メディアの保護を提供し ます。 McAfee DLP Endpoint は次の手段によるデータ漏洩を防止します。 • クラウド アプリケーション • クリップボード ソフトウェア • 電子メール • Web 送信 • プリンター • ネットワーク共有 • スクリーン キャプチャ McAfee DLP 分類エンジン (McAfee DLP Discover によっても使用される) は、保護するコンテンツといつどこで 保護を適用するかを設定する定義と分類条件に適用されます。 McAfee DLP Endpoint 検出クローラーは、ローカル エンドポイント上で実行され、ローカル ファイル システムと 電子メール ストレージ ファイルを検索して、機密コンテンツを保護するポリシーを適用します。 仕組み McAfee DLP Endpoint 企業の機密情報を保護します。 12 • 定義、分類、ルールセット、およびエンドポイント クライアントの設定から構成されるポリシーを適用します。 • 次にポリシー監視して、必要な場合は、機密コンテンツに対するアクションをブロックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint の概要 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管理 • アクションを許可する前に機密情報を暗号化します。 • 確認用のレポートとプロセスのコントロールを作成して、機密コンテンツを証拠として保存できます。 1 図 1-1 McAfee DLP 保護プロセス 分類 機密コンテンツを保護するためには、保護すべき機密情報を定義し分類することから始めます。 コンテンツは、分類と分類条件を定義することによって分類されます。 分類条件は、データの分類方法の条件を定義 します。 条件を定義する方法には次のものが含まれます。 • 高度なパターン — 正規表現と検証アルゴリズムを組み合わせて、クレジットカード番号などのパターンの一致に 使用します。 • ディクショナリ — 潜在的な HIPAA 違反の検出のための医学用語などの、特定の語句または用語のリストです。 • 実際のファイル タイプ — 文書のプロパティ、ファイル情報、またはファイルを作成したアプリケーションです。 • ソースまたは宛先の場所 — URL、ネットワーク共有、コンテンツを作成したまたはコンテンツに関連のあるアプ リケーションまたはユーザーです。 McAfee DLP Endpoint サードパーティの分類ソフトウェアをサポートしています。 Boldon James Email Classifier を使用して電子メールを分類できます。 Titus 分類クライアント – Titus Message Classification、 Titus Classification for Desktop、および Titus Classification Suite を使用して電子メールまたは他のファイルを 分類できます。 Titus のサポートを実装するには、Titus SDK をエンドポイント コンピューターにインストールす る必要があります。 追跡 McAfee DLP Endpoint は、コンテンツをその由来に基いて 2 つのテクニック - 登録された文書およびタグ付け条件 を使用して追跡できます。 これらのテクニックを使用すると、たとえば、エンジニアリングの SharePoint サイトからダウンロードしたすべて のファイルを追跡して知的所有物として分類するように指定できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 13 1 McAfee DLP Endpoint の概要 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管理 登録文書 登録された文書の特徴は、指定したリポジトリ (エンジニアリングの SharePoint など) 内のすべてのファイルの事 前スキャンと、このリポジトリ内の各ファイルの断片の署名の作成に基いています。 この署名は、その後すべての管 理対象のエンドポイントに配布されます。 McAfee DLP Endpoint クライアントは、これらの文書の 1 つからコピ ーされた段落を追跡して、登録された文書の署名の分類に従ってこれを分類します。 McAfee DLP Endpoint クライアントが検査する各文書は、その由来を特定するためにすべての登録された文書の署 名と比較されるため、登録された文書は、より多くのメモリを使用してパフォーマンスに影響する可能性があります。 ベスト プラクティス: 署名数とこのテクニックによるパフォーマンスの影響を最小にするために、登録された文書を使 用して最も機密性の高い文書の追跡します。 コンテンツ フィンガープリント コンテンツ フィンガープリントは、McAfee DLP Endpoint 製品に固有のコンテンツ追跡技術です。 管理者は、フ ァイルの場所と分類を定義するコンテンツ フィンガープリント条件のセットを作成して、その場所からのファイルに 追加します。 McAfee DLP Endpoint クライアントは、コンテンツ フィンガープリント条件に定義された場所から 開かれた任意のファイルを追跡し、ファイルがアクセスされるとそのファイルのフィンガープリント署名をリアルタ イムで作成します。 つぎに、この署名を使用して、ファイルまたはファイルの断片を追跡します。 コンテンツ フィ ンガープリント条件は、場所 (UNC パスまたは URL) またはファイルのアクセスに使用されたアプリケーションによ って定義できます。 永続的なフィンガープリント情報のサポート コンテンツ フィンガープリント署名は、ファイルの拡張ファイル属性 (EA) または代替データ ストリーム (ADS) に 保存されます。 このようなファイルにアクセスすると、McAfee DLP Endpoint ソフトウェアは、その使用方法に関 わらず、常にデータ変換を追跡し、機密コンテンツの分類を永続的に維持します。 たとえば、ユーザーがフィンガー プリントの付いた Word 文書を開いて、いくつかの段落をテキスト ファイルにコピーし、そのテキスト ファイルを 電子メール メッセージに添付すると、送信メッセージにはオリジナル文書と同じ署名が含まれます。 EA または ADS をサポートしないファイル システムにおいて、McAfee DLP Endpoint ソフトウェアでは署名情報 がメタファイルとしてディスクに保存されます。 メタファイルは、McAfee DLP Endpoint クライアント ソフトウ ェアが自動的に生成する ODB$ という名の隠しフォルダーに保存されます。 署名とコンテンツ フィンガープリント条件は、McAfee Device Control ではサポートされていません。 保護 ルールを作成して機密データを特定し適切なアクションを実行します。 ルールは、条件、例外、およびアクションで構成されます。 条件には、分類などの複数のパラメーターが含まれ、識 別するデータまたはユーザーのアクションを定義します。 例外は、ルールのトリガーから除外するパラメーターを指 定します。 アクションは、ユーザー アクセスのブロック、ファイルの暗号化、インシデントの作成などのルールが トリガーされたときのルールの動作を指定します。 データ保護ルール データ保護ルールは、McAfee DLP Endpoint および Device Control により使用され、機密データの不正な配布を 防止します。 ユーザーが機密データをコピーまたは添付しようとすると、McAfee DLP が介入し、データ保護ルー ルを使用して実行するアクションを決定します。 例: McAfee DLP Endpoint は、エンドユーザーの行為を停止させ てダイアログを表示します。 ユーザーは試みに対するジャスティフィケーションを入力して、処理を継続します。 McAfee Device Control は、リムーバブル ストレージ データ保護ルールのみを使用します。 14 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 1 McAfee DLP Endpoint の概要 McAfee DLP Endpoint および Device Control — エンドポイントのコンテンツとリムーバブル メディアの管理 Device Control ルール Device Control ルールにより、リムーバブル ストレージ デバイス、Bluetooth、Wi-Fi、およびその他のプラグ ア ンド プレイ デバイスなどの物理デバイスからの読み込みを監視し、必要に応じてブロックします。 Device Control ルールは、デバイス定義と対応の仕様で構成され、エンドユーザーグループでルールをフィルタリングすることによ って、特定のエンドユーザー グループに割り当てることができます。 検出ルール 検出 ルールは、McAfee DLP Endpoint および McAfee DLP Discover のファイルとデータのスキャンに使用され ます。 エンドポイント検出 は、管理されたコンピューター上で実行するクローラーです。 クローラーは、ローカル エンド ポイントのファイル システムと、ローカル電子メールの (キャッシュされた) 受信箱および PST ファイルをスキャ ンします。 ローカル ファイル システムおよび電子メール ストレージ検出ルールでは、コンテンツを隔離、タグ付 け、または暗号化するかどうかを定義します。 これらのルールは、分類されたファイルまたは電子メールをインシデ ントとしてレポートするかどうか、またファイルや電子メールをインシデントのエビデンスとして保存するかどうか も定義できます。 ファイル システム スキャンは、サーバー オペレーティング システムではサポートされていません。 McAfee DLP Discover は、リポジトリをスキャンしてファイルを移動またはコピーし、Rights Management ポリ シーをファイルに適用して、インシデントを作成します。 ルール セット ルールはルール セットに整理されます。 ルール セットは、任意のルール タイプの組み合わせを含むことができま す。 ポリシー ポリシーは、アクティブなルール セットを含み、McAfee ePO から McAfee DLP Endpoint クライアント ソフトウ ェアまたは Discovery サーバーから配備されます。 McAfee DLP Endpoint ポリシーも、ポリシー割り当て情報と 定義を含みます。 モニター 発生したポリシー違反のインシデントを確認します。 監視機能には以下が含まれます。 • インシデント管理 — インシデントは McAfee ePO イベント パーサーに送信されデータベースに保存されます。 インシデントには、違反の詳細が含まれ、オプションでエビデンス情報も含むことができます。 受信したインシ デントとエビデンスは、[DLP インシデント マネージャー] コンソールに表示できます。 • ケース管理 — 関連するインシデントをグループ化して[DLP ケース管理] コンソールで詳細を確認できます。 • 操作イベント — エラーと管理イベントを [DLP 操作] コンソールに表示します。 • エビデンスの収集 — エビデンスを収集するように設定されたルールでは、データまたはファイルのコピーが保存 されて個別のインシデントにリンクされます。 この情報は、イベントの重大度または暴露の決定に役立ちます。 エビデンスは、保存する前に AES アルゴリズムで暗号化されます。 • ヒット ハイライト — エビデンスは、インシデントの原因となったテキストのハイライトとともに保存できます。 ハイライトされたエビデンスは、別の暗号化された HTML ファイルとして保存されます。 • レポート — McAfee DLP Endpoint は、レポート、グラフ、およびトレンドを McAfee ePO ダッシュボードに 作成します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 15 1 McAfee DLP Endpoint の概要 製品モジュールとその相互作用 製品モジュールとその相互作用 McAfee DLP Endpoint は、5 つのモジュールで構成されています。 さらに、McAfee ePO、ポリシー カタログ、 サーバー タスク、サーバー設定、および権限セットを使用します。 McAfee DLP バージョン 10.0 には、ワークフローが再編成され使いやすくなっています。 ポリシー カタログ McAfee ePO ポリシー カタログ は、エンドポイント コンピューターに配備するポリシーを保存します。 [Data Loss Prevention 10.0] ポリシーは、このオプションを 製品 ドロップダウン リストで選択すると表示されます。 McAfee DLP ポリシーには、以下のコンポーネントがあります。 • DLP ポリシー — 有効なルール セット, エンドポイント検出スキャン、設定、および ポリシーの検証 のタブが含 まれます。 ルール セットの [検出] ルールは、McAfee DLP Endpoint と McAfee DLP Discover の両方が McAfee ePO にインストールされている場合に、エンドポイントまたはネットワークの検出スキャンに適用でき ます。 • Windows クライアントの設定 — Microsoft Windows エンドユーザー コンピューターの情報を含みます。 • Mac OS X クライアントの設定 — OS X エンドユーザー コンピューターの情報を含みます。 • サーバーの設定 — McAfee DLP Discover サーバーの設定を含みます。 表 1-2 クライアントの設定 設定 注 詳細設定 • Windows クライアント: エンドポイントとアクセス保護の設定 • OS X クライアント: 更新時にエージェント バイパスを停止します クリップボード保護 Microsoft Office クリップボードを有効にして、ホワイトリストに登録されたプロセスの 追加に使用します。 コンテンツ追跡 アプリケーション ファイル アクセス保護ルールの、テキスト抽出の設定とホワイトリスト に登録されたプロセスです。 会社の接続性 会社のサーバーと VPN サーバーのデータ保護オプションの設定に使用します。 デバッグとロギング • Windows クライアント: トラブルシューティング用にロギングとメモリ ダンプを設定 し、ログ チェックボックスを印刷します。 • OS X クライアント: ログ チェックボックスを印刷します。 検出 (エンドポイン ト) スキャンのパフォーマンス パラメーターと隔離された電子メールのプレフィックスを設定 します。 電子メールの保護 電子メール保護ルールとサードパーティ ソフトウェア統合の設定。 エビデンス コピー サ ービス エビデンス ストレージ共有、ファイル サイズ、およびエビデンス期間を設定します。 動作モードとモジュー • Windows クライアント: Device Control または McAfee DLP Endpoint のオペレー ル ション モードを設定し、アドインとハンドラーを有効化します。 • OS X クライアント: Device Control または McAfee DLP Endpoint for Mac; のオペ レーション モードを設定し、アドインとハンドラーを有効化します。 16 印刷防止 ホワイトリストに登録されたプロセスの追加に使用します。 隔離 隔離フォルダーを設定します。 リムーバブル ストレ ージ保護 リムーバブル ストレージの削除 モードを設定します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint の概要 製品モジュールとその相互作用 1 表 1-2 クライアントの設定 (続き) 設定 注 スクリーン キャプチ ャ防止 スクリーン キャプチャ アプリケーション サポートを追加します。 ユーザー インターフ ェース コンポーネン ト エンドポイント ユーザー インターフェースを定義します。 Web 送信保護 HTTP GET 要求の動作、Google Chrome バージョンのサポート、タイムアウト方針、お よびホワイトリストに登録された URL を設定します。 分類 分類 モジュールは、コンテンツ分類条件、コンテンツ フィンガープリント条件、およびこれらの設定に使用する定 義を保存します。 このモジュールは、登録された文書 リポジトリ、手動タグ付けのユーザー承認、および ホワイト リストに登録されたテキスト のセットアップにも使用されます。 分類は、データ保護とエンドポイント検出の設定、および McAfee DLP Discover 分類と修復スキャンに必要です。 DLP ポリシー マネージャー DLP ポリシー マネージャー モジュールは、ルール セット、ポリシー割り当て、および DLP ポリシーを作成する定 義を定義します。 DLP ルール セット は、データ保護、Device Control、および検出ルールを定義します。 ルール セットの各ルール は、3 タイプのルールをすべて含むことができます。 複数のルールを 1 つのルール セットに含めて、複数のルール セットを DLP ポリシーに割り当てることができます。 インシデント マネージャーと操作 DLP インシデント マネージャー モジュールは、ポリシー違反からセキュリティ イベントを表示します。 各エント リの詳細ページは、クライアントの設定および他の詳細に適用されるルールと分類を表示します。 DLP 操作 モジュ ールは、配備やポリシー更新などの管理イベントを表示します。 ケース管理 DLP ケース管理 モジュールを使用すると、インシデントに関する解決策のために、複数の管理者が協力することが できます。 多くの場合、単一のインシデントは分離されたイベントではありません。 共通のプロパティを共有する、あるいは互 いに関係のある DLP インシデント マネージャー に複数のインシデントが表示される場合があります。 これらの関 連するインシデントは、1 つのケースに割り当てることができます。 組織内の役割によっては、複数の管理者がケー スを監視し管理できます。 ワークフロー 以下のワークフローを使用して、ポリシーを作成しエンドポイント コンピューターに配備します。 1 分類とタグ付け条件、およびそれらを定義するのに必要な定義を作成します。 (定義は、条件の定義に必要となっ た時点で作成できます。) 2 データ保護、デバイス、検出ルール、およびそれらを定義するのに必要な定義を作成します。 データ保護と検出ルールには、分類の割り当てがルールの定義の一部として含まれています。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 17 1 McAfee DLP Endpoint の概要 クライアント ソフトウェアの動作 3 DLP ポリシーにルール セットを割り当てます。 DLP ポリシーに検出スキャン定義を作成します。 4 システム ツリー にポリシーを割り当てて配備します。 図 1-2 ワークフロー クライアント ソフトウェアの動作 McAfee DLP Endpoint クライアント ソフトウェア McAfee Agent プラグインとして配備され、McAfee DLP ポリ シーで定義されたポリシーを強制します。 McAfee DLP Endpoint クライアント ソフトウェアは、ユーザーの行動 を監査し、承認されていないユーザーによる機密データのコピーや移動を監視、制御および阻止します。 次に、 McAfee ePO イベント パーサーで記録されたイベントを生成します。 イベント パーサー McAfee DLP Endpoint クライアント ソフトウェアによって生成されるイベントは、McAfee ePO イベント パーサ ーに送信され、McAfee ePO データベースのテーブルに記録されます。 イベントは詳細な分析のためにデータベー スに保存され、他のシステム コンポーネントで使用されます。 オンライン/オフライン操作 管理対象のコンピューターがオンライン (社内ネットワークに接続) またはオフライン (社内ネットワークから切断) であるかによって、異なる保護ルールを適用できます。 いくつかのルールにより、ネットワーク内にあるコンピュー ターと VPN により接続されているコンピューターを区別することができます。 18 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint の概要 クライアント ソフトウェアの動作 1 Microsoft Windows プラットフォーム上の McAfee DLP Endpoint Windows ベースのコンピューターは、McAfee Device Control または McAfee DLP Endpoint で保護できます。 McAfee DLP Endpoint クライアント ソフトウェアは、高度な検出技術である、テキスト パターン認識と事前定義 されたディクショナリを使用します。 これは機密コンテンツを識別して、コントロールの追加レイヤーに、デバイス 管理と暗号化を組み込みます。 Information Rights Management (IRM) ソフトウェアは、暗号化とアクセス権限の管理を使用して機密ファイル を保護します。 McAfee DLP Endpoint は、Microsoft Rights Management Service (RMS) および Seclore FileSecure を、補完的な方法としてサポートします。 一般的な使用目的は、IRM 保護されていないファイルのコピ ーを防止することです。 分類ソフトウェアは、電子メールと他のファイルが一貫性をもって分類され、ラベルにより保護されていることを確 認します。 McAfee DLP Endpoint は、Titus Message Classification および Boldon James Email Classifier for Microsoft Outlook と統合して、適用される分類に基いて、電子メール保護ルールを作成します。 これは、Titus SDK により他の Titus 分類クライアントと統合して、適用される Titus 分類に基いて他の保護ルールを作成します。 スクリーン リーダーのサポート 視覚障害者のために広く使用されるスクリーン リーダー ソフトウェア Job Access With Sound (JAWS) は、エン ドポイント コンピュータでサポートされています。 以下の McAfee DLP Endpoint 機能がサポートされています。 • エンドユーザー通知ポップアップ — ポップアップ ダイアログが (DLP ポリシー マネージャーで) 手動で閉じる ように設定されていると、ダイアログがテキストが読み上げられて、視覚障害者がボタンとリンクに移動できま す。 • エンドユーザー ジャスティフィケーション ダイアログ — コンボ ボックスがタブ キーでアクセスでき、ジャス ティフィケーションを矢印キーで選択できます。 • エンドユーザー コンソール通知履歴 タブ — タブが選択されると、JAWS が「通知履歴タブが選択されました」 と読み上げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。 • エンドユーザー コンソール検出 タブ — タブが選択されると、JAWS が「検出タブが選択されました」と読み上 げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。 • エンドユーザー コンソール タスク タブ — タブが選択されると、JAWS が「タスク タブが選択されました」と 読み上げます。 すべての手順はタブ キーでアクセス可能で、適切な指示が読み上げられます。 • エンドユーザー コンソール詳細 タブ — タブが選択されると、JAWS が「説明タブが選択されました」と読み上 げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。 複数のユーザー セッション McAfee DLP Endpoint クライアント ソフトウェアは、複数のユーザー セッションの簡易切り替え (FUS) を、FSU をサポートする Windows オペレーティング システムでサポートしています。 仮想デスクトップのサポートは、単 一のホスト コンピューター上の複数のユーザー セッションに及びます。 エンドポイント コンソール エンドポイント コンソールは、ユーザーと情報を共有し、問題の自己修復を可能にするように設計されています。 これは、クライアントの設定 、 ユーザー インターフェース サービス タブで設定します。 Windows ベースのコンピューターでは、システム トレイのアイコンから、管理機能 、 DLP Endpoint コンソール を選択してコンソールを有効にします。 完全に設定されていると、3 つのタブ ページがあります。 • 通知履歴 — 集約されたイベントの詳細を含むイベントを表示します。 • 検出 — 検出スキャンの詳細を表示します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 19 1 McAfee DLP Endpoint の概要 クライアント ソフトウェアの動作 • タスク — ID コードを生成して、エージェント バイパスと隔離のリリース コードを入力します。 • 説明 — エージェントのステータスの情報、有効なポリシー、設定、およびコンピューターの割り当てグループ と、リビジョン ID 番号を含めて表示します。 OS X プラットフォーム上の McAfee DLP Endpoint McAfee DLP Endpoint for Mac は、リムーバブル デバイスの不正な使用を防止し、エンドポイント コンピュータ ーとネットワーク共有の機密コンテンツを保護します。 McAfee DLP Endpoint for Mac は、リムーバブル ストレージとプラグ アンド プレイデバイスのルールをサポート します。 これはまた、次のデータ保護ルールもサポートします。 • ネットワーク共有の保護ルール • リムーバブル ストレージ保護ルール • アプリケーション ファイル アクセス保護ルール 機密コンテンツは、Windows ベースのコンピューター上で分類により特定できますが、登録済み文書、およびタグ 付けはサポートされていません。 手動分類は認識されますが、設定するオプションまたはユーザー インターフェー スに表示するオプションはありません。 テキスト抽出がサポートされており、これらはエビデンス暗号化とビジネス ジャスティフィケーションの定義です。 エンドポイント コンソール Mac エンドポイントでは、コンソールはステータス バーの McAfee 小メニューから有効にします。 ダッシュボード は、インストールされた McAfee などの他の McAfee VirusScan for Mac ソフトウェアに統合され、インストー ルされたすべての McAfee ソフトウェアの概要を表示します。 イベント ログ ページには、最近の McAfee ソフト ウェア イベントが表示されます。 詳細を表示するエントリをクリックします。 ® ® 図 1-3 McAfee DLP Endpoint for Mac エンドポイントの表示 エージェント バイパス画面を有効にするには、小メニュー から 基本設定 を選択します。 20 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 配備とインストール 環境に最も適合する配備オプションを決定し、次に、社内のコンピュータにソフトウェ アをインストールし、McAfee DLP Endpoint クライアントを配備します。 第2章 第3章 第4章 配備オプションとシナリオ McAfee DLP Endpoint および Device Control ソフトウェアのインストール クライアント ソフトウェアとポリシーの配備 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 21 配備とインストール 22 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 2 配備オプションとシナリオ 企業の情報を複数のデータ漏えい防止カテゴリに分類することは、McAfee Data Loss Prevention Endpoint ソフ トウェアの配備および管理において重要なステップとなります。 目次 配備の計画 システム要件 配備の計画 理想的なスキーマは、各企業の目標やニーズによって異なり、各インストールで独自のものです。 それらのニーズを満たす方法を決定するための最初のステップは、McAfee Device Control と完全版の McAfee DLP Endpoint という 2 つの DLP オプションのどちらを使用するかを選択することです。 ベスト プラクティス: サンプル グループへの配備 事前に特有のニーズを正確に把握することは難しいため、1 か月間のトライアル期間に 15 人から -20 人のユーザー からなるサンプル グループに初期配備します。 このトライアル期間中、データは分類されず、ポリシーはデータの やり取りを監視するために作成され、ブロック目的では作成されません。 データの監視は、企業データの分類場所や 分類方法を決定する上で非常に有用です。 実際に企業全体に配備する前に、この情報から作成したポリシーを、さら に大きなテスト グループ(または大企業の場合は複数の大きなグループ)でテストします。 インストール McAfee DLP ポリシーのデザインと監視ソフトウェアは、McAfee ePO にインストールされます。 単純なインスト ールでは、Microsoft SQL Server がインストールされた 1 台の McAfee ePO サーバーが使用されますが、規模が より大きい企業では、複数のサーバーのインストールまたはクラスター環境も使用できます。 McAfee DLP Endpoint クライアント ソフトウェアは、Device Control または完全な McAfee DLP Endpoint のい ずれかのバージョンの Microsoft Windows サーバー、ワークステーション、およびラップトップに配備されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 23 2 配備オプションとシナリオ 配備の計画 McAfee DLP Endpoint および Device Control オプション 単純な McAfee DLP Endpoint の実装に推奨されるインストール先は、1 台の McAfee ePO サーバーです。 より複雑なインストールにおける McAfee ePO データベースに別のサーバーを使用するかどうかの推奨について は、 『McAfee ePolicy Orchestrator Hardware Sizing and Bandwidth Usage Guide (ハードウェアのサイジング と帯域幅の使用に関するガイド)』 を参照してください。 図 2-1 McAfee DLP Endpoint コンポーネントと関係 推奨アーキテクチャには以下のものがあります。 • 24 McAfee ePO サーバー — 組み込みの McAfee DLP Endpoint、インシデント マネージャー、および操作コン ソールのホスティングと、エンドポイント コンピューター上の McAfee Agent ソフトウェアとの通信 • McAfee ePO イベント パーサー — McAfee Agent と通信し、イベント情報をデータベースに保存します。 • DLP イベント パーサー — McAfee DLP Endpoint イベント パーサーから McAfee ePO イベントを収集 し、これらを SQL データベースの DLP テーブルに保存します。 • ePO データベース — McAfee ePO ポリシー ディストリビュータと通信してポリシーを配布し、DLP イベン ト パーサーと通信してイベントおよびエビデンスを収集します。 • 管理者のワークステーション — ブラウザーで McAfee ePO および McAfee DLP Endpoint ポリシー コンソー ルにアクセスします。 • 管理対象のエンドポイント — 以下のソフトウェアを使用してセキュリティ ポリシーを適用します。 • McAfee DLP Endpoint クライアント — McAfee Agent ポリシーとプロセスを提供する McAfee DLP Endpoint プラグイン • McAfee Agent — McAfee ePO サーバーと McAfee DLP Endpoint クライアント ソフトウェアの間の通 信チャネルを提供します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 配備オプションとシナリオ システム要件 2 McAfee DLP Endpoint の Citrix 環境での配備 McAfee DLP Endpoint for Windows は、XenApp および XenDesktop の Citrix コントローラーにインストール できます。 McAfee DLP Endpoint for Windows の Citrix 環境での使用には、以下の要件があります。 • Citrix XenApp 6.5 FP2、または 7.8 • Citrix XenDesktop 7.0、7.5、または 7.8 McAfee Agent および McAfee DLP Endpoint クライアントを Citrix コントローラーに任意のエンドポイントとい て配備します。 McAfee DLP Endpoint for Windows クライアント ポリシーを Citrix コントローラーに配備しま す。 McAfee DLP Endpoint クライアントは、Citrix で動作するエンドポイントには配備する必要はありません。 Citrix Receiver 4.4.1000 が必要なすべてです。 Windows エンドポイントが Citrix コントローラーに接続し、ファイル または電子メールが開かれると、ルールが強制されます。 仕組み Citrix の保護ルールは、会社のコンピューターにインストールされた McAfee DLP Endpoint とは以下の点で異なっ ています。 • Citrix Device Rules は、別のコントロール サーバーを XenApp 7.8 で使用している場合は、サポートされませ ん。 • スクリーン キャプチャ防止ルールはサポートされていません。 これは、ルールが機能しないエンドポイント コ ンピューターからスクリーン キャプチャが起動されるためです。 スクリーン キャプチャ防止では、McAfee DLP Endpoint クライアントをエンドポイント コンピューターにインストールします。 • クリップボード保護ルールはサポートされていますが、ポップアップ通知やイベントはありません。 これは、ル ールがサポートされている Citrix コントローラーでコピー操作が実行されますが、貼り付け操作が別のエンドポ イントで実行されるため、ポップアップの表示またはイベントの生成ができないためです。 これらの制限は、RDP を使用して Citrix コントローラーに接続する場合は適用されません。 システム要件 各 McAfee DLP 製品には、それぞれの要件があります。 McAfee DLP Endpoint のシステム要件の一覧は、『McAfee Data Loss Prevention Endpoint リリース ノート』 を参照してください。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 25 2 配備オプションとシナリオ システム要件 26 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 3 McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP Endpoint コンソールは、McAfee ePO に完全に統合されます。 McAfee DLP Endpoint クライアン トは、McAfee ePO によって社内のコンピューターに配備されます。 目次 McAfee DLP 拡張ファイルのインストールとライセンス McAfee DLP Endpoint および Device Control クライアント ソフトウェアのインストール McAfee DLP 拡張ファイルのインストールとライセンス 拡張ファイルは、McAfee DLP を McAfee ePO に設定するためのユーザー インターフェースを提供します。 開始する前に • McAfee DLP 拡張ファイルを McAfee ダウンロード サイトからダウンロードします。 または、McAfee ePO で、[メニュー | ソフトウェア | ソフトウェア マネージャー] に移動して、ソ フトウェアを表示、ダウンロード、インストールすることができます。 • Internet Explorer のセキュリティ設定の信頼済みサイトに McAfee ePO サーバー名が一覧表示さ れていることを確認します。 すくなくとも 1 つのライセンスを入力する必要があります。複数の McAfee DLP 製品がある場合は複数のライセン スが必要です。 入力するライセンスにより、McAfee ePO で利用可能なオプションが決まります。 McAfee DLP Endpoint または Device Control のライセンスを McAfee DLP Endpoint フィールドに入力すること ができます。 ライセンスの種類を変更すると、構成が変更されます。 以下の製品のキーを入力できます。 • McAfee DLP Endpoint または Device Control McAfee DLP Endpoint または Device Control のライセンスを McAfee DLP Endpoint フィールドに入力する ことができます。 ライセンスの種類を変更すると、構成が変更されます。 • McAfee DLP Discover • McAfee DLP (ネットワーク) バージョン 9.3.4 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 27 3 McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP 拡張ファイルのインストールとライセンス タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [拡張ファイル] を選択して、[拡張ファイルのインストール] をクリックします。 2 拡張ファイルの .zip ファイルを参照して、[OK] をクリックします。 インストール ダイアログ ボックスにファイル パラメータが表示されるので、正しい拡張ファイルがインストー ルされていることを確認します。 3 [OK] をクリックします。 拡張ファイルがインストールされます。 4 ライセンスとコンポーネントをインストールして、インストールをカスタマイズします。 ライセンスをインストールすると、関連する McAfee ePO コンポーネントと McAfee ePO ポリシー カタログの ポリシーが有効になります。 お持ちのライセンスにより、利用可能な McAfee DLP の機能が決まります。 5 a [メニュー] 、 [データ保護] 、 [DLP 設定] の順に選択します。 b 追加する各ライセンスについて、[ライセンス キー] 、 [キー] フィールドに、ライセンスを入力して、[追加] をクリックします。 [デフォルトのエビデンス ストレージ] フィールドに、パスを入力します。 エビデンス ストレージ パスは、\\[サーバー]\[共有] の形式のネットワークパスです。 この手順は、設定を保存 してソフトウェアを有効にするのに必要です。 6 (オプション) ページのその他の設定を編集します。 その他の設定にはデフォルト設定があります。 デフォルト設定を使用してページを保存するか、必要に応じて編 集できます。 a 共有パスワードの設定。 ベスト プラクティス: セキュリティを改善するために、パスワードは変更してください。 b 後方互換性を設定します。 古いクライアントの互換性のためには、[9.4.0.0] または [9.4.200.0] の互換性を選択します。 この設定に より、新しい機能の使用が制限される場合があります。 厳密と非厳密の 2 つのモードの互換性が利用できます。 厳密モードでは、後方互換性エラーのポリシーは適 用されません。 非厳密モードでは、ポリシー所有者または管理者権限のあるユーザーは、後方互換性エラー に適用するポリシーを選択できます。 c チャレンジ応答キーの長さの設定。 オプションは、8 文字と 16 文字のキーです。 d システム ツリー権限の設定。 システム ツリーのアクセス権限は、インシデント、イベント、クエリー、およびダッシュボードの情報のフ ィルタリングに使用できます。 e [インシデント管理]イベントの製品表示オプションを選択します。 f [ケース管理] 電子メールオプションを選択します。 g カスタマイズされたイベント タイム ゾーンを設定します。 カスタマイズされたイベント タイム ゾーンを使用すると、管理者がローカル タイム ゾーンを使用してイベ ントを管理できます。 設定には、UTC 時間からのオフセットを使用します。 28 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP 拡張ファイルのインストールとライセンス 3 7 [保存] をクリックします。 8 設定をバックアップするには、[バックアップとリストア] タブをクリックして、[ファイルをバックアップ] をク リックします。 McAfee DLP モジュールは、ライセンスに従って [メニュー] 、 [データ保護] に表示されます。 タスク • 29 ページの「後方互換性の適用」 後方互換性ポリシーを作成して古いクライアントを実行しているコンピューターに適用できます。 これ により、大企業に古いアップグレード パスを提供して、新しい拡張機能を古いクライアント バージョン に使用できます。 • 30 ページの「ポリシーと移行データの変換」 9.4.100 以前のバージョンから McAfee DLP 10.0 へのアップグレードには、インシデント、操作イベ ント、またはポリシーの移行が必要です。 McAfee ePO サーバー タスクは、変換/移行に使用されま す。 関連トピック: 29 ページの「後方互換性の適用」 47 ページの「エビデンス フォルダーの作成」 後方互換性の適用 後方互換性ポリシーを作成して古いクライアントを実行しているコンピューターに適用できます。 これにより、大企 業に古いアップグレード パスを提供して、新しい拡張機能を古いクライアント バージョンに使用できます。 後方互換性は、McAfee DLP 9.4.0 移行のポリシーでサポートされています。 このオプションは、DLP 設定ページ ([メニュー] 、 [データ保護] 、 [DLP 設定]) に表示されます。 後方互換性は、McAfee DLP 9.3 ポリシーをサポー トしていません。 9.4.0 より古いバージョンのポリシーは、9.4 スキーマに移行する必要があります。 9.4.0.0 互換性オプションを非厳密モードで選択すると、このバージョンでサポートされていないルール オプション を選択するとエラーが発生します。 厳密モードを強制すると、McAfee ePO データベースにポリシーを適用する場 合、そのようなポリシーは失敗します。 非厳密モードを強制し、ポリシーに互換性エラーがない場合は、ポリシーの 適用時に警告ウィンドウが表示されます。 チェックボックスを選択すると、エラーのあるポリシーを適用します。 エラーは、有効な DLP ポリシー 、 ポリシ ーの検証 ページのポリシー カタログに表示されます。 このページの 詳細 列には、この機能をサポートしていない エンドポイント クライアントに、エラーのあるルールを適用すると、何が発生するかという説明が含まれています。 このページからルールを編集してエラーを修正できます。 例 – デバイスの説明 McAfee DLP バージョン 9.4.200 および 10.0 のデバイス定義には、旧バージョンでは利用できなか った デバイスの説明 という名前のパラメーターがあります。 デバイスの説明を使用してデバイス定義 を定義し、その定義を Device Control ルールに含めると、9.4.0 クライアントに矯正できないルール セットが作成されます。 警告を無視してポリシーを受け入れると、エラーが [ポリシーの検証] ページ に表示されます。 詳細 フィールドには、「一致検索を実行して、一致することを意図していないデバイ スに対して対応を実行する」エラーが説明されます。 編集 をクリックしてエラーを修正できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 29 3 McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP 拡張ファイルのインストールとライセンス 関連トピック: 30 ページの「ポリシーと移行データの変換」 ポリシーと移行データの変換 9.4.100 以前のバージョンから McAfee DLP 10.0 へのアップグレードには、インシデント、操作イベント、または ポリシーの移行が必要です。 McAfee ePO サーバー タスクは、変換/移行に使用されます。 開始する前に このタスクは McAfee DLP Endpoint 9.3.x からのアップグレードを説明します。 McAfee DLP Endpoint 9.4.0 から直接アップグレードできます。 後方互換性を設定して、9.4.0 クラ イアントをサポートできますが、古いインシデントと操作イベントをバージョン 10.0 [DLP インシデン ト マネージャー] または [DLP 操作] コンソールに表示するには、[DLP インシデント イベントの 9.4 から 9.4.1 以上の]サーバー タスクへの変換が必要です。 McAfee DLP Endpoint 拡張ファイルをバージョン 9.3.600 (9.3 Patch 6) 以降にアップグレードし て、次に McAfee DLP 9.4.100 以降を McAfee ePO にインストールします。 ポリシー変換タスクは、有効にされデータベースに適用されたルールのみを変換します。 変換するルー ルのステータスを確認するには、McAfee DLP Endpoint 9.3 ポリシーを変更する前に確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。 2 [DLP ポリシーの変換] を選択して、次に [アクション] 、 [実行] をクリックします。 サーバー タスク ログ ページが開き、タスクが実行されていることを確認できます。 変換されたポリシーは、バ ージョン 9.4.100 以降のポリシーと互換性があります。 タスクは、前に実行されたことがあると失敗します。 McAfee DLP 9.3 ポリシーに変更を加え、変換を再実行す るには、[アクション] ページの [[9.3] ポリシー変換ルール セットが存在する場合はポリシーの変換を実行しな い] の選択を解除してサーバー タスクを編集します。 以前のルール セットが削除されて置き換えられます。 3 [サーバー タスク] ページに戻り、[DLP インシデントの移行] を選択して、[アクション] 、 [編集] をクリック します。 [DLP 操作イベントの移行] も同じ方法で実行できます。 4 [スケジュール ステータス] 、 [有効] を選択して、[次へ] を 2 回クリックします。 移行が事前にプログラムされるため、[アクション] ページはスキップできます。 5 スケジュール タイプと回数を選択します。 ベスト プラクティス: プロセッサーにかかる負荷を考慮して、移行タスクを週末または休日にスケジュールするこ とをお奨めします。 a 開始日と終了日を設定し、期間を定義して、タスクを毎時にスケジュールします。 b 移行するインシデント データベースのサイズに応じて、タスクの反復をスケジュールします。 インシデントは、200,000 件単位でまとめて移行されます。 6 30 [次へ] をクリックして設定を確認し、[保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP Endpoint および Device Control クライアント ソフトウェアのインストール 3 McAfee DLP Endpoint および Device Control クライアント ソフトウェ アのインストール McAfee ePO を使用して、クライアント ソフトウェアをエンドポイント コンピューターに配備します。 McAfee DLP Endpoint 10.0 クライアント ソフトウェアのクリーン インストールには、エンドポイントの再起動は 必要ありません。 クライアントを以前のバージョンからアップグレードする場合は、インストール後にエンドポイン ト コンピューターを再起動する必要があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順に選択します。 2 マスター リポジトリで、[パッケージをチェックイン] をクリックします。 3 パッケージ タイプで、[製品またはアップデート (.ZIP)] を選択します。 [参照] をクリックします。 Microsoft Windows クライアントは、...\HDLP_Agent_10_0_0_xxx.zip を参照します。 Mac クライアント は、...\DlpAgentInstaller.zip を参照します。 4 [次へ] をクリックします。 5 [パッケージのチェックイン] ページの詳細を確認して、[保存] をクリックします。 パッケージが [マスター リポジトリ] に追加されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 31 3 McAfee DLP Endpoint および Device Control ソフトウェアのインストール McAfee DLP Endpoint および Device Control クライアント ソフトウェアのインストール 32 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 4 クライアント ソフトウェアとポリシーの配備 McAfee DLP ポリシーは、エンドポイント コンピューター上の McAfee Agent により強制されます。 最初の手順は、エンドポイントへの McAfee DLP Endpoint クライアント ソフトウェア、McAfee Agent プラグイ ンの配備です。 ベスト プラクティス: McAfee ePO をクライアントの配備に使用します。 McAfee ePO 配備が不可能な場合は、手動 配備が可能です。 目次 McAfee ePO を使用した McAfee DLP Endpoint クライアントの配備 インストールの確認 McAfee ePO によるポリシーの配備 McAfee ePO を使用した McAfee DLP Endpoint クライアントの配備 ポリシーを適用する前に、McAfee DLP Endpoint クライアントが McAfee ePO によってエンドポイント コンピュ ーターに配備される必要があります。 開始する前に 現在のバージョンの McAfee Agent が McAfee ePO にインストールされ、McAfee DLP Endpoint が 配備される前に、ターゲット コンピューターに配備される必要があります。 Microsoft Windows およ び Mac OS X エンドポイント コンピューターでサポートされる McAfee Agent バージョンについて は、『McAfee Data Loss Prevention Endpoint リリース ノート』 を参照してください。 バージョンの確認方法およびインストール方法については、必要に応じて、McAfee ePO のマニュアル を参照してください。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [システム ツリー] の順に選択します。 2 [システム ツリー]で、McAfee DLP Endpoint を配備するレベルを選択します。 レベルを [My Organization] のままにすると、McAfee ePO によって管理されるすべてのワークステーションに 配備されます。 [My Organization] の下のレベルを選択すると、右パネルに使用可能なワークステーションが表示されます。 McAfee DLP Endpoint を個々のワークステーションに配備することもできます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 33 4 クライアント ソフトウェアとポリシーの配備 インストールの確認 3 [クライアント タスク ビルダー] ウィザードを開いて、[割り当て済みクライアント タスク] タブをクリックしま す。 [アクション] [新規クライアント タスクの割り当て] の順に選択します。 [クライアント タスク ビルダー] ウィザードが開きます。 4 タスク ビルダー フィールドに入力します。 • [製品] フィールドで、[McAfee Agent] を選択します。 • [タスク タイプ] フィールドで、[製品配備] を選択します。 5 [タスクの新規作成] をクリックします。 6 [製品とコンポーネント] フィールドで、[Data Loss Prevention 9.4] を選択します。 [アクション] フィールド は、自動的に [インストール] にリセットされます。 [保存] をクリックします。 7 [スケジュール タイプ] を [すぐに実行] に変更します。 [次へ] をクリックします。 8 タスク サマリーを確認します。 正しいことを確認したら、[保存] をクリックします。 このタスクは、次回 McAfee Agent がポリシーをアップデートするときに実行されるようスケジュールされます。 インストールを 直ちに強制実行するには、エージェント ウェークアップ コールを発行します。 9 McAfee DLP Endpoint が配備された後、管理対象のコンピューターを再起動します。 インストールの確認 McAfee DLP Endpoint ソフトウェアのインストール後に、[DLP 操作] コンソールでインストールを確認する必要 があります。 タスク 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP 操作] の順に選択します。 詳細を表示するイベントをク リックします。 図 4-1 DLP 操作の詳細ペイン 2 34 エンドポイント コンピューターの McAfee DLP Endpoint システム トレイ アイコンで [説明] を選択して McAfee Agent クライアント ソフトウェアのインストールを確認します。 McAfee DLP Endpoint の情報をス クロールします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド クライアント ソフトウェアとポリシーの配備 McAfee ePO によるポリシーの配備 4 McAfee ePO によるポリシーの配備 McAfee DLP Endpoint ポリシーには、ルール セット、分類、定義、およびクライアントとサーバーの設定が含まれ ます。 McAfee DLP Endpoint は以下のポリシーで機能します。 • DLP ポリシー • クライアントの設定 これらのポリシーのそれぞれには、リビジョン番号 1 が割り当てられ、この番号はポリシーが変更される際に増加し ます。 リビジョン番号は、トラブルシューティング プロセスのサポートに重要で、ポリシーの変更が実際のエンド ポイント コンピューターに確実に適用されるようにします。 これは、クライアント バイパスやアンインストール キ ーの要求時にも使用されます。 クライアント コンピューターの DLP Endpoint コンソールには、現在のポリシーの リビジョン番号が表示されます。 ポリシーを適用する前に、次のことを確認してください。 • すべての設定が正しく設定されていること。 • すべてのルールが有効になっていること。 • エンドユーザー グループ (必要な場合) が各ルールに割り当てられているか。 ポリシーまたはクライアントの設定の割り当て McAfee ePO に適用されたポリシーを使用するには、管理されたコンピューターにそれを割り当て、配備する必要が あります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [システム ツリー] の順に選択します。 2 ポリシーを割り当てるコンピューターが含まれるディレクトリを検索し、選択します。 3 [アクション] 、 [エージェント] 、 [ウェークアップ エージェント]を選択します。 4 [エージェント ウェークアップ コール]を選択し、[ランダム化]を 0 分に設定します。 [OK] をクリックします。 5 エージェント ウェークアップ コールが完了すると、システム ツリーに戻ります。 ポリシーを割り当てるコンピ ューターを再び選択し、[アクション] 、 [エージェント] 、 [ポリシーの設定と継承] の順にクリックします。 6 [ポリシーの割り当て] ページで: 7 a [製品] リストから、[Data Loss Prevention [version]] を選択します。 b ドロップダウン [カテゴリ] リストから、割り当てるポリシー: [DLP Policy]、[Windows クライアント設 定]、または [Mac OS X クライアント設定] を選択します。 c ドロップダウン [ポリシー] リストから、割り当てるポリシーを選択します。 [継承を無効にする] オプションをクリックして、[保存] をクリックします。 ポリシーの更新 システム ポリシーの配備は McAfee ePO サーバーに依存するため、管理されたコンピューターでのポリシーの更新 は McAfee Agent の設定に従って実行されます。 ただし、スケジュールされた更新を待たずに McAfee ePO を更 新することができます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 35 4 クライアント ソフトウェアとポリシーの配備 McAfee ePO によるポリシーの配備 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [システム ツリー] を選択して、更新する単一または複数のコンピューターを選 択します。 2 [その他のアクション] 、 [エージェント ウェークアップ] の順にクリックします。 3 ウェークアップ コールのタイプを選択し、[ランダム化] を 0 分に設定します。 [OK] をクリックします。 ポリシーは McAfee ePO サーバーのスケジュールに基づいて更新されます。 管理されたコンピューターのユー ザーは特に指示がない限り、手動でポリシーを更新しないでください。 36 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 設定と使用 保護対象のコンテンツとその最良の保護方法の管理上の判断に基づいて、企業環境で最 適に使用するためにソフトウェアを設定します。 第5章 第6章 第7章 第8章 第9章 第 10 章 システム コンポーネントの設定 リムーバブル メディアの保護 機密コンテンツの分類 ポリシーに関する操作 機密コンテンツの保護 McAfee DLP Endpoint 検出によるデータのスキャン McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 37 設定と使用 38 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 5 システム コンポーネントの設定 システム コンポーネントは、企業のニーズに合わせてカスタマイズできます。 エージェントおよびシステムのオプ ションを設定してシステムをカスタマイズし、企業の機密情報を効果的に保護します。 目次 ポリシー カタログ ポリシー カタログの McAfee DLP の設定 権限管理によるファイルの保護 イベントをエビデンス付きで記録 ユーザーと権限セットの割り当ての制御 手動分類の設定 ポリシー カタログ McAfee ePO [ポリシー カタログ]は、以下の McAfee DLP ポリシー設定を表示します。 • DLP ポリシー — ポリシーに割り当てられた[有効なルール セット]、スケジュールされた[エンドポイント検出] スキャン、アプリケーション方針、デバイス クラスの上書き、特権ユーザー、および [ポリシーの検証] の[設 定]を含みます。 • サーバーの設定 — McAfee DLP Discover の設定を含みます。 エビデンスのコピー サービスとロギング オプ ション、Rights Management と SharePoint の設定、テキスト抽出オプションの設定が可能です。 サーバーの設定は、McAfee DLP Discover ライセンスが登録されている場合にのみ表示されます。 • クライアント設定 — Windows および OS X コンピューターの別の設定には、McAfee DLP Endpoint クライア ントの設定が含まれます。 設定により、クライアントが McAfee DLP ポリシーをエンドポイント コンピュータ ーにどのように適用するかを決定します。 ポリシー カタログの McAfee DLP の設定 McAfee DLP は、McAfee ePO ポリシー カタログを使用して、ポリシーとクライアントの設定を保存します。 McAfee DLP は、McAfee ePO ポリシー カタログにポリシーを作成します。 • DLP ポリシー • サーバーの設定 • クライアントの設定 [DLP ポリシー] は、[アクティブ ルール セット]、[エンドポイント検出] の設定、[設定]、およびポリシーの[検証] で構成されています。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 39 5 システム コンポーネントの設定 ポリシー カタログの McAfee DLP の設定 [サーバーの設定] ポリシーでは、McAfee Data Loss Prevention Discover の[エビデンス コピー サービス] を有 効にし、エビデンス ストレージ共有のパスを入力します。 ここでは、[ロギング] パラメーター — ロガーの出力タ イプとログ レベルも設定します。 クライアントの設定 ポリシーには、エンドポイント コンピューターによるポリシーの扱い設定が含まれています。 McAfee DLP Endpoint 設定のインポートまたはエクスポート ポリシーの設定は、HTML 形式でバックアップのために保存するか、ポリシーを McAfee ePO サーバーに転送する ことができます。 この手順は、DLP ポリシー設定の保存に使用しないでください。 [エクスポート] オプションはファイルを保存します が、[インポート] は失敗します。 DLP ポリシーの保存には、[DLP 設定] ページの [バックアップとリストア] を使用 します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[ポリシー カタログ] 、 [製品] 、 [Data Loss Prevention] の順に選択します。 2 以下のいずれかを実行します。 • エクスポートするには、[エクスポート] をクリックします。 [エクスポート] ウィンドウで、ファイル リンク を右クリックし、[リンクに名前を付けて保存] を選択します。 [エクスポート] ボタンは、すべてのポリシーをエクスポートします。 個別のポリシーは、ポリシー名の行の [アクション列] の [エクスポート] を選択してエクスポートできます。 • 保存されたポリシーをインポートするには、[インポート] をクリックします。 [ポリシーのインポート] ウィ ンドウで、保存されたポリシーを参照して、[開く] をクリックしてから [OK] をクリックします。 インポート ウィンドウが開き、インポートしようとしているポリシーと、名前の重複の有無が表示されます。 重複するポリシーは、選択解除することによりインポートしないようにできます。 名前が重複するポリシー を選択した場合は、既存のポリシーが上書きされて割り当てを継続します。 クライアントの設定 McAfee DLP Endpoint 用の McAfee Agent クライアント ソフトウェアは、企業のコンピューター内に常駐し、定 義されたポリシーを実行します。 また、このソフトウェアは、機密コンテンツに関連するユーザーのアクティビティ を監視します。 クライアントの設定は、管理されたコンピューターに配備されたポリシー内に保存されています。 ポリシー カタログ は、Windows および OS X のエンドポイント構成と DLP ポリシーの McAfee デフォルト ポリシ ーに含まれています。 ([アクション] 列にある) [複製] をクリックして、独自のポリシー用の編集可能なコピーを作成 します。 クライアントの設定は、McAfee ePO により管理されたコンピューターに配備されたポリシー内に保存されていま す。 設定が更新されたら、ポリシーを再配備する必要があります。 クライアント サービスのウォッチドッグ 不正な干渉が発生した場合でも、McAfee DLP Endpoint ソフトウェアの正常な動作を維持するため、McAfee DLP Endpoint はクライアント サービスのウォッチドッグと呼ばれる保護サービスを実行します。 このサービスは、 McAfee DLP Endpoint ソフトウェアを監視し、何らかの理由でこのソフトウェアが停止した場合はこれを再起動し 40 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 5 システム コンポーネントの設定 ポリシー カタログの McAfee DLP の設定 ます。 このサービスはデフォルトで有効になっています。 これが実行中であることを確認するには、Microsoft Windows のタスク マネージャーのプロセスで fcagswd.exe という名前のサービスが実行中であるかどうか確認 します。 クライアント サービス WatchDog は、McAfee DLP Endpoint for Mac ではサポートされていません。 クライアントの設定 クライアントの設定は、エンドポイント ソフトウェアの動作を決定します。 多くのクライアント設定の構成項目に は適切なデフォルトが設定されており、初期のセットアプとテストでは変更なしに使用できます。 ベスト プラクティス: クライアントの構成設定が要件を満たしているか確認するには、定期的にレビューしてくださ い。 以下の表示に、確認する必要のある重要な設定を一覧表示します。 表 5-1 エンドポイント設定 設定 詳細 説明 [詳細設定] Microsoft Windows クライアント: [DLP クライアントをセーフ モードで実行] デフォルトで無効。 これを有効にすると、コンピューターがセーフ モードで起動されたときに McAfee DLP Endpoint が完全に機能し ます。 McAfee DLP Endpoint クライアントが起動に失敗する場合 は、復旧メカニズムが存在します。 [コンテンツ追跡] [次のフォールバック 言語が設定されていない場合は、エンドポイント コンピューターの ANSI コード ページを フォールバックがデフォルト言語です。 使用] [会社の接続性] [ホワイトリストに登 録されたプロセス] プロセスと拡張ファイルをホワイトリストに追加します。 [会社のネットワーク の検出] 会社のネットワークまたは外部ネットワークのエンドポイント コン ピューターに異なる防止アクションを適用できます。 ルールによっ ては、VPN に接続されている場合に異なる防止アクションを適用で きます。VPN オプションを使用するには、あるいは McAfee ePO へ の接続ではなく会社のサーバーによってネットワーク接続を判断す るには、関連するセクションのサーバーの IP アドレスを設定しま す。 [会社の VPN 検出] [電子メールの保護] [電子メールのキャッ シュ] [電子メール処理 API] 送信メールは、Outlook オブジェクト モデル (OOM) またはメッセ ージング アプリケーション プログラミング インターフェース (MAPI) のいずれかによって処理されます。 OOM がデフォルトの API ですが、設定によっては MAPI が必要です。 [Outlook サードパー ティ アドインの統合] 2 つのサードパーティ分類アプリケーション (Titus および Boldon James) がサポートされています。 [電子メール タイムア ウト方針] 電子メールを分析する最大時間と、その時間を超えた場合のアクショ ンを設定します。 [エビデンス コピー [エビデンス ストレー サービス] ジ]共有 UNC [動作モードとモジ ュール] 電子メールのタグ署名をディスクに保存して、電子メールの再解析を 不要にします。 例のテキストをエビデンス ストレージ共有で置き換えます。 [クライアントの設定] 一致を強調表示する方法は、分類の一致をすべての一致または省略結 果に設定することにより変更できます。 [動作モード] Device Control または完全な McAfee DLP Endpoint モードを設 定します。 ライセンスをアップグレードまたはダウングレードする 場合は、このパラメーターをリセットします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 41 5 システム コンポーネントの設定 ポリシー カタログの McAfee DLP の設定 表 5-1 エンドポイント設定 (続き) 設定 詳細 説明 [データ保護モジュー ル] 必要なモジュールの有効化 ベスト プラクティス: パフォーマンスを改善するには、使用しな いモジュールを選択解除してください。 [Web 送信保護] (Windows クライ アントのみ) [Web 保護評価] Web 保護ルールに一致した場合に、Web リクエスト評価の入力を 選択します。 これらの設定を使用すると、アドレス バーに表示され た URL とは異なる URL から AJAX により送信されたリクエスト をブロックできます。 オプションを 1 つ以上選択する必要があり ます。 [HTTP GET 要求を処 理] GET リクエストは、リソースを消費するため、デフォルトで無効に されています。 このオプションの使用には注意が必要です。 [サポートされている Chrome バージョン] Google Chrome を使用する場合は、[参照] をクリックして、サポ ートされているバージョンの現在のリストを追加します。 このリス トは、McAfee サポートからダウンロードした XML ファイルです。 [Web タイムアウト方 針] Web 送信タイムアウト、タイムアウト時に実行するアクション、お よびオプションのユーザー メッセージを設定します。 [ホワイトリストに登 録された URL] Web 送信保護ルールから除外される URL を一覧表示します。 クライアントの設定パラメーターをサポートしています。 McAfee DLP Endpoint for Windows と McAfee DLP Endpoint for Mac は、別のクライアント ポリシーで設定さ れます。 表 5-2 デバッグとロギング ページ パラメーター オペレーティング システムのサポート [クライアントによって レポートされる管理 イ ベント] フィルターの設定は、McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac の両方に適用されます。 • クライアントがバイパス モードに変更されました • クライアントがバイパス モードから変更されました • クライアントがインストールされました その他のすべての設定は、McAfee DLP Endpoint for Windows のみに適用されます。 [ロギング] McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac の両方 でサポートされています。 表 5-3 ユーザー インターフェース コンポーネント ページ セクション パラメーター オペレーティング システムのサポー ト [クライアント ユーザー インター フェース] [DLP コンソールを表示する] (すべ てのオプション) McAfee DLP Endpoint for Windows のみ [エンドユーザー通知ポップアップを 有効化] McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac [リクエスト ジャスティフィケーショ McAfee DLP Endpoint for Windows および McAfee DLP ン ダイアログを表示する] Endpoint for Mac 42 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 5 システム コンポーネントの設定 権限管理によるファイルの保護 表 5-3 ユーザー インターフェース コンポーネント ページ (続き) セクション パラメーター オペレーティング システムのサポー ト [チャレンジ応答] すべてのオプション McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac [リリース コードのロックアウト ポリシー] すべてのオプション McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac [クライアント バナー イメージ] すべてのオプション McAfee DLP Endpoint for Windows のみ 権限管理によるファイルの保護 McAfee DLP Endpoint および McAfee DLP Discover は、権限管理 (RM) サーバーと統合して、ルール分類に一致 するファイルに保護を適用することをできます。 McAfee DLP Endpoint バージョン 10.0 では、Active Directory Rights Management サービス クライアント 2.1 ビルド 1.0.2004.0 を、RM サービスを利用するすねてのエンドポイント コンピューターにインストールする必要が あります。 [RM を適用] コマンドは、このバージョンの RM クライアントでは動作しません。 RM ポリシーの対応をデータ保護および検出ルールに適用できます。 • クラウド保護 • エンドポイント ファイル システム RM ポリシーは、Device Control ルールと併用できません。 McAfee DLP は、ファイル暗号化プロパティをコンテンツ分類またはコンテンツ フィンガープリント条件に追加す ることにより、RM 保護されたファイルを認識できます。 これらのファイルは、分類に追加または分類から除外する ことができます。 McAfee DLP の権限管理方法 McAfee DLP は、RM ポリシーをファイルに適用するワークフローに従います。 RM ワークフロー 1 データ保護または検出ルールを、RM ポリシーを適用する対応とともに作成して適用します。 対応には、RM サ ーバーと RM ポリシー エントリが必要です。 2 ファイルがルールをトリガーすると、McAfee DLP がファイルを RM サーバーに送信します。 3 RM サーバーは、指定されたポリシーに基いて、ファイルの暗号化、ファイルへのアクセスまたは暗号解除ができ るユーザーの制限、およびファイルにアクセスできる条件などの、保護を適用します。 4 RM サーバーは、ファイルに保護を適用して、送信元に返送します。 5 ファイルの分類を設定した場合は、McAfee DLP はそのファイルを監視できます。 ファイル システム検出ルールを適用する McAfee DLP ソフトウェアは、保護対象のファイルを見つけると、テンプ レート GUID を一意の識別子として使用してテンプレートを特定し、保護を適用します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 43 5 システム コンポーネントの設定 権限管理によるファイルの保護 制限事項 McAfee DLP Endpoint ソフトウェアは、RM の保護対象ファイルで内容に関する検査は行いません。 RM ポゴされ ているファイルに分類を適用する場合は、コンテンツのフィンガープリント条件 (場所、アプリケーション、または Web アプリケーション) のみが保持されます。 ユーザーがファイルを変更すると、ファイルの保存時にすべてのフ ィンガープリント シグネチャが失われます。 サポートされている RM サーバー McAfee DLP Endpoint は、Microsoft Windows Rights Management サービス (Microsoft RMS) および Seclore FileSecure™ Information Rights Management (IRM) をサポートしています。 McAfee DLP Discover は Microsoft RMS をサポートしています。 Microsoft RMS McAfee DLP は、Windows Server 2003 上の Microsoft RMS および Windows Server 2008/2012 上の Active Directory RMS (AD-RMS) をサポートしています。 Windows Rights Management サービス保護を以下 に適用できます。 文書の種類 バージョン Microsoft Word 2010、2013 および 2016 Microsoft Excel Microsoft PowerPoint SharePoint 2007 Exchange Server Windows RMS で使用する場合、現在のユーザーに表示権限があれば、McAfee DLP は保護対象ファイルのコンテ ンツを検査できます。 Microsoft RMS の詳細は、http://technet.microsoft.com/en-us/library/cc772403.aspx を参照してください。 Seclore IRM McAfee DLP Endpoint は、最も一般的な以下の形式を含む 140 以上のファイル形式に対応する Seclore FileSecure RM をサポートしています。 • Microsoft Office 文書 • テキストおよび CSV、XML、HTML を含むテキス ト ベースの形式 • Open Office 文書 • JPEG、BMP、GIF などを含む画像形式 • PDF • DWG、DXF、DWF を含むエンジニアリング デザ イン形式 McAfee DLP Endpoint クライアントは、FileSecure デスクトップ クライアントと協調してオンラインおよびオフ ラインの統合を提供します。 Seclore IRM の詳細は、http://seclore.com/seclorefilesecure_overview.html を参照してください。 44 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド システム コンポーネントの設定 イベントをエビデンス付きで記録 5 Rights Management サーバーの定義 McAfee DLP Endpoint は、2 種類の Rights Management (RM) システム: Microsoft Windows Rights Management Services (RMS) および Seclore FileSecure™ をサポートしています。 これらのシステムを使用す るには、McAfee ePO で RM ポリシーを入力してサーバーを設定します。 開始する前に • RM サーバーをセットアップして、ユーザーとポリシーを作成します。 すべてのサーバーの URL と パスワード、ポリシー テンプレート、認証情報、およびライセンスを入手します。 Seclore の場合 は、HotFolder キャビネット ID と パスフレーズ、および詳細ライセンス情報 (利用可能な場合) が必要です。 • Microsoft RMS および Seclore サーバーを表示、作成、および編集する権限があることを確認しま す。 McAfee ePO で、[メニュー] 、 [ユーザー 管理] 、 [権限セット] を選択し、[登録済みのサー バー] で必要な権限を持つグループに所属していることを確認します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [登録済みのサーバー] の順に選択します。 2 [新しいサーバー] をクリックします。 [登録済みのサーバー] の説明ページが開きます。 3 [サーバー タイプ] ドロップダウン リストから、設定するサーバーのタイプ: [Microsoft RMS Server] または [Seclore Server] を選択します。 4 サーバー 設定の名前を入力して、[次へ] をクリックします。 5 必要な詳細情報を入力します。 必要なフィールドを入力したら、[接続テスト] をクリックして入力したデータを 確認します。 6 • RMS 設定には、[DLP 施行設定] セクションも含まれます。 [RMS テンプレートのローカル パス] フィール ドはオプションですが、証明書とライセンスの URL フィールドは、AD 自動サービス検出オプションを選択 したかどうかに関わらず、必要です。 • Seclore の場合は、[HotFolder キャビネット]情報が必要ですが、追加のライセンス情報はオプションです。 設定が完了したら、[保存] をクリックします。 イベントをエビデンス付きで記録 エビデンスとは、セキュリティ イベントが DLP インシデント マネージャーに送信される原因となったファイルまた は電子メールのコピーのことです。 エビデンスとエビデンス ストレージの使用 多くのルールでは、エビデンスの保存オプションを使用できます。 このオプションを選択すると、ブロックまたは監 視されたコンテンツの暗号化されたコピーが、エンドポイント コンピューターの事前定義されたエビデンス フォル ダーに保存されます。 McAfee DLP がサーバーに情報を渡すと、フォルダーはパージされ、エビデンスはサーバーのエビデンス フォルダ ーに保存されます。 コンピューターがオフラインの場合の最大サイズとローカル エビデンス ストレージの経過時 間を指定できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 45 5 システム コンポーネントの設定 イベントをエビデンス付きで記録 エビデンスの保存の前提条件 エビデンス ストレージの有効化は、McAfee DLP のデフォルトの条件です。 エビデンスを保存しない場合は、エビ デンス サービスを無効にすることでパフォーマンスを向上させることができます。 次の項目は、ソフトウェアのセ ットアップ時に必要になるか、デフォルトとして設定されています。 • エビデンス ストレージ フォルダー — エビデンス ストレージ フォルダーの作成とそのフォルダーへの UNC パ スの指定は、McAfee ePO へのポリシーの適用のための要件です。 設定ポリシーの [エビデンス コピー サービ ス] のページの[ポリシー カタログ]のパスを指定します。 • エビデンス コピー サービス — McAfee DLP のエビデンス コピー サービスは、クライアント設定ポリシーの [動作モードとモジュール] のページで有効にされます。 サブエントリーのある [レポート サービス] では、エビ デンス収集を有効にする必要があります。 McAfee DLP Discover では、サービスはサーバー設定ポリシーの有 効にされます。 エビデンス ストレージとメモリ イベントあたりの保存されるエビデンス ファイルの数は、ストレージの量、イベント パーサーのパフォーマンス、 [DLP インシデント マネージャー]と [DLP 操作] ページのスクリーン描画 (つまりユーザー エクスペリエンス) を 意味します。 異なるエビデンスの要件を扱う場合は、McAfee DLP ソフトウェアが以下を実行します。 • イベントあたりの保存されるエビデンス ファイルの数は、クライアント設定ポリシーの [エビデンス コピー サー ビス] ページで設定されます。 デフォルトは 1,000 です。 • 多くのエビデンス ファイルが 1 つのイベントにリンクされる場合は、最初の 100 ファイル名のみがデータベー スに保存されて [DLP インシデント マネージャー]の詳細ページに表示されます。 残りのエビデンス ファイル (設定された最大数以下) は、エビデンス ストレージ共有に保存されますがイベントには関連付けされません。 ファイル名に基いてエビデンスをフィルタリングするレポートとクエリーは、この最初の 100 ファイル名にのみ アクセスできます。 • [DLP インシデント マネージャー] フィールドの [一致数の合計] は、インシデント数の合計を表示します。 ヒット ハイライト ヒット ハイライト オプションを使用すると、管理者はイベントを引き起こした機密コンテンツを正確に特定できま す。 選択すると、抽出したテキストを含む暗号化された HTML エビデンス ファイルが保存されます。 エビデンス ファイルはスニペットでできており、コンテンツ分類またはコンテンツ フィンガープリントのスニペッ トには、機密テキストが含まれています。コンテンツ分類またはコンテンツ フィンガープリントが整理する、機密テ キストの前後のそれぞれ 100 文字がイベントをトリガーし、コンテンツ分類またはコンテンツ フィンガープリント あたりのイベントの数をカウントします。 以前一致した 100 文字中に複数の一致があると、一致が強調表示され、 強調表示されたテキストとそれに続く 100 文字がスニペットに追加されます。 文書のヘッダーまたはフッター中に 一致があると、スニペットには強調表示されたテキストが、前後の 100 文字を付加せずに含まれます。 表示オプションは、[分類が一致するファイル] フィールドのクライアント設定ポリシーの [エビデンス コピー サー ビス] ページで設定します。 • [簡略的な結果を作成する] (デフォルト) • [すべての一致を作成する] • [無効] — ヒット ハイライト機能を無効にします。 簡略化された結果には最高 20 件のスニペットがふくまれます。 すべてに一致するヒット ハイライト ファイルで は、スニペットの数は無制限ですが、分類あたりの一致の数には制限があります。 [高度なパターン] および [キーワ ード] 分類では、この制限は 100 件です。 [ディクショナリ] 分類では、ディクショナリあたりの制限が 250 件で す。 ヒット ハイライト ファイルに複数の分類がある場合は、分類名と一致数がファイルの先頭にスニペットより先 に表示されます。 46 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド システム コンポーネントの設定 イベントをエビデンス付きで記録 5 エビデンスの保存を許可するルール これらのルールには、エビデンスの保存オプションがあります。 表 5-4 ルールによるエビデンスの保存 ルール 保存されるもの 製品 [アプリケーション ファイル アクセス保護ルール] ファイルのコピー McAfee DLP Endpoint [クリップボード保護ルール] クリップボードのコピー [クラウド保護ルール] ファイルのコピー [電子メール保護ルール] 電子メールのコピー McAfee DLP Endpoint [ネットワーク共有の保護ルール] ファイルのコピー McAfee DLP Endpoint [プリンタ保護ルール] ファイルのコピー [リムーバブル ストレージ保護ルール] ファイルのコピー [スクリーン キャプチャ防止ルール] 画面の JPEG [Web 送信保護ルール] Web 送信のコピー [ファイル システム検出ルール] ファイルのコピー [電子メール ストレージ検出ルール] .msg ファイルのコピー [Box 保護ルール] ファイルのコピー [ファイル サーバー (CIFS) 保護]ルール ファイルのコピー [SharePoint 保護ルール] ファイルのコピー McAfee DLP Discover エビデンス フォルダーの作成 エビデンス フォルダーには、McAfee DLP ソフトウェア製品がポリシーと作成とレポートに使用する情報が含まれ ています。 McAfee DLP のインストールによっては、フォルダーおよびネットワーク共有が作成され、プロパティ とセキュリティ設定が適切に設定されている必要があります。 エビデンス フォルダーのパスは、さまざまな McAfee DLP 製品で異なる場所に設定されます。 2 つ以上の McAfee DLP 製品が McAfee ePO にインストールされていると、エビデンス フォルダーの UNC パスが同期されます。 この フォルダーは McAfee DLP データベース サーバーと同じコンピューター上にある必要はありませんが、通常は同じ 場所に置いた方が便利です。 エビデンス ストレージ パスは、ネットワーク共有で、サーバー名を含む必要があります。 • エビデンス フォルダ — ルールには、証拠 (エビデンス) を保存できるものがあります。そのため、前もってエビ デンスを格納するフォルダを指定する必要があります。 たとえば、ファイルがブロックされると、ファイルのコ ピーがエビデンス フォルダに保存されます。 • フォルダーのコピーと移動 — McAfee DLP Discover がファイルの修復に使用します。 次のフォルダー パス、フォルダー名、および共有名を推奨していますが、使用している環境に応じたものを作成する こともできます。 • c:\dlp_resources\ • c:\dlp_resources\evidence • c:\dlp_resources\copy • c:\dlp_resources\copy McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 47 5 システム コンポーネントの設定 ユーザーと権限セットの割り当ての制御 ユーザーと権限セットの割り当ての制御 McAfee DLP は McAfee ePO のユーザーと権限セットを使用して、McAfee DLP 管理の異なる部分を異なるユーザ ーまたはグループに割り当てます。 ベスト プラクティス: 特定の McAfee DLP 権限セット、ユーザー、およびグループを作成します。 McAfee ePO の異なる McAfee DLP モジュールに、異なる管理者とレビューアーを割り当てて、異なる役割を作成し ます。 システム ツリー フィルタリング権限のサポート McAfee DLP Endpoint は、DLP インシデント マネージャーと DLP 操作 の McAfee ePO システム ツリー フィル タリング権限をサポートしています。 システム ツリー フィルタリングが有効にされると、McAfee ePO のオペレー ターは、システム ツリー の許可された場所のコンピューターからのインシデントのみを表示できます。 デフォルト では、グループ管理者には、McAfee ePO システム ツリーに権限はありません。 [Data Loss Prevention] 権限セ ットに割り当てられた権限に関わらず、DLP インシデント マネージャー または DLP 操作 のインシデントは表示で きません。 システム ツリー フィルタリングはデフォルトで無効になっていますが、[DLP 設定] で有効にできます。 ベスト プラクティス: グループ管理者 を Data Loss Prevention 権限セットで使用してきたお客様は、グループ管理 者 に以下の権限を割り当てます。 · [システム ツリー タブの表示]権限 (システム の下) · 適切なレベルの[システム ツリー アクセス]権限 機密データに対する対応と McAfee ePO 権限セット 市場によって異なりますが、あらゆる状況での機密情報保護という法的要求を満たすために、McAfee DLP Endpoint ソフトウェアはデータ編集機能を備えています。 機密コンテンツを含む DLP インシデント マネージャー と DLP 操作 コンソールのフィールドは、不正な閲覧を防止するために編集できます。 機密エビデンスへのリンクは非表示 にされます。 この機能は「二重鍵」の解放を想定して設計されています。 そのためこの機能を使用するには、2 つ の権限セット: 1 つはインシデントとイベントの表示用、もう 1 つは編集されたフィールドの表示用 (スーパーバイ ザー権限) を作成する必要があります。 両方のロールを同じユーザーに割り当てることができます。 関連トピック: 27 ページの「McAfee DLP 拡張ファイルのインストールとライセンス」 エンドユーザーの定義の作成 McAfee DLP は、Active Directory (AD) または Lightweight Directory Access Protocol (LDAP) サーバーにア クセスしてエンドユーザーの定義を作成します。 エンドユーザー グループは、管理者の割り当てと権限、および保護とデバイス ルールに使用されます。 これは、ユ ーザー、ユーザー グループ、または組織の単位 (OU) で構成され、管理者が適切なモデルを選択できるようにしま す。 OU モデルで組織された企業では、そのモデルを継続して使用できますが、その他の場合は、必要に応じてグル ープまたは個人のユーザーを使用できます。 LDAP オブジェクトは、名前またはセキュリティ ID (SID) で識別できます。 SID はより安全で、アカウントの名 前が変更されても権限を保持できます。 しかし、SID は 16 進数で保存されるため、判別可能な形式に変換する必 要があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 48 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [定義] タブをクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 5 システム コンポーネントの設定 ユーザーと権限セットの割り当ての制御 3 [ソース/宛先] 、 [エンドユーザー グループ] を選択して、次に [アクション] 、 [新規] を選択します。 4 [新規エンドユーザー グループ] ページで、固有の名前とオプションの説明を入力します。 5 オブジェクトの識別方法 (SID または名前) を選択します。 6 いずれかの [追加...] ボタン ([ユーザーの追加]、[グループの追加]、[OU の追加]) をクリックします。 選択ウィンドウが開き、選択された種類の情報が表示されます。 リストが長い場合は、表示に数秒かかる場合があります。 何の情報も表示されない場合は、[プリセット] ドロッ プダウン メニューから [コンテナーと子] を選択します。 7 名前を選択し [OK] をクリックして定義に追加します。 必要に応じてこの操作を繰り返して、ユーザー、グループ、または組織のユーザーを追加します。 8 [保存] をクリックします。 McAfee DLP 権限セットの割り当て McAfee DLP 権限セットは、ポリシーの表示と保存、および編集されたフィールドの表示の権限を割り当てます。 こ れは、役割ベースのアクセス コントロール (RBAC) の割り当てにも使用されます。 McAfee DLP サーバー ソフトウェアをインストールすると、McAfee ePO 権限セット Data Loss Prevention が追 加されます。 以前のバージョンの McAfee DLP が、同じ McAfee ePO サーバーにインストールされている場合は、 権限セットも表示されます。 権限セットは、管理コンソールのすべてのセクションをカバーします。 権限には 3 つのレベルがあります。 • 使用 — ユーザーはオブジェクト (定義、分類、など) の名前のみを表示できます。 ポリシーでは、最小の権限は [権限なし] です。 • 表示と使用 — ユーザーはオブジェクトの詳細を表示できますが、変更はできません。 • フルアクセス権限 — ユーザーはオブジェクトの作成と変更ができます。 管理者とレビュアーに必要に応じて異なる権限を与えることによって、管理コンソールの異なるセクションの権限を 設定できます。 このセクションは論理的にグループ化できます。たとえば、分類条件の設定には定義の使用が必要な ため、[分類] を選択すると自動的に [定義] が選択されます。 • ポリシー カタログ • DLP ポリシー マネージャー • 分類 • DLP ポリシー マネージャー • 分類 • 定義 • 分類 • 定義 • 定義 インシデント管理、操作イベント および ケース管理 は個別に選択できます。 Data Loss Prevention アクション は、ヘルプ デスク アクション 権限セットに移動されました。 これらの権限を使 用すると、管理者は、クライアント バイパスとアンインストール キー、隔離解放キー、およびマスター キーを生成で きます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 49 5 システム コンポーネントの設定 ユーザーと権限セットの割り当ての制御 このセクションのデフォルトの権限に加えて、各オブジェクトの上書きを設定できます。 上書きは、権限レベルの増 加あるいは減少のいずれかです。 たとえば、DLP ポリシー マネージャー 権限では、権限セットが作成される際に存 在するすべてのルール セットが一覧表示されます。 それぞれに異なる上書きを設定できます。 新しいルール セッ トが作成されると、それらにはデフォルトの権限が設定されます。 図 5-1 McAfee DLP 権限セット McAfee DLP 権限セットの作成 権限セットは、McAfee DLP ソフトウェアで、異なる管理者とレビューアーのロールを定義するために使用されま す。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ユーザー管理] 、 [権限セット] を選択します。 2 事前定義された権限セットを選択するか、[新規] をクリックして権限セットを作成します。 3 a セットの名前を入力し、ユーザーを選択します。 b [保存] をクリックします。 権限セットを選択して、[Data Loss Prevention] セクションの [編集] をクリックします。 a 左パネルで、データ保護モジュールを選択します。 [インシデント管理]、[操作イベント] および [ケース管理] は個別に選択できます。 他のオプションは、自動 的に事前定義のグループを作成します。 b 必要に応じてオプションと権限の上書きを編集します。 ポリシー カタログ には編集できるオプションはありません。 ポリシー カタログ を権限セットに割り当てる 場合は、ポリシー カタログ グループのサブモジュールを編集できます。 c [保存] をクリックします。 タスク • 51 ページの「使用例: DLP 管理者権限」 必要に応じて管理者タスクを分離し、たとえばイベントのレビュー責任のないポリシー管理者を作成で きます。 • 51 ページの「使用例: DLP インシデント マネージャー の表示を編集権限で制限する」 機密情報を保護し、市場の法的な要求に対応するために、McAfee DLP Endpoint はデータ編集機能を 備えています。 50 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド システム コンポーネントの設定 ユーザーと権限セットの割り当ての制御 5 使用例: DLP 管理者権限 必要に応じて管理者タスクを分離し、たとえばイベントのレビュー責任のないポリシー管理者を作成できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [権限セット] の順に選択します。 2 [新規] をクリックして権限セットを作成します。 a セットの名前を入力し、ユーザーを選択します。 ポリシーを編集するには、ユーザーがポリシーの所有者またはグローバル管理者権限セットのメンバーである 必要があります。 b 3 [保存] をクリックします。 [Data Loss Prevention] 権限セットで、[ポリシー カタログ] を選択します。 [DLP ポリシー マネージャー]、[分類]、および [定義] が自動的に選択されます。 4 3 つのサブモジュールのそれぞれで、ユーザーに完全な権限と完全なアクセス権があることを確認します。 完全な権限はデフォルトの設定です。 これで、管理者は、ポリシー、ルール、分類、および定義の作成と変更ができます。 使用例: DLP インシデント マネージャー の表示を編集権限で制限する 機密情報を保護し、市場の法的な要求に対応するために、McAfee DLP Endpoint はデータ編集機能を備えています。 データ編集機能を使用する場合は、機密コンテンツを含む DLP インシデント マネージャー と DLP 操作 のフィール ドは、不正な閲覧を防止するために暗号化され、エビデンスへのリンクは非表示になります。 [コンピュータ名]および[ユーザ名] フィールドはプライベートとして事前定義されています。 この例では、DLP インシデント マネージャー の権限を 編集レビューアー 向けに設定する方法を示します。この管 理者は、実際のインシデントは表示できませんが、インシデントを参照する他のレビューアーが必要とする場合に暗 号化されたフィールドを表示することができます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ユーザー管理] 、 [権限セット] を選択します。 2 通常のレビューアーと編集レビューアーの権限セットを作成します。 a [新規] (または [アクション] 、 [新規]) をクリックします。 b DLPE インシデント レビューアー または 編集レビューアーなどのグループの名前を入力します。 異なるレビューアー グループに異なるタイプのインシデントを割り当てることができます。 インシデントを 割り当てる前に、[権限セット] にグループを作成する必要があります。 c 利用可能な McAfee ePO ユーザーから、または Active Directory のユーザーまたはグループを権限セット にマッピングすることにより、ユーザーをグループに割り当てます。 [保存] をクリックします。 左パネルの [権限セット] リストにグループが表示されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 51 5 システム コンポーネントの設定 手動分類の設定 3 標準レビューアーの権限セットを選択して、[Data Loss Prevention] セクションの [編集] をクリックします。 a 左パネルで、[インシデント管理] を選択します。 b [インシデント レビューアー] セクションで、[ユーザーは次の権限セットに割り当てられたインシデントを表 示できます] を選択して、選択アイコンをクリックし、関連する権限セットを選択します。 c [インシデント データの編集] セクションで、デフォルトの [管理者権限] を選択解除して、[重要なインシデ ント データを難読化する] オプションを選択します。 このオプションを選択すると、編集機能が有効になります。 このオプションを非選択のままにすると、すべ てのデータ フィールドがテキスト形式で表示されます。 4 d [インシデント タスク] セクションで、必要に応じてタスクを選択または選択解除します。 e [保存] をクリックします。 編集レビューアーの権限セットを選択して、[Data Loss Prevention] セクションの [編集] をクリックします。 a 左パネルで、[インシデント管理] を選択します。 b [インシデント レビューアー] セクションで、[ユーザーはすべてのインシデントを表示できます] を選択しま す。 この例では、すべてのインシデントに対して 1 人の編集レビューアーを割り当てるものとします。 異なるイ ンシデントのセットに対して、異なる編集レビューアーを割り当てることもできます。 c [インシデント データの編集] セクションで、デフォルトの [管理者権限] と [重要なインシデント データを 難読化する] オプションを選択します。 d [インシデント タスク] セクションで、すべてのタスクを選択解除します。 編集レビューアーには、通常は他のレビューアーのタスクはありません。 これは特定の必要性がある場合のオ プションです。 e [保存] をクリックします。 手動分類の設定 手動分類には、機能の動作と表示するメッセージを指定するいくつかのオプションがあります。 手動分類を使用すると、エンドユーザーが、Windows Explorer の右クリック メニューからファイルに分類を追加 できます。 Microsoft Office アプリケーションおよび Outlook で、ファイルの保存または電子メールの送信時に、 手動分類を適用できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [手動分類] をクリックします。 3 [ビュー] ドロップダウン リストから [全般設定] を選択します。 4 オプションを選択または選択解除して、企業の要件に対して最適化します。 5 (オプション) をクリックして通知の定義を選択または作成することにより、追加の情報を選択して電子メー ルに追加します。 通知は、サポートされているすべての言語で [ロケール] 機能をサポートします。 52 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド システム コンポーネントの設定 手動分類の設定 5 関連トピック: 82 ページの「手動分類」 115 ページの「エンドユーザー メッセージのカスタマイズ」 83 ページの「埋め込みタグ」 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 53 5 システム コンポーネントの設定 手動分類の設定 54 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 6 リムーバブル メディアの保護 ® McAfee Device Control は、スタンドアロン デバイスが使用される際に、機密コンテンツの許可されない転送に関 連するリスクから企業を保護します。 Device Control は、会社の管理対象のコンピューターに接続されたデバイスを監視またはブロックして、これらの デバイスの機密情報の配布のための使用を監視してコントロールすることができます。 スマートフォン、リムーバブ ル ストレージ デバイス、Bluetooth デバイス、MP3 プレーヤー、またはプラグ アンド プレイ デバイスのすべてを コントロールできます。 McAfee Device Control は、別製品として販売される McAfee DLP Endpoint のコンポーネントです。 Device Control という用語がこのセクションで使用されますが、すべての機能と説明は McAfee DLP Endpoint にも適用さ れます。 Microsoft Windows と OS X コンピューター上の Device Control ルールは類似していますが、同一では ありません。 以下の表は、それらの違いの一部を示します。 表 6-1 Device Control 用語 用語 オペレーティン グ システムへの 適用: デバイス クラス Windows 定義 デバイス クラス — 類似した特性をもち同様の方法で管理できるデバイスの 集合。 デバイス クラスには、管理対象、管理対象外、またはホワイトリスト に登録済み の状態があります。 Windows、Mac OS X デバイスの特定あるいはグループ化に使用するデバイス プロパティのリスト です。 デバイス プロパ Windows、Mac OS X ティ バス タイプ、ベンダー ID、製品 ID などの、デバイスの定義に使用できるプ ロパティです。 デバイス ルール Windows、Mac OS X ポリシーのデバイス定義に一致するデバイスをユーザーが使用しようとした 時に実行するアクションを定義します。 ルールは、デバイス ドライバー レ ベルまたはファイル システム レベルで、ハードウェアに適用されます。 デ バイス ルールは、特定のエンドユーザーに割り当てることができます。 デバイス定義 管理対象のデバ イス Windows そのクラスのデバイスが Device Control により管理されていることを示す デバイス クラスの状態です。 リムーバブル ス Windows、Mac トレージ デバイ OS X ス ルール デバイスのブロックまたは監視、あるいは読み取り専用の設定に使用されま す。 リムーバブル ス Windows、Mac トレージ保護ル OS X ール ユーザーが、機密にラベル付けされたコンテンルを管理対象のデバイスにコピ ー使用とした場合に、実行するアクションを定義します。 管理対象外のデ バイス Windows そのクラスのデバイスが Device Control により管理されていないことを示 すデバイス クラスの状態です。 ホワイトリスト に登録されたデ バイス Windows そのクラスのデバイスを管理しようとすると、管理対象のコンピューター、シ ステムの状態、または効率に影響を与える可能性があるため、Device Control により管理できないことを示すデバイス クラスの状態です。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 55 6 リムーバブル メディアの保護 デバイスの保護 目次 デバイスの保護 デバイスをデバイス クラスで管理 デバイス クラスの作成 デバイスをデバイス定義で管理 Device Control ルール リムーバブル ストレージ ファイル アクセス ルール デバイスの保護 USB ドライブ、小容量の外部ハード ドライブ、スマートフォン、その他のリムーバブル デバイスは、会社から機密 データを持ち出すために使用される場合があります。 USB ドライブは、大量のデータをダウンロードするための、容易で安価な、追跡が最も困難な方法です。 これは、 不正なデータ転送に「よく選択される武器」であると考えられます。 Device Control ソフトウェアは、USB ドライ ブと、スマートフォン、Bluetooth デバイス、プラグ アンド プレイ デバイス、オーディオ プレーヤー、および非 システム デバイスなどの他の外部デバイスを監視して制御します。 Device Control は、サーバーを含む大部分の Microsoft Windows と OS X オペレーティング システムで実行します。 詳細は、このガイドのシステム要件のペ ージを参照してください。 McAfee Device Control 保護は 3 つのレイヤーに組み込まれています。 • デバイス クラス — 類似した特性を持ち、同様の方法で管理できるデバイスの集合。 デバイス クラスは、プラグ アンド プレイ デバイスの定義とルールにのみ適用され、OS X オペレーティング システムには適用されません。 • デバイス定義 — デバイスを共通プロパティによって特定してグループ化します。 • デバイス ルール — デバイスの動作を制御します。 デバイス ルールは、ルールに含まれるあるいは除外されるデバイス定義のリストと、デバイスの使用によってルール がトリガーされると実行するアクションで構成されています。 さらに、ルールに含めるあるいはルールから除外する エンドユーザーを指定できます。 オプションで、アプリケーション定義を含めて、機密コンテンツのソースに従って ルールをフィルタリングできます。 リムーバブル ストレージ保護ルール デバイス ルールに加えて、Device Control には、1 つのデータ保護ルール タイプが含まれます。 リムーバブル ス トレージ保護ルールには、ルールをトリガーする機密コンテンツを定義する分類が 1 つ以上含まれます。 これには、 オプションでアプリケーション定義または Web ブラウザー URL を含むことができ、またエンドユーザーを含むあ るいは除外することができます。 Web ブラウザー URL は、McAfee DLP Endpoint for Mac ではサポートされていません。 56 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 デバイスをデバイス クラスで管理 6 デバイスをデバイス クラスで管理 デバイス クラスは類似した特性をもち同様の方法で管理できるデバイスの集合です。 デバイス クラスとは、システムで使用するデバイスに名前を付け、識別することです。 各デバイス クラスの定義に は、名前と 1 つ以上のグローバルに一意の識別子 (GUID) が含まれます。 たとえば、『Intel® PRO/1000 PL Network Connection』 および 『Dell wireless 1490 Dual Band WLAN Mini-Card』 は、 『Network Adapter』 デバイス クラスに属する 2 つのデバイスです。 デバイス クラスは、OS X デバイスには適用されません。 デバイス クラスの構成方法 DLP ポリシー マネージャー は、Device Control の下の 定義 タブで事前定義された (組み込みの) デバイス クラス を一覧表示します。 デバイス クラスは、次の状態によって分類されます。 • 管理対象 デバイスは、McAfee DLP Endpoint で管理される特定のプラグ アンド プレイ デバイスまたはリムー バブル ストレージ デバイスです。 • 管理対象外 のデバイスは、デフォルトの設定では Device Control で管理されません。 • ホワイトリストに登録されたデバイスは、バッテリー デバイスやプロセッサーのように Device Control がコン トロールしないデバイスです。 システムやオペレーティング システムの障害を避けるために、デバイス クラスは編集できませんが、複製して編集 し、ユーザー定義クラスをリストに追加できます。 ベスト プラクティス: デバイス クラスをリストに追加する前に、そうすることによる結果をまずテストすることをお 奨めします。 ポリシー カタログ で、DLP ポリシー 、 デバイス クラス 、 設定 タブを使用して、一時的なデバイス クラスを作成して、デバイス クラスの状態とフィルター タイプの設定を上書きします。 上書きは、恒久的なクラスを作成する前のユーザー定義の変更のテストや、Device Control の問題のトラブルシュ ーティングに使用できます。 Device Control は、デバイス定義とプラグ アンド プレイの Device Control ルールを使用して、管理対象のデバイ ス クラスと管理対象のデバイス クラスに属する特定のデバイスの動作を制御します。 一方、リムーバブル ストレー ジ デバイス ルールは、管理対象のデバイス クラスを必要としません。 その理由は、この 2 つのタイプの デバイス ルールがデバイス クラスを使用する方法が異なっていることに関係しています。 • プラグ アンド プレイ デバイス ルールは、ハードウェア デバイスがコンピューターに接続されるとトリガーされ ます。 対応はデバイス ドライバーに対するものであるため、デバイス クラスは認識されるデバイスに対して管 理される必要があります。 • リムーバブル ストレージ デバイス ルールは、新しいファイル システムがマウントされるとトリガーされます。 ファイル システムがマウントされると、Device Control クライアントが、特定のハードウェア デバイスにドラ イブ文字を関連付けて、デバイスのプロパティをチェックします。 対応が、(ファイル システムがマウントされ た場合の) ファイル システム操作に対するものであるため、デバイス クラスを管理する必要はありません。 関連トピック: 58 ページの「デバイス クラスの作成」 デバイス クラスの作成 適切なデバイスクラスが、事前定義されたリストにない場合、または新しいハードウェアを接続した際に自動的に作 成されなかった場合は、McAfee DLP Endpoint ポリシー マネージャー コンソールで新しいデバイス クラスを作成 できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 57 6 リムーバブル メディアの保護 デバイス クラスの作成 GUID の取得 各デバイス クラスの定義には、名前と 1 つ以上のグローバルに一意の識別子 (GUID) が必要です。 ハードウェア デバイスには、独自のデバイス クラスをインストールするものがあります。 独自のデバイス クラスを 定義するプラグ アンド プレイ デバイスの動作をコントロールするには、最初に新しいデバイス クラスを [デバイス クラス] リストの [管理された] ステータスに追加する必要があります。 デバイス クラスは、2 つのプロパティ: 『名前』 および 『GUID』 で定義されます。 新しいデバイスの名前はデバ イス マネージャーに表示されますが、GUID は Windows レジストリにのみ表示され、これを取得する簡単な方法 はありません。 新しいデバイスの名前と GUID の取得を容易にするために、認識されるデバイス クラスに属さない ハードウェア デバイスがホスト コンピューターに接続されると Device Control クライアントは 『見つかった新し いデバイス クラス』 イベントを DLP インシデント マネージャーにレポートします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] 、 [インシデント リスト] の順に選択します。 2 [フィルター] ドロップダウン リストの横の [編集] をクリックしてフィルター条件を編集します。 3 [使用可能なプロパティ] リスト (左パネル) で、[インシデント タイプ] を選択します。 4 [比較] ドロップダウン リストの値が [等しい] になっていることを確認します。 5 [値] ドロップダウン リストから、[新しいデバイス クラスが見つかりました] を選択します。 6 [フィルターの更新] をクリックします。 [インシデント リスト] は、すべてのエンドポイント コンピューターで見つかった新しいデバイス クラスを表示 します。 7 特定のデバイスの名前と GUID を表示するには、インシデントの詳細を表示する項目をダブル クリックします。 デバイス クラスの作成 適切なデバイス クラスが事前定義リストにない場合、または新しいハードウェアのインストール時に自動的に作成さ れなかった場合は、デバイス クラスを作成します。 開始する前に このタスクを開始する前に、デバイスの GUID を取得します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[Device Control] 、 [デバイス クラス] を選択します。 3 以下のいずれかを実行します。 4 58 • [アクション] 、 [新規]の順に選択します。 • 組み込みデバイス クラス リストで類似のクラスを見つけて、[アクション] 列の [複製] をクリックします。 複製したデバイス クラスで [編集] をクリックします。 一意の[名前]とオプションの[説明]を入力します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 デバイスをデバイス定義で管理 5 [ステータス] および [フィルター タイプ] は必須です。 6 GUID を入力して。[追加] をクリックします。 6 GUID は、正しい形式で入力してください。 間違って入力するとプロンプトが表示されます。 7 [保存] をクリックします。 関連トピック: 57 ページの「デバイスをデバイス クラスで管理」 59 ページの「デバイスをデバイス定義で管理」 デバイスをデバイス定義で管理 デバイス定義は、バス タイプ、デバイス クラス、ベンダー ID および 製品 ID などのデバイス プロパティのリスト です。 デバイス定義の役割は、デバイスを共通のデバイス プロパティで識別してグループ化することです。 あるデバイス プロパティはあらゆるデバイス定義に適用でき、その他のデバイス プロパティは特定のデバイス タイプに対して排 他的です。 使用可能なデバイス定義タイプ: • 固定ハード ドライブ デバイス は、コンピューターに接続され、オペレーティング システムによってリムーバブ ル ストレージとマークされません。 Device Control は、ブート ドライブ以外の固定ハード ドライブをコント ロールできます。 • プラグ アンド プレイ デバイス は、DLL およびドライバの設定または手動インストールを行っていない管理され たコンピュータに追加できるデバイスです。 プラグ アンド プレイ デバイスには、ほとんどの Microsoft Windows デバイスが含まれます。 Apple OS X では USB のみがサポートされています。 • リムーバブル ストレージ デバイス は、ドライブとして管理されたコンピュータ上に表示されるファイル システ ムを含む外部デバイスです。 リムーバブル ストレージ デバイス定義は、Microsoft Windows または Apple OS X オペレーティング システムをサポートしています。 • ホワイトリストに登録されたプラグ アンド プレイ デバイスは、デバイス管理で正しく機能せず、システムが応 答を停止したり他の深刻な問題を発生する場合があります。 Microsoft Windows デバイスのみをサポートして います。 ホワイトリストに登録されたプラグ アンド プレイ デバイスの定義は、各プラグ アンド プレイ デバイス コント ロール ルールの『除外』リストに自動的に追加されます。 親のデバイス クラスが管理対象であっても、これらは 管理対象とはなりません。 リムーバブル ストレージ デバイス定義はより柔軟で、リムーバブル ストレージ デバイスに関連する追加のプロパテ ィを含んでいます。 ベスト プラクティス: USB 大容量ストレージ デバイスのように、リムーバブル ストレージ デバイスとして分類され るデバイスの制御にはリムーバブル ストレージ デバイス定義とルールを使用します。 関連トピック: 58 ページの「デバイス クラスの作成」 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 59 6 リムーバブル メディアの保護 デバイスをデバイス定義で管理 デバイス定義の扱い 複数のパラメーターが、論理 OR (デフォルト) または論理 AND としてデバイス定義に追加されます。 複数のパラ メーター タイプは、常に論理 AND として追加されます。 たとえば、以下のパラメーターの選択: つぎの定義を作成します: • バス タイプは次のいずれかです: Firewire (IEEE 1394) OR (または) USB • AND デバイス クラスは、メモリ デバイス OR (または) Windows ポータブル デバイスのいずれかです。 デバイス定義の作成 デバイス定義は、ルールをトリガーするデバイスのプロパティを指定します。 ベスト プラクティス: 明確な管理ができず、システムが応答を停止したり他の深刻な問題が発生させる可能性のあるデ バイスに対して、ホワイトリストに登録されたプラグ アンド プレイの定義を作成します。 これらのデバイスに対して は、ルールがトリガーされても、アクションは実行されません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[Device Control] 、 [デバイス定義] を選択します。 3 [アクション] 、 [新規] を選択して、次に定義のタイプを選択します。 4 一意の[名前]とオプションの[説明]を入力します。 5 Microsoft Windows または OS X デバイスの [適用先] オプションを選択します。 [使用可能なプロパティ] リストは、選択されたオペレーティング システムのプロパティに合わせて変化します。 6 デバイスのプロパティを選択します。 利用可能なプロパティのリストは、デバイスのタイプによって異なります。 60 • プロパティを追加するには、[>] をクリックします。 • プロパティを削除するには、[<] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 デバイスをデバイス定義で管理 • 6 追加の値をプロパティに追加するには、[+] をクリックします。 値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン をクリックします。 • 7 プロパティを削除するには、[-] をクリックします。 [保存] をクリックします。 ホワイトリストに登録されたプラグ アンド プレイの定義の作成 ホワイトリストに登録されたプラグ アンド プレイ デバイスの目的は、デバイス管理に対応していないデバイスを扱 うことです。 ホワイトリストに登録されていない場合は、システムが無応答になったり、深刻な問題を起こす場合が あります。 ホワイトリストに登録されたプラグ アンド プレイの定義は、McAfee DLP Endpoint for Mac ではサポ ートされません。 ホワイトリストに登録されたプラグ アンド プレイ デバイスは、[例外] タブのプラグ アンド プレイ デバイス ルー ルに追加されます。 親のデバイス クラスが管理対象であっても、これらは管理対象とはなりません。 ベスト プラクティス: 互換性の問題を回避するためには、デバイス管理に対応していないデバイスを、ホワイトリスト に登録されたデバイスのリストに追加します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[Device Control] 、 [デバイスの定義] を選択して、次に [アクション] 、 [新規] 、 [ホワイトリ ストに登録されたプラグ アンド プレイ デバイス定義] を選択します。 3 一意の[名前]とオプションの[説明]を入力します。 4 デバイスのプロパティを選択します。 • プロパティを追加するには、[>] をクリックします。 • プロパティを削除するには、[<] をクリックします。 • 追加の値をプロパティに追加するには、[+] をクリックします。 値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン をクリックします。 • 5 プロパティを削除するには、[-] をクリックします。 [保存] をクリックします。 リムーバブル ストレージ デバイス定義の作成 リムーバブル ストレージ デバイスとは、ドライブとして管理されたコンピュータ上に表示されるファイル システム を含む外部デバイスのことです。 リムーバブル ストレージ デバイス定義は、プラグ アンド プレイ デバイス定義よ りも柔軟で、デバイスに関連する追加のプロパティを含んでいます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[Device Control] 、 [デバイス定義] の順に選択し、次に、[アクション] 、 [新規] 、 [リムーバブ ル ストレージ デバイス定義] を選択します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 61 6 リムーバブル メディアの保護 デバイスをデバイス定義で管理 3 一意の[名前]とオプションの[説明]を入力します。 4 Microsoft Windows または OS X デバイスの [適用先] オプションを選択します。 [使用可能なプロパティ] リストは、選択されたオペレーティング システムのプロパティに合わせて変化します。 5 デバイスのプロパティを選択します。 • プロパティを追加するには、[>] をクリックします。 • プロパティを削除するには、[<] をクリックします。 • 追加の値をプロパティに追加するには、[+] をクリックします。 値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン をクリックします。 • 6 プロパティを削除するには、[-] をクリックします。 [保存] をクリックします。 シリアル番号とユーザーのペアの定義の作成 プラグ アンド プレイ デバイスおよびリムーバブル ストレージ デバイスのルールに、デバイスのシリアル番号とユ ーザー ID の組み合わせに基づいた例外を作成できます。 デバイスとログオン ユーザーをリンクすることにより、 ハイレベルなセキュリティを作成できます。 開始する前に 定義に追加するデバイスのシリアル番号を取得します。 シリアル番号とユーザーのペアの定義は、McAfee DLP Endpoint for Mac ではサポートされていません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左のペインで、[Device Control] 、 [シリアル番号とエンド ユーザーのペア] を 選択します。 3 [アクション] 、 [新規]の順に選択します。 4 一意の名前とオプションの説明を入力します。 5 ページの下方のテキスト ボックスに必要な情報を入力して、[追加] をクリックします。 必要に応じて、シリア ル番号とエンド ユーザーのペアの追加を繰り返します。 [ユーザーの種類] 、 [すべてのユーザー] で、[エンドユーザー] フィールドは空白にしておきます。 ユーザーを 指定する場合は、[email protected] のフォーマットを使用します。 6 [保存] をクリックします。 関連トピック: 62 ページの「デバイス プロパティ」 デバイス プロパティ デバイス プロパティは、デバイス名、バス タイプ、またはファイル システム タイプなどのデバイスの特性を指定し ます。 このテーブルは、どの定義タイプがプロパティを使用するか、どのオペレーティング システムに適用されるかという デバイス プロパティ定義を提供します。 62 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 6 リムーバブル メディアの保護 デバイスをデバイス定義で管理 表 6-2 デバイス プロパティのタイプ プロパティ名 デバイス オペレーティング シ 説明 定義 ステムへの適用: バス タイプ すべて デバイスのバス タイプを使用可能なリストから選択します。 • Windows — Bluetooth、 プラグ アンド プレイ デバイス ルールでは、McAfee DLP Firewire Endpoint for Mac は USB バス タイプのみをサポートし (IEEE1394)、 ます。 IDE/SATA、PCI、 PCMIA、SCSI、 USB • Mac OS X — Firewire (IEEE1394)、 IDE/SATA、SD、 Thunderbolt、 USB CD/DVD ドライ リムーバ • Windows ブル ス ブ トレージ • Mac OS X 選択すると、すべての CD または DVD ドライブを示します。 Endpoint Encryption で 暗号化されたコ ンテンツ Endpoint Encryption で保護されたデバイス。 リムーバ Windows ブル ス トレージ デバイス クラス プラグ アンド プレイ Windows 使用可能な管理リストからデバイス クラスを選択します。 デバイスの互換 ID すべて Windows 物理デバイスの説明リスト。 PCI ベンダ ID/デバイス ID ま たは USB PID/VID を使用して、より簡単に識別される USB および PCI 以外のデバイス タイプに特に効果的です。 デバイス インス すべて タンス ID (Microsoft Windows XP) Windows システム内でデバイスを一意に識別する Windows が生成し た文字列。 例: USB\VID_0930&PID_6533\5&26450FC&0&6 デバイス インス タンス パス (Windows Vista 以降の Microsoft Windows オペ レーティング シ ステム、サーバー を含む) デバイス フレン すべて ドリー名 • Windows ハードウェアに設定した名前。物理アドレスを表します。 • Mac OS X McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 63 6 リムーバブル メディアの保護 デバイスをデバイス定義で管理 表 6-2 デバイス プロパティのタイプ (続き) プロパティ名 デバイス オペレーティング シ 説明 定義 ステムへの適用: ファイル システ • 固定ハ • Windows — ファイル システムのタイプ。 ムのタイプ ード CDFS、exFAT、 • ハードディスクでは、exFAT、FAT16、FAT32、または NTFS ディス FAT16、FAT32、 を選択します。 ク NTFS、UDFS • リムーバブル ストレージ デバイスでは、上記のいずれか、 • リムー • Mac OS X — および CDFS または UDFS。 バブル CDFS、exFAT、 ストレ FAT16、FAT32、 ージ HFS/HFS+、 NTFS、UDFS Mac OS X は、ブー ト ディスク以外のデ ィスクでは、FAT の みをサポートしま す。 Mac OS X は、 NTFS を読み取り専 用としてサポートし ます。 ファイル システ リムーバ • Windows ブル ス ム アクセス トレージ • Mac OS X ファイル システムへのアクセス: 読み取り専用または読み取 り/書き込み ファイル システ • 固定ハ • Windows ム ボリューム ード • Mac OS X ラベル ディス ク ユーザー定義のボリューム ラベル。Windows Explorer での 表示が可能。 部分一致が許可されます。 • リムー バブル ストレ ージ ファイル システ • 固定ハ Windows ム ボリューム ード シリアル番号 ディス ク デバイスにファイル システムが作成されると、自動的に 32 ビ ットの数値が生成されます。 これは、コマンド ライン コマン ド dir x: を実行すると表示できます。 ここで、x: はドライ ブの文字です。 • リムー バブル ストレ ージ PCI 製品 ID/デ バイス ID すべて Windows PCI ベンダ ID およびデバイス ID は PCI デバイスに埋め込 まれています。 これらのパラメータは物理デバイスのハード ウェア ID の文字列から取得できます。 例: PCI\VEN_8086&DEV_2580&SUBSYS_00000000 &REV_04 TrueCrypt デバ リムーバ Windows ブル ス イス トレージ USB クラス コ ード 64 プラグ アンド プレイ Windows McAfee Data Loss Prevention Endpoint 10.0.0 選択すると TrueCrypt デバイスを指定します。 一般機能で物理 USB デバイスを識別します。 リストからク ラス コードを選択します。 製品ガイド リムーバブル メディアの保護 Device Control ルール 6 表 6-2 デバイス プロパティのタイプ (続き) プロパティ名 デバイス オペレーティング シ 説明 定義 ステムへの適用: USB デバイス シリアル番号 • プラグ • Windows アンド • Mac OS X プレイ 一般的にリムーバブル ストレージ デバイスに対して USB デ バイス製造メーカーが割り当てる一意の英数字文字列。 シリ アル番号は、インスタンス ID の最後の部分です。 • リムー バブル ストレ ージ 例: USB\VID_3538&PID_0042\00000000002CD8 有効なシリアル番号は、5 文字以上のアルファベットまたは数 字で、アンパサンド (&) は使用できません。 インスタンス ID の最後の部分がこの条件を満たさない場合、シリアル番号には なりません。 USB ベンダ ID/ • プラグ • Windows 製品 ID アンド • Mac OS X プレイ USB ベンダ ID および製品 ID は USB デバイスに埋め込まれ ています。 これらのパラメータは物理デバイスのハードウェ ア ID の文字列から取得できます。 例: • リムー バブル ストレ ージ USB\Vid_3538&Pid_0042 Device Control ルール Device Control ルールは、特定のデバイスが使用された場合に実行するアクションを定義します。 Device Control ルール 説明 サポート対象 リムーバブル ストレージ デバイス ルール リムーバブル ストレージ デバイスのブロックまたは監視、あるい McAfee DLP は読み取り専用の設定に使用されます。 アクションが実行される Endpoint for Windows、McAfee と、ユーザーに通知することができます。 DLP Endpoint for Mac プラグ アンド プレイ デ バイス ルール プラグ アンド プレイ デバイスのブロックまたは監視に使用しま McAfee DLP す。 アクションが実行されると、ユーザーに通知することができ Endpoint for Windows, ます。 McAfee DLP Endpoint for Mac (USB デバイスの み) リムーバブル ストレージ のファイル アクセス ル ール プラグイン デバイスからの実行ファイルの実行のブロックに使用 McAfee DLP Endpoint for します。 Windows 固定ハード ドライブ ル ール 固定ハード ドライブのブロックまたは監視、あるいは読み取り専 McAfee DLP 用の設定に使用されます。 アクションが実行されると、ユーザー Endpoint for に通知することができます。 固定ハード ドライブ デバイス ルー Windows ルは、ブート パーティションまたはシステム パーティションを保 護しません。 Citrix XenApp デバイ ス ルール 共有デスクトップ セッションにマッピングされた Citrix デバイ スのブロックに使用します。 TrueCrypt デバイス ル ール TrueCrypt デバイスの保護に使用します。 ブロック、監視、また McAfee DLP は読み取り専用の設定に使用できます。 アクションが実行される Endpoint for Windows と、ユーザーに通知することができます。 McAfee Data Loss Prevention Endpoint 10.0.0 McAfee DLP Endpoint for Windows 製品ガイド 65 6 リムーバブル メディアの保護 Device Control ルール リムーバブル ストレージ デバイス ルールの作成 リムーバブル ストレージ デバイスは、管理対象のコンピューターではドライブとして表示されます。 リムーバブル ストレージ デバイス ルールを使用して、リムーバブル デバイスの使用をブロックするか、読み取り専用に設定しま す。 これは、McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac.の両方でサポートされ ています。 2 つのタイプのデバイス ルールのデバイス クラスの使用方法が異なるため、リムーバブル ストレージ デバイスには 管理対象のデバイス クラスは必要ありません。 • プラグ アンド プレイ デバイス ルールは、ハードウェア デバイスがコンピューターに接続されるとトリガーされ ます。 対応はデバイス ドライバーに対するものであるため、デバイス クラスは認識されるデバイスに対して管 理される必要があります。 • リムーバブル ストレージ デバイス ルールは、新しいファイル システムがマウントされるとトリガーされます。 ファイル システムがマウントされると、McAfee DLP Endpoint ソフトウェアが、特定のハードウェア デバイス にドライブ文字を関連付けて、デバイスのプロパティをチェックします。 対応は、デバイス ドライバーではなく ファイル システム操作に対するものであるため、デバイス クラスを管理する必要はありません。 デバイス ルールには、ルールを Windows、OS X のいずれか、またはその両方にルールを適用するかを設定する [施 行の対象] パラメーターがあります。 デバイス ルールで使用されるデバイス定義には、[適用対象] パラメーターがあ り、[Windows デバイス]または [Mac OSX デバイス]を指定します。 デバイスで意義を選択すると、定義とルールの オペレーティング システムを検索します。 両方のオペレーティング システムの McAfee DLP Endpoint クライアン トは、システムに適用しないプロパティを無視します。 ただし、たとえば、Windows のみに強制するが Mac OS X デバイス定義を含んでいるルールは保存できません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。 4 [アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を選択します。 5 一意の[ルール名]を入力します。 6 (オプション) ステータスを変更して、重大度を選択します。 7 ルールがいずれかのオペレーティング システムのみに適用される場合は、[McAfee DLP Endpoint for Windows] または [McAfee DLP Endpoint for Mac OS X] チェックボックスを選択解除します。 8 [条件] タブで、1 つ以上のリムーバブル ストレージ デバイス定義を選択します。 オプション: エンドユーザー グループと [プロセス名] をルールに割り当てます。 9 (オプション) [例外] タブで、ホワイトリストに登録された定義を選択して必要なフィールドに入力します。 ホワイトリストに登録された定義を 2 つ以上追加して複数の例外を追加できます。 [除外されたプロセス] および [除外されたシリアル番号とユーザーのペア] オプションは、McAfee DLP Endpoint for Mac ではサポートされていません。 10 [対応] タブで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポー ト] を追加します。 [インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな ります。 66 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 Device Control ルール 6 11 (オプション) エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選 択します。 12 [保存] をクリックします。 関連トピック: 123 ページの「使用例: リムーバブル ストレージ デバイス ルールとホワイトリストに登録されたプロセ ス」 124 ページの「使用例: リムーバブル デバイスを読み取り専用にする」 プラグ アンド プレイ デバイス ルールの作成 プラグ アンド プレイ デバイス ルールを作成して、プラグ アンド プレイ デバイスをブロックまたは監視します。 これは、McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac.の両方でサポートされてい ます。 OS X コンピューターでは、USB デバイスのみがサポートされています。 プラグ アンド プレイ デバイスは、DLL およびドライバの設定または手動インストールを行っていない管理されたコ ンピューターに追加できるデバイスです。 Microsoft Windows ハードウェア デバイスをコントロールするプラグ アンド プレイ デバイス ルールでは、ルールが使用するデバイス定義のデバイス クラスは 管理対象 ステータスに設 定する必要があります。 デバイス ルールには、ルールを Windows、OS X のいずれか、またはその両方にルールを適用するかを設定する [施 行の対象] パラメーターがあります。 デバイス ルールで使用されるデバイス定義には、[適用対象] パラメーターがあ り、[Windows デバイス]または [Mac OSX デバイス]を指定します。 デバイスで意義を選択すると、定義とルールの オペレーティング システムを検索します。 両方のオペレーティング システムの McAfee DLP Endpoint クライアン トは、システムに適用しないプロパティを無視します。 ただし、たとえば、Windows のみに強制するが Mac OS X デバイス定義を含んでいるルールは保存できません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セットを編集用に開くには、ルール セット名をクリックします。 [ルール セット] タブをクリックしま す。 4 [アクション] 、 [新しいルール] 、 [プラグ アンド プレイ デバイス ルール] を選択します。 5 一意のルール名を入力します。 6 (オプション) ステータスを変更して、重大度を選択します。 7 ルールがいずれかのオペレーティング システムのみに適用される場合は、[McAfee DLP Endpoint for Windows] または [McAfee DLP Endpoint for Mac OS X] チェックボックスを選択解除します。 8 [条件] ペインで、1 つ以上の プラグ アンド プレイ デバイス定義を選択します。 9 (オプション) エンドユーザー グループをルールに割り当てます。 10 (オプション) [例外] タブで、ホワイトリストに登録された定義を選択して必要なフィールドに入力します。 ホワイトリストに登録された定義を 2 つ以上追加して複数の例外を追加できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 67 6 リムーバブル メディアの保護 Device Control ルール 11 [対応] タブで、防止アクション を選択します。 オプション: [ユーザー通知]、および [インシデントのレポート] を追加します。 [インシデントのレポート] を選択しない場合は、[DLP インシデント マネージャー]にインシデントの記録がなく なります。 12 (オプション) エンドユーザーが会社のネットワークの外で作業をしているか、VPN で接続している場合は、異な る防止アクションを選択します。 13 [保存] をクリックします。 関連トピック: 125 ページの「使用例: iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電する」 リムーバブル ストレージ ファイル アクセス デバイス ルールの作成 リムーバブル ストレージのファイル アクセスのルールを使用して、プラグイン デバイス上の実行可能ファイルが実 行されないようにブロックします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。 4 [アクション] 、 [新しいルール] 、 [リムーバブル ストレージ ファイル アクセス ルール] を選択します。 5 一意の[ルール名]を入力します。 6 (オプション) ステータスを変更して、重大度を選択します。 7 [条件] タブで、1 つ以上のリムーバブル ストレージ デバイス定義を選択します。 (オプション) エンドユーザー グループをルールに割り当てます。 8 (オプション) デフォルトの [実際のファイル タイプ] または [ファイル拡張子] 定義を必要に講じて変更します。 9 (オプション) [例外] タブで、[ホワイトリストに登録されたファイル名] を選択して、必要なフィールドに入力し ます。 [ファイル名] 例外は、実行を許可する必要があるアプリケーションが対象です。 たとえば、暗号化デバイスの暗 号化アプリケーションなどです。 10 [対応] タブで、[防止アクション] を選択します。 (オプション) [ユーザー通知]、および [インシデントのレポー ト] を追加します。 [インシデントのレポート] を選択しない場合は、[DLP インシデント マネージャー]にインシデントの記録がなく なります。 11 (オプション) エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選 択します。 12 [保存] をクリックします。 関連トピック: 71 ページの「リムーバブル ストレージ ファイル アクセス ルール」 68 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 Device Control ルール 6 固定ハード ディスク デバイス ルールの作成 固定ハード ディスク デバイス ルールを使用して、コンピューターに接続され、オペレーティング システムによって リムーバブル ストレージとしてマークされていないハード ドライブをコントロールします。 これは、McAfee DLP Endpoint for Windows のみでサポートされています。 固定ハード ドライブ ルールには、ブロックあるいは読み取り専用にするアクションのドライブの定義、エンドユー ザー定義、およびオプションのユーザー定義が含まれます。 これらは、ブート パーティションまたはシステム パー ティションを保護しません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。 4 [アクション] 、 [新しいルール] 、 [固定ハード ドライブ ルール] を選択します。 5 一意の[ルール名]を入力します。 6 (オプション) ステータスを変更して、重大度を選択します。 7 [条件] タブで、1 つ以上の固定ハード ドライブ デバイス定義を選択します。 (オプション) エンドユーザー グ ループをルールに割り当てます。 8 (オプション) [例外] タブで、ホワイトリストに登録された定義を選択して必要なフィールドに入力します。 ホワイトリストに登録された定義を 2 つ以上追加して複数の例外を追加できます。 9 [対応] タブで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポー ト] を追加します。 [インシデントのレポート] を選択しない場合は、[DLP インシデント マネージャー]にインシデントの記録がなく なります。 10 (オプション) エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選 択します。 11 [保存] をクリックします。 Citrix デバイス ルールの作成 Citrix デバイス ルールを使用して、共有デスクトップ セッションにマッピングされた Citrix デバイス をブロックし ます。 Citrix XenApp デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 McAfee DLP Endpoint ソフトウェアは、共有デスクトップ セッションにマッピングされた Citrix デバイスをブロックでき ます。 フロッピー ディスク、固定ディスク、CD、リムーバブル ドライブ、ネットワーク ドライブ、プリンタ、お よびクリップボード リダイレクトは、すべてブロックできます。 ルールを特定のアプリケーションに割り当てでき ます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 69 6 リムーバブル メディアの保護 Device Control ルール タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。 4 [アクション] 、 [新しいルール] 、 [Citrix XenApp デバイス ルール] を選択します。 5 一意の[ルール名]を入力します。 6 (オプション) ステータスを変更して、重大度を選択します。 7 [条件] ペインで、1 つ以上のリソースを選択します。 8 (オプション) エンドユーザー グループをルールに割り当てます。 9 (オプション) [例外] タブで、ホワイトリスト登録ユーザーに必要なフィールドを入力します。 10 [保存] をクリックします。 選択されたリソースがブロックされます。 Citrix ルールの [防止アクション] のみが [ブロック] です。 [対応] ペインでアクションを選択する必要はありませ ん。 TrueCrypt デバイス ルールの作成 TrueCrypt デバイス ルールを使用して、TrueCrypt 仮想暗号化デバイスをブロックまたは監視するか、あるいはこ れらを読み取り専用に設定します。 これは、McAfee DLP Endpoint for Windows のみでサポートされています。 TrueCrypt デバイス ルールは、リムーバブル ストレージ デバイス ルールのサプセットです。 TrueCrypt で暗号化 された仮想デバイスは、TrueCrypt デバイス ルールまたはリムーバブル ストレージ保護ルールで保護できます。 • TrueCrypt ボリュームをブロックまたは監視する、あるいは読み取り専用にするには、デバイス ルールを使用し ます。 • TrueCrypt ボリュームのコンテンツ依存の保護を使用するには保護ルールを使用します。 McAfee DLP Endpoint クライアント ソフトウェアは、TrueCrypt アプリケーションがローカル ディスクに書き込む 場合でも、すべての TrueCrypt マウントをリムーバブル ストレージとして扱います。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 70 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択 します。 2 [アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。 3 ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。 4 [アクション] 、 [新しいルール] 、 [TrueCrypt デバイス ルール] を選択します。 5 一意の[ルール名]を入力します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド リムーバブル メディアの保護 リムーバブル ストレージ ファイル アクセス ルール 6 6 (オプション) ステータスを変更して、重大度を選択します。 7 (オプション) [条件] タブで、エンドユーザーをルールに割り当てます。 8 (オプション) [例外] タブで、ホワイトリスト登録ユーザーに必要なフィールドを入力します。 9 [対応] タブで、[防止アクション] を選択します。 (オプション) [ユーザー通知]、および [インシデントのレポー ト] を追加します。 [インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな ります。 10 (オプション) エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選 択します。 11 [保存] をクリックします。 リムーバブル ストレージ ファイル アクセス ルール リムーバブル ストレージ ファイル アクセス ルールは、プラグイン デバイス上の実行可能ファイルが実行されない ようにブロックするために使用されます。 これらは、Microsoft Windows コンピューターのみでサポートされてい ます。 リムーバブル ストレージ ファイル アクセス ルールは、リムーバブル ストレージ デバイス上の実行可能ファイルが 実行されないようにブロックします。 ルールで、含めるデバイスと除外するデバイスを指定できます。 暗号化され たデバイス上の暗号化アプリケーションなどの、ある種の実行可能ファイルの実行を許可する必要があるため、名前 付きファイルをブロック ルールから免除するために、ルールには、[ファイル名] 、 [いずれでもない]パラメーター が含まれます。 ファイル アクセス ルールは、実際のファイル タイプを使用してどのファイルをブロックするか決定します。 実際の ファイル タイプは、拡張子が変更されていても正確に識別できるため、その内部で登録されたデータ タイプにより ファイルを識別します。 デフォルトで、ルールが圧縮ファイル (.zip、.gz、.jar、.rar、および .cab) と実行可能フ ァイル (.bat、.bin、.cgi、.com、.cmd、.dll、.exe、.class、.sys、および .msi) をブロックします。 ファイル 拡張子の定義は、必要な任意のファイル タイプを追加してカスタマイズできます。 ファイル フィルター ドライバーは実行可能ファイルを開くことと作成することを区別できないため、ファイル アクセ ス ルールは、実行可能ファイルのリムーバブル ストレージ デバイスへのコピーもブロックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 71 6 リムーバブル メディアの保護 リムーバブル ストレージ ファイル アクセス ルール 72 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 7 機密コンテンツの分類 分類は、機密のコンテンツとファイルを特定として追跡します。 目次 分類モジュールのコンポーネント 分類の使用 分類の定義と条件 手動分類 登録文書 ホワイトリストに登録されたテキスト 分類の作成と設定 McAfee DLP Endpoint の分類コンポーネントの設定 分類の定義の作成 使用例: Titus Client のサードパーティ タグとの統合 使用例: Boldon James Email Classifier と分類条件の統合 分類モジュールのコンポーネント McAfee DLP は、機密コンテンツ分類とコンテンツ フィンガープリントの 2 つのメカニズムと、自動分類と手動分 類の 2 つのモードを使用します。 自動分類は、McAfee DLP で定義され、McAfee ePO によりエンドポイント コンピューターに配備されるポリシー で配布されます。 これらは、次にで意義された条件に従ってコンテンツに適用されます。 手動分類は、エンドポイ ント コンピューター上のファイルと電子メールに権限をもつユーザーにより適用されます。 コンテンツ分類には、機密コンテンツを定義するデータとファイルが含まれます。 分類条件は、データ保護、エンド ポイント検出、または McAfee DLP Discover ルールがトリガーされると、コンテンツに対して比較されます。 コンテンツ フィンガープリントは、アプリケーション (そのファイルを作成したアプリケーションまたはファイルを 開いた Web アプリケーション) または場所により定義されます。 これには、データとファイルの条件も含まれま す。 これらは、コンテンツが使用された際に、ルールがトリガーされなくても適用されます。 McAfee DLP の [分類] モジュールは、コンテンツ分類とフィンガープリントの条件、およびこれらの設定に使用す る定義を保存します。 この場所では、登録された文書リポジトリ、手動分類のユーザー承認とフィンガープリント、 およびホワイトリストに登録されたテキストもセットアップされます。 コンテンツ分類条件は、McAfee DLP Endpoint for Windows、McAfee DLP Endpoint for Mac、および McAfee DLP Discover でサポートされています。 コンテンツ フィンガープリント、登録された文書、およびホワイトリスト に登録されたテキストのみが、McAfee DLP Endpoint for Windows のみでサポートされています。 McAfee DLP Endpoint for Mac および McAfee DLP Discover は、手動分類を認識できますが、設定または表示はできません。 このモジュールは以下の機能を提供します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 73 7 機密コンテンツの分類 分類の使用 • [手動分類] — エンドユーザー グループを設定して手動の分類またはフィンガープリント コンテンツを許可しま す。 • [定義] — コンテンツ、プロパティ、および分類するファイルの場所を定義します。 • [分類] — 分類を作成して、コンテンツ分類とフィンガープリント条件を定義します。 • [文書の登録] — 既知の機密コンテンツを含むファイルをアップロードします。 • [ホワイトリストに登録されたテキスト] — ホワイトリストに登録するテキストを含むファイルをアップロード します。 分類の使用 分類は、コンテンツ フィンガープリントまたは分類条件をファイルとコンテンツに適用することにより、機密コンテ ンツを特定して追跡します。 McAfee DLP は、ユーザー定義の 分類 で機密コンテンツを特定して追跡します。 すべての McAfee DLP 製品は、 分類条件 をサポートしています。 McAfee DLP Endpoint for Windows も コンテンツ フィンガープリント をサ ポートしています。 コンテンツ フィンガープリントが機密情報にラベルを付け、機密情報が他のドキュメントにコ ピーされたり、別の形式で保存されてもラベルは付いたままです。 コンテンツ分類条件 分類条件は、機密性の高いテキスト パターン、ディクショナリ、キーワード、またはこれらの組み合わせを特定しま す。 組み合わせは、単純に複数の名前をもつプロパティ、または近接性として知られる定義された関係をもつプロパ ティのいずれかです。 また、ファイル タイプ、文書のプロパティ、ファイルの暗号化、またはファイル内の場所 (ヘ ッダー/本文/フッター) などのファイルの条件も指定できます。 コンテンツ フィンガープリント条件 コンテンツ フィンガープリントは、以下のオプションのいずれかに基いてファイルまたはコンテンツに適用されま す。 • アプリケーション ベース — ファイルを作成または変更したアプリケーション • ロケーション ベース — ファイルが保存されているネットワーク共有またはリムーバブル ストレージの定義 • Web ベース — ファイルを開いた、あるいはダウンロードした Web アドレス 分類条件に利用可能なすべてのデータとファイルの条件は、コンテンツ フィンガープリント条件に利用でき、フィン ガープリントは両方の条件のタイプの機能を結合することができます。 コンテンツ フィンガープリント シグネチャは、ファイルの拡張ファイル属性(EA) または代替データ ストリーム (ADS) に保存され、ファイルが保存される際にファイルに適用されます。 フィンガープリント コンテンツを他のフ ァイルにコピーまたは移動すると、フィンガープリン条件はそのファイルに適用されます。 フィンガープリント コ ンテンツがファイルから削除されると、コンテンツ フィンガープリント シグネチャも削除されます。 保護ルールで分類が使用されたかどうかに関わらず、ポリシーが適用された後に、McAfee DLP Endpoint はコンテン ツ フィンガープリント条件をファイルに適用します。 条件の適用 条件は以下のいずれかの方法でファイルに適用されます。 74 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の使用 • • 7 以下の場合に McAfee DLP Endpoint が条件を適用します。 • ファイルが、設定された分類に一致する。 • ファイルまたは機密コンテンツが新しい場所に移動またはコピーされる。 • ファイルが、検出スキャンで一致する。 権限をもつユーザーが、条件をファイルに手動で追加する。 関連トピック: 85 ページの「分類条件の作成」 87 ページの「コンテンツ フィンガープリント条件の作成」 88 ページの「手動分類権限の割り当て」 ファイルの送信先による分類 コンテンツの送信元を分類することに加えて、コンテンツの送信先を分類、および制御することができます。 Data Loss Prevention の用語では、これは移動中のデータ (data-in-motion) と呼ばれています。 対象をコントロールするファイル保護ルールには以下が含まれます。 • クラウド保護ルール • プリンタ保護ルール • 電子メール保護ルール • リムーバブル ストレージ保護ルール • ネットワーク通信保護ルール (送信) • Web 送信保護ルール 電子メールの取り扱い McAfee DLP Endpoint は、電子メールのヘッダー、本文または添付ファイル中の機密データを保護します。 電子メ ール ストレージ検出は、OST または PST ファイルに機密データがある電子メールを検出して、タグ付けまたは隔離 します。 McAfee DLP Endpoint は、コンテンツを分類またはタグ付けして、機密コンテンツを含む電子メールが送信される のを防止することによって、電子メール中の機密コンテンツを保護します。 電子メール保護ポリシーは、異なるユー ザーと宛先に対して、または暗号化あるいは権限管理によって保護されたメール対して、異なるルールを指定するこ とができます。 関連トピック: 108 ページの「電子メール保護ルール」 ネットワーク パラメータの定義 ネットワークの定義は、ネットワークの保護ルールのフィルタリング基準として機能します。 • ネットワーク アドレス は外部ソースと管理されたコンピューター間のネットワーク接続を監視します。 定義 は、単一のアドレス、範囲またはサブネットにすることができます。 ネットワーク通信保護ルールでは、定義さ れたネットワーク アドレスの追加と除外ができます。 • ネットワーク通信保護ルールの ネットワーク ポート 定義を使用すると、ネットワーク ポートで定義された特定 のサービスを除外できます。 一般的なサービスとそのポートのリストは組み込まれています。 リストの項目を 編集するか、独自の定義を作成することができます。 • ネットワーク共有 定義は、ネットワーク共有保護ルールに共有ネットワーク フォルダーを指定します。 定義さ れた共有は追加または除外ができます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 75 7 機密コンテンツの分類 分類の使用 プリンタの取り扱い 印刷保護ルールは、ローカル プリンタとネットワーク プリンタの両方を管理し、機密事項の印刷をブロックまたは 監視するときに使用します。 McAfee DLP Endpoint 9.4 のプリンタ保護ルールは、高機能モードと V4 プリンタをサポートしています。 定義し たプリンタは、ルールに追加またはルールから除外することができます。 イメージ プリンタと PDF プリンタをルー ルに追加することができます。 プリンタ保護ルールにはアプリケーション定義を含むことができます。 ホワイトリストに登録されたプロセスを定 義して、ポリシー カタログ 、 Data Loss Prevention 9.4 、 クライアントの設定 、 プリンタ保護 の設定で、プリ ンタ保護ルールを免除できます。 Web サイトにアップロードした情報の制御 Web アドレスが Web 送信保護ルールで使用されます。 Web アドレス定義を使用すると、タグの付いたデータの定義済み Web 宛先 (Web サイトまたは Web サイトの特 定のページ) へのポスティングをブロックしたり、未定義の Web サイトへのポスティングを防ぐことができます。 一般的に、Web アドレス定義は、タグ付きデータのポスティングが許可されている外部 Web サイトと同様に、内部 Web サイトも定義します。 ファイルの場所による分類 機密のコンテンツは、それが存在する (保存されている) 場所またはそれが使用されている場所 (ファイル拡張子また はアプリケーション) によって定義することができます。 McAfee DLP Endpoint は、いくつかの方法を使用して、機密コンテンツを特定して分類します。 保存注のデータ は、ファイルの場所の説明に使用する用語です。 これは、 「ネットワーク上のどこにありますか?」または「どのフォ ルダーに入っていますか?」といった質問によりコンテンツを分類します。 使用中のデータ (data-in-use) は、使 用法または使用場所の定義に使用する用語です。 これは、 「どのアプライアンスから呼び出されますか?」または「フ ァイルの拡張子は何ですか?」といった質問によりコンテンツ分類します。 McAfee DLP Endpoint Discovery ルールは、保存中のデータを見つけます。 これらは、エンドポイント コンピュ ーター ファイルまたは電子メール ストレージ (PST、マッピングされた PST、および OST) ファイルでコンテンツ を検索できます。 プロパティ、アプリケーション、またはルール分類の場所によっては、ルールが、指定したストレ ージの場所を検索して、暗号化、隔離、または RM ポリシーを適用できます。 代わりに、ファイルをタグ付けまた は分類して、どのように使用するかを制御できます。 テキスト抽出 ファイルが開く/コピーされると、テキスト抽出によってファイル コンテンツが解析され、分類ルールのテキスト パ ターンやディクショナリ定義と比較されます。 一致が発生すると、条件がコンテンツに適用されます。 McAfee DLP は、アクセント付の文字をサポートしています。 フランス語やスペイン語、一部の通常ラテン文字な どのアクセント付き文字が ASCII テキスト ファイルに混在する場合、テキスト抽出では正しく文字セットが識別さ れない場合があります。 この問題は、すべてのテキスト抽出プログラムで発生します。 この場合の ANSI コード ペ ージを識別する既知の方法やテクニックはありません。 テキスト抽出がコードページを特定できない場合は、テキス ト パターンとコンテンツ フィンガープリント署名は認識できません。 文書が正しく分類できず、ブロックまたは監 視の正しいアクションが実行できません。 この問題を回避するために、McAfee DLP はフォールバックのコードペ ージを使用します。 フォールバックは、コンピューターのデフォルト言語または管理者が設定した別の言語です。 McAfee DLP Endpoint によるテキスト抽出 テキスト抽出は、Microsoft Windows と Apple OS X の両方のコンピューターでサポートされています。 テキスト抽出では、プロセッサのコア数に応じて複数のプロセスが実行されます。 76 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の使用 • シングル コア プロセッサは 1 つのプロセスを実行します。 • デュアル コア プロセッサは 2 つのプロセスを実行します。 • マルチコア プロセッサは最大 3 つのプロセスを実行します。 7 複数のユーサーがログオンしている場合は、各ユーザーにはそれぞれのプロセスのセットがあります。 このように、 テキスト抽出の数は、コア数とユーザー セッションの数に依存します。 マルチ プロセスは、Windows タスク マネ ージャで表示することができます。 テキスト抽出が使用するメモリの最大量は設定できます。 デフォルトは、75 MB です。 McAfee DLP Endpoint のアプリケーションの分類方法 アプリケーションを使用して分類またはルール セットを作成する前に、McAfee DLP Endpoint がどのようにそれを 分類するか、またシステム パフォーマンスへの影響について、理解する必要があります。 この分類は、McAfee DLP Endpoint for Mac ではサポートされていません。 McAfee DLP Endpoint ソフトウェアは、アプリケーションを方針と呼ばれる 4 つのカテゴリに分割します。 これ は、異なるアプリケーションに対するソフトウェアの動作に影響を与えます。 アプリケーションの方針を変更して、 セキュリティとコンピューター操作の効率性のバランスをとることができます。 セキュリティの低い順に方針を並べると以下のようになります。 • エディター — ファイルのコンテンツを変更できる任意のアプリケーション。 これには、Microsoft Word および Microsoft Excel のような“クラシック”なエディターと、ブラウザー、グラフィック ソフトウェア、経理ソフト ウェアなどが含まれます。 多くのアプリケーションはエディターです。 • Explorer — Microsoft Windows Explorer またはシェル アプリケーションのような、ファイルを変更せずに コピー t または移動するアプリケーション。 • 信頼 - スキャンする際にファイルへの無制限のアクセスが必要なアプリケーションです。 たとえば、McAfee VirusScan Enterprise、バックアップ ソフトウェア、および Google Desktop などのデスクトップ検索ソフト ウェアなどです。 ® ® • アーカイバ - ファイルを再処理するアプリケーションです。 たとえば、WinZip などの圧縮ソフトウェア、 McAfee Endpoint Encryption ソフトウェアや PGP などの暗号化ソフトウェアです。 DLP 方針の設定方法 パフォーマンスを最適化するため、必要に応じて方針を変更してください。 たとえば、エディタのアプリケーション に対する高レベルの監視は、常時行われるデスクトップ検索アプリケーションの索引付けには適していません。 パフ ォーマンスのペナルティは高い一方、このようなアプリケーションからのデータ漏えいの危険性は高くありません。 そのため、これらのアプリケーションに対しては信頼された方針を使用する必要があります。 DLP ポリシー 、 設定 、 アプリケーション方針ページのデフォルトの方針を上書きできます。 必要に応じて上書き を作成または削除して、ポリシーを実験的に微調整できます。 1 つのアプリケーションに 2 つ以上のテンプレートを作成して、2 つ以上の方針を割り当てることもできます。 異 なる分類とルールに異なるテンプレートを使用して、異なるコンテキストで異なる結果を得ることができます。 ただ し、ルール セットにテンプレートを割り当てる際には、衝突を避けるように注意します。 McAfee DLP Endpoint は、次の階層に従って衝突を解決します: アーカイバー > 信頼 > エクスプローラー > エディタ つまり、エディタ は最下位の順位です。 あるテンプレートにおいてアプリケーションがエディタで、別のテンプレートではエディタで はない場合、McAfee DLP Endpoint はアプリケーションをエディタとしては扱いません。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 77 7 機密コンテンツの分類 分類の定義と条件 分類の定義と条件 分類の定義と条件には、コンテンツまたはファイルのプロパティを説明する 1 つ以上の条件が含まれます。 表 7-1 利用可能な条件 プロパティ 適用 先: 定義 製品 [高度なパタ ーン] 定義、 条件 日付やクレジットカード番号などのデータの検索に使用される正 規表現または語句。 すべての製品 [ディクショ ナリ] 定義、 条件 俗語や医療用語などの、関連するキーワードと語句の集合。 [キーワード] 条件 文字列値。 複数のキーワードをコンテンツ分類またはコンテツ フィンガープ リント条件に追加できます。 複数のキーワードに対するデフォル トの論理演算子は OR ですが、AND に変更できます。 [近接性] 条件 2 つのプロパティを互いの場所に基いて組み合わせを定義します。 高度なパターン、ディクショナリ、またはキーワードをいずれかの プロパティで使用できます。 近接性 パラメーターは、「x 文字未満」として定義され、デフォル トは 1 文字です。 また、一致数 パラメーターを指定して、一致の 最低数を指定してトリガーすることもできます。 [文書プロパ ティ] 定義、 条件 以下のオプションが含まれます。 • 任意のプロパティ • 最終保存者 • 作成者 • マネージャー名 • カテゴリ • セキュリティ • 説明 • 件名 • 会社 • テンプレート • キーワード • タイトル 任意のプロパティは、ユーザー定義のプロパティです。 [ファイルの 暗号化] 条件 以下のオプションが含まれます。 • 暗号化なし* • Microsoft Rights Management 暗号化* • McAfee 暗号化自己解凍 ファイル • Seclore Rights Management 暗号化 • McAfee Endpoint Encryption • サポートされない暗号化 タイプ、またはパスワード 保護ファイル* • McAfee DLP Endpoint for Windows (すべて のオプション) • McAfee DLP Discover (*でマ ークされたオプシ ョン) [ファイル拡 張子] 定義、 条件 MP3 や PDF などの、サポートされているファイル タイプのグル ープです。 すべての製品 [ファイル情 報] 定義、 条件 以下のオプションが含まれます。 すべての製品 • アクセス日 • ファイル名 • 作成日 • ファイル所有者 • 変更日 • ファイル サイズ • ファイル拡張子 78 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の定義と条件 7 表 7-1 利用可能な条件 (続き) プロパティ 適用 先: 定義 [ファイル内 の場所] 条件 データが置かれているファイル内のセクション。 製品 • Microsoft Word 文書 — 分類エンジンは、ヘッダー、本文、お よびフッターを識別できます。 • PowerPoint 文書 — WordArt はヘッダー、その他のすべては本 文と見做されます。 • 他の文書 — ヘッダーおよびフッターは適用されません。 分類 条件は、文書が選択されている場合は検索されません。 [サードパー ティ タグ] 条件 Titus のフィールド名と値の指定に使用します。 McAfee DLP Endpoint for Windows [実際のファ イル タイプ] 定義、 条件 ファイル タイプのグループ。 すべての製品 [アプリケー ション テン プレート] 定義 ファイルにアクセスするアプリケーションまたは実行可能ファイ ル。 • McAfee DLP Endpoint for Windows [エンドユー ザー グルー プ] 定義 手動分類権限の定義に使用されます。 • McAfee DLP Endpoint for Mac [ネットワー ク共有] 定義 ファイルを保存するネットワーク共有です。 McAfee DLP Endpoint for Windows [URL リスト] 定義 たとえば、組み込みの Microsoft Excel グループには、Excel XLS、XLSX、および XML ファイル、Lotus WK1 および FM3 フ ァイル、CSV、DIF ファイル、Apple iWork ファイルなどが含ま れます。 ファイルにアクセスする URL です。 関連トピック: 91 ページの「分類の定義の作成」 ディクショナリの定義 ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当てられていま す。 コンテンツ分類およびコンテンツ フィンガープリントの条件は、定義されているしきい値 (スコアの合計) を超過し た場合、つまり、ドキュメント内でディクショナリの用語が過多に使用されている場合、指定されたディクショナリ を使用してドキュメントを分類します。 ディクショナリ および キーワード 定義内の文字列の違いは、割り当てられたスコアです。 • キーワード分類は、語句が存在する場合はドキュメントに常にタグを付けます。 • ディクショナリの分類では、しきい値を設定できるため相対的な分類を作成することができ、より柔軟性があり ます。 割り当てられるスコアは、正または負のいずれも使用することができ、これによって他の語句またはフレーズ内にあ る語句やフレーズを検索することができます。 McAfee DLP ソフトウェアには、医療、銀行、証券、およびその他の業界で一般的に使用される用語が収められた、 いくつかの組み込みディクショナリがあります。 さらに、ユーザー独自のディクショナリを作成することができま す。 ディクショナリは手動で作成 (および編集) することも、他のドキュメントからコピー アンド ペーストするこ ともできます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 79 7 機密コンテンツの分類 分類の定義と条件 制限事項 ディクショナリの使用にはいくつかの制限があります。 ディクショナリは Unicode (UTF-8) で保存されるため、任 意の言語で作成することができます。 以下の説明は、英語で作成されたディクショナリについてのものです。 この 説明は一般的に他の言語にも適用されますが、言語によっては予測できない問題が発生する可能性があります。 ディクショナリの検索一致には以下の特徴があります。 • 大文字と小文字を区別する辞書エントリを作成する場合にのみ大文字と小文字が区別されます。 この機能が利用 可能となる前に作成された組み込みディクショナリは大文字と小文字を区別しません。 • オプションで、語句全体ではなく部分文字列の検索も可能です。 • スペースを含むフレーズの検索一致を行います。 部分文字列の検索が指定されている場合、誤検知の可能性があるため、短い語句の入力では十分に注意してください。 たとえば、"cat" のディクショナリ エントリは、"cataracts" と "duplicate" に一致します。 これらの誤検知を防 止するには、全体句の一致のオプションまたは、Statistically Improbable Phrases: 統計的に珍しい言い回し (SIP) を使用して最適な結果が得られるようにします。 類似のエントリは、誤検知の別の原因となります。 たとえ ば、いくつかの HIPAA 疾病一覧では、 「celiac (セリアック病患者)」と「celiac disease (セリアック病)」が別々の エントリとして出てきます。 2 番目の用語がドキュメント内に出現し、部分文字列の一致検索が指定されている場 合、それぞれのエントリに対して 1 つずつ、2 つヒットしてしまうため、合計スコアは歪曲したものとなります。 関連トピック: 91 ページの「ディクショナリ定義の作成またはインポート」 高度なパターンの定義 高度なパターンは、社会保障番号やクレジットカード番号のような複雑なパターン検索を可能にする正規表現 (regex) を使用します。 定義には、Google RE2 正規表現の構文を使用します。 高度なパターン定義には、ディクショナリの定義のようにスコア (必須) が含まれます。 これにはオプションの検証 ツール - 正規表現のテストに使用するアルゴリズム - を含めることもできます。 適切な検証ツールを使用すること によって、誤検知を大幅に減らすことができます。 定義には、オプションの 無視された式 のセクションを追加しえ 誤検知をさらに減らすことができます。 無理された式は、正規表現またはキーワードにすることができます。 複数 のキーワードをインポートして式の作成をスピードアップできます。 高度なパターンは、重要なテキストを示します。 重要なテキスト パターンは強調表示するよう編集されます。 検索パターンと無視されるパターンの両方が指定される場合は、『無視されるパターンが優先されます』。 このため、 ユーザーは通常のルールを指定した後でも、それを書き直すことなく例外を追加できます。 関連トピック: 92 ページの「高度なパターンの作成」 ドキュメントのプロパティまたはファイル情報を使用したコンテンツの分類 ドキュメント プロパティ定義は、あらかじめ定義されたメタデータ値によってコンテンツを分類します。 ファイル 情報定義は、ファイルのメタデータでコンテンツを分類します。 文書プロパティ 文書プロパティは、任意の Microsoft Office 文書または PDF から取得して、分類定義に使用できます。 部分一致 は、[包含] 比較を使用してサポートされています。 ドキュメント プロパティは 3 種類あります。 80 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の定義と条件 7 • 事前定義のプロパティ - 『作成者』や『タイトル』などの標準的なプロパティです。 • カスタム プロパティ - ドキュメント メタデータに追加され、Microsoft Word などのいくつかのアプリケーシ ョンで許可されているカスタム プロパティです。 カスタム プロパティは、事前定義されていないプロパティ リ ストの標準ドキュメント プロパティも参照できますが、事前定義されているプロパティ リストのプロパティと重 複できません。 • 任意のプロパティ - 値だけでプロパティを定義できます。 この機能は、不正なプロパティ パラメータにキーワ ードが入力されている場合、またはプロパティ名が不明な場合に使用します。 たとえば、『任意のプロパティ』 パラメータに [Secret] という値を追加した場合、 『Secret』という単語を 1 回以上含むすべての文書が分類され ます。 ファイル情報 ファイル情報の定義は、データ保護、検出ルール、および分類で粒度を高めるために使用されます。 ファイル情報に は、作成日、変更日、ファイルの所有者、およびファイル サイズが含まれます。 日付のプロパティには、正確な日 付 (指定日の前、後、間) および相対日付 (最近の X 日、週、年の中で指定) の両方のオプションがあります。 [ファ イル タイプ (拡張子のみ)] が事前定義された、拡張性のあるファイル拡張子のリストです。 アプリケーション テンプレート アプリケーション テンプレート コントロールでは、製品またはベンダー名、実行可能ファイル名、ウィンドウ タイ トルなどのプロパティを使用して特定のアプリケーションを制御します。 アプリケーション テンプレートは単一のアプリケーション、または類似したアプリケーションのグループに対して定 義できます。 Web ブラウザー、暗号化アプリケーション、電子メールクライアントなどの多くの一般的なアプリケ ーションには、組み込みの (事前定義された) テンプレートがあります。 アプリケーション テンプレート定義には、オペレーティング システムのチェックボックスがあるフィールドが含ま れています。 メモリにマッピングされたファイルの分析は、Windows のみの機能で、OS X アプリケーションを実 行すると無効にされます。 Microsoft Windows のアプリケーション テンプレートは、以下のパラメーターを使用できます。 • コマンド ライン — コマンド ラインの引数、たとえば: java-jar を許可し、以前は制御できなかったアプリケ ーションを制御します。 • 実行可能ファイル ディレクトリ - 実行可能ファイルが置かれるディレクトリ。 このパラメータの使用法の 1 つは、U3 アプリケーションを制御することです。 • 実行可能ファイル ハッシュ - SHA2 ハッシュであることを示す、アプリケーションの表示名。 • 実行可能ファイル名 — 通常は表示名 (SHA2 ハッシュを取る) と同じですが、ファイルの名前が変更されている 場合は異なります。 • 元の実行可能ファイル名 - ファイルの名前が変更されていない限り、実行可能ファイル名とまったく同じです。 • 製品名 - 実行可能ファイルのプロパティに表示されている場合、Microsoft Office 2012 などの製品の一般名。 • ベンダー名 - 実行可能ファイルのプロパティに表示されている場合は、会社名。 • ウィンドウ タイトル - 実行時に有効なファイル名を含んで変化する動的な値。 SHA2 アプリケーション名以外のパラメーターと実行可能ファイル ディレクトリでは、サブストリングを使用できま す。 OS X のアプリケーション テンプレートは、以下のパラメーターを使用できます。 • コマンドライン • 実行可能ディレクトリ McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 81 7 機密コンテンツの分類 手動分類 • 実行可能ファイル ハッシュ • 実行可能ファイル名 手動分類 エンドユーザーは、コンテンツ分類またはフィンガープリント条件をファイルに手動で適用あるいは削除できます。 デフォルトでは、エンドユーザーには分類を表示、追加、削除する権限がありません。 ただし、定義された分類を特 定のユーザー グループまたは [すべてのユーザー] に割り当てることができます。 割り当てられたユーザーは、分類 を作業対象のファイルに割り当てできます。 McAfee DLP Endpoint クライアントがたとえば電子メールで手動分 類を見つけると、分類に応じて適切なアクションを実行します。 手動分類を使用すると、システムによって自動的に 処理されていない機密情報や特殊情報など、特別な場合でも組織の分類ポリシーを保持することができます。 McAfee DLP Endpoint for Windows ユーザーはファイルを手動で分類できます。 McAfee DLP Endpoint for Mac ユーザーは、手動文されたファイルを認識できますが、手動分類を設定または表示するオプションがありません。 手動分類の権限を設定する場合は、コンテンツ分類、コンテンツ フィンガープリントのいずれか、あるいは両方の手 動適用を許可するオプションがあります。 手動分類のサポート McAfee DLP は、手動分類に、Microsoft Office のサポートと、サポートされるファイル タイプの 2 つのタイプを 提供します。 Microsoft Office アプリケーション (Word、Excel、PowerPoint) および Microsoft Outlook が、ファイル作成レ ベルでサポートされています。 エンドユーザーが分類タイプを選択できるようにするか、Office ファイルの保存時 および Outlook 電子メールの送信時に、ユーザーに分類を強制するオプションを設定できます。 その他のサポートされているファイル タイプ、および Microsoft Office ファイルは、Windows Explorer で右クリ ックを使用して分類することができます。 82 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 手動分類 7 組み込みのタグ付け 自動および手動で適用されるコンテンツ分類には違いがあります。 自動コンテンツ分類は、分類を含むルールがトリ ガー される度にコンテンツを比較します。 これによりファイルが変更されることはありません。 手動コンテンツ 分類は、ファイルに物理的なタグを埋め込みます。 電子メールの場合は、x-header を電子メールに埋め込み、ヘッ ダーまたはフッターにマークアップ テキストを追加して分類を指定します。 手動適用されるコンテンツ フィンガープリントも同様に機能し、シグネチャがファイルの拡張属性または別のデータ ストリームに保存されます。 関連トピック: 88 ページの「手動分類権限の割り当て」 埋め込みタグ 手動分類によりサードパーティ アプリケーションを McAfee DLP がタグ付けした文書に統合できる場合の組み込ま れるタグ。 以下の表は、サポートされているファイル タイプ、タグ名、および適用される技術を一覧表示します。 実際のファイル タイプ 技術 組み込みタグ名 文書 文書のプロパティ DLP_CLASSIFICATION DOCS RTF PDF XMP JPEG 内部ラベルは以下のとおりです。 • 分類: DLPManualClassification • Classifier: DLPManualClassificationClassifier • 日付: DLPManualClassificationDate および XMP でサポートされているファイル タイプは以下のとおりです。 AIFF (aif) MPEG4 (mov、mp4、m4v、m4a、 SWF (swf) f4v) ASF (wma、wmv) P2 TIFF (tif、tiff、dng) AVCHD (m2ts、mts、m2t) PDF (pdf) UCF (ucf、xfl、pdfxml、mars、 idml、idap、icap) FLV (flv) PNG (png) WAVE (wav) InDesign (indd、indt) POST-SCRIPT (ps、eps) XDCAM JPEG (jpg、jpeg) PSD (psd) XDCAMEX MP3 (mp3) RIFF (avi) MPEG2 (mpg、mpeg、mp2、mod、m2v、 SONY-HDV mpa、mpv、m2p、m2a、m2t、mpe、 vob、ms-pvr、dvr-ms) 関連トピック: 82 ページの「手動分類」 115 ページの「エンドユーザー メッセージのカスタマイズ」 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 83 7 機密コンテンツの分類 登録文書 登録文書 登録された文書の機能は、ロケーションベースのコンテンツ フィンガープリントの拡張機能です。 この機能を使用 して管理者は別の方法で機密情報を定義し、不正な方法で配布されるのを保護することができます。 McAfee DLP Discover と McAfee DLP Endpoint for Mac は、登録された文書をサポートしていません。 登録された文書は機密文書として事前定義されており、たとえば、次の四半期の売上予測のスプレッドシートなどが 該当します。 McAfee DLP ソフトウェアは、ファイルのコンテンツを分類してフィンガープリントを作成します。 作成された署名は言語非依存で、プロセスはすべての言語で機能します。 パッケージを作成する場合は、署名が McAfee ePO データベースに読み込まれ、すべてのエンドポイント ワークステーションに配布されます。 管理され たコンピューターの McAfee DLP Endpoint クライアントが、登録されたコンテンツの一部を含む文書の配布を管理 します。 登録された文書を使用するには、分類モジュールの 文書の登録 タブにファイルをアップロードし、アップロード後 にファイルを分類に割り当てます。 エンドポイント クライアントは、適用されない分類を無視します。 たとえば、 ファイル プロパティで分類された登録文書のパッケージは、電子メールが機密コンテンツについて解析される場合に は、無視されます。 表示には、統計 および 分類 の 2 つのオプションがあります。 統計表示では、ファイル数、ファイルサイズ、署名 の数、などの合計が左パネルに表示され、ファイルごとに統計が右パネルに表示されます。 署名数が制限に近づいた 場合は、このデータを使用して比較的重要でないパッケージを削除します。 分類表示では、分類ごとにアップロード されたファイルが表示されます。 最終パッケージ作成の情報とファイル リストの変更が右上に表示されます。 パッケージを作成する際に、ソフトウェアがリストされたすべてのファイルを処理して、配布用のフィンガープリン トを McAfee ePO データベースに読み込みます。 文書を追加または削除する場合は、新しいパッケージを作成する 必要があります。 ソフトウェアは、いくつかのファイルにフィンガープリントが既に作成されているかどうか計算す ることはしません。 リスト全体に対して処理が実行されます。 パッケージの作成 コマンドは、登録された文書のリストと、ホワイトリストに登録された文書のリストの両方を使用 して単一のパッケージを作成します。 パッケージあたりの署名の最大数は、登録された文書とホワイトリストに登録 された文書それぞれに 100 万件です。 関連トピック: 86 ページの「登録済み文書のアップロード」 ホワイトリストに登録されたテキスト McAfee DLP は、ファイル コンテンツを処理する際に、ホワイトリストに登録されたテキストを無視します。 McAfee DLP Discover と McAfee DLP Endpoint for Mac は、ホワイトリストに登録されたテキストをサポートし ていません。 テキストを含むファイルを McAfee ePO にアップロードしてホワイトリストに登録できます。 ホワイトリストに登 録されたテキストによって、コンテンツの一部がコンテンツ分類またはコンテンツ フィンガープリント条件に一致し た場合でも、コンテンツが分類されることはありません。 常用文、免責条項、著作権などの、ファイルに頻繁に出現 するテキストにはホワイトリスト登録を使用します。 • ホワイトリストに登録するファイルは、400 文字以上を含んでいる必要があります。 • ファイル内に分類されたデータとホワイトリストに登録されたデータの両方がある場合、システムによって無視 されません。 コンテンツに関連付けられたすべてのコンテンツ分類とコンテンツ フィンガープリント条件は有 効なままになります。 関連トピック: 86 ページの「ホワイトリスト テキストへのファイルのアップロード」 84 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の作成と設定 7 分類の作成と設定 ルールまたはスキャンで使用するための分類と条件を作成します。 タスク • 85 ページの「分類の作成」 データ保護と検出ルールには、それらの設定に分類定義が必要です。 • 85 ページの「分類条件の作成」 ファイルのコンテンツとプロパティに基いて、分類条件をファイルに適用します。 • 86 ページの「登録済み文書のアップロード」 エンドポイント コンピューターに配布する文書を選択して分類します。 • 86 ページの「ホワイトリスト テキストへのファイルのアップロード」 一般的に使用されるテキストを含むファイルをホワイトリストにアップロードします。 分類の作成 データ保護と検出ルールには、それらの設定に分類定義が必要です。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [新規分類] をクリックします。 3 名前とオプションの説明を入力します。 4 [OK] をクリックします。 5 各コンポーネントの [編集] をクリックすることにより、エンドユーザー グループを手動分類に追加するか、ま たは登録された文書を分類に追加します。 6 コンテンツ分類条件またはコンテンツ フィンガープリント条件を [アクション] コントロールで追加します。 分類条件の作成 ファイルのコンテンツとプロパティに基いて、分類条件をファイルに適用します。 データとファイルの[定義]から、コンテンツ分類条件を作成します。 必要な定義が存在シない場合は、条件を定義す る際に作成できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 条件を追加する分類を選択し、[アクション] 、 [新しいコンテンツ分類条件] を選択します。 3 名前を入力します。 4 1 つ以上のプロパティを選択して、比較と値のエントリを設定します。 • プロパティを削除するには、[<] をクリックします。 • プロパティによっては、[...] をクリックして、既存のプロパティを選択するか、新しいプロパティを作成し ます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 85 7 機密コンテンツの分類 分類の作成と設定 5 • 追加の値をプロパティに追加するには、[+] をクリックします。 • 値を削除するには、[-] をクリックします。 [保存] をクリックします。 関連トピック: 74 ページの「分類の使用」 登録済み文書のアップロード エンドポイント コンピューターに配布する文書を選択して分類します。 McAfee DLP Discover は、登録された文書をサポートしていません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [文書の登録] タブをクリックします。 3 [ファイルのアップロード] をクリックします。 4 ファイルを参照して、ファイル名が存在する場合に上書きをするかどうかを選択し、分類を選択します。 [ファイルのアップロード] は単一のファイいるを処理します。 複数の文書をアップロードするには、ZIP ファイ ルを作成をします。 5 [OK] をクリックします。 ファイルがアップロードされ処理されて、統計情報がページに表示されます。 ファイル リストを作成したら、[パッケージの作成] をクリックします。 すべての登録された文書の署名パッケージ とホワイトリストに登録されたすべての文書が、エンドポイント コンピューターに配布するために McAfee ePO デ ータベースにロードされます。 登録したばかりの文書またはホワイトリストに登録された文書のパッケージは、1 つのリストを空にすることにより作 成できます。 ファイルが削除されると、ファイルがリストから削除され、変更を適用した新しいパッケージが作成さ れます。 関連トピック: 84 ページの「登録文書」 ホワイトリスト テキストへのファイルのアップロード 一般的に使用されるテキストを含むファイルをホワイトリストにアップロードします。 McAfee DLP Discover は、ホワイトリストに登録されたテキストをサポートしていません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 86 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [ホワイトリストに登録されたテキスト] タブをクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 McAfee DLP Endpoint の分類コンポーネントの設定 3 [ファイルのアップロード] をクリックします。 4 ファイルを参照して、ファイル名が存在する場合に上書きをするかどうかを選択します。 5 [OK] をクリックします。 7 関連トピック: 84 ページの「ホワイトリストに登録されたテキスト」 McAfee DLP Endpoint の分類コンポーネントの設定 McAfee DLP Endpoint は、手動分類とコンテンツ フィンガープリント条件の適用をサポートします。 タスク • 87 ページの「コンテンツ フィンガープリント条件の作成」 アプリケーションまたはファイルの場所に基いて、フィンガープリント条件をファイルに適用します。 • 88 ページの「使用例: アプリケーション ベースのフィンガープリント」 コンテンツを作成したアプリケーションに従って、コンテンツを機密に指定できます。 • 88 ページの「手動分類権限の割り当て」 手動でファイルを分類することができるユーザーを設定します。 • 89 ページの「使用例: 手動分類」 機密データを含むファイルのルーチン作成が必要な仕事の担当者に、手動分類の権限を割り当てできま す。 この担当者は通常のワークフローの一部としてファイルを作成するため、このファイル分類できま す。 コンテンツ フィンガープリント条件の作成 アプリケーションまたはファイルの場所に基いて、フィンガープリント条件をファイルに適用します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 条件を追加する分類を選択して、 3 [アクション] 、 [新しいフィンガープリント条件] を選択して、次にフィンガープリント条件のタイプを選択しま す。 4 名前を入力して、フィンガープリント条件のタイプに基づいて追加の情報を指定します。 5 • [アプリケーション] — [...] をクリックして 1 つ以上のアプリケーションを選択します。 • [場所] — [...] をクリックして 1 つ以上のネットワーク共有を選択します。 必要な場合は、リムーバブル メ ディアのタイプを指定します。 • [Web アプリケーション] — [...] をクリックして 1 つ以上の URL を選択します。 (オプション) 1 つ以上のプロパティを選択して、比較と値のエントリを設定します。 • プロパティを削除するには、[<] をクリックします。 • プロパティによっては、[...] をクリックして、既存のプロパティを選択するか、新しいプロパティを作成し ます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 87 7 機密コンテンツの分類 McAfee DLP Endpoint の分類コンポーネントの設定 6 • 追加の値をプロパティに追加するには、[+] をクリックします。 • 値を削除するには、[-] をクリックします。 [保存] をクリックします。 関連トピック: 74 ページの「分類の使用」 使用例: アプリケーション ベースのフィンガープリント コンテンツを作成したアプリケーションに従って、コンテンツを機密に指定できます。 場合よっては、コンテンツを作成したアプリケーションにより、コンテンツを機密に指定できることがあります。 例: トップ シークレットの軍用地図。 これらの JPEG ファイルは、通常は、特定の US Air Force GIS アプリケーショ ンによって作成されます。 フィンガープリント条件定義でこのアプリケーションを選択することにより、このアプリ ケーションで作成したすべての JPEG ファイルが機密にタグ付けされます。 その他のアプリケーションで作成され た JPEG ファイルはタグ付けされません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [定義] タブで、[アプリケーション テンプレート] を選択して、次に、[アクション] 、 [新規] を選択します。 3 たとえば 名前を GIS アプリケーション と入力して、オプションの説明を入力します。 [利用可能なプロパティ] リストから 1 つ以上のプロパティを使用して、GIS アプリケーションを定義します。 [保存] をクリックします。 4 [分類] タブで、[新規分類] をクリックして、名前を例えば GIS アプリケーション と入力して、オプションの定 義を入力します。 [OK] をクリックします。 5 [アクション] 、 [コンテンツ フィンガープリント条件] 、 [アプリケーション]を選択します。 アプリケーション フィンガープリント条件ページが表示されます。 6 [名前] フィールドに、タグの名前を、たとえば、GIS タグ と入力します。 7 [アプリケーション] フィールドで、手順 1 で作成した GIS アプリケーションを選択します。 8 [使用可能なプロパティ] 、 [ファイルの条件] リストで、[実際のファイル タイプ] を選択します。 [値] フィー ルドで、[グラフィック ファイル [組み込み]] を選択します。 組み込みの定義には、JPEG やその他のグラフィック ファイルのタイプが含まれます。 アプリケーションとファ イル タイプを選択することにより。そのアプリケーションで作成した JPEG ファイルのみが分類に含まれます。 9 [保存] をクリックして、次に [アクション] 、 [分類の保存] を選択します。 これで、分類が保護ルールで使用できるようになります 手動分類権限の割り当て 手動でファイルを分類することができるユーザーを設定します。 88 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 McAfee DLP Endpoint の分類コンポーネントの設定 7 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [手動分類] タブをクリックします。 3 [ビュー] ドロップダウン リストから、[分類別のグループ] または [エンドユーザー グループ別のグループ] のい ずれかを選択します。 分類をエンドユーザー グループに割り当てるか、エンドユーザー グループを分類に割り当てるか、いずれか便利 な方を選択できます。 [ビュー] リストは表示をコントロールします。 4 分類でグループ化している場合は、以下の手順を実行します。 a 表示されたリストから分類を選択します。 b [分類] セクションで、分類タイプを選択します。 リストが長すぎる場合は、[フィルター リスト] テキスト ボックスに文字列を入力してリストを減らします。 5 c [アクション] 、 [エンドユーザー グループの選択] を選択します。 d [既存の値から選択] ウィンドウで、ユーザー グループを選択するか、[新しい項目] をクリックして新しいグ ループを作成します。 [OK] をクリックします。 エンドユーザー グループでグループ分けする場合は、以下の手順を実行します。 a 表示されたリストからユーザー グループを選択します。 b [アクション] 、 [分類の選択] を選択します。 c [既存の値から選択] ウィンドウで、分類を選択します。 [OK] をクリックします。 使用例: 手動分類 機密データを含むファイルのルーチン作成が必要な仕事の担当者に、手動分類の権限を割り当てできます。 この担当 者は通常のワークフローの一部としてファイルを作成するため、このファイル分類できます。 この例では、医療機関の従事者は、すべての患者の記録は HIPAA の規則の下で機密とみなされなければならないこ とを理解しています。 患者の記録を作成または編集する担当者には、手動分類の権限が与えられています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 患者の記録を作成または編集するユーザー グループまたは担当者のグループを作成します。 a McAfee ePO で、分類 モジュール ([メニュー] 、 [データ保護] 、 [分流]) を開きます。 b [定義] タブで、[ソース/宛先] 、 [エンドユーザー グループ] を選択します。 c [アクション] 、 [新規] を選択して、デフォルトの名前を PHI ユーザー グループ などの意味のある名前に 置き換えて、定義にユーザーまたはグループを追加します。 d [保存] をクリックします。 PHI (保護された医療情報) 分類を作成します。 a [分類] モジュールの [分類] タブで、左ペインの [[サンプル] PHI [組み込み]] を選択し、次に [アクション] 、 [分類の複製] を選択します。 編集可能なサンプルのコピーが表示されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 89 7 機密コンテンツの分類 McAfee DLP Endpoint の分類コンポーネントの設定 b [名前]、[説明]、および [分類条件] フィールドを必要に応じて編集します。 c [手動分類] フィールドで、[編集] をクリックします。 d [追加のアクション] セクションで、分類タイプを選択します。 デフォルトで、[手動分類] のみが選択されています。 e [アクション] 、 [エンドユーザー グループの選択] を選択します。 f [既存の値から選択] ウィンドウで、以前作成したグループを選択し、[OK] をクリックします。 g [分類] タブに戻り、[アクション] 、 [分類の保存] を選択します。 これで、割り当てられたグループのメンバーである担当者が、ファイルを右クリックし、[データ保護] を選択し、適 切なオプションを選択して患者の記録を作成すると、これを分類できます。 選択された (手順 2.d.) オプションのみがメニューに表示されます。 90 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の定義の作成 7 分類の定義の作成 事前定義された分類の定義を使用するか新しい定義を作成することができます。 分類の定義の事前定義は変更/削除 できません。 タスク • 91 ページの「一般的な分類定義の作成」 分類とルールで使用するための定義を作成して設定します。 • 91 ページの「ディクショナリ定義の作成またはインポート」 ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当 てられています。 スコアによって、より詳細なルールの定義か可能になります。 • 92 ページの「高度なパターンの作成」 高度なパターンは、分類の定義に使用されます。 高度なパターンの定義は、単一の式、または複数の式 と誤検知の定義の組み合わせで構成されます。 • 93 ページの「ネットワーク ポート範囲の作成」 ネットワーク ポート範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能します。 • 94 ページの「ネットワーク アドレス範囲の作成」 ネットワーク アドレスの範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能しま す。 • 94 ページの「電子メール アドレス定義の作成」 電子メール アドレスの定義とは、事前定義された電子メール ドメインまたは特定の電子メール アドレ スのことで、電子メール保護ルール内で参照できます。 • 95 ページの「ネットワーク プリンタ定義の作成」 ネットワーク プリンタ定義を使用して、詳細なプリンタ保護ルールを作成します。 定義したプリンタ は、ルールに追加またはルールから除外することができます。 • 95 ページの「URL リスト定義の作成」 URL リスト定義は、Web 送信保護ルールの定義に使用します。 それらは [Web アドレス (URL)] 条件 としてルールに追加されます。 関連トピック: 78 ページの「分類の定義と条件」 一般的な分類定義の作成 分類とルールで使用するための定義を作成して設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 設定する定義のタイプを選択し、次に [アクション] 、 [新規] を選択します。 3 名前を入力して、定義のオプションとプロパティを設定します。 利用可能なオプションとプロパティは、定義のタイプによって異なります。 4 [保存] をクリックします。 ディクショナリ定義の作成またはインポート ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当てられていま す。 スコアによって、より詳細なルールの定義か可能になります。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 91 7 機密コンテンツの分類 分類の定義の作成 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [定義] タブをクリックします。 3 左パネルで、[ディクショナリ] を選択します。 4 [アクション] 、 [新規]の順に選択します。 5 名前とオプションの説明を入力します。 6 ディクショナリにエントリを追加します。 エントリをインポートするには: a [エントリのインポート] をクリックします。 b 単語または語句を入力、あるいは他のドキュメントからカット アンド ペーストします。 テキスト ウィンドウは、1 行につき 50 文字の 20,000 行までに制限されています。 c [OK] をクリックします。 すべてのエントリにはデフォルトのスコア 1 が割り当てられます。 d 必要な場合は、エントリの [編集] をクリックして、デフォルト スコアの 1 を更新します。 e [次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。 [次の値で始まる] および [次の値で終わる] は、一致する文字列を提供します。 手動でエントリを作成: 7 a 語句とスコアを入力します。 b [次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。 c [追加] をクリックします。 [保存] をクリックします。 高度なパターンの作成 高度なパターンは、分類の定義に使用されます。 高度なパターンの定義は、単一の式、または複数の式と誤検知の定 義の組み合わせで構成されます。 高度なパターンは、正規表現 (RegEx) を使用して定義します。 正規表現についての説明は、本書の範囲では扱いませ ん。 正規表現に関する詳しい説明は、インターネットで多数チュートリアルが提供されています。 92 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 7 機密コンテンツの分類 分類の定義の作成 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [定義] タブを選択して、左パネルの [高度なパターン] を選択します。 利用可能なパターンは、右パネルに表示されます。 ユーザー定義の高度なパターンのみを表示するには、[組み込み項目を含む] チェックボックスの選択を解除しま す。 ユーザー定義パターンは、編集可能なパターンのみです。 3 [アクション] 、 [新規]の順に選択します。 新しい高度なパターンの定義ページが表示されます。 4 名前とオプションの説明を入力します。 5 [一致した式] の下で、以下を実行します。 a 式をテキスト ボックスに入力します。 オプションの説明を追加します。 b ドロップダウン リストから検証ツールを選択します。 McAfee では、誤検知を最小化することが可能であっても必須ではない場合に、検証ツールを使用することを 推奨します。 検証ツールを指定しない場合、または検証が式に対して適切ではない場合は、[検証なし] を選 択します。 c [スコア] フィールドに数字を入力します。 数字は、しきい値の比較の式の重みを示します。 このフィールドは必須です。 d 6 [追加] をクリックします。 [誤検知] の下で、以下を実行します。 a 式をテキスト ボックスに入力します。 外部ドキュメントにテキスト パターンが保存されている場合、[エントリのインポート] を使用してそれらをコ ピーして定義に貼り付けることができます。 7 b [タイプ] フィールドで、文字列が正規表現の場合はドロップダウン リストから [正規表現] を、テキストの場 合は、[キーワード] を選択します。 c [追加] をクリックします。 [保存] をクリックします。 ネットワーク ポート範囲の作成 ネットワーク ポート範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[ネットワーク ポート] を選択して、次に [アクション] 、 [新規] をクリックします。 組み込みの定義を編集することもできます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 93 7 機密コンテンツの分類 分類の定義の作成 3 一意の名前とオプションの説明を入力します。 4 ポート番号をカンマで区切って入力し、オプションの説明を入力します。 [追加] をクリックします。 5 必要なポートをすべて追加したら、[保存] をクリックします。 ネットワーク アドレス範囲の作成 ネットワーク アドレスの範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能します。 タスク 必要な各定義に対して、手順 1–4 を実行します。 製品の機能、使用方法、ベストプラクティスについては、[?] ま たは [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで [ネットワーク アドレス (IP アドレス)] を選択して、次に [アクション] 、 [新規] をクリックしま す。 3 定義の一意の名前とオプションの説明を入力します。 4 アドレス、範囲、またはサブネットをテキスト ボックスに入力します。 [追加] をクリックします。 正しくフォーマットされた例がページに表示されます。 5 必要な定義をすべて入力したら、[保存] をクリックします。 電子メール アドレス定義の作成 電子メール アドレスの定義とは、事前定義された電子メール ドメインまたは特定の電子メール アドレスのことで、 電子メール保護ルール内で参照できます。 電子メール保護ルールを詳細に設定するには、いくつかの電子メール アドレスを追加し、他の電子メール アドレス を除外します。 両方のタイプの定義を作成するようにします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[電子メール アドレス] を選択して、次に [アクション] 、 [新規] を選択します。 3 [名前]とオプションの[説明]を入力します。 4 ドロップダウン リストから [演算子] を選択します。 演算子は以下のとおりです。 94 • [ドメイン名が次の値の場合] • [メール アドレスが次の値の場合] • [表示名が次の値の場合] • [表示名が次の値を含む場合] 5 値を入力して [追加] をクリックします。 6 電子メール アドレスの追加が終わったら、[保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 分類の定義の作成 7 ネットワーク プリンタ定義の作成 ネットワーク プリンタ定義を使用して、詳細なプリンタ保護ルールを作成します。 定義したプリンタは、ルールに 追加またはルールから除外することができます。 開始する前に ネットワーク内のプリンタの UNC パスを取得します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、[ネットワーク プリンタ] を選択して、[アクション] 、 [新規] を選択します。 3 一意の[名前]とオプションの[説明]を入力します。 4 [UNC] パスを入力します。 その他のパラメーターはすべてオプションです。 5 [保存] をクリックします。 URL リスト定義の作成 URL リスト定義は、Web 送信保護ルールの定義に使用します。 それらは [Web アドレス (URL)] 条件としてルー ルに追加されます。 タスク 必要な各 URL に対して、手順 1–4 を実行します。 製品の機能、使用方法、ベストプラクティスについては、[?] ま たは [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。 2 左パネルで、URL リストを選択し、次に [アクション] 、 [新規] を選択します。 3 一意の[名前]とオプションの[定義]を入力します。 4 以下のいずれかを実行します。 • [プロトコル]、[ホスト]、[ポート]、および [パス] の情報をテキスト ボックスに入力して、[追加] をクリッ クします。 • URL を [URL の貼り付け] テキスト ボックスに貼り付けて、[解析] をクリックし、次に [追加] をクリック します。 URL フィールドは、ソフトウェアにより入力されます。 5 必要な URL を定義にすべて追加したら、[保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 95 7 機密コンテンツの分類 使用例: Titus Client のサードパーティ タグとの統合 使用例: Titus Client のサードパーティ タグとの統合 分類またはコンテンツ フィンガープリント条件には、複数の Titus タグ名/タグ値のペアを含むことができます。 開始する前に 1 ポリシー カタログで、現在の クライアントの設定 を開きます。 [設定] 、 [操作モードとモジュー ル] を選択します。 [Outlook アドイン] 、 [サードパーティ アドイン統合をアクティブにする] が 選択されていることを確認します。 2 [設定] 、 [電子メール保護] の、[Outlook サードパーティ アドインの統合] セクションで、Titus を [ベンダー名] ドロップダウン リストから選択します。 McAfee DLP Endpoint は、Titus API を呼び出して、タグ付けされたファイルを特定し、タグを決定します。 サー ドパーティ タグで作成された分類は、ファイルを検査するすべての保護ルールと検出ルールに適用できます。 この機能を実装するには、Titus SDK をエネルギーコンピューターにインストールする必要があります。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 2 [新規分類] をクリックします。 3 一意の名前とオプションの説明を入力します。 4 [アクション] をクリックし、[新しいコンテンツ分類条件] または [新しいコンテンツ フィンガープリント条件] を選択します。 5 [サードパーティ タグ] プロパティを選択します。 6 Titus フィールドの名前と値を入力します。 ドロップダウン リストから値の定義を選択します。 入力した値の文字列は次のように定義できます。 • いずれかに一致 • すべてに一致 • いずれかを含む • すべてを含む 7 (オプション) [+] をクリックして別の名前 / 値のペアを追加します。 8 [保存] をクリックします。 使用例: Boldon James Email Classifier と分類条件の統合 Boldon James Email Classifier を統合する分類条件を作成します。 Boldon James Email Classifier は、電子メールにラベル付をして分類する電子メール ソリューションです。 McAfee DLP Endpoint ソフトウェアは、Email Classifier と統合して割り当てされた分類に基いて電子メールをブ ロックできます。 Email Classifier ソフトウェアのセットアップ時に、Email Classifier が McAfee DLP Endpoint に送信する文字列を選択できます。 この文字列を使用して、分類条件を定義します。 96 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの分類 使用例: Boldon James Email Classifier と分類条件の統合 7 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 Boldon James 互換性を McAfee DLP Endpoint にセットアップします。 a Boldon James [Classifier 管理] コンソールを使用して、[Classifier アプリケーション設定] 、 [Outlook 設定] を開きます。 [McAfee Host DLP スキャン] を有効に設定し、[McAfee Host DLP マーキング] を、 分類値と DLP マーキングに固有の静的なテキストを含むマーキング形式を参照するように設定します。 こ のマーキング形式に基づく文字列は、分類条件を含む McAfee DLP Endpoint に渡されます。 b ポリシー カタログで、現在の クライアントの設定 を開きます。 [設定] 、 [操作モードとモジュール] を選択 します。 [Outlook アドイン] 、 [サードパーティ アドイン統合をアクティブにする] が選択されていること を確認します。 c [設定] 、 [電子メール保護] の Outlook サードパーティ アドインの統合 セクションで、[Boldon James] を [ベンダー名] ドロップダウン リストから選択します。 Boldon James 分類を作成します。 必要な各分類で、以下の手順を実行します。 a McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。 b [分類] タブをクリックしてから、[新しい分類] をクリックします。 c 一意の名前とオプションの説明を入力します。 d [アクション] 、 [新しいコンテンツ分類条件] をクリックします。 e [キーワード] プロパティを選択します。 [値] フィールドに、[Classifier 管理] セットアップで選択したマー キング形式からビルドされた文字列を入力して、McAfee DLP Endpoint に送信します。 [Boldon James Classification] は、Email Classifier のセットアップで、McAfee DLP Endpoint に 送信するよう選択した文字列です。 3 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ルール セット] の順に選択します。 4 [ルール セット] タブで、以下のいずれかを実行します。 5 • [アクション] 、 [新しいルール セット]を選択します。 • 既存のルール セットを選択します。 [アクション] 、 [新しいルール] 、 [電子メール保護] を選択します。 電子メール保護定義フォームが表示されます。 6 一意のルール名を入力します。 7 [条件] タブで、ドロップダウン リストから [本文] を選択し、次に適切な Boldon James Classification を選択 します。 適切な [エンドユーザー]、[電子メール エンベロープ]、および [受信者] オプションを選択します。 McAfee DLP Endpoint クライアントは、Boldon James 分類が電子メール本文の一部であるとみなします。 定 義を、本文のみをスキャンするように制限すると、ルールがより効率的になります。 8 [応答] タブで、適切な [保護アクション]、[ユーザー通知]、[インシデントのレポート]、および [重要度] パラ メーターを選択します。 [ステータス] を [有効] に設定して、次に [保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 97 7 機密コンテンツの分類 使用例: Boldon James Email Classifier と分類条件の統合 98 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 8 ポリシーに関する操作 McAfee DLP Endpoint は、ポリシーと設定を McAfee ePO に保存します。 McAfee ePO ポリシー カタログの DLP ポリシーは、ルール セット (保護ルール) と、関連する分類および定義から 構成されます。 これには、エンドポイント検出スキャンの設定とサーバーの設定も含むことができます。 DLP ポリシー マネージャーのルールとルール セットを作成できます。 ルール セットには、複数のデータ保護、 Device Control、および検出ルールを含むことができます。 ルール セットのルールは、論理 OR で、検査したコン テンツがいずれかのルールに一致すると、ルール セットが適用されます。 1 つのルールでは、いくつかのパラメー ターは 論理 AND または NOT で、いくつかのパラメーターの組み合わせは、AND、OR、または NOT のいずれか で、管理者によって指定されます。 ワークフロー ポリシーを管理する手順は以下のとおりです。 1 DLP Policy Manager 、 [ルール セット] ページで、ルール セットを作成して保存します。 2 ほとんどのルールには分類が必要です。 分類コンソールで分類を定義します。 3 DLP ポリシー マネージャー 、 ポリシー 割り当て ページで、ルール セットを DLP ポリシーに割り当てます。 4 定義を作成または編集します。 5 ポリシー カタログ 、 [DLP ポリシー] 、 [有効なルール セット] ページの McAfee ePO にポリシーを適用しま す。 [有効なルール セット] ページでは、デフォルトのポリシーまたは他の既存のポリシーを複製して新しいポリシーを作 成できます。 [アクション] 、 [有効なルール セット] を選択すると、ルール セットを割り当てることもできます。 目次 ポリシーの作成と割り当て 複数のポリシーの使用 定義のしくみ DLP ポリシーの編集 ポリシーの検証 ポリシーの作成と割り当て McAfee DLP は、複数のポリシーと複数のクライアント設定をサポートしています。 ポリシーとクライアント設定 は、McAfee ePO データベースに適用され、エンドポイント コンピューターへの配備に割り当てられます。 このワークフローを使用してポリシーを作成し、McAfee ePO に適用して、配備に割り当てます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 99 8 ポリシーに関する操作 複数のポリシーの使用 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します。 2 [製品] ドロップダウン リストから、[Data Loss Prevention 10] を選択します。 (オプション) [カテゴリ] を 選択してリストを単純化します。 3 既存のポリシー、または[複製] ([アクション] 列中) をクリックします。 名前を編集し、[OK] をクリックしま す。 デフォルト ポリシーまたは設定、または現在動作中のものを複製して、動作中のポリシーとクライアント構成を 作成します。 4 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 5 ポリシー マネージャーで、[アクション] 、 [新しいルール セット] を選択します。 ルール セットをクリックし て開き、ルールを追加します。 要件に基いて、複数のルール セットを作成することができます。 各ルール セットには複数のルールを含むこと ができます。 6 ルール セットを定義したら、[ポリシーの割り当て] タブをクリックします。 タブには、割り当てられたすべてのルール セットの詳細が表示されます。 7 [アクション] をクリックして、次のいずれかを実行します。 • [1 つのポリシーへの複数のルール セットの割り当て] を選択します。 • [複数のポリシーへの 1 つのルール セットの割り当て] を選択します。 1 つまたは複数のルールセットが、1 つまたは複数のポリシーに割り当てられます。 8 [選択したポリシーの適用] をクリックします。 [ポリシーの選択] ウィンドウの選択を確認して、[ポリシーの適 用] をクリックします。 ポリシーが、McAfee ePO データベースに適用されます。 9 McAfee ePO で、[メニュー] 、 [システム] 、 [システム ツリー] を選択します。 割り当てを表示するには、[割り当て済みのポリシー] タブをクリックします。 10 [割り当て済みクライアント タスク] タブで、[アクション] 、 [新規クライアント タスクの割り当て] を選択し て、ポリシーをエンドポイントに配備する手順に従います。 関連トピック: 105 ページの「ルール セット」 118 ページの「ルール セットの作成」 複数のポリシーの使用 共通の設定と定義を上書きするには複数のポリシーを使用します。 いくつかの設定と定義は、エンドポイント コンピューターの動作に影響する可能性があります。 たとえば、デバイ ス クラスを管理対象外から管理対象に変更すると、McAfee DLP Endpoint クライアントがそのクラスに属するデバ イスを監視してコントロールしようとします。 一部のエンドポイント コンピューターが McAfee DLP Endpoint デバイス ドライバーと互換性の問題があるデバイスを使用すると、パフォーマンスが著しく低下する場合がありま す。 100 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド ポリシーに関する操作 定義のしくみ 8 McAfee DLP では、複数のポリシーを提供することで、この問題を解決します。 管理者は、ポリシーごとに、デバ イス クラスとアプリケーション テンプレートを上書きして、組織内の異なるシステムに対して異なる設定と定義を 適用することができます。 異なるポリシーを、ポリシー割り当てルールまたはユーザー割り当てグループにより割り 当てできます。 デフォルトでは、デフォルト DLP ポリシー がシステム ツリーのルートの割り当てられています。 定義のしくみ 定義を使用して、ルール、分類条件、およびス検出キャンを設定します。 McAfee DLP の定義は、定義カタログに保存されます。 定義すると、すべての McAfee DLP の機能で使用できま す。 すべての定義はユーザーが設定可能で、いくつかの定義は事前設定されています。 チェックボックスを選択することにより、[組み込みの定義] を表示します。 表 8-1 McAfee DLP の機能で利用可能な定義 [データ] 分類 ルール セット 高度なパターン* ファイル拡張子* ディクショナリ* 文書プロパティ ファイル拡張子* ファイル情報 実際のファイル タイプ* [Device Control] デバイス クラス デバイス定義 [通知] ジャスティフィケーション ユーザー通知 [その他] スケジューラー [ソース/宛先] アプリケーション テンプレート メール アドレス エンドユーザー グループ ローカル フォルダー ネットワーク アドレス (IP アドレス) ネットワーク ポート ネットワーク プリンター ネットワーク共有 プロセス名 URL リスト ウィンドウ タイトル * は、事前定義された (組み込みの) 定義が利用可能なことを示します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 101 8 ポリシーに関する操作 DLP ポリシーの編集 DLP ポリシーの編集 DLP ポリシーの設定は、ルール セット、ポリシー割り当て、および定義で構成されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [DLP ポリシー マネージャー] の順に選択します。 少なくとも 1 つのルール セ ットを作成して DLP ポリシーに割り当てます。 詳細は、このマニュアルの 『ルール セットの作成』 を参照してください。 2 McAfee ePO で、[メニュー] 、 [ポリシー カタログ] 、 [製品: Data Loss Prevention <バージョン>] の順に 選択します。 DLP ポリシー設定を開きます。 [カテゴリ] 列の DLP ポリシー ラベルを選択して、[名前] 列をクリックします。 3 [有効なルール セット] タブを選択します。 何らかのルール セットがポリシーに割り当てられている場合は、ページに表示されます。 4 新しいルール セットをポリシーに割り当てるには、以下の手順を実行します。 a [メニュー] 、 [DLP ポリシー マネージャー] 、 [ポリシー割り当て] の順に選択します。 b [アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。 代わりに、[アクション] メニューから、複数のポリシーにルール セットを割り当てることもできます。 c 選択ウィンドウで、ドロップダウン リストからポリシーを選択し、チェックボックスで割り当てるルール セ ットを選択します。 [OK] をクリックします。 選択したルール セットがポリシーに適用されます。 5 ルール セットをポリシーから削除するには、以下の手順を実行します。 a [アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。 b 選択ウィンドウでポリシーから削除するルール セットのボックスの選択を解除します。 [OK] をクリックし ます。 選択したルール セットがポリシーから削除されます。 6 [エンドポイント検出] タブを選択します。 7 [アクション] 、 [新しいエンドポイント スキャン] を選択して、実行するスキャンのタイプ: [ローカル電子メー ル] または [ローカル ファイル システム] を選択します。 スキャン設定ページが表示されます。 [スケジュール] 定義を選択したページで、適用する [ルール] とその他の スキャンの詳細を選択します。 すべての必要な詳細情報を入力したら [保存] をクリックします。 8 9 [設定] タブを選択します。 このページで、以下のオプションを設定できます。 • デフォルト アプリケーション方針、および選択したアプリケーションのアプリケーション方針の上書き。 • デバイス クラスの上書きとフィルター タイプ • すべての特権ユーザーまたはユーザー グループの追加 すべての編集が完了したら、[ポリシーを適用] をクリックします。 変更が、McAfee ePO データベースに適用されます。 102 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド ポリシーに関する操作 ポリシーの検証 8 ポリシーの検証 ポリシーの検証 ページには、エラーが表示され問題の解決のショートカットが提供されます。 McAfee DLP は、ポリシーを McAfee ePO データベースに適用する前に検証します。 エラーがあると、アプリケー ションがブロックされ、エラーが ポリシー カタログ 、 DLP ポリシー 、 ポリシーの検証 ページに重大度の評価と ともに一覧表示されます。 編集 リンクを使用すると、ルールを編集してエラーを修正できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 103 8 ポリシーに関する操作 ポリシーの検証 104 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 9 機密コンテンツの保護 McAfee DLP は、McAfee DLP Endpoint および McAfee DLP Discover のポリシーの組み合わせで、機密コンテン ツを保護します。 McAfee ePO は、McAfee DLP ポリシーをエンドポイント コンピューターまたは Discover サーバーに配備します。 McAfee DLP Endpoint クライアント ソフトウェア、サーバー ソフトウェア、またはアプライアンスが、ポリシー を適用して機密コンテンツを保護します。 目次 ルール セット ルール データ保護ルール Device Control ルール 検出ルール ホワイトリスト エンドユーザー メッセージのカスタマイズ ルール タイプに使用可能な対応 ルールとルール セットの作成と設定 ルールの使用例 ルール セット ルール セットは、McAfee DLP ポリシーを定義します。 ルール セットには、データ保護、Device Control、およ び検出ルールの組み合わせを含むことができます。 [ルール セット] ページには、定義されたルール セットのリストと、それぞれのステータスが表示されます。 表示に は、各ルール セットでログされたインシデントの数、定義されたルール数、および有効にされたルール数が含まれま す。 色付けされたアイコンは有効にされたルールのタイプを示します。 アイコンにマウス オーバーすると表示さ れるツールチップは、ルールのタイプと有効にされたルール数を表示します。 図 9-1 ルール セット ページには、ツールチップ情報が表示されます。 ルール セット 1、6 つのデータ保護ルール、2 つの検出ルール、および 1 つの Device Control ルールが定義され ています。 3 つのデータ保護ルールのみが有効にされています。 ツールチップには、2 つのクリップボード ルール が表示されます。 3 番目の、列の右の青いアイコンは、アプリケーション ファイル アクセス保護ルールを表しま す。 定義されていて有効にされていないルールを表示するには、ルールを編集用に開きます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 105 9 機密コンテンツの保護 ルール 関連トピック: 133 ページの「Discovery ルールによるファイルの保護」 119 ページの「ルールの作成」 ルール ルールは、機密データの転送または送信が試みられた場合のアクションを定義します。 ルール セットには、データ保護、Device Control、および検出ルールの 3 つの種類のルールを含むことができま す。 ルールは、条件、例外、および 応答 の 3 つの部分からなります。 各部分は、ルール定義のことなるタブで定 義されます。 ルールは有効または無効にでき、重大度 を割り当てて、ドロップダウン リストから選択できます。 条件 条件は、何がルールをトリガーするかを定義します。 データの保護と検出のルールでは、条件には常に 分類 が含ま れ、たの条件も含むことができます。 たとえば、クラウド保護ルールは、分類に加えて。エンドユーザーとクラウド サービスを定義するフィールドがあります。 Device Control ルールでは、条件は常にエンドユーザーを指定し、デ バイス定義などの他の条件も含むことファできます。 Device Control ルールには、分類は含まれません。 例外 例外は、ルールから除外されるパラメーターを定義します。 たとえば、クラウド保護ルールは、指定したユーザーと 分類に、指定したクラウド サーバーへのデータのアップロードを許可し、ルールの条件セクションに定義されたユー ザーと分類をブロックします。 例外は、別の設定で有効または無効にして、ルールのテスト時に有効または無効にす ることができます。 例外の定義の作成はオプションです。 データ保護と検出のルールの例外の定義は、条件と定義と似ています。 除外に利用できるパラメーターは、条件の定 義に使用できるパラメーターのサブセットです。 Device Control ルールでは、例外はリストからホワイトリストに登録された定義を選択することにより定義します。 利用可能なホワイトリストに登録された定義は、デバイス ルールの種類に依存します。 対応 対応は、ルールがトリガされたときに何が起きるかを定義します。 利用可能なアクションは、ルールの種類によって 異なりますが、すべてのルールのデフォルトは アクションなしです。 インシデントのレポート オプションと同時に 選択すると、ルール違反の頻度を監視できます。 この手順は、誤検出が発生せずにデータ漏洩を捕捉できるようにル ールを正しいレベルに調整するのに利用できます。 応答は、ルールを会社の外部に適用するかどうか、またあるルールでは、VPN で会社に接続された場合の応答を定義 します。 データ保護ルール データ保護ルールは、ユーザー コンテンツとアクティビティを監視してコントロールします。 McAfee DLP Endpoint for Windows は、すべてのデータ保護ルールをサポートします。 McAfee DLP Endpoint for Mac アプリケーション ファイル アクセス、ネットワーク共有、およびリムーバブル ス トレージ ルールをサポートしています。 106 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 9 機密コンテンツの保護 データ保護ルール アプリケーション ファイル アクセス保護ルール ファイル アクセス保護ルールは、ファイルを作成したアプリケーション (複数可) に基づいてファイルをモニタリン グします。 これらは、Microsoft Windows と OS X の両方のコンピューターでサポートされています。 McAfee DLP Endpoint for Mac では、OS X がサポートするアプリケーションとブラウザーのみがサポートされています。 ルールを特定のアプリケーションに限定するには、アプリケーションまたは URL 定義を選択します。 URL 定義は、McAfee DLP Endpoint for Mac ではサポートされません。 ® ® アプリケーション ファイル アクセス保護ルールは、McAfee Data Exchange Layer (DXL) の McAfee Threat Intelligence Exchange (TIE) と通信します。 TIE からの情報を使用して TIE レピュテーションに従ってルール を定義できます。 アプリケーションを選択する場合は、ドロップダウン リストを使用すると、アプリケーションま たはブラウザー URL の代わりに TIE レピュテーションを選択できます。 TIE レピュテーションをルールで使用するには、DXL クライアントをエンドポイント コンピューターにインストール する必要があります。 ルールを特定のコンテンツ フィンガープリントまたはコンテンツ分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特定のユーザー グループに限定することもできます。 アクション 利用可能なアクションは、[ブロック]、[ユーザー通知]、[インシデントのレポート]、および[元のファイルを保存] です。 インシデントをレポートする場合は、エビデンスの保存はオプションです。 ユーザー通知を選択すると、エ ンドポイント コンピューターでユーザー通知ポップアップが有効になります。 コンピューターが社内ネットワーク から切断されている場合は、異なるアクションが適用されます。 [分類] フィールドが [任意のデータ (すべて)] に設定されている場合は、[ブロック] アクションは許されません。 こ のような条件でルールを保存しようとすると警告が表示されます。 クライアントの設定 ホワイトリストに登録されたプロセスと特定の拡張子を [アプリケーション ファイル アクセス保護] ページのクラ イアント設定に追加できます。 関連トピック: 125 ページの「使用例: 機密情報のディスクへの書き込みを防止します。」 クラウド保護ルール クラウド保護ルールは、クラウド アプリケーションにアップロードされたファイルを管理します。 これは、McAfee DLP Endpoint for Windows のみでサポートされています。 クラウド アプリケーションは、ファイルのバックアップと共有に多く使用されるようになっています。 多くのクラ ウド アプリケーションは、クラウド サーバーと同期する特別なフォルダーをディスク ドライブに作成します。 McAfee DLP Endpoint は、クラウド アプリケーション フォルダー内のファイル作成に介入し、ファイルをスキャ ンして、関連するポリシーを適用します。 ファイルとクラウド アプリケーション フォルダーの同期をポリシーが許 可する場合は、再度スキャンされポリシーが再度適用されます。 ファイルの変更がポリシーに違反する場合は、クラ ウドに同期されません。 McAfee DLP Endpoint [クラウド保護ルール] は以下をサポートします。 • Box • OneDrive (個人用) • Dropbox • OneDrive for Business (groove.exe) McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 107 9 機密コンテンツの保護 データ保護ルール • Google ドライブ • iCloud • Syncplicity スキャン速度を改善するために、トップレベルのサブフォルダーをルールに追加または除外できます。 ルールを特定のコンテンツ フィンガープリントまたはコンテンツ分類条件に限定するには、分類定義を使用します。 ルールを、トップレベルのサブフォルダー名で、ローカル ユーザーまたは特定のユーザー グループに限定すること もできます。 アクション 利用可能なアクションは、[ブロック]、[リクエスト ジャスティフィケーション]、[RM ポリシーの適用]、および[暗 号化]です。 [ユーザー通知] を指定することができ、元のファイルの保存ありまたはなしでインシデント レポートを 利用できます。 コンピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されます。 クライアントの設定 クラウド保護ルールをサポートするために、[クライアント構成] 、 [動作モードとモジュール]ページの [ポリシー カタログ] で [クラウド保護ハンドラー] が選択されます。 ハンドラーとすべてのサポートされているアプリケーシ ョンがデフォルトで選択されます。 詳細な制御のために、個別のアプリケーションの選択を解除できます。 電子メール保護ルール 電子メール保護ルールは、特定の送信先またはユーザーに送信された電子メールを監視またはブロックします。 これ は、McAfee DLP Endpoint for Windows でサポートされています。 電子メール保護ルールを使用して、特定の受信者へのメールをブロックできます。 [電子メールのエンベロープ] フ ィールドで、電子メールが RMS 権限、PGP 暗号化、デジタル署名、または S/MIME 暗号化のどれで保護するかを 指定します。 このオプションは、例外の定義によく使用されます。 ルールを特定のコンテンツ フィンガープリントまたはコンテンツ分類条件に限定するには、分類定義を使用します。 この分類は、電子メール全体、あるいは件名、本文、または添付ファイルを定義できます。 ルールをローカル ユー ザーまたは特定のユーザー グループに限定することもできます。 アクション 利用可能な McAfee DLP Endpoint アクションは、[ブロック]、[リクエスト ジャスティフィケーション]、[ユーザ ー通知]、[インシデントのレポート]、および[元の電子メールを保存] です。 インシデントをレポートする場合は、 エビデンスの保存はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知 ポップアップが有効になります。 コンピューターが社内ネットワークから切断されている場合は、異なるアクション が適用されます。 クライアントの設定 Lotus Notes を使用している場合は、Lotus Notes プラグインを [動作モードとモジュール] ページで有効にしま す。 Microsoft Outlook を使用している場合は、必要なアドインを有効にします。 Microsoft Exchange と Lotus Notes の両方が利用できるシステムでは、送信メール サーバー (SMTP) の名前が両 方に設定されていないと、電子メール ルールが機能しません。 Microsoft Outlook サードパーティ アドイン (Boldon James または Titus) を使用するには、[電子メール保護] ペ ージでアドインを選択します。 サードパーティ アドインがインストールされ、アクティブになっていると、McAfee DLP Outlook アドインは自身をバイパス モードに設定します [電子メール保護] ページのその他の設定は、タイムア ウト方針、キャッシュ、API、およびユーザー通知を制御します。 ベスト プラクティス: パフォーマンスを改善するために、使用しないハンドラーは無効にしてください。 108 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 データ保護ルール 9 ネットワーク通信保護ルール ネットワーク通信保護ルールは、ネットワークの送受信データを監視またはブロックします。 これは、McAfee DLP Endpoint for Windows のみでサポートされています。 ネットワーク通信保護ルールは、指定されたネットワーク アドレス (必須) およびポート (オプション) に基づいた ネットワーク トラフィックを制御します。 また、受信接続または送信接続、あるいは両方を指定できます。 1 つの ネットワーク アドレス定義および 1 つのポート定義を追加できますが、定義には複数のアドレスまたはポートを含 むことができます。 ルールを特定のコンテンツ フィンガープリント条件に限定するには、分類定義を使用します。 接続を作成している アプリケーションを指定することにより、ルールをローカル ユーザーまたは特定のユーザー グループに限定するこ ともできます。 ネットワーク通信防止は、コンテンツ分類条件をチェックしません。 ネットワーク通信保護ルールで使用する分類を 定義する場合は、コンテンツ フィンガープリント条件を使用します。 アクション ネットワーク通信保護ルールのアクションには、[ブロック]、[インシデントのレポート]、および [ユーザーに通知] が含まれます。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効に なります。 コンピューターがネットワークから切断されている場合、またはコンピューターが VPN を使用して会社 のネットワークに接続されている場合は、異なるアクションを適用できます。 クライアントの設定 [動作モードとモジュール] ページで [ネットワーク通信ドライバー]が有効 (デフォルト) にされています。 ネットワーク共有保護ルール ネットワーク共有保護ルールは、ネットワーク共有上の機密コンテンツを制御します。 これらは、Microsoft Windows と OS X の両方のコンピューターでサポートされています。 ネットワーク共有保護ルールは、すべてのネットワーク共有または指定された共有に適用されます。 ルールには 1 つの共有の定義を含むことができ、定義には複数の共有を含むことができます。 含まれる分類 (必須) は、保護する 機密コンテンツを定義します。 ルールを特定のコンテンツ フィンガープリントまたはコンテンツ分類条件に限定するには、分類定義を使用します。 ネットワーク共有を指定する、あるいはファイルをコピーするアプリケーションを指定することにより、ルールをロ ーカル ユーザーまたは特定のユーザー グループに限定することもできます。 アクション ネットワーク共有保護ルールのアクションには、[暗号化]、[リクエスト ジャスティフィケーション]、[インシデン トのレポート]、[元のファイルを保存]、および [ユーザー通知] です。 暗号化アクションは、McAfee DLP Endpoint for Mac ではサポートされていません。 インシデントをレポートする場合は、エビデンスの保存はオプションです。 ユーザー通知を選択すると、エンドポイ ント コンピューターでユーザー通知ポップアップが有効になります。 コンピューターが社内ネットワークから切断 されている場合は、異なるアクションが適用されます。 暗号化のオプションは、McAfee File and Removable Media Protection (FRP) および StormShield データ セキュリティ暗号化ソフトウェアです。 ® McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 109 9 機密コンテンツの保護 データ保護ルール プリンタ保護ルール プリンタ保護ルールは、ファイルの印刷を監視して防止します。 これは、McAfee DLP Endpoint for Windows の みでサポートされています。 分類を使用してルールを限定します。 ユーザー、プリンタ、またはファイルを印刷するアプリケーションを指定する ことによりルールを限定することもできます。 プリンタ定義では、ローカル プリンタ、名前付きのネットワーク プ リンタ、またはイメージ プリンタを指定できます。 以前のバージョンでは別のルールを定義していたイメージ プリンタは、現在では一般的なプリンタ ルールに含まれて います。 アクション プリンタ保護ルールのアクションは、[ブロック]、[リクエスト ジャスティフィケーション]、[ユーザー通知]、[イ ンシデントのレポート]、および[元のファイルを保存] です。 インシデントをレポートする場合は、エビデンスの保 存はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが 有効になります。 コンピューターがネットワークから切断されている場合、またはコンピューターが VPN を使用し て会社のネットワークに接続されている場合は、異なるアクションを適用できます。 クライアントの設定 ホワイトリストに登録されたプロセスは、[プリンタ保護]ページに一覧表示されています。 プリンタ保護ルールは、 ホワイトリストに登録されたプロセスからの印刷を無視します。 [動作モードとモジュール] ページで選択したプリンタ アプリケーション アドインは、一般的なアプリケーションで 使用するとプリンタのパフォーマンスを改善できます。 このアドインは、管理対象のコンピューターでプリンタ保護 ルールが有効な場合にのみインストールされます。 リムーバブル ストレージ保護ルール リムーバブル ストレージ保護ルールは、データをリムーバブル ストレージ デバイスへの書き込みからブロックしま す。 これは、McAfee DLP Endpoint for Windows および McAfee DLP Endpoint for Mac.でサポートされていま す。 McAfee DLP Endpoint for Mac では、CD および DVD デバイスはサポートされていません。 リムーバブル ストレージ保護ルールは、CD/DVD デバイス、リムーバブル ストレージ デバイスまたは両方を制御 できます。 ルールを、コンテンツ フィンガープリントまたは分類のコンテンツ分類条件で限定します (必須)。 ルー ルはまた、指定したユーザー、アプリケーション、または Web URL で定義できます。 McAfee DLP Endpoint for Mac のリムーバブル ストレージ保護ルールは、リムーバブル ストレージ デバイスのみの 制御をサポートします。 CD/DVD デバイスはサポートしていません。 分類を使用してルールを限定します。 ユーザー、プリンタ、またはファイルをコピーするアプリケーションを指定す ることによりルールを限定することもできます。 アクション リムーバブル ストレージ保護ルールのアクションは、[ブロック]、[リクエスト ジャスティフィケーション]、[暗号 化]、[ユーザー通知]、[インシデントのレポート]、および[元のファイルを保存] です。 インシデントをレポートす る場合は、エビデンスの保存はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユ ーザー通知ポップアップが有効になります。 コンピューターが社内ネットワークから切断されている場合は、異なる アクションが適用されます。 暗号化は、McAfee DLP Endpoint for Mac ではサポートされていません。 110 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 データ保護ルール 9 クライアントの設定 [リムーバブル ストレージ保護] ページで、削除モードを設定します。 通常モードはファイルを削除し、積極モード は削除したファイルを回復不能にします。 [操作モードとモジュール] ページの詳細オプションを有効にします。 オプションは次のとおりです。 • TrueCrypt ディスク マウントを保護する • ポータブル デバイス ハンドラー • 高度なファイル コピー保護 ポータブル デバイス ハンドラー メディア転送プロトコル (MTP) は、コンピューターからスマートフォンなどのモバイル デバイスへの、ファイルお よび関連付けされたメタデータの転送に使用します。 MTP デバイスには、接続したコンピューターのものとは異な るファイル システムが実装されているため、従来のリムーバブル デバイスとは異なります。クライアントが MTP デ バイスに対して設定されると、リムーバブル ストレージ保護ルールが、MTP 転送への介入を許可してセキュリティ ポリシーを適用します。 現在、USB 接続のみがサポートされています。 ハンドラーは、Windows Explorer によるすべてデータ転送で機能します。 iOS デバイスでは、iTunes がデータ転 送を管理するため、ハンドラーは機能しません。 iOS デバイスでの代りの方針は、リムーバブル ストレージ デバイ ス ルールを使用してデバイスを読み取り専用にすることです。 リムーバブル ストレージ保護ルールによる TrueCrypt デバイスの保護 TrueCrypt で暗号化された仮想デバイスは、TrueCrypt デバイス ルールまたはリムーバブル ストレージ保護ルール で保護できます。 TrueCrypt 保護は、McAfee DLP Endpoint for Mac ではサポートされていません。 • TrueCrypt ボリュームをブロックまたは監視する、あるいは読み取り専用にするには、デバイス ルールを使用し ます。 • TrueCrypt ボリュームのコンテンツ依存の保護を使用するには保護ルールを使用します。 TrueCrypt ボリュームは拡張ファイル属性をサポートしていないため、コンテンツ フィンガープリント コンテンツが TrueCrypt ボリュームにコピーされると、シグネチャが失われます。 文書のプロパティ、ファイル暗号化、または分 類定義のファイル タイプ グループ定義を使用してコンテンツを識別します。 高度なファイル コピー保護 高度なファイル コピー保護は、Windows Explorer のコピー操作に介入して、ファイルがリムーバブル デバイスに コピーされる前に、McAfee DLP Endpoint クライアントによるソースのファイルの検査を可能にします。 これはデ フォルトで有効にされており、トラブルシューティングの場合のみ無効にする必要があります。 高度なコピー保護が適用できない場合の使用例があります。 例: アプリケーションが開いたファイルをリムーバブル デバイスに、[名前をつけて保存] を使用して保存すると、通常のコピー保護に戻ります。 このファイルはデバイスに コピーされてから検査されます。 機密コンテンツが見つかった場合、ファイルはすぐに削除されます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 111 9 機密コンテンツの保護 データ保護ルール スクリーン キャプチャ防止ルール スクリーン キャプチャ防止ルールは、スクリーンからのデータのコピー/貼り付けを制御します。 これは、McAfee DLP Endpoint for Windows のみでサポートされています。 ルールを特定のコンテンツ フィンガープリント条件に限定するには、分類定義を使用します。 ルールをローカル ユ ーザーまたは特定のユーザー グループに限定し、あるいは画面に表示されるアプリケーションを指定することにより 限定することもできます。 スクリーン キャプチャ防止は、コンテンツ分類条件をチェックしません。 スクリーン キャプチャ ルールで使用する 分類を定義する場合は、コンテンツ フィンガープリント条件を使用します。 アクション スクリーン キャプチャ防止ルールのアクションは [ブロック]、[ユーザー通知]、[インシデントのレポート]、および [元のファイルの保存] です。 インシデントをレポートする場合は、エビデンスの保存はオプションです。 ユーザー 通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効になります。 コンピュータ ーが社内ネットワークから切断されている場合は、異なるアクションが適用されます。 クライアントの設定 スクリーン キャプチャ防止ルールにより保護戯れるアプリケーションは、[スクリーン キャプチャ防止] ページに一 覧表示されています。 リストには一般的なスクリーン キャプチャ アプリケーションが含まれており、アプリケーシ ョンを追加、編集、または削除できます。 [動作モードとモジュール] ページで、スクリーン キャプチャ サービスを有効にします。 アプリケーション ハンド ラーと Print Screen キー ハンドラーは個別に有効にできます。 デフォルトでは、両方が有効になっています。 ア プリケーション ハンドラーまたはスクリーン キャプチャ サービスを無効にすると、[スクリーン キャプチャ保護] ページに一覧表示されているすべてのアプリケーションが無効にされます。 Web 送信保護ルール Web 送信保護ルールは、Web ベースの電子メール サイトを含め、Web サイトへのデータの送信を監視またはブロ ックします。 これは、McAfee DLP Endpoint for Windows でサポートされています。 Web 送信保護ルールは、Web アドレスをルールに追加することにより定義されます。 ルールを特定のコンテンツ フィンガープリントまたはコンテンツ分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特定のユーザー グループに限定することもできます。 アクション Web 送信保護ルールのアクションは、[ブロック]、[リクエスト ジャスティフィケーション]、[ユーザー通知]、[イ ンシデントのレポート]、および[元のファイルを保存] です。 インシデントをレポートする場合は、エビデンスの保 存はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが 有効になります。 コンピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されま す。 クライアントの設定 [動作モードとモジュール] ページで Web 保護に使用するブラウザーを有効にします。 Microsoft Internet Explorer、Microsoft Edge、Mozilla Firefox、および Google Chrome がサポートされています。 Web 送信保護 ページ には、その他の Web 送信の設定のオプションが含まれます。 112 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 Device Control ルール 9 表 9-1 オプションの定義 オプション 定義 [Web 保護評価] Web リクエスト評価の入力を選択する設定です。 HTTP/S リクエストが、アドレス バ ーに表示された URL とは異なる URL に AJAX 経由で送信できる場合に使用されます。 [HTTP GET 要求を処理] HTTP GET 要求の処理を有効または無効にします。 GET リクエストは、リソースを消 費するため、デフォルトで無効にされています。 このオプションの使用には注意が必要 です。 [サポートされている Chrome バージョン] Chrome が頻繁にアップデートされるため、このリストが必要です。 このリストは、最 新のリストを McAfee サポートからダウンロードし、[参照] を使用して XML ファイル をインストールすることにより入力されます。 [Web タイムアウト方 針] Web 送信の解析の最大時間と、タイムアウトした場合のアクションを設定します。 オ プションはブロックまたは許可です。 また、ユーザー通知を選択することもできます。 [ホワイトリストに登録 された URL] Web 送信保護ルールから除外される URL を一覧表示します。 Device Control ルール Device Control ルールは、特定のデバイスが使用された場合に実行するアクションを定義します。 Device Control ルールは、企業内の管理対象のコンピューターに接続されたデバイスをブロックします。 McAfee DLP Endpoint for Windows は以下のルール タイプをサポートします。 • リムーバブル ストレージ • Citrix XenApp • プラグ アンド プレイ • TrueCrypt • 固定ハード ドライブ • リムーバル ストレージ ファイル アクセス McAfee DLP Endpoint for Mac は以下のルール タイプをサポートします。 • リムーバブル ストレージ • プラグ アンド プレイ (USB デバイスのみ) Device Control ルールの詳細は、『リムーバブル メディアの保護』 セクションで説明しています。 関連トピック: 4 ページの「リムーバブル メディアの保護」 検出ルール McAfee DLP Endpoint および McAfee DLP Discover は、検出ルールを使用してファイルとリポジトリをスキャン します。 表 9-2 データ ベクトルの説明 製品 検出ルール McAfee DLP Endpoint ローカル メール (OST、PST) ローカル ファイル システム McAfee DLP Discover McAfee Data Loss Prevention Endpoint 10.0.0 Box 保護 製品ガイド 113 9 機密コンテンツの保護 ホワイトリスト 表 9-2 データ ベクトルの説明 (続き) 製品 検出ルール ファイル サーバー (CIFS) の保護 SharePoint の保護 ホワイトリスト ホワイトリストは、システムに無視させたいアイテムの集合です。 コンテンツ、デバイス、プロセス、およびユーザー グループをホワイトリストに登録できます。 データ保護ルールのホワイトリスト 各ページの ポリシー カタログ Windows クライアント構成の、クリップボード保護ルールと印刷防止ルールのホワ イトリストに登録するプロセスを指定できます。 Web 保護 ページのホワイトリストに登録された URL を指定でき ます。 これらのホワイトリストはクライアントに適用されるため、すべてのクリップボード、い夏、および Web 送 信保護ルールを管理できます。 クリップボードと印刷の保護ルールは、ホワイトリストに登録されたプロセスで作成 されたコンテンツを無視します。 Web 送信保護ルールは、ホワイトリストに登録された URL には強制されません。 コンテンツ追跡 ページのテキスト抽出のホワイトリストに登録されたプロセスを指定できます。 定義によっては、 テキスト抽出は、指定されたアプリケーションによって開かれるファイルまたはフィンガープリントを解析せず、 Web アップロードの動的フィンガープリントを作成しません。 定義は、特定のフォルダーと拡張子を指定して、ホ ワイトリストに登録するものを詳細に制御できます。 フォルダーを指定しないと、プロセスがアプリケーション フ ァイル アクセス ルールで監視されません。 デバイス ルールのホワイトリスト DLP ポリシー マネージャー の デバイス定義 に、ホワイトリストに登録されたプラグ アンド プレイの定義を作成で きます。 一部のプラグ アンド プレイデバイスは、デバイス管理でうまく処理されません。 そのようなデバイスを管理しよう とすると、システムが無応答になったり、深刻な問題を起こす場合があります。 ホワイトリストに登録されたプラグ アンド プレイ デバイスは、ポリシーが適用されると自動的に除外されます。 ホワイトリストに登録されたプラグ アンド プレイ定義は、OS X オペレーティング システムには適用されません。 Device Control ルールの 例外 タブは、ルールに固有のホワイトリストにより定義されます。 ホワイトリストは、 特定の定義をルールから除外します。 114 • ユーザー — すべてのデバイス ルールで使用されます。 • デバイス定義 — Citrix および TrueCrypt 以外のすべてのデバイス ルールで使用されます。 • プロセス — プラグ アンド プレイおよびリムーバブル ストレージのルールで使用されます。 • シリアル番号とユーザーのペア — ラグ アンド プレイおよびリムーバブル ストレージのルールで使用されます。 • ファイル名 — リムーバブル ストレージ ファイル ルールで使用され、ウイルス対策アプリケーションなどのファ イルを除外します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 エンドユーザー メッセージのカスタマイズ 9 エンドユーザー メッセージのカスタマイズ エンドユーザーとのコミュニケーションには、通知とユーザー ジャスティフィケーション メッセージの 2 つのタイ プのメッセージが使用されます。 通知とジャスティフィケーションの定義では、[ロケール] (言語) を指定し、プレースホルダを追加して実際の値で 置き換えることができます。 ロケールを定義すると、メッセージとオプション ボタン (ビジネス ジャスティフィケ ーション用) が、エンドポイント コンピューターのデフォルト言語に表示されます。 以下のロケールがサポートさ れています。 • 英語 (米国) • 日本語 • 英語 (英国) • 韓国語 • フランス語 • ロシア語 • ドイツ語 • 中国語 (簡体字) • スペイン語 • 中国語 (繁体字) 英語 (US) が標準のデフォルト ロケールですが、サポートされているロケールは定義でデフォルトに設定することが できます。 デフォルトのロケールは、エンドポイント コンピューターで他の定義されたロケールがデフォルト ロケ ールとして使用できない場合に使用されます。 ユーザー通知 ユーザー通知は、ユーザーにポリシー違反を通知するポップアップ メッセージです。 ルールが複数のイベントをトリガーすると、複数のメッセージを表示する代わりに、ポップアップ メッセージに 『DLP コンソールに新しい DLP イベントがあります』 と表示されます。 ユーザー通知メッセージは、[DLP ポリシー マネージャー] 、 [定義] 、 [通知] で定義されます。 ビジネス ジャスティフィケーション ビジネス ジャスティフィケーションは、ポリシー バイパスのフォームです。 [リクエスト ジャスティフィケーショ ン] は、ルールの防止アクションとして指定され、ユーザーはジャスティフィケーションを入力すると、ブロックさ れることなく継続できます。 ビジネス ジャスティフィケーション メッセージは、[DLP ポリシー マネージャー] 、 [定義] 、 [ジャスティフィケ ーション] で定義されます。 プレースホルダ プレースホルダは、エンドユーザー メッセージをトリガーしたものに基いて、メッセージに変更可能なテキストを入 力する方法です。 使用可能なプレースホルダは以下のとおりです。 • %c - 分類 • %a - アクション • %r - ルールセット • %s - 文字列値 (ファイル名、デバイス名、その他) • %v - ベクトル (電子メール保護、Web Protection、その他) 関連トピック: 121 ページの「ジャスティフィケーション定義の作成」 122 ページの「通知の定義の作成」 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 115 9 機密コンテンツの保護 ルール タイプに使用可能な対応 ルール タイプに使用可能な対応 ルールで使用可能な対応はルール タイプによって異なります。 • データ保護ルールは McAfee DLP Endpoint で使用できます。 • Device Control ルールは、McAfee DLP Endpoint と Device Control で使用できます。 • 検出ルールには、McAfee DLP Endpoint や McAfee DLP Discover で利用可能なものがあります。 表 9-3 使用可能な対応 対応 適用先ルール: 結果 [アクションなし] すべて アクションを許可します。 [ブロック] • [データ保護] アクションをブロックします。 • [Device Control] [コピー] [検出] ファイルを特定の UNC で定義する場所にコピーします。 [暗号化] • [データ保護] ファイルを暗号化します。 暗号化のオプションは、FRP または StormShield データ セキュリティ暗号化ソフトウェアです。 • [検出] McAfee DLP Endpoint for Mac ではサポート されていません。 [移動] [検出] ファイルを特定の UNC で定義する場所に移動します。 プレース ホルダー ファイル (オプション) を作成して、ファイルが移動され たことをユーザーに通知できます。 [読み取り専用] [Device Control] 読み取り専用アクセスを強制します。 [リクエスト ジャス ティフィケーショ ン] [データ保護] エンドユーザー コンピューターにポップアップを表示します。 ユ ーザーがジャスティフィケーションを (オプションのユーザー入 力で) 選択するか、オプションのアクションを選択します。 [RM ポリシーの適 用] • [データ保護] 権限管理 (RM) ポリシーをファイルに適用します。 • [検出] McAfee DLP Endpoint for Mac ではサポート されていません。 [隔離] [検出] ファイルを隔離します。 [タグ] [検出] ファイルにタグ付けします。 [DLP Endpoint コ ンソールにファイル 表示する] [検出] [ファイル名] と [パス] をエンドポイント コンソールに表示しま す。 [ファイル名] は、ファイルが隔離されている場合を除き、フ ァイルを開くリンクです。 [パス] は、ファイルのあるフォルダー を開きます。 [ユーザー通知] • [データ保護] エンドポイント コンピューターにメッセージを送信して、ユーザ ーにポリシー違反を通知します。 • [検出] [ユーザー通知] が選択され、複数のイベントがトリガーされる と、複数のメッセージを表示する代わりに、ポップアップ メッ セージに 『DLP コンソールに新しい DLP イベントがあります』 と表示されます。 [インシデントのレ ポート] 116 すべて McAfee Data Loss Prevention Endpoint 10.0.0 違反のインシデント エントリを DLP インシデント マネージャー に生成します。 製品ガイド 9 機密コンテンツの保護 ルール タイプに使用可能な対応 表 9-3 使用可能な対応 (続き) 対応 適用先ルール: 結果 [元のファイルを保 存] • [データ保護] インシデント マネージャーで表示するためにファイルを保存しま す。 • [検出] 指定したエビデンス フォルダーとエビデンス コピー サービス の有効化が必要です。 [元の電子メールを エビデンスとして保 存する] • [データ保護] McAfee DLP Endpoint for Mac ではサポート されていません。 元のメッセージをエビデンス共有に保存します。 McAfee DLP Endpoint の電子メール 保護ルールにのみ適用します。 表 9-4 データ保護ルールのアクション 対応 ヘッダ を追加 する ブロック 暗号化 リクエスト ジャス RM ポリシーの適用 ティフィケーション ルール タイプ アクショ ンなし アプリケーション ファイル アクセス保護 X X クリップボード保護 X X クラウド保護 X X 電子メールの保護 X ネットワーク通信の保護 X ネットワーク共有の保護 X プリンタ保護 X X リムーバブル ストレージ保 護 X X スクリーン キャプチャ防止 X X Web 送信保護 X X X X* X X X X X X X X X X X 暗号化は、McAfee DLP Endpoint for Mac ではサポートされていません。 * クラウド保護ルールの暗号化は、Box、Dropbox、GoogleDrive および OneDrive (個人用) でサポートされていま す。 暗号化されたファイルをその他のクラウド アプリケーションでアップロードしようとすると、ファイルの保存が 失敗します。 表 9-5 Device Control ルールの対応 ルール 対応 アクションなし ブロック X Citrix XenApp デバイス 固定ハード ドライブ X X プラグ アンド プレイ デバイス X X リムーバブル ストレージ デバイス X X リムーバル ストレージ ファイル アクセス X X TrueCrypt デバイス X X McAfee Data Loss Prevention Endpoint 10.0.0 読み取り専用 X X X 製品ガイド 117 9 機密コンテンツの保護 ルールとルール セットの作成と設定 表 9-6 McAfee DLP Endpoint 検出ルールの対応 対応 ルール アクションなし 暗号化 RM ポリシーの適用 隔離 タグ X エンドポイン ト ファイル シ ステム X X X エンドポイン ト メール スト レージ保護 McAfee DLP Endpoint コンソー ルへのファイルの表示 X X X X X X ルールとルール セットの作成と設定 McAfee DLP Endpoint, Device Control、および McAfee DLP Discover ポリシーのルールを作成、設定します。 タスク • 118 ページの「ルール セットの作成」 ルール セットは、複数のデバイス保護、データ保護、および検出スキャン ルールを結合します。 • 119 ページの「ルールの作成」 ルールを作成するプロセスは、すべてのルール タイプで類似しています。 • 119 ページの「ポリシーへのルール セットの割り当て」 ルール セットは、エンドポイント コンピューターに割り当てられる前に、ポリシーに割り当てられ、ポ リシーが McAfee ePO データベースに適用されます。 • 120 ページの「ルールの有効化、無効化、または削除」 複数のルールの状態を一度に削除または変更できます。 • 120 ページの「ルールと分類のインポートとエクスポート」 ルールと分類を McAfee ePO サーバーからエクスポートして、別の McAfee ePO サーバーにインポー トすることができます、。 • 121 ページの「ルールまたはルール セットの列の設定」 ルールまたはルール セットを表示する列を移動、追加、または削除します。 • 121 ページの「ジャスティフィケーション定義の作成」 McAfee DLP Endpoint では、ビジネス ジャスティフィケーション定義は、ルールのジャスティフィケ ーション防止アクションのパラメーターを定義します。 • 122 ページの「通知の定義の作成」 McAfee DLP Endpoint で、ユーザーのアクションがポリシーに違反すると、ユーザー通知がポップア ップまたはエンドユーザー コンソールに表示されます。 ルール セットの作成 ルール セットは、複数のデバイス保護、データ保護、および検出スキャン ルールを結合します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 118 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブをクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 9 機密コンテンツの保護 ルールとルール セットの作成と設定 3 [アクション] 、 [新しいルール セット] を選択します。 4 名前とオプションの注記を入力して、[OK] をクリックします。 ルールの作成 ルールを作成するプロセスは、すべてのルール タイプで類似しています。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブをクリックします。 3 ルール セットのタブをクリックして、必要な場合は [データ保護]、[Device Control]、または [検出] ルールの 適切なタブを選択します。 4 [アクション] 、 [新しいルール]を選択して、ルールのタイプを選択します。 5 [条件] タブで、情報を入力します。 6 • 分類またはデバイス定義などの条件によっては、[...] をクリックして既存の項目を選択するか新しい項目を 作成します。 • さらに条件を追加するには、[+] をクリックします。 • 条件を削除するには、[-] をクリックします。 (オプション) ルールに例外を追加するには、[例外] タブをクリックします。 a [アクション] 、 [ルールの例外の追加] を選択します。 デバイス ルールでは、[アクション] ボタンが表示されません。 デバイス ルールに例外を追加するには、表 示されたリストからエントリを選択します。 b 7 必要に応じてフィールドに情報を入力します。 [対応] タブで、[防止アクション]、[ユーザー通知] および、[インシデントのレポート] オプションを設定しま す。 エンドポイント コンピューターが会社のネットワークにあるかどうかによって、ルールに異なるアクションを設 定できます。 ルールによっては、VPN 経由で会社のネットワークに接続されている場合に、異なるアクションを 設定できます。 8 [保存] をクリックしてルールを保存するか、[閉じる] をクリックして保存せずに終了します。 関連トピック: 105 ページの「ルール セット」 ポリシーへのルール セットの割り当て ルール セットは、エンドポイント コンピューターに割り当てられる前に、ポリシーに割り当てられ、ポリシーが McAfee ePO データベースに適用されます。 開始する前に [DLP ポリシー マネージャー] 、 [ルール セット] ページで、1 つ以上のルール セットを作成して、こ れに必要なルールを追加します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 119 9 機密コンテンツの保護 ルールとルール セットの作成と設定 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 [DLP ポリシー マネージャー] 、 [ポリシー管理] ページで、以下のいずれかを実行します。 • [アクション] 、 [ポリシーへのルール セットの割り当て] を選択します。 割り当てウィンドウで、ドロップ ダウン リストからルールを選択し、これに割り当てるポリシーを選択して、[OK] をクリックします。 • [アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。 割り当てウィンドウで、ドロ ップダウン リストからポリシーを選択し、これに割り当てるルールを選択して、[OK] をクリックします。 前に選択したルール セットまたはポリシーの選択を解除すると、ルール セットがポリシーから削除されます。 2 [アクション] 、 [選択したポリシーを適用] を選択します。 割り当てウィンドウで、McAfee ePO データベース に適用するポリシーを選択します。 [OK] をクリックします。 データベースにまだ割り当てられていないポリシーのみが選択ウィンドウに表示されます。 ルール セット割り 当てまたは割り当てられたルール セットのルールを変更すると、ポリシーが表示され、更新されたポリシーが以 前のポリシーの代わりに適用されます。 ルールの有効化、無効化、または削除 複数のルールの状態を一度に削除または変更できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブをクリックします。 3 ルール セットのタブをクリックして、必要な場合は [データ保護]、[Device Control]、または [検出] ルールの 適切なタブをクリックします。 4 1 つ以上のルールを選択します。 5 選択したルールを更新または削除します。 • ルールを有効にするには、[アクション] 、 [状態の変更] 、 [有効にする]を選択します。 • ルールを無効にするには、[アクション] 、 [状態の変更] 、 [無効にする]を選択します。 • ルールを削除するには、[アクション] 、 [削除]を選択します。 ルールと分類のインポートとエクスポート ルールと分類を McAfee ePO サーバーからエクスポートして、別の McAfee ePO サーバーにインポートすることが できます、。 タスク 120 1 McAfee ePO で、[データ保護] 、 [DLP 設定] を選択します。 2 [ファイルにバックアップ] をクリックして、ファイルを USB ドライブまたは共有フォルダーなどの場所に保存 します。 3 別の McAfee ePO サーバーで、[データ保護] 、 [DLP 設定] を選択します。 4 [ファイルからリストア] をクリックして、以前保存したファイルを選択します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールとルール セットの作成と設定 9 ルールまたはルール セットの列の設定 ルールまたはルール セットを表示する列を移動、追加、または削除します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブをクリックします。 3 [表示する列を選択] ページにアクセスします。 4 5 • ルール セット — [アクション] 、 [列の選択]の順に選択します。 • ルール — ルール セットを選択して、次に [アクション] 、 [列の選択] を選択します。 列を変更します。 • [利用可能な列] パネルで、列を追加するアイテムをクリックします。 • [選択した列] パネルで、矢印または [x] をクリックして列を移動または削除します。 • [デフォルトを使用] をクリックして、列をデフォルト設定に復元します。 [保存] をクリックします。 ジャスティフィケーション定義の作成 McAfee DLP Endpoint では、ビジネス ジャスティフィケーション定義は、ルールのジャスティフィケーション防止 アクションのパラメーターを定義します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [定義] タブをクリックし、次に [通知] 、 [ジャスティフィケーション] を選択します。 3 [アクション] 、 [新規]の順に選択します。 4 一意の名前とオプションの説明を入力します。 5 2 言語以上でジャスティフィケーション定義を作成するには、[ロケール アクション] 、 [新しいロケール] を選 択します。 必要な各ロケールについて、ドロップダウン リストからロケールを選択します。 選択されたロケールがリストに追加されます。 6 各ロケールで、以下を実行します。 a 左パネルで、編集するロケールを選択します。 テキスト ボックスにテキストを入力して、必要に応じてチェ ックボックスを選択します。 [一致する文字列の表示] は、ポップアップに一致するコンテンツを強調表示してリンクを提供します。 [詳細 情報] は、文書またはイントラネット ページへのリンクを情報として提供します。 ロケール定義の入力時には、チェックボックスとアクションは使用できません。 ボタンのラベル、概要、およ びタイトルのみを入力できます。 [ジャスティフィケーション オプション] セクションで、[アクション] 列の [編集] 機能を使用して、デフォルトの定義をロケール バージョンで置き換えることができます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 121 9 機密コンテンツの保護 ルールとルール セットの作成と設定 b [ジャスティフィケーションの概要] およびオプションの [ダイアログのタイトル] を入力します。 概要は、ユーザー向けの一般的な説明です。例: 『このアクションにはビジネス ジャスティフィケーションが 必要です。』 入力可能な最大文字数は 500 文字です。 c ボタンのラベルを入力してボタンのアクションを選択します。 [ボタンを隠す] チェックボックスを選択する と、ボタンが 2 個の定義を作成します。 ボタンのアクションは、定義を使用するルール タイプで利用可能な防止アクションと一致する必要がありま す。 たとえば、ネットワーク共有保護ルールには、防止アクションとして [アクションなし]、[暗号化]、ま たは [リクエスト ジャスティフィケーション] のみがあります。 ボタン アクションの 1 つに [ブロック] を 選択して、ネットワーク共有保護ルールの定義を使用しようとすると、エラー メッセージが表示されます。 d テキスト ボックスにテキストを入力して、[追加] をクリックすると、[ジャスティフィケーション オプショ ン] のリストに追加されます。 エンドユーザーがこのリストを表示するようにするには、[ジャスティフィケ ーション オプションを表示する] チェックボックスを選択します。 プレースホルダを使用してテキストをカスタマイズし、ポップアップをトリガーした理由を表示できます。 7 すべてのロケールが完了したら、[保存] をクリックします。 関連トピック: 115 ページの「エンドユーザー メッセージのカスタマイズ」 通知の定義の作成 McAfee DLP Endpoint で、ユーザーのアクションがポリシーに違反すると、ユーザー通知がポップアップまたはエ ンドユーザー コンソールに表示されます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [定義] タブをクリックし、次に [通知] 、 [ユーザー通知] を選択します。 3 [アクション] 、 [新規]の順に選択します。 4 一意の名前とオプションの説明を入力します。 5 ユーザー通知の定義を 2 言語以上で作成するには、[ロケール アクション] 、 [新しいロケール] を選択します。 必要な各ロケールについて、ドロップダウン リストからロケールを選択します。 選択されたロケールがリストに追加されます。 6 各ロケールで、以下を実行します。 a 左パネルで、編集するロケールを選択します。 [デフォルトのロケール] チェックボックスを選択することにより、任意のロケールをデフォルトに設定できま す。 b テキストをテキスト ボックスに入力します。 プレースホルダを使用してテキストをカスタマイズし、ポップアップをトリガーした理由を表示できます。 122 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールの使用例 c 9 (オプション) [詳細情報のリンクを表示する] チェックボックスを選択して、詳細情報を提供する URL を入力 します。 デフォルトのロケールのみで使用できます。 7 すべてのロケールが完了したら、[保存] をクリックします。 関連トピック: 115 ページの「エンドユーザー メッセージのカスタマイズ」 ルールの使用例 次の使用例は、デバイスとデータ保護ルールの使用例を示します。 タスク • • 123 ページの「使用例: リムーバブル ストレージ デバイス ルールとホワイトリストに登録されたプロ セス」 リムーバブル ストレージ ブロック ルールの例外として、ファイル名をホワイトリストに登録できます。 124 ページの「使用例: リムーバブル デバイスを読み取り専用にする」 リムーバブル ストレージ デバイス保護ルールには、プラグ アンド プレイ デバイス ルールとは異なり、 読み取り専用のオプションがあります。 • 125 ページの「使用例: iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電する」 Apple iPhones は、コンピューターから充電中にストレージとしての使用をブロックできます。 • 125 ページの「使用例: 機密情報のディスクへの書き込みを防止します。」 アプリケーション ファイル アクセス保護ルールは、CD/DVD ライターを使用した機密情報のコピーの ブロックに使用できます。 • • 126 ページの「使用例: 機密コンテンツのある送信メッセージが、指定されたドメイン以外に送信され るのをブロックします。」 送信メッセージに 機密 という語句が含まれている場合は、ルールにより除外されていない限り、送信を ブロックします。 128 ページの「使用例: 指定したユーザー グループにクレジット情報の送信を許可する」 人事部門のユーザー グループの社員に、Active Directory から取得した個人のクレジットカード情報を 含むメッセージの送信を許可します。 • 129 ページの「使用例: 添付ファイルを、その宛先に基いて NEED-TO-SHARE に分類します」 NEED-TO-SHARE の添付ファイルの 米国、ドイツ、およびイスラエル国内の従業員への送信を許可す る分類を作成します。 使用例: リムーバブル ストレージ デバイス ルールとホワイトリストに登録され たプロセス リムーバブル ストレージ ブロック ルールの例外として、ファイル名をホワイトリストに登録できます。 リムーバブル ストレージ デバイス ルールは、アプリケーションのリムーバブル デバイス上での動作のブロックに使 用されます。 ホワイトリストに登録されたファイル名は、ブロックされていないプロセスとして定義されます。 こ の例では、Sandisk リムーバブル ストレージ デバイスをブロックしますが、ウイルス対策ソフトウェアがデバイス をスキャンして感染したファイルを削除することを許可します。 この機能は、Windows ベースのコンピューターのみでサポートされます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 123 9 機密コンテンツの保護 ルールの使用例 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [定義] タブで、[すべての Sandisk リムーバブル デバイス (Windows)] の組み込みデバイス定義をみつけて、 [複製] をクリックします。 定義では、Sandisk のベンダー ID 0781 を使用します。 ベスト プラクティス: 組み込みの定義を複製して定義をカスタマイズします。 たとえば、他のベンダー ID を複製 された Sandisk の定義に追加して、他のブランドのリムーバブル デバイスに追加できます。 3 [ルール セット] タブで、ルール セットを選択または作成します。 4 ルール セット [Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイ ス ルール] を選択します。 5 ルールの名前を入力して、[状態] 、 [有効] を選択します。 6 [条件] タブで、[エンドユーザー] を選択するか、デフォルト ([任意のユーザー]) のままにします。 [リムーバブ ル ストレージ] フィールドで、手順 2 で作成したデバイス定義を選択します。 7 [例外] タブで、[ホワイトリストに登録されたファイル名] を選択します。 8 [ファイル名] フィールドで、組み込みの [McAfee AV] 定義を追加します。 リムーバブル ストレージ デバイス定義で、この定義を複製してカスタマイズできます。 9 [対応] タブで、[防止アクション] 、 [ブロック] を選択します。 オプションで、ユーザー通知を追加して、[イ ンシデントのレポート] オプションを選択できます。 10 [保存] をクリックしてから、[OK] をクリックします。 使用例: リムーバブル デバイスを読み取り専用にする リムーバブル ストレージ デバイス保護ルールには、プラグ アンド プレイ デバイス ルールとは異なり、読み取り専 用のオプションがあります。 リムーバブル デバイスを読み取り専用に設定することにより、パーソナル デバイスをストレージ デバイスとしての 使用を防止して、MP3 プレーヤーとしての使用を許可できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [デバイス定義] ページの [定義] タブで、リムーバブル ストレージ デバイス定義を作成します。 リムーバブル ストレージ デバイス亭午をは、Windows または Mac デバイスとして分類する必要があります。 Windows または Mac の組み込み定義の 1 つをまず複製して、これをカスタマイズすることができます。 [バス タイプ] には、USB、Bluetooth、および使用する予定の任意のバス タイプを含むことができます。 デバイスをベ ンダー ID またはデバイス名で識別することができます。 124 3 [ルール セット] タブで、ルール セットを選択または作成します。 4 [Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を 選択します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールの使用例 9 5 ルールの名前を入力して、[状態] 、 [有効] を選択します。 [条件] セクションの [リムーバブル ストレージ] フ ィールドで、手順 2 で作成したデバイス定義を選択します。 6 [対応] タブで、[防止アクション] 、 [読み取り専用] を選択します。 オプションで、ユーザー通知を追加して、 [インシデントのレポート] オプションを選択できます。 7 [保存] をクリックしてから、[OK] をクリックします。 使用例: iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電 する Apple iPhones は、コンピューターから充電中にストレージとしての使用をブロックできます。 この使用例では、iPhone の大容量ストレージ デバイスとしてお使用をブロックするルールを使用します。 プラグ アンド プレイ デバイス保護ルールは、ルールがどのように指定されていても充電が可能なため、使用されます。 こ の機能は、その他のスマートフォン、または他の Apple モバイル デバイスではサポートされません。 この機能は、 コンピューターからの iPhone の充電を妨げません。 プラグ アンド プレイ デバイス ルールを特定のデバイスに定義するには、デバイスの定義をベンダーと製品 ID コー ド (VID/PID) で作成します。 この情報は、デバイスをプラグインしている時に Windows [デバイス マネージャ ー] から取得できます。 この例では VID のみが必要なため、この情報を探す代わりに、組み込みデバイス定義 [す べての Apple デバイス] を使用できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブで、ルール セットを選択 (または作成) します。 [Device Control] タブをクリックして、 プラグ アンド プレイ デバイス ルール作成します。 組み込みのデバイス定義 [すべての Apple デバイス] を含 まれる ([いずれか (OR)]) 定義として使用します。 3 [対応] タブで、防止アクションを [ブロック] に設定します。 4 [保存] をクリックしてから、[OK] をクリックします。 使用例: 機密情報のディスクへの書き込みを防止します。 アプリケーション ファイル アクセス保護ルールは、CD/DVD ライターを使用した機密情報のコピーのブロックに使 用できます。 開始する前に 機密コンテンツを特定する分類を作成します。 環境に関連するパラメーター — キーワード、テキスト パターン、ファイル情報などを使用します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] タブで、現在のルール セットを選択するか、または [アクション] 、 [新しいルール セット] を 選択して、ルール セットを定義します。 3 [データ保護] タブで、[アクション] 、 [新しいルール] 、 [アプリケーション ファイル アクセス保護] を選択し ます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 125 9 機密コンテンツの保護 ルールの使用例 4 (オプション) 名前を [ルール名] フィールド (必須) に入力します。 [状態] および [重大度] フィールドのオプ ションを選択します。 5 [条件] タブの [分類] フィールドで、機密コンテンツに対して作成した分類を選択します。 6 [エンドユーザー] フィールドで、ユーザー グループ (オプション) を選択します。 ルールにユーザーまたはグループを追加することにより、ルールを特定のユーザーに限定できます。 7 [アプリケーション] フィールドで、[メディア書き込みアプリケーション [組み込み]] を利用可能なアプリケーシ ョン定義リストから選択します。 組み込みの定義を編集することにより、独自のメディア書き込みアプリケーションを作成できます。 組み込みの 定義を編集すると、元の定義から自動的にコピーを作成します。 8 (オプション) [例外] タブで、ルールの例外を作成します。 例外の定義には、条件定義にある任意のフィールドを含むことができます。 複数の例外を定義して、複数の異な る状況に使用できます。 1 つの例は、ルールが免除される "特権ユーザー" です。 9 [対応] タブで、[防止アクション]を [ブロック] に設定します。 [ユーザー通知] を選択します (オプション)。 [保存] をクリックしてから、[OK] をクリックします。 その他のオプションは、デフォルトのインシデント レポートを変更して、コンピューターがネットワークから切 断機されたときのアクションを防止します。 10 [ポリシーの割り当て] タブで、ルール セットをポリシーに割り当てます。 a [アクション] 、 [ポリシーへのルール セットの割り当て] を選択します。 b ドロップダウン リストから適切なルール セットを選択します。 c 割り当てるポリシーを選択します。 11 [アクション] 、 [選択したポリシーを適用] を選択します。 McAfee ePO データベースに適用するポリシーを選 択して、[OK] をクリックします。 使用例: 機密コンテンツのある送信メッセージが、指定されたドメイン以外に送 信されるのをブロックします。 送信メッセージに 機密 という語句が含まれている場合は、ルールにより除外されていない限り、送信をブロックし ます。 以下の高度な手順に従ってください。 126 • 電子メール アドレス定義を作成します。 • ルール セットと機密の語句を含むメッセージに適用するルールを作成します。 • ルールから除外される受信者を指定します。 • 機密 を含むメッセージにたいする対応を指定します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールの使用例 9 表 9-7 想定される動作 電子メールのコ ンテンツ 受信者 想定される結果 本文: 機密 [email protected] このメッセージには「機密」という文字が含まれるため、ブロ ックされます。 本文: 機密 [email protected] このメッセージでは、機密文書は example.com のユーザー に送信できる例外の設定があるため、ブロックされません。 [email protected] このメッセージはブロックされます。 external.com に対す 添付ファイル: 機 [email protected] るこのブロックの動作はより高い優先度を持っています。 密 本文: タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 このルールから除外されるドメインの電子メール アドレスの定義を作成します。 a McAfee ePO の [データ保護] セクションで、[DLP ポリシー マネージャー] を選択して [定義] をクリック します。 b [電子メール アドレス] 定義を選択して、組み込みの [自分の組織の電子メール ドメイン] の複製コピーを作 成します。 c 作成した電子メール アドレス定義を選択して、[編集] をクリックします。 d [演算子] で、[ドメイン名が次の値の場合] を選択して、値を example.com に設定します。 e [保存] をクリックします。 [電子メール保護] ルールでルール セットを作成します。 a [ルール セット] をクリックして、次に [アクション] 、 [新しいルール セット] を選択します。 b ルールセットに 電子メールの機密情報をブロック という名前を付けます。 c [アクション] 、 [新しいルール] 、 [電子メール保護ルール] をクリックします。 d 新しいルールに [機密情報をブロック] という名前を付けて有効にします。 e [DLP Endpoint for Windows] のルールを強制します。 f 組み込みの [機密] の分類の複製コピーを作成します。 分類の編集可能なコピーが表示されます。 g 作成した分類を選択してルールに追加します。 h [受信者] を [任意の受信者 (ALL)] に設定します。 [条件] タブのその他の設定はデフォルト設定のままにしておきます。 3 ルールに例外を追加します。 a [例外] をクリックして、次に [アクション] 、 [ルールの例外の追加] を選択します。 b 例外の名前を入力し、これを有効にします。 c 分類を 機密 に変更します。 d [受信者] を [1 人以上の受信者がすべてのグループに属する (AND)] に設定して、作成した電子メール アド レス定義を選択します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 127 9 機密コンテンツの保護 ルールの使用例 4 5 語句 機密 を含むメッセージに対する対応を設定します。 a [対応] をクリックします。 b [DLP Endpoint] で、会社のネットワークで接続または切断されるコンピューターに対する [アクション] を [ブロック] に設定します。 ポリシーを保存して適用します。 使用例: 指定したユーザー グループにクレジット情報の送信を許可する 人事部門のユーザー グループの社員に、Active Directory から取得した個人のクレジットカード情報を含むメッセ ージの送信を許可します。 開始する前に Active Directory サーバーを McAfee ePO に登録します。 詳細は 『McAfee ePolicy Orchestrator 製品ガイド』 を参照してください。 以下の高度な手順に従ってください。 1 個人のクレジット情報の分類を作成します。 4 個人のクレジット情報を含むメッセージをブロッ クします。 2 ルール セットと新しい分類で使用するルールを 作成します。 5 ポリシーを適用します。 3 人事部門のユーザー グループを、このルールから 除外します。 ベスト プラクティス: 誤検知を最小にして潜在的なデータ漏洩をルールが識別するようにするには、[アクションなし] の設定を使用してルールを作成します。 ルールががインシデントを正しく識別するようになるまで [DLP インシデン ト マネージャー] を監視して、次に、[アクション] を [ブロック] に変更します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO メニューから、[分類] を選択して、[PCI] 分類の複製を作成します。 2 これに、ルール セットと例外を作成します。 3 128 a [DLP ポリシー マネージャー]を開きます。 b [ルール セット] で、PCI をブロック という名前のルールを作成します。 c 作成したルール セットを開いて、[アクション] 、 [新しいルール] 、 [電子メール保護] を選択して、ルール の名前を入力します。 d [施行の対象] で、[DLP Endpoint for Windows] を選択します。 e [分類] で、作成した分類を選択します。 f [エンドユーザー]、[電子メール エンベロープ]、および [受信者] はデフォルト設定のままにします。 ルールから除外するユーザー グループを指定します。 a [例外] を選択して、[アクション] 、 [ルールの例外の追加] をクリックして、これに 人事グループの例外 と いう名前を付けます。 b [状態] を [有効] に変更します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールの使用例 4 5 c [分類] で、[任意のデータを含む (ALL)] を選択します。 d [送信者] で、[いずれかのグループに属する (OR)] を選択します。 e [新しい項目] を選択して、HR という名前のエンドユーザー グループを作成します。 f [グループの追加] をクリックし、グループを選択して [OK] をクリックします。 9 ルールがトリガーした場合のアクションを設定します。 a 作成したグループを選択して、[OK] をクリックします。 b [対応] タブを選択します。 c [DLP Endpoint] セクションで、[アクション] を [ブロック] に設定します。 d [インシデントのレポート] を選択します。 e ルールを保存して [閉じる] をクリックします。 ルールを適用します。 a [DLP ポリシー マネージャー] で、[ポリシー割り当て] を選択します。 [保留中の変更] が [はい] と表示されます。 b [アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。 c 作成したルール セットを選択します。 d [アクション] 、 [選択したポリシーを適用] を選択します。 e [ポリシーを適用] をクリックします。 [保留中の変更] が [いいえ] と表示されます。 使用例: 添付ファイルを、その宛先に基いて NEED-TO-SHARE に分類します NEED-TO-SHARE の添付ファイルの 米国、ドイツ、およびイスラエル国内の従業員への送信を許可する分類を作成 します。 以下の高度な手順に従ってください。 • 電子メール アドレス定義を作成します。 • 添付ファイルを NEED-TO-SHARE に分類するルール セットとルールを作成します。 • ルールに例外を指定します。 以下の表の分類の例は、さまざまな分類トリガーと受信者に対する分類の動作を示します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 129 9 機密コンテンツの保護 ルールの使用例 表 9-8 想定される動作 分類 受信者 想定される結果 Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] 許可 — example1.com は、すべての NEED-TO-SHARE 添付ファイルの受信 できます Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] 許可 — example2.com is は、すべての NEED-TO-SHARE 添付ファイルの受信 できます Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] 許可 — example1.com および [email protected] example2.com は両方の添付ファイル を受信できます Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] 許可 — gov.il は両方の添付ファイルを 受信できます [email protected] ブロック — exampleuser4 は Attachment2 を受信できません [email protected] ブロック — exampleuser4 は Attachment2 を受信できません Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] ブロック — exampleuser4 は Attachment2 を受信できません [email protected] Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) [email protected] 許可 — exampleuser1 および [email protected] exampleuser3 は両方の添付ファイル を受信できません Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) Attachment1: NEED-TO-SHARE, Israel (.il) and United States (.us) Attachment2: NEED-TO-SHARE, Israel (.il) and Germany (.de) 130 [email protected] ブロック — exampleuser4 は [email protected] Attachment2 を受信できません [email protected] McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 機密コンテンツの保護 ルールの使用例 9 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 2 3 4 このルールから除外されるドメインの電子メール アドレスの定義を作成します。 a McAfee ePO の [データ保護] セクションで、[DLP ポリシー マネージャー] を選択して [定義] をクリック します。 b [電子メール アドレス] 定義を選択して、組み込みの [自分の組織の電子メール ドメイン] の複製コピーを作 成します。 c 作成した電子メール アドレス定義を選択して、[編集] をクリックします。 d [演算子] で、[ドメイン名が次の値の場合] を選択して、値を example1.com に設定します。 e example2.com、.il、および .us のエントリを作成します。 f [保存] をクリックします。 g これらの手順を繰り返して、gov.il に対する定義を作成します。 h これらの手順をもう一度繰り返して、gov.us に対する定義を作成します。 [電子メール保護] ルールを含むルール セットを作成します。 a [ルール セット] をクリックして、次に [アクション] 、 [新しいルール セット] を選択します。 b ルール セットに Allow NEED-TO-SHARE email to Israel and United States という名前を付け ます。 ルールを作成して、NEED-TO-SHARE 分類条件を追加します。 a [アクション] 、 [新しいルール] 、 [電子メール保護ルール] をクリックします。 b ルールに NEED-TO-SHARE という名前を付け、これを有効にして、[DLP Endpoint for Windows] で強制し ます。 c NEED-TO-SHARE という名前の分類条件を追加します。 d [分類対象] を [添付ファイルの 1 つ (*)] に設定します。 e [次のいずれかを含む (OR)] を選択して、[NEED-TO-SHARE] 分類条件を選択します。 f [受信者] を [任意の受信者 (ALL)] に設定します。 g [条件] タブのその他の設定はデフォルト設定のままにしておきます。 ルールに例外を追加して、各例外を有効にします。 • 例外 1 1 [分類対象] を [一致する添付ファイル] に設定します。 2 [次のいずれかを含む (OR)] を選択して、[NEED-TO-SHARE] 分類条件を選択します。 3 [受信者] を [いずれかのグループに属する受信者 (OR)] に設定して、example1.com と example2.com の定義を選択します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 131 9 機密コンテンツの保護 ルールの使用例 • • 132 例外 2 1 [分類対象] を [一致する添付ファイル] に設定します。 2 [次のすべてを含む (AND)] を選択して、[NEED-TO-SHARE] と [.il] の分類条件を選択します。 3 [受信者] を [いずれかのグループに属する受信者 (OR)] に設定して、[gov.il] を選択します。 例外 3 1 [分類対象] を [一致する添付ファイル] に設定します。 2 [次のすべてを含む (AND)] を選択して、[NEED-TO-SHARE] と [.us] の分類条件を選択します。 3 [受信者] を [いずれかのグループに属する受信者 (OR)] に設定して、[gov.us] を選択します。 5 [DLP Endpoint] で、[アクション] を [ブロック] に設定します。 6 [保存] をクリックします。 7 ポリシーを適用します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 10 McAfee DLP Endpoint 検出によるデータのスキ ャン Discovery は、クライアント コンピューターで実行されるクローラーです。 ローカル ファイル システムと電子メ ール ストレージ ファイルを検索して、機密コンテンツを保護するルールを適用します。 目次 Discovery ルールによるファイルの保護 スキャンの動作 エンドポイント検出クローラーによるコンテンツの検出 Discovery ルールによるファイルの保護 Discovery ルールは、リポジトリをスキャンし一致するコンテンツが見つかったときのアクションを決定する際に、 McAfee DLP が検索するコンテンツを定義します。 ルール タイプによって、スキャンに一致するファイルには、コピー、移動、暗号化、隔離、タグ付け、または適切な 管理ポリシーが適用されます。 すべての Discovery ルール条件には分類が含まれます。 電子メール ストレージ Discovery ルールを隔離防止アクションと共に使用する場合は、Outlook アドインが有効にな っていることを確認してください (ポリシー カタログ 、 Data Loss Prevention 9.4 、 クライアント設定 、 操作モ ードとモジュール)。 Outlook アドインがないと、隔離から電子メールを解放できません。 表 10-1 利用可能な Discovery ルール ルール タイプ 製品 以下で見つかったファイルをコントロールします。 ローカル ファイル システム McAfee DLP Endpoint ローカル ファイル システムのスキャン ローカル メール (OST、PST) McAfee DLP Endpoint 電子メール ストレージ システム スキャン エンドユーザーが開始したスキャン DLP ポリシー ローカル ファイル スキャン設定で有効にされると、エンドユーザーは有効にされたスキャンを実行し て自己修復アクションを表示することができます。 各スキャンには割り当てられたスケジュールがあり、ユーザーが スキャンの実行を選択するかどうかに関係なく、スキャンはそのスケジュールに従って実行されますが、ユーザーの 対話のオプションが有効な場合は、エンドユーザーは必要に応じて実行することもできます。 自己修復オプションが 選択されている場合は、エンドユーザーは修復アクションも実行できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 133 10 McAfee DLP Endpoint 検出によるデータのスキャン スキャンの動作 スキャンの動作 エンドポイント検出スキャンを使用して、機密コンテンツのあるローカル ファイル システムまたは電子メール スト レージのファイルを特定し、タグ付けあるいは隔離します。 McAfee DLP Endpoint 検出は、クライアント コンピューターで実行されるクローラーです。 事前定義されたコン テンツが検出されると、そのコンテンツを含むファイルの監視、隔離、暗号化、または RM ポリシーの適用を実行で きます。 エンドポイント検出では、コンピューター ファイルまたは電子メール ストレージ (PST、マッピングされ た PST、および OST) ファイルを検索できます。 電子メール ストレージ ファイルは、ユーザーごとにキャッシュ されます。 エンドポイント検出を使用するには、ポリシー カタログ 、 クライアントの設定 、 操作モードとモジュール ページで 検出モジュールを有効にする必要があります。 各検出スキャンの終了時に、McAfee DLP Endpoint クライアントは、検出サマリー イベントを McAfee ePO の DLP 操作イベント コンソールに送信してスキャンの詳細を記録します。 イベントには、スキャンできなかったファ イルとスキャンできなかった理由を一覧表示するエビデンスファイルが含まれます。 また、分類に一致するファイル と、実行したアクションを記録するエビデンス ファイルもあります。 McAfee DLP Endpoint 9.4.0 では、サマリー イベントは操作イベントでした。 古いサマリー イベントを DLP Incident Manager に更新するには、McAfee ePO サーバー タスク DLP インシデント イベントの 9.4 から 9.4.1 への移行 を使用します。 検索のタイミング ポリシー カタログ 、 DLP ポリシー 、 エンドポイント検出 ページのスケジュール検出スキャン 毎日特定の時間に スキャンを実行したり、あるいは週または月の指定した曜日や日に実行するように指定することもできます。 開始日 と終了日を指定、または McAfee DLP Endpoint 設定が施行されたときにスキャンを実行することもできます。 コ ンピューターの CPU または RAM が指定された制限を超過したとき、スキャンを一時的に停止することができます。 エンドポイント スキャンの実行中に検出ポリシーを変更すると、ルールおよびスケジュール パラメータは直ちに変 更されます。 有効化または無効化されたパラメータの変更は、次のスキャン時に有効となります。 スキャンの実行 中にコンピューターが再起動されると、スキャンは中断した場所から再開します。 検出可能なコンテンツ 検出ルールは分類で定義します。 分類条件に追加できるすべてのファイル プロパティまたはデータ条件は、コンテ ンツの検出に使用できます。 機密コンテンツが含まれているファイルが検出された場合 電子メール ファイルは、隔離またはタグ付けできます。 ローカル ファイル システムのファイルは、暗号化、隔離、 タグ付け、または RM ポリシーの適用ができます。 エビデンスは、両方のファイル タイプに保存できます。 エンドポイント検出クローラーによるコンテンツの検出 検出クローラを実行するには、4 つのステップがあります。 134 1 機密コンテンツを特定する分類を作成して定義します。 2 検出ルールの作成と定義 検出ルールには、定義の一部として分類が含まれます。 3 スケジュール定義の作成 4 スキャン パラメータの設定 スキャン定義には、パラメーターの 1 つとしてスケジュールが含まれます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint 検出によるデータのスキャン エンドポイント検出クローラーによるコンテンツの検出 10 タスク • 135 ページの「検出ルールの作成と定義」 検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について 定義します。 • 135 ページの「スケジューラー定義の作成」 スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。 • 136 ページの「スキャンのセットアップ」 検出スキャンは、ローカル ファイル システムまたはメールボックスの機密コンテンツを巡回します。 • 137 ページの「使用例: 隔離済みファイルまたは電子メール項目の復元」 McAfee DLP Endpoint 検出で機密コンテンツが検出されると、影響を受けるファイルまたは電子メー ル項目は隔離フォルダに移動され、プレースホルダに置き換えられて、ユーザにはファイルまたは電子 メール項目が隔離されたことが通知されます。 隔離されたファイルと電子メール項目も不正使用を防止 するために暗号化されます。 検出ルールの作成と定義 検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について定義します。 検出ルールの変更は、ポリシーが配備されると有効になります。 スキャンが進行中であっても、新規のルールはすぐ に有効となります。 電子メール ストレージ (PST、マッピングされた PST、および OST) スキャンでは、クローラーが電子メール項目 (本文と添付ファイル)、カレンダー項目、およびタスクをスキャンします。 公開フォルダや付箋はスキャンしませ ん。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [ルール セット] ページで、[アクション] 、 [新しいルール セット] を選択します。 名前を入力し、[OK] をク リックします。 既存のルール セットに検出ルールを追加することもできます。 3 [検出] タブで、[アクション] 、 [新しいエンドポイント検出ルール] を選択して、次に [ローカル メール] また は [ローカル ファイル システム] のいずれかを選択します。 適切なページが表示されます。 4 ルール名 を入力して、分類を選択します。 5 [対応] をクリックします。 ドロップダウン リストから防止アクションを選択します。 6 (オプション) [インシデントのレポート] オプションを選択し、[状態] を [有効] に設定して、ドロップダウン リ ストから [重大度] の指定を選択します。 7 [保存] をクリックします。 スケジューラー定義の作成 スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。 5 つのスケジュール タイプが使用できます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 135 10 McAfee DLP Endpoint 検出によるデータのスキャン エンドポイント検出クローラーによるコンテンツの検出 • すぐに実行 • 週単位 • 1 回だけ • 月次 • 毎日 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。 2 [定義] タブをクリックします。 3 左パネルで [スケジューラー] をクリックします。 McAfee DLP Discover と McAfee DLP Endpoint の両方がインストールされている場合、表示される既存のス ケジュールのリストには両方のスケジュールが含まれます。 4 [アクション] 、 [新規]の順に選択します。 [新しいスケジューラー] ページが表示されます。 5 一意の[名前]を入力して、ドロップダウン リストから [スケジュール タイプ] を選択します。 スケジュール タイプを選択して、そのタイプに必要なフィールをを入力すると、表示が変化します。 6 必要なオプションを入力し、[保存] をクリックします。 スキャンのセットアップ 検出スキャンは、ローカル ファイル システムまたはメールボックスの機密コンテンツを巡回します。 開始する前に スキャンに適用するルールセットが DLP ポリシー に適用されていることを確認します。 この情報は、 [DLP ポリシー] 、 [ルール セット] タブに表示されています。 検出設定パラメータの変更は、次回のスキャンから有効になります。 すでに進行中のスキャンに対しては適用されま せん。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します。 2 [製品] 、 [Data Loss Prevention 10] を選択して、有効な DLP ポリシーを選択します。 3 [Endpoint Discovery] タブで、[アクション] 、 [新しいエンドポイントのスキャン] を選択して、次に [ローカ ル メール] または [ローカル ファイル システム] のいずれかを選択します。 4 スキャンの 名前 を入力して、ドロップダウン リストから スケジュール を選択します。 5 オプション: [インシデント処理] および [エラー処理] のデフォルトを変更します。 [状態] を [有効] に変更し ます。 エラー処理は、テキストが抽出できない場合を指します。 6 136 (オプション) ローカル ファイル システム スキャンでは、[ユーザーの対話] フィールドのチェックボックスを選 択して、ユーザーが有効にされたスキャンをスケジュールされた日時以前に実行できるようにします。 ユーザー が McAfee DLP Endpoint クライアント コンソールから修復アクションを実行できるようにすることもできま す。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint 検出によるデータのスキャン エンドポイント検出クローラーによるコンテンツの検出 7 8 10 フォルダー タブで、以下のいずれかを実行します。 • ファイル システム スキャンでは、[アクション] 、 [フォルダーの選択] を選択します。 定義されたフォルダ ー定義を選択するか、[新しい項目] をクリックして定義を作成します。 フォルダーを [追加] または [除外] として定義します。 • 電子メール スキャンでは、ファイル タイプ (OST、PST) とスキャンするメールボックスを選択します。 (オプション) [フィルター] タブ (ファイル システム スキャンのみ) で、[アクション] 、 [フィルターの選択] を 選択します。 ファイル情報の定義を選択するか、[新しい項目] をクリックして定義を作成します。 フィルター を [追加] または [除外] として定義します。 [OK] をクリックします。 デフォルトの設定は [すべてのファイル] です。 フィルターを定義すると、スキャンがより効率的になります。 9 [ルール] タブで、適用するルールを確認します。 ポリシーに適用されるルール セットのすべての検出ルールが実行されます。 使用例: 隔離済みファイルまたは電子メール項目の復元 McAfee DLP Endpoint 検出で機密コンテンツが検出されると、影響を受けるファイルまたは電子メール項目は隔離 フォルダに移動され、プレースホルダに置き換えられて、ユーザにはファイルまたは電子メール項目が隔離されたこ とが通知されます。 隔離されたファイルと電子メール項目も不正使用を防止するために暗号化されます。 開始する前に McAfee DLP アイコンを Microsoft Outlook で表示するには、[ポリシー カタログ] 、 [クライアント ポリシー] 、 [操作モードとモジュール]で [隔離から解放するコントロールを Outlook に表示] オプシ ョンを有効にする必要があります。 無効になっていると、隔離された電子メールを表示するオプション のアイコンと右クリック オプションがブロックされ、電子メールを隔離から解放できません。 ファイル システム検出ルールを [隔離] に設定した場合、クローラで機密コンテンツが検出されると、影響を受けた ファイルは隔離フォルダに移動され、プレースホルダに置き換えられて、ユーザーにはファイルが隔離されたことが 通知されます。 隔離されたファイルは不正使用を防止するために暗号化されます。 隔離済みの電子メール項目については、McAfee DLP Endpoint 検出では Outlook の [件名] に電子メールが隔離さ れたことを示す接頭辞を付けます。 電子メール本体とすべての添付ファイルが隔離されます。 以前の McAfee DLP Endpoint バージョンでは、電子メールの署名システムで処理する際に署名が壊れるのを防止す るために、本文と添付ダイルのいずれかを暗号化できましたが、メカニズムが変わりました。 カレンダー項目とタスクも隔離することができます。 図 10-1 隔離済み電子メールの例 タスク 1 隔離されたファイルの復元方法 a 管理対象のコンピューターのシステム トレイで、[McAfee Agent] アイコンをクリックして、[管理機能] 、 [DLP Endpoint コンソール] を選択します。 DLP Endpoint コンソールが開きます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 137 10 McAfee DLP Endpoint 検出によるデータのスキャン エンドポイント検出クローラーによるコンテンツの検出 b [タスク] タブで、[隔離フォルダーを開く] を選択します。 隔離フォルダーが開きます。 c 復元するファイルを選択します。 右クリックして、[隔離から解放] を選択します。 [隔離から解放] のコンテキストに応じたメニュー項目は、タイプが *.dlpenc (DLP で暗号化) のファイルを 選択した場合にのみ表示されます。 [リリース コード] ポップアップ ウィンドウが表示されます。 2 隔離された電子メール項目を復元するには、[McAfee DLP] アイコンをクリックするか、[隔離から解放] を右ク リックして選択します。 a Microsoft Outlook で、復元する電子メール (またはその他の項目) を選択します。 b [McAfee DLP] アイコンをクリックします。 [リリース コード] ポップアップ ウィンドウが表示されます。 3 ポップアップ ウィンドウからチャレンジ ID コードをコピーし、これを DLP 管理者に送信します。 4 管理者は応答コードを生成し、ユーザに送信します (これにより、オプションのすべての詳細のイベント記録が作 成されます。) 5 ユーザーは、リリース コードを [リリース コード] ポップアップ ウィンドウに入力して、[OK] をクリックしま す。 復号化されたファイルは、元の場所に復元されます。 リリース コード ロックアウト ポリシーがアクティブ ([エ ージェント設定] 、 [通知サービス] タブで設定) になっている場合に間違ったコードを 3 回入力すると、ポップ アップは 30 分間 (デフォルト設定) タイムアウトします。 ファイルの場合、パスが変更または削除されている場合、元のパスが復元されます。 その場所に同じ名前のファイ ルが存在する場合、ファイルは xxx-copy.abc という名前で復元されます。 138 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 監視とレポート McAfee DLP Endpoint ソフトウェア コンポーネントを使用して、ポリシー違反 (DLP インシデント マネージャー) を追跡して確認し、管理イベント (DLP 操作) を追跡でき ます。 第 11 章 第 12 章 インシデントと操作イベント 管理データの収集と管理 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 139 監視とレポート 140 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 11 インシデントと操作イベント McAfee DLP は、インデントと操作イベントを表示する異なるツールを提供します。 • インシデント — [DLP インシデント マネージャー] ページには、ルールから生成されたインシデントが表示され ます。 • 操作イベント — [DLP 操作] ページには、エラーと管理情報が表示されます。 • ケース — [DLP ケース管理] ページには、グループに対して作成され、関連するインシデントを管理するケース が含まれます。 McAfee DLP Discover および McAfee DLP Endpoint の両方がインストールされている場合は、両方のアプリケー ションからのインシデントとイベントがコンソールに表示されます。 [DLP インシデント マネージャー] と [DLP 操作] の両方の表示には、コンピューター、ログオン中のユーザーが生 成するインシデント/イベント、クライアント バージョン、オペレーティング システム、およびその他の情報が表示 されます。 目次 モニタリングとレポート イベント DLP インシデント マネージャー インシデントの表示 インシデントの管理 ケースの取り扱い ケースの管理 モニタリングとレポート イベント McAfee DLP は、イベントを 2 つのクラス: インシデント イベント (ポリシー違反) および管理イベントに分割しま す。 これらのイベントは、2 つのコンソール - DLP インシデント マネージャー および DLP 操作 に表示されます。 McAfee DLP がポリシー違反の発生を確認すると、イベントを生成し McAfee ePO イベント パーサーに送信しま す。 これらのイベントは DLP インシデント マネージャー コンソールで表示、フィルタリングおよびソートできる ため、セキュリティ担当者または管理者はイベントを確認し、すぐに対応できます。 該当する場合、不審なコンテン ツがエビデンスとしてイベントに添付されます。 McAfee DLP の主な役割は、あらゆる規制や個人情報関連の法律への企業の順守を円滑に行うことです。このため、 DLP インシデント マネージャーは最も的確で柔軟性のある方法で機密データの転送情報を提供します。 監査担当や 決定権を持つ役員、プライバシー担当者などの主要な役員は、DLP インシデント マネージャーを使用して、不審な または未許可の動作を観察し、エンタープライズのプライバシー ポリシー、関連規則またはその他の法律に従って作 業できます。 システム管理者またはセキュリティ担当者は、エージェントおよびポリシー配備のステータスに関する管理イベント を追跡することができます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 141 11 インシデントと操作イベント DLP インシデント マネージャー DLP 操作 コンソールの表示 • McAfee DLP Discover: スキャンまたはサーバーのエラー • McAfee DLP Endpoint: クライアントの配備、ポリシーの変更、ポリシーの配備、セーフモード ログオン、 エージェント上書き、および他の管理イベントの詳細 DLP インシデント マネージャー McAfee ePO の DLP インシデント マネージャー ページを使用して、ポリシー違反のセキュリティはイベントを表 示します。 インシデント マネージャーには 3 つのタブ形式のセクションがあります。 • [インシデント リスト] — ポリシー違反イベントの現在のリスト。 • [インシデント タスク] — リストで実行できるアクションのリスト、またはそのリストから選択した部分。 これ には、レビューアーの割り当て、自動電子メール通知の設定、リストの全部または一部の完全削除が含まれます。 • [インシデント履歴] — すべてのインシデントの履歴を含むリスト。 インシデント リストの完全削除は、履歴に 影響しません。 DLP 操作 モジュールを使用して、エージェント配備などの管理イベントを表示します。 モジュールは、3 つのタブ 形式のページで 操作イベント リスト, 操作イベント タスク、および 操作イベント履歴 同じように構成されていま す。 インシデント マネージャーの動作の仕組み DLP インシデント マネージャーの インシデント リスト タブには、ポリシー違反インシデントの確認に必要なすべ ての機能があります。 特定のイベントをクリックすると、イベントの詳細が表示されます。 フィルターを作成し保 存してビューを変更するか、左ペインで事前定義されたフィルターを使用できます。 列を選択して並べ替えることに よっても、ビューを変更できます。 カラーコード付けされたアイコンと重大度の数値評価は、イベントのすばやい目 視確認に役立ちます。 インシデント リスト タブは、McAfee ePO のクエリとレポートと併用することにより、McAfee DLP Endpoint ダ ッシュボードで McAfee ePO レポートを作成してデータを表示できます。 イベントに実行できる操作には、以下が含まれます。 142 • ケース管理 — ケースの作成と、選択したインシデントのケースへの追加 • コメント — 選択したインシデントへのコメントの追加 • イベントの電子メール送信 — 選択したイベントの送信 • デバイス パラメーターのエクスポート — デバイス パラメーターの CSV ファイルへのエクスポート (使用中/ 送信中のデータのリストのみ) • ラベル — ラベルによるフィルタリングにラベルを付ける。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 11 インシデントと操作イベント DLP インシデント マネージャー • 編集の解放 — 編集を削除して、保護フィールドを表示 (正しい権限が必要)。 • プロパティの設定 —重大度、ステータス、または解決策の編集、インシデント確認にユーザーまたはグループの 割り当て。 図 11-1 DLP インシデント マネージャー DLP 操作 ページは、管理イベントとまったく同様に機能します。 イベントには、イベントが生成された理由と、ど の McAfee DLP 製品がイベントをレポートしたか、という情報が含まれます。 これには、ユーザー ログオン名、プ リンシパル名 (username@xyz)、またはユーザー マネージャー、部門、またはビジネス ユニットなどの、ユーザ ーのイベントに関連する情報も含むことができます。 操作イベントは、これらのいずれか、あるいは重大度、ステー タス、クライアント バージョン、ポリシー名、などのその他のパラメーターでフィルタリングすることができます。 図 11-2 DLP 操作 インシデント タスク/操作イベント タスク インシデント タスク または 操作イベント タスク タブを使用して、スケジュールされたタスクの条件を設定します。 ページでのタスクの設定を、McAfee ePO サーバー タスクと併用して、タスクをスケジュールします。 両方のタスク タブは、タスク タイプ (左ペイン) で構成されます。 インシデント タスク タブは、インシデント タ イプでも構成され、そのため実際には 4 x 3 のマトリックスで、表示される情報は、選択する 2 つのパラメーター によって異なります。 使用中/送信中のデ ータ 保存中のデータ (エンド 保存中のデータ (ネッ ポイント) トワーク) レビューアー設定 X X X 自動メール通知 X X X 完全削除イベント X X X McAfee Data Loss Prevention Endpoint 10.0.0 使用中/送信中のデ ータ (履歴) X 製品ガイド 143 11 インシデントと操作イベント インシデントの表示 使用例: プロパティの設定 プロパティは、フォローアップが必要なインシデントに追加されるデータです。 プロパティは、インシ デントの詳細ペインから、あるいは[アクション] 、 [プロパティの設定]を選択して追加できます。 プ ロパティは次のとおりです。 • 重大度 • グループの確認 • ステータス • ユーザーの確認 • 解決策 任意の McAfee ePO ユーザーがレビューアーになることができます。 重大度が変更できる理由は、ス テータスが誤検知であると管理者が決定した場合は元の重大度が無意味になるためです。 使用例: ビューの変更 フィルターを使用したビューの変更に加えて、表示のフィールドと順序をカスタマイズすることもでき ます。 カスタマイズされたビューは保存して再利用できます。 フィルターの作成には以下のタスクが含まれます。 1 ビューの編集ウィンドウを開くには、[アクション] 、 [ビュー] 、 [列の選択]をクリックします。 2 列を右または左に移動するには、[x] アイコンを使用して列を削除し、矢印アイコンを使用します。 3 カスタマイズしたビューを定義するには、[ビューの更新] をクリックします。 4 後で使用するために保存するには、[アクション] 、 [ビュー] 、 [ビューの保存]をクリックします。 ビューを保存する際に、時刻とカスタム フィルターも保存できます。 保存されたビューは、ページ の上部のドロップダウン リストから選択できます。 インシデントの取り扱い McAfee DLP が、ルールで定義されたパラメーターに一致するデータを受信すると、違反がトリガーされ、McAfee DLP がインシデントを生成します。 McAfee ePO のインシデント マネージャーを使用して、インシデントを表示、ソート、グループ化、フィルタリン グして、重要な違反を発見できます。 インシデントの詳細は表示でき、有用でないインシデントは削除することがで きます。 インシデントの表示 インシデント マネージャーは、McAfee DLP アプリケーションからレポートされるすべてのインシデントを表示し ます。 重要な違反をより効率的に特定しやすくするように、インシデントの表示方法を変更できます。 DLP インシデント マネージャーの [存在] フィールドは、インシデントを生成したアプリケーションごとに並べ替え て表示します。 144 • [使用中/移動中のデータ] — McAfee DLP Endpoint または Device Control からのインシデントを表示しま す。 • [保存中のデータ (エンドポイント)] — McAfee DLP Endpoint 検出からのインシデントを表示します。 • [保存中のデータ (ネットワーク)] — McAfee DLP Discover からのインシデントを表示します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド インシデントと操作イベント インシデントの表示 11 McAfee DLP に、電子メール メッセージなどの複数のルールをトリガーするオブジェクトがある場合は、インシデ ント マネージャーは違反を個別のインシデントではなく、1 つインシデントとして結合して表示します。 タスク • 145 ページの「インシデントのソートとフィルタリング」 インシデントの表示方法を、時間、場所、ユーザー、または重大度などの属性に基いて変更します。 • 146 ページの「列表示の設定」 ビューを使用して、インシデント マネージャーで表示する列のタイプと順序を設定します。 • 146 ページの「インシデント フィルターの設定」 指定した条件に一致するインシデントを表示するには、フィルターを使用します。 • 147 ページの「インシデントの詳細の表示」 インシデントに関連する情報を表示します。 インシデントのソートとフィルタリング インシデントの表示方法を、時間、場所、ユーザー、または重大度などの属性に基いて変更します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 3 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 以下の任意のタスクを実行します。 • 列でソートするには、列ヘッダーをクリックします。 • 列をカスタム ビューに変更するには、[ビュー] ドロップダウン リストから、カスタム ビューを選択します。 • 時間でフィルタリングするには、[時間] ドロップダウン リストから、時間帯を選択します。 • カスタム フィルターを適用するには、[フィルター] ドロップダウン リストからカスタム フィルターを選択 します。 • 属性でグループ化するには: 1 [グループ別] ドロップダウン リストから属性を選択します。 使用可能なオプションのリストが表示されます。 リストには、最も頻繁に使用される 250 のオプション が含まれています。 2 リストからオプションを選択します。 選択に一致するインシデントが表示されます。 例 McAfee DLP Endpoint インシデントを処理する場合は、[ユーザー ID] を選択して、違反をトリガーした ユーザーの名前を表示します。 ユーザー名を選択して、そのユーザーのすべてのインシデントを表示しま す。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 145 11 インシデントと操作イベント インシデントの表示 列表示の設定 ビューを使用して、インシデント マネージャーで表示する列のタイプと順序を設定します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 3 [ビュー] ドロップダウン リストから、[デフォルト] を選択して [編集] をクリックします。 4 列を設定します。 a [利用可能な列] リストから、これを [選択した列] エリアに移動するオプションをクリックします。 b [選択した列] エリアで、必要に応じて列を変更/削除します。 c 5 • 列を削除するには、[x] をクリックします。 • 列を移動するには、矢印ボタンをクリックするか、列をドラッグ アンド ドロップします。 [ビューの更新] をクリックします。 ビューを設定します。 a [ビュー] ドロップダウン リストの横の [保存] をクリックします。 b 次のいずれかのオプションを選択します。 c • [新しいビューとして保存] — ビューの名前を指定します。 • [既存のビューを上書き] — 保存するビューを選択します。 ビューを使用できるユーザーを選択します。 • [パブリック] — すべてのユーザーがビューを使用できます。 • [プライベート] — ビューを作成したユーザーのみが使用できます。 d ビューに適用された現在のフィルターまたはグループ化を使用するかどうかを指定します。 e [OK] をクリックします。 インシデント マネージャーで[アクション] 、 [ビュー]を選択することでも、ビューを管理することができます。 インシデント フィルターの設定 指定した条件に一致するインシデントを表示するには、フィルターを使用します。 McAfee DLP Endpoint 例: 特定のユーザーが機密データを含む接続を社外の IP アドレス範囲に送信しているこ とが疑われる場合は、 ユーザー名と IP アドレスの範囲に一致するインシデントを表示するフィルターを作成できま す。 146 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド インシデントと操作イベント インシデントの表示 11 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 3 [フィルター] ドロップダウン リストから、[(カスタム フィルターなし)] を選択して [編集] をクリックします。 4 フィルター パラメーターを設定します。 a [使用可能なプロパティ] リストから、プロパティを選択します。 b プロパティの値を入力します。 追加の値を同じプロパティに追加するには、[+] をクリックします。 c 必要に応じて追加のプロパティを選択します。 プロパティのエントリを削除するには、[<] をクリックします。 d 5 [フィルターの更新] をクリックします。 フィルターを設定します。 a [フィルター] ドロップダウン リストの横の [保存] をクリックします。 b 次のいずれかのオプションを選択します。 c d • [新しいフィルターとして保存] — フィルターの名前を指定します。 • [既存のフィルターを上書き] — 保存するフィルターを選択します。 フィルターを使用できるユーザーを選択します。 • [パブリック] — すべてのユーザーがフィルターを使用できます。 • [プライベート] — フィルターを作成したユーザーのみが使用できます。 [OK] をクリックします。 インシデント マネージャーで[アクション] 、 [フィルター]を選択することでも、フィルターを管理することができま す。 インシデントの詳細の表示 インシデントに関連する情報を表示します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 147 11 インシデントと操作イベント インシデントの管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 3 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 [インシデント ID] をクリックします。 McAfee DLP Endpoint で、ページには、全般設定の詳細とソース情報が表示されます。 インシデント タイプに よって、宛先またはデバイスの詳細が表示されます。 McAfee DLP Discover で、ページには、インシデントに 関する全般設定の詳細が表示されます。 4 追加の情報を表示するには、以下のいずれかのタスクを実行します。 • McAfee DLP Endpoint でユーザー情報を表示するには、[ソース] エリアでユーザー名をクリックします。 • エビデンス ファイルを表示するには: 1 [エビデンス] タブをクリックします。 2 ファイル名をクリックして、適切なプログラムでファイルを開きます。 [エビデンス] タブには、[短い検索文字列] が表示され、これには 3 件までのヒット ハイライトが 1 つの文 字列として含まれます。 • インシデントをトリガーしたルールを表示するには、[ルール] タブをクリックします。 • 分類を表示するには、分類 タブをクリックします。 McAfee DLP Endpoint で、分類 タブは、インシデント タイプによっては表示されません。 • インシデントの履歴を表示するには、[監査ログ] タブをクリックします。 • インシデントに追加されたコメントを表示するには、[コメント] タブをクリックします。 • インシデントの詳細を復号化されたエビデンスとヒット ハイライト ファイルとともに電子メールで送信する には、[アクション] 、 [選択したイベントを電子メールで送信] を選択します。 • インシデント マネージャーに戻るには、[OK] をクリックします。 インシデントの管理 インシデント マネージャーを使用して、インシデントを更新、管理します。 インシデントを削除するには、イベントを完全削除するタスクを設定します。 148 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド インシデントと操作イベント インシデントの管理 11 タスク • 149 ページの「単一のインシデントの更新」 重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。 • 149 ページの「複数のインシデントの更新」 複数のインシデントを同じ情報で同時に更新します。 • 151 ページの「ラベルの管理」 ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。 単一のインシデントの更新 重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。 [監査ログ] タブは、インシデントで実行されるすべての更新と変更をレポートします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 3 インシデントをクリックします。 4 以下の任意のタスクを実行します。 • • • 重大度、ステータス、解決策を更新するには: 1 [重大度]、[ステータス]、または[解決策] ドロップダウン リストからオプションを選択します。 2 [保存] をクリックします。 レビューアーを更新するには: 1 [レビューアー] フィールドの横にある [...] をクリックします。 2 グループまたはユーザーを選択して、[OK] をクリックします。 3 [保存] をクリックします。 コメントを追加するには: 1 [アクション] 、 [コメントを追加] を選択します。 2 コメントを入力して [OK] をクリックします。 複数のインシデントの更新 複数のインシデントを同じ情報で同時に更新します。 例: 特定のユーザーまたはスキャンのすべてのインシデントを表示するフィルターを適用し、これらのインシデント の重大度をすべて メジャー に変更します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 149 11 インシデントと操作イベント インシデントの管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 3 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 更新するインシデントのチェックボックスを選択します。 現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選 択] をクリックします。 4 以下の任意のタスクを実行します。 • コメントを追加するには、[アクション] 、 [コメントの追加] を選択し、コメントを入力して [OK] をクリッ クします。 • インシデントを電子メールで送信するには、[アクション] 、 [選択したイベントを電子メール送信] を選択 し、情報を入力して [OK] をクリックします。 テンプレートを選択するか、情報を入力し [保存] をクリックしてテンプレートを作成することができます。 • プロパティを変更するには、[アクション] 、 [プロパティの設定] を選択し、オプションを変更して [OK] を クリックします。 タスク • 150 ページの「選択したイベントを電子メールで送信」 以下の表は、選択したイベントを電子メール送信してエクスポートするオプションに関する詳細を示し ます。 関連トピック: 150 ページの「選択したイベントを電子メールで送信」 選択したイベントを電子メールで送信 以下の表は、選択したイベントを電子メール送信してエクスポートするオプションに関する詳細を示します。 表 11-1 150 選択したイベントを電子メールで送信 パラメーター 値 メール送信するイベントの最大数 100 各イベントの最大サイズ 無制限 圧縮された (ZIP) ファイルの最大サイズ 20MB 差出人 100 文字までに制限 To、CC 500 文字までに制限 件名 150 文字までに制限 本文 1000 文字までに制限 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 11 インシデントと操作イベント インシデントの管理 表 11-2 選択したイベントをエクスポート パラメーター 値 エクスポートするイベントの最大数 1000 各イベントの最大サイズ 無制限 エクスポートされた圧縮 (ZIP) ファイルの最大サイズ 無制限 ラベルの管理 ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。 1 つのインシデントに複数のラベルを割り当てることができ、また複数のインシデントでラベルを再利用できます。 例: 社内で開発中のいくつかのプロジェクトに関連するインシデントがある場合、 各プロジェクトの名前でラベルを 作成して、それぞれのインシデントにラベルを割り当てることができます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[DLP インシデント マネージャー] を選択します。 2 以下のいずれかを実行します。 3 • Device Control または McAfee DLP Endpoint インシデントの場合: [存在] ドロップダウン リストから、 [使用中/移動中のデータ] を選択します。 • McAfee DLP Endpoint 検出インシデントの場合: [存在] ドロップダウン リストから、[保存中のデータ (エ ンドポイント)] を選択します。 • McAfee DLP Discover インシデントの場合: [存在] ドロップダウン リストから [保存データ (ネットワー ク)] を選択し、必要な場合は、[スキャン] リンクをクリックしてスキャンを設定します。 1 つ以上のインシデントのチェックボックスを選択します。 現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選 択] をクリックします。 4 以下の任意のタスクを実行します。 • • ラベルを追加するには、以下の手順を実行します。 1 [アクション] 、 [ラベル] 、 [添付] を選択します。 2 新しいラベルを追加するには、名前を入力して [追加] をクリックします。 3 1 つ以上のラベルを選択します。 4 [OK] をクリックします。 インシデントからラベルを削除するには、以下の手順を実行します。 1 [アクション] 、 [ラベル] 、 [解除]選択します。 2 インシデントから削除するラベルを選択します。 3 [OK] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 151 11 インシデントと操作イベント ケースの取り扱い • ラベルを削除するには、以下の手順を実行します。 1 [アクション] 、 [ラベル] 、 [ラベルの削除]を選択します。 2 削除するラベルを選択します。 3 [OK] をクリックします。 ケースの取り扱い ケースを使用すると、インシデントに関する解決策のために、複数の管理者が協力することができます。 多くの場合、単一のインシデントは分離されたイベントではありません。 共通のプロパティを共有する、あるいは互 いに関係のある DLP インシデント マネージャー に複数のインシデントが表示される場合があります。 これらの関 連するインシデントは、1 つのケースに割り当てることができます。 組織内の役割によっては、複数の管理者がケー スを監視し管理できます。 シナリオ: 特定のユーザーが終業後に頻繁にいくつかのインシデントを生成することがあります。 これは、ユーザー が不審な行動をしているか、ユーザーのシステムが侵入されている可能性があることを示しています。 このようなイ ンシデントをケースに割り当てて、この違反がどのような場合にどれくらいの頻度で行われるかを追跡できます。 違反の性質によっては、人事または法務の担当チームにこれらのインシデントに関するアラートを報告する必要があ ります。 これらのチームの担当者に、コメントの追加や、優先度の変更、または主要な関係者への通知などの、この ケースに関する対応を許可することができます。 ケースの管理 インシデントの解決のためにケースを作成して維持します。 ケースの作成 グループにケースを作成して、関連するインシデントをレビューします。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 [アクション] 、 [新規]の順に選択します。 3 タイトル名を入力して、オプションを設定します。 4 [OK] をクリックします。 ケース情報の表示 監査ログ、ユーザー コメント、およびケースに割り当てられたインシデントを表示します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 152 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 ケース ID をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド インシデントと操作イベント ケースの管理 3 4 11 以下の任意のタスクを実行します。 • ケースに割り当てられたインストールを表示するには、[インシデント] タブをクリックします。 • ユーザー コメントを表示するには、[コメント] タブを表示します。 • 監査ログを表示するには、[監査ログ] タブをクリックします。 [OK] をクリックします。 インシデントのケースへの割り当て 関連するインシデントを新規または既存のケースに追加します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] の順に選択します。 2 [現在] ドロップダウン リストから、インシデント タイプを選択します。 [保存中のデータ (ネットワーク)] で、 必要に応じて [スキャン] リンクをクリックしてスキャンを設定します。 3 1 つ以上のインシデントのチェックボックスを選択します。 [フィルター] または [グループ別 G] などのオプションを使用して関連するインシデントを表示します。 現在の フィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選択] をク リックします。 4 5 インシデントのケースへの割り当て • 新規ケースを追加するには、[アクション] 、 [ケース管理] 、 [新規ケースの追加] を選択して、タイトル名 を入力して、オプションを設定します。 • 既存のケースを追加するには、[アクション] 、 [ケース管理] 、 [既存のケースの追加] を選択して、ケース ID またはタイトルでフィルタリングして、ケースを選択します。 [OK] をクリックします。 ケースからのラベルの追加と削除 インシデントがケースに関連付けされなくなった場合は、ケースから削除するか別のケースに移動できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 ケース ID をクリックします。 3 以下の任意のタスクを実行します。 • インシデントをケースから別のケースに移動するには以下の手順を実行します。 1 [インシデント] タブをクリックして、インシデントを選択します。 2 [アクション] 、 [移動] を選択して、既存のケースに移動するか新しいケースに移動するかを選択します。 3 既存のケールを選択するか新しいケースのオプションを設定して、[OK] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 153 11 インシデントと操作イベント ケースの管理 • 4 ケースからインシデントを削除するには、以下の手順を実行します。 1 [インシデント] タブをクリックして、インシデントを選択します。 2 [アクション] 、 [削除] を選択して、[はい] をクリックします。 [OK] をクリックします。 [アクション] 列で、[移動] または [削除] をクリックして [インシデント] タブからインシデントを移動または削除で きます。 ケースの更新 所有者の変更、通知の送信、またはコメントの追加などの、ケース情報を更新します。 通知は、ケースの作成者、ケースの所有者、および選択されたユーザーに、以下の場合に送信されます。 • 電子メールが追加または変更された場合 • 優先度が変更された場合 • インシデントがケースに追加またはケースから削 除された場合 • 解決策が変更された場合 • ケースのタイトルが変更された場合 • コメントが追加された場合 • 所有者の詳細が変更された場合 [メニュー] 、 [設定] 、 [サーバー設定] 、 [Data Loss Prevention] から、ケースの作成者/所有者への通知の自動送 信を無効にできます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 ケース ID をクリックします。 3 以下の任意のタスクを実行します。 • ケース名を更新するには、[タイトル] フィールドで、新しい名前を入力して、[保存] をクリックします。 • 所有者をを更新するには: • 154 1 [所有者] フィールドの横にある [...] をクリックします。 2 グループまたはユーザーを選択します。 3 [OK] をクリックします。 4 [保存] をクリックします。 [優先度]、[ステータス]、または [解決策] オプションを更新するには、ドロップダウン リストを使用して項 目を選択し、[保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド インシデントと操作イベント ケースの管理 • 11 通知メールの送信 1 [通知の送信先] フィールドの横にある [...] をクリックします。 2 通知を送信するユーザーを選択します。 連絡先が一覧表示にない場合は、McAfee ePO の電子メール サーバーを指定して、ユーザーの電子メール アドレスを追加します。 [メニュー] 、 [設定] 、 [サーバー設定] 、 [電子メール サーバー] から電子メー ル サーバーを設定します。 [メニュー] 、 [ユーザー管理] 、 [ユーザー] からユーザーを設定します。 3 • 4 [保存] をクリックします。 ケースにコメントを追加するには、以下の手順を実行します。 1 [コメント] タブをクリックします。 2 テキスト フィールドにコメントを入力します。 3 [コメントの追加] をクリックします。 [OK] をクリックします。 ケースへのラベルの追加と削除 ラベルを使用して、カスタム属性でケースを区別します。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 1 つ以上のケースのチェックボックスを選択します。 現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべてを選択] をク リックします。 3 以下の任意のタスクを実行します。 • • ラベルを選択したケースに追加するには、以下の手順を実行します。 1 [アクション] 、 [ラベルの管理] 、 [添付] を選択します。 2 新しいラベルを追加するには、名前を入力して [追加] をクリックします。 3 1 つ以上のラベルを選択します。 4 [OK] をクリックします。 ラベルを選択したケースから削除するには、以下の手順を実行します。 1 [アクション] 、 [ラベルの管理] 、 [解除]選択します。 2 削除するラベルを選択します。 3 [OK] をクリックします。 ケースの削除 必要がなくなったケースを削除します。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 155 11 インシデントと操作イベント ケースの管理 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。 2 1 つ以上のケースのチェックボックスを選択します。 現在のフィルターを使用して表示されたすべてのケースを削除するには、[このページのすべてを選択] をクリック します。 3 156 [アクション] 、 [削除] を選択して、[はい] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 12 管理データの収集と管理 システムの監視は、エビデンスやイベントの収集および確認と、レポートの生成で構成されています。 McAfee ePO データベースの DLP テーブルのインシデントとイベントのデータは、DLP インシデント マネージャーと DLP 操作 ページに表示されるか、レポートとダッシュボードに結合されます。 記録されたイベントとエビデンスを確認することにより、管理者は作業の遅延を無駄に発生させている厳しすぎるル ールや、データ漏えいの原因となっている甘すぎるルールを特定できます。 目次 サーバー タスクの編集 結果のモニター タスク レポートの作成 サーバー タスクの編集 McAfee DLP は、McAfee ePO サーバー タスク を使用して、DLP インシデント マネージャー と DLP 操作タスク を実行します。 各インシデントと操作イベント タスクは、サーバー タスク リストで事前定義されています。 使用できるオプション は、それらを有効/無効にする、またはスケジュールを変更することのみです。 利用可能な McAfee DLP サーバー タスクは以下のとおりです。 • [9.4 から 9.4.1 以上への DLP インシデント イ ベント変換] • [DLP ポリシー プッシュ タスク] • [9.3.x から 9.4.1 以上への DLP インシデント イベント移行] • [DLP 操作イベントとインシデントの履歴を完全 削除] • [DLP インシデント タスクの実行元]* • [DLP 操作イベントとインシデントを完全削除] • [DLP MA プロパティ レポート タスク] • [DLP 操作イベントとインシデントを電子メール で送信] • [DLP 操作イベントの移行] • [DLP 操作イベントとインシデントのレビューア ーを設定] • [DLP ポリシー変換] • [DLP マネージャーによるインポートの DLP イ ンシデントの重大度を高または重大にマークす る] * [DLP インシデント タスクの実行元]は McAfee DLP 9.3 タスクです。 これは、両方のバージョンの McAfee DLP がインストールされている場合のみです。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 157 12 管理データの収集と管理 サーバー タスクの編集 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。 2 編集するタスクを選択します。 ベスト プラクティス: [高速検索] フィールドに DLP を入力してリストをフィルタリングします。 3 [アクション] 、 [編集] を選択して、[スケジュール] をクリックします。 4 必要に応じてスケジュールを編集したら、[保存] をクリックします。 タスク • 158 ページの「イベントの完全削除 タスクの作成」 インシデントとイベント完全削除タスクを作成して、必要のなくなったデータのデータベースを消去し ます。 • 159 ページの「自動メール通知 タスクの作成」 管理者、マネージャー、またはユーザーへのインシデントと操作イベントの自動電子メール通知を設定 できます。 • 160 ページの「レビューアー設定タスクの作成」 異なるインシデントと操作イベント タスクにレビューアーを割り当てて、大規模の組織のワークロード を分割できます。 関連トピック: 160 ページの「レビューアー設定タスクの作成」 159 ページの「自動メール通知 タスクの作成」 158 ページの「イベントの完全削除 タスクの作成」 イベントの完全削除 タスクの作成 インシデントとイベント完全削除タスクを作成して、必要のなくなったデータのデータベースを消去します。 完全削除タスクは、インシデント リスト、履歴リストの使用中のデータのインシデント、または操作イベント リス トに対して作成できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー タ保護] 、 [DLP 操作] を選択します。 2 [インシデント タスク] または [操作イベント タスク] タブをクリックします。 3 ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン から [完全削除イベント] を選択して、次に [アクション] 、 [新しいルール] をクリックします。 [使用中/送信中のデータ (アーカイブ)] は、履歴からイベントを完全に削除します。 4 名前とオプションの説明を入力して、[次へ] をクリックします。 デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま す。 5 条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し ます。 条件の定義が終了したら、[保存] をクリックします。 タスクは、ライブ データに対しては毎日、履歴データに対しては毎週金曜日 10:00 PM に実行されます。 158 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 管理データの収集と管理 サーバー タスクの編集 12 関連トピック: 157 ページの「サーバー タスクの編集」 自動メール通知 タスクの作成 管理者、マネージャー、またはユーザーへのインシデントと操作イベントの自動電子メール通知を設定できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー タ保護] 、 [DLP 操作] を選択します。 2 [インシデント タスク] または [操作イベント タスク] タブをクリックします。 3 ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン で [自動メール通知] を選択して、次に [アクション] 、 [新しいルール] をクリックします。 4 名前とオプションの説明を入力します。 デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま す。 5 6 処理するイベントを選択します。 • すべてのインシデント/(選択されたイベント タイプの) イベントを処理します。 • 最後にメール通知を実行して以降のインシデント/イベントを処理します。 [受信者] を選択します。 このフィールドは必須です。 受信者を 1 人以上選択する必要があります。 7 電子メールの件名を入力します。 このフィールドは必須です。 必要に応じてドロップダウン リストから変数を挿入できます。 8 電子メールの本文を入力します。 必要に応じてドロップダウン リストから変数を挿入できます。 9 (オプション) 電子メールにエビデンス情報を添付するチェックボックスを選択します。 [次へ] をクリックしま す。 10 条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し ます。 条件の定義が終了したら、[保存] をクリックします。 タスクは 1 時間ごとに実行されます。 関連トピック: 157 ページの「サーバー タスクの編集」 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 159 12 管理データの収集と管理 結果のモニター タスク レビューアー設定タスクの作成 異なるインシデントと操作イベント タスクにレビューアーを割り当てて、大規模の組織のワークロードを分割できま す。 開始する前に McAfee ePO の [ユーザー管理] 、 [権限セット] で、DLP インシデント マネージャーと DLP 操作 の レビューアー設定 権限で、レビューアーを作成するかグループ レビューアーを指定します、 レビューアー設定 タスクは、ルール条件に従って、レビューアーをインシデント/イベントに割り当てます。 タスク は、レビューアーが割り当てられていないインシデントでのみ実行されます。 これを使用して、インシデントを別の レビューアーに再割り当てすることはできません。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー タ保護] 、 [DLP 操作] を選択します。 2 [インシデント タスク] または [操作イベント タスク] タブをクリックします。 3 ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン の [レビューアー設定] を選択して、[アクション] 、 [新しいルール] をクリックします。 4 名前とオプションの説明を入力します。 レビューアーまたはグループを選択して、[次へ] をクリックします。 デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま す。 5 条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し ます。 条件の定義が終了したら、[保存] をクリックします。 ベスト プラクティス: 複数の レビューアー設定 ルールがある場合は、リスト内でルールを並び替えます。 タスクは 1 時間ごとに実行されます。 レビューアーが設定されると、レビューアー設定 タスクでレビューアーを上書きすることはできません。 関連トピック: 157 ページの「サーバー タスクの編集」 結果のモニター タスク インシデントと操作イベント タスクの結果をモニターします。 160 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 管理データの収集と管理 レポートの作成 12 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク ログ] を選択します。 2 完了した McAfee DLP タスクを見つけます。 ベスト プラクティス: DLP を [高速検索] フィールドに入力するか、カスタム フィルターを設定します。 3 タスクの名前をクリックします。 タスクが失敗した場合のエラー情報を含め、タスクの詳細が表示されます。 レポートの作成 McAfee DLP は、McAfee ePO のレポート機能を使用します。 いくつかの事前にプログラムされたレポートと、カ スタム レポートを作成するオプションが使用できます。 詳細については、『McAfee ePolicy Orchestrator 製品ガイド』の『データベースのクエリ』の実行のトピックを参 照してください。 レポートのタイプ McAfee ePO レポート機能を使用して、McAfee DLP Endpoint パフォーマンスをモニターします。 McAfee ePO ダッシュボードでは 4 タイプのレポートがサポートされています。 • DLP インシデントのサマリー • DLP エンドポイント検出サマリー • DLP ポリシーのサマリー • DLP 操作のサマリー ダッシュボードは、メニュー 、 レポート 、 クエリーとレポート 、 McAfee グループ 、 [Data Loss Prevention] の下の McAfee ePO コンソールにある 28 のクエリーに基いて、22 件のレポートを提供します。 レポート オプション McAfee DLP software uses McAfee ePO Reports to review events. さらに、McAfee ePO ダッシュボードでは 製品のプロパティに関する情報を参照できます。 McAfee ePO レポート McAfee DLP Endpoint ソフトウェアは、レポートを McAfee ePO レポート サービスと統合します。 McAfee ePO レポート サービス使用の詳細については、『McAfee ePolicy Orchestrator 製品ガイド』 を参照してください。 複数の McAfee ePO データベースからのデータをまとめた McAfee ePO ロールアップ クエリとロールアップ レポ ートがサポートされています。 McAfee ePO 通知はサポートされています。 詳細については、『 製品ガイド』の『McAfee ePolicy OrchestratorMcAfee ePolicy Orchestrator』のトピックを参照してください。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 161 12 管理データの収集と管理 レポートの作成 ePO ダッシュボード 詳細は McAfee ePO [メニュー] 、[ダッシュボード] ページの McAfee DLP 製品プロパティで表示できます。 事前 定義された 4 つのダッシュボードがあります。 • DLP インシデントのサマリー • DLP エンドポイント検出サマリー • DLP ポリシーのサマリー • DLP 操作のサマリー ダッシュボードは編集およびカスタマイズ可能です。また新しい監視を成することもできます。 手順については、 McAfee ePO 製品マニュアルを参照してください。 ダッシュボードでまとめられた事前定義されたクエリーは、[メニュー] 、 [クエリーとレポート] を選択すると使用 できます。 これは [McAfee グループ] の下に一覧表示されています。 事前定義されたダッシュボード 以下の表では、事前定義された McAfee DLP ダッシュボードについて説明します。 表 12-1 事前定義された DLP ダッシュボード カテゴリ [DLP: インシデン トのサマリー] オプション 説明 [1 日あたりのインシデント数] これらのグラフはインシデントの合計を示し、異なる細 分化によって、特定の問題の分析に利用できます。 [重大度別のインシデント数] [タイプ別のインシデント数] [ルール セット別のインシデント 数] [DLP: 操作のサマ リー] [1 日あたりの操作イベント数] すべての管理イベントを表示します。 [エージェント バージョン] エンタープライズ内のエンドポイントの分布が表示され ます。 エージェント配備の進捗を監視するために使用さ れます。 [エンドポイント コンピューター への DLP 製品の配布] 円グラフに、Windows と Mac のエンドポイントの数 と、クライアントがインストールされていないエンドポ イントの数を表示します。 [DLP 検出 (エンドポイント): ロ ーカル ファイル システムのスキ ャン ステータス] ローカル ファイル システムの検出スキャン プロパティ の数とその状態 (完了、実行中、未定義) を円グラフに表 示します。 [エージェント ステータス] すべてのエージェントとそのステータスが表示されま す。 [エージェント操作モード] エージェントの円グラフを DLP 操作モード別に表示し ます。 操作モードは以下のとおりです。 • デバイス コントロールのみのモード • デバイス コントロールと完全コンテンツ保護のモード • デバイス コントロールおよびコンテンツを識別するリ ムーバブル ストレージ保護のモード • 不明 [DLP 検出 (エンドポイント): ロ ーカル メール ストレージのスキ ャン ステータス] 162 McAfee Data Loss Prevention Endpoint 10.0.0 ローカル電子メール ストレージの検出スキャン プロパ ティの数とその状態 (完了、実行中、未定義) を円グラフ に表示します。 製品ガイド 管理データの収集と管理 レポートの作成 12 表 12-1 事前定義された DLP ダッシュボード (続き) カテゴリ オプション 説明 [DLP: ポリシーの サマリー] [ポリシーの配布] エンタープライズ全体での DLP ポリシーの配布をバー ジョンごとに表示します。 新しいポリシーを配備する際 に進捗を監視するために使用されます。 [エンドポイント コンピューター ごとの施行済みのルール セット] ルール セット名と強制されたポリシーの数を棒グラフに 表示します。 [バイパスされたユーザー] システム名/ユーザー名およびユーザー セッション プロ パティの数を表示します。 [未定義デバイス クラス (Windows デバイス)] Windows デバイスの未定義のデバイス クラスを表示し ます。 [特権ユーザ] システム名/ユーザー名およびユーザー セッション プロ パティの数を表示します。 [ポリシー リビジョンの配布] ポリシーの配布に似ていますが、リビジョン - つまり既 存のバージョンに対するアップデートを表示します。 [DLP 検出 (エンドポイント): ロ ーカル ファイル システムのスキ ャンの最新のステータス] すべてのローカル ファイル システムのスキャンの実行 ステータスを円グラフに表示します。 [DLP 検出 (エンドポイント): ロ ーカル ファイル システム スキャ ンの最新の機密ファイル] システム ファイルに見つかった機密ファイルの範囲を棒 グラフに表示します。 [DLP 検出 (エンドポイント): ロ ーカル ファイル システムのスキ ャンの最新のエラー] システム ファイルに見つかったエラーの範囲を棒グラフ に表示します。 [DLP 検出 (エンドポイント): ロ ーカル ファイル システムのスキ ャンの最新の分類] システム ファイルに適用された分類を棒グラフに表示し ます。 [DLP 検出 (エンドポイント): ロ ーカル電子メール スキャンの最新 のステータス] すべてのローカル電子メール フォルダーの実行ステータ スを円グラフに表示します。 [DLP 検出 (エンドポイント): ロ ーカル電子メール スキャンの最新 の機密電子メール] ローカル電子メール フォルダーに見つかった機密電子メ ールの範囲を棒グラフに表示します。 [DLP 検出 (エンドポイント): ロ ーカル電子メール スキャンの最新 のエラー] ローカル電子メール フォルダーに見つかったエラーの範 囲を棒グラフに表示します。 [DLP 検出 (エンドポイント): ロ ーカル電子メール スキャンの最新 の分類] ローカル電子メールに適用された分類を棒グラフに表示 します。 [DLP: エンドポイ ント検出サマリー] データのロールアップ、サーバー タスクの作成 McAfee ePO のロールアップ タスクは、複数のサーバーからデータを取得して単一のレポートを生成します。 McAfee DLP の操作イベントとインシデントのロールアップ レポートを作成できます。 タスク 製品の機能、使用方法、ベストプラクティスについては、[?] または [ヘルプ] をクリックしてください。 1 McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。 2 [新しいタスク] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 163 12 管理データの収集と管理 レポートの作成 3 [サーバー タスク ビルダー] で、名前とオプションの注記を入力して、[次へ] をクリックします。 4 [アクション] ドロップダウン リストから [ロールアップ データ] を選択します。 ロールアップ データ フォームが表示されます。 164 5 (オプション) [ロールアップ データ フォーム] フィールドでサーバーを選択します。 6 [データ タイプ] ドロップダウン リストから、[DLP インシデント] [DLP 操作イベント] または、[McAfee DLP Endpoint Discovery] を必要に応じて選択します。 7 (オプション) [完全削除]、[フィルター]、または [ロールアップ方法] オプションを設定します。 [次へ] をクリ ックします。 8 スケジュール タイプ、開始日、終了日、および スケジュール時間を入力します。 [次へ] をクリックします。 9 [サマリー] 情報を確認し、[保存] をクリックします。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド メンテナンスとトラブルシューティ ング 第 13 章 McAfee DLP Endpoint の診断 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 165 メンテナンスとトラブルシューティング 166 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 13 McAfee DLP Endpoint の診断 McAfee DLP Endpoint 診断ツール ユーティリティを使用して、システムの正常性のトラブルシューティングと監視 を行います。 診断ツール 診断ツールは、Microsoft Windows エンドポイント コンピューターの McAfee DLP Endpoint の問題のトラブルシ ューティングを支援するために設計されています。 これは、OS X コンピューターではサポートされていません。 診断ツールは、クライアント ソフトウェアのパフォーマンスの情報を収集します。 IT チームは、この情報を使用し て問題をトラブルシューティングしてポリシーを調整します。 重大な問題が存在する場合は、McAfee DLP 開発チ ームによる解析のためのデータの収集に使用されます。 このツールは、問題のあるコンピューターにインストールするユーティリティとして配布されます。 これは、7 つの タブ付きページから構成され、それぞれは、McAfee DLP Endpoint ソフトウェアの異なる用途の操作専用です。 表に情報を表示しているすべてのページ (全般情報 および ツール 以外のページ) では、列ヘッダーをクリックするこ とにより任意の列で表をソートすることができます。 [全般情報] エージェント プロセスやドライバーが実行しているか、全般的なポリシー、エージェント、および ログ情報などのデータを収集します。 エラーが検出されると、エラー情報が表示されます。 [DLPE モジ ュール] エージェント設定の表示 (McAfee DLP Endpoint ポリシー コンソールに エージェント設定 、 そ の他ページとして表示)。 これは、構成設定と各モジュール、アドイン、およびハンドラーの状態を 表示します。 モジュールを選択すると、問題の判断に役立つ詳細情報を表示します。 [データ フロ イベントの数と、McAfee DLP Endpoint クライアントにより使用されるメモリを表示し、特定のイ ー] ベントを選択するとイベントの詳細を表示します。 [ツール] いくつかのテストを実行して結果を表示することができます。 必要な場合は、詳細解析のためのデ ータ ダンプが実行されます。 [プロセス リ コンピューター上で現在実行されているすべてのプロセスを表示します。 プロセスを選択すると、 スト] 詳細と関連するウィンドウのタイトルとアプリケーション定義を表示します。 [デバイス] 現在コンピューターに接続されているすべてのプラグ アンド プレイ デバイスおよびリムーバブル デバイスを表示します。 デバイスを選択すると、デバイスと関連するデバイス情報を表示します。 有効な Device Control ルールと、デバイス定義からの関連する定義を表示します。 [有効なポリ シー] 有効なポリシーに含まれるすべてのルール、および関連するポリシー定義を表示します。 ルールま たは定義を選択すると、詳細を表示します。 エージェントのステータスのチェック エージェント ステータスの概要を取得するには、全般情報タブを使用します。 全般情報タブの情報は、想定を確認し基本的な質問に答えるために設計されています。 エージェント プロセスとド ライバーが実行されていますか? どの製品バージョンがインストールされていますか? 現在の動作モードとポリシー は何ですか? McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 167 13 McAfee DLP Endpoint の診断 診断ツール エージェント プロセスとドライバー トラブルシューティングにおける最も重要な質問は、 「すべてが期待どおりに動作しているか?」ということです。 エ ージェント プロセス および ドライバー セクションはこれを一括表示します。 チェックボックスは、プロセスが有 効であるかを示し、実行中の場合は色のついた点が表示されます。 プロセスまたはドライバーが実行されていない場 合は、テキスト ボックスに何が問題かが表示されます。 デフォルトの最大メモリ サイズは 150 MB です。 このパラメーターの値が大きい場合は、問題があることを示しま す。 表 13-1 エージェント プロセス 用語 プロセス 期待されるステータス Fcag McAfee DLP Endpoint エージェント (クライアント) 有効; 実行中 Fcags McAfee DLP Endpoint エージェント サービス 有効; 実行中 Fcagte McAfee DLP Endpoint テキスト抽出 有効; 実行中 Fcagwd McAfee DLP Endpoint ウォッチ ドッグ 有効; 実行中 Fcagd トラブルシューティング目的でのみ有効にされ ています。 McAfee DLP Endpoint 自動ダンプのエージェント 表 13-2 ドライバー 用語 プロセス 期待されるステータス Hdlpflt McAfee DLP Endpoint ミニフィルター ドライバー (リムーバブル ストレー ジ デバイス ルールを強制) 有効; 実行中 Hdlpevnt McAfee DLP Endpoint イベント 有効; 実行中 Hdlpdbk McAfee DLP Endpoint デバイス フィルター ドライバー (デバイス プラグ ア 無効に設定可能 ンド プレイ ルールを強制) Hdlpctrl McAfee DLP Endpoint コントロール 有効; 実行中 Hdlhook McAfee DLP Endpoint フック ドライバー 有効; 実行中 エージェント情報セクション 操作モード および エージェント ステータス は一致することが期待されています。 エージェントの接続性 の表示 は、EPO アドレスと共にトラブルシューティングで役立ちます。 エージェントの接続性 には、オンライン、オフライン、または VPN で接続の 3 つのオプションがあります。 診断ツールを実行します 診断ツール ユーティリティは、IT チームにエージェント ステータスの詳細を提供します。 開始する前に ® 診断ツールには、McAfee Help Desk の認証情報が必要です。 タスク 1 hdlpDiag.exe ファイルをダブルクリックします。 認証ウィンドウが開きます。 168 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド McAfee DLP Endpoint の診断 診断ツール 13 2 識別コードを [DLP クライアント バイパス キーの生成] ページの Help Desk [識別コード] テキスト ボックス にコピーします。 残りの情報を入力して、リリース コードを生成します。 3 リリース コードを認証ウィンドウの [検証コード] テキスト ボックスにコピーして、[OK] をクリックします。 診断ツール ユーティリティが開きます。 全般情報, DLPE モジュール および プロセス リスト タブの右下に 更新 ボタンがあります。 タブを開いた際の変更 は、これらのタブの情報を自動的に更新しません。 更新 ボタンを頻繁にクリックして、常に最新のデータを表示して いることを確認します。 ポリシーの調整 診断ツールを使用してトラブルシューティングまたはポリシーの調整ができます。 使用例: 高 CPU 使用率 新しいポリシーが強制されると、ユーザーは、パフォーマンスの低下の影響を受ける場合があります。 その原因の 1 つとして、高い CPU の使用率の可能性があります。 これは、プロセス リスト タブで確 認できます。 プロセスで異常に多くのイベントが見られる場合は、これは問題である場合があります。 たとえば、最近のチェックで、『taskmgr.exe』 が エディター に分類され、イベントの総数が 2 番目 に多いという場合がありました。 このアプリケーションがデータを漏洩している可能性は極めて低く、 McAfee DLP Endpoint クライアントはこれをそれほど密に監視する必要がありません。 この仮説をテストするには、アプリケーション テンプレートを作成します。 ポリシー カタログで、DLP ポリシー 、 設定 を選択して、設定を 信頼 に上書きします。 ポリシーを適用し、テストしてパフォー マンスが改善したか確認します。 使用例: 効果的なコンテンツ分類とコンテンツ フィンガープリント条件を作成します。 機密データのテグ付けは、データ保護ポリシーの中心部分にあります。 診断ツールは、効果的なコンテ ンツ分類とコンテンツ フィンガープリントの条件の設計を支援する情報を表示します。 タグが厳密す ぎるとタグ付けすべきデータを見逃す場合があり、タグが緩すぎると誤検知が発生します。 有効なポリシー ページには、分類とそのコンテンツ分類およびコンテンツ フィンガープリントの条件が 一覧表示されています。 データ フロー ページには、ポリシーに適用されるすべてのタグとその数が一 覧表示されています。 カウントが期待値より高い場合は、誤検知が疑われます。 あるケースでは、極端 に高い値が、免責事項のテキストにより分類がトリガーされる検出の原因となっていました。 免責事項 のテキストをホワイトリストに追加することにより、この誤検知をなくすことができました。 同じトー クンで、カウントが期待値より低い場合は、分類が厳密すぎる可能性があります。 診断ツールの実行中に新しいファイルがタグ付けされる場合は、ファイルのパスが表示されます。 詳細 ペインを確認します。 この情報を使用してテスト対象のファイルを見つけます。 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 169 13 McAfee DLP Endpoint の診断 診断ツール 170 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 索引 A J AJAX Web リクエスト, ブロック 112 all_evidences.csv file 45 JAWS サポート 19 B M McAfee ServicePortal、アクセス 10 Boldon James 96 Box 107 O OneDrive 107 C OS X サポート 20, 55, 59, 65–67, 73, 76, 81, 107, 110 Chrome, サポートされているバージョン 112 OST ファイル 75 Citrix XenApp デバイス ルール 65 P D PST ファイル 75 DLP Discover 134 DLP Endpoint McAfee ePO へのチェックイン 31 R rights management 43, 45 ウェークアップ コール 35 の配備 33 配備の確認 34 DLP インシデント マネージャー 142 イベントへの対応 141 DLP データ, 分類 80 DLP ポリシー 102 DLP ポリシー コンソール, インストール 27 DLP ルール デバイス 14 分類 13 保護 14 DLP 設定 27 Dropbox 107 E S ServicePortal、製品マニュアルの検索 10 Syncplicity 107 T Titus, 統合 96 TrueCrypt デバイス ルール 65 U URL リスト 作成 95 W WatchDog サービス 40 ePO レポート 161 Web 宛先 ePO 通知 161 説明 76 Web 送信保護ルール 112 G GET リクエスト 112 あ Google Chrome, サポートされているバージョン 112 GoogleDrive 107 アプリケーション テンプレート GUID、参照:デバイス GUID アプリケーション定義 バージョン情報 81 方針 77 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 171 索引 ケース (続き) い 削除 155 イベント 作成 152 監視 141 イベント パーサー 18 説明 152 インシデント 通知の送信 154 ラベル 155 フィルタリング 145, 146 ラベル 151 権限セット 49 更新 149 検出 詳細 147 説明 134 表示 146 ファイル システムの検出ルールの作成 135 設定 136 並べ替え 145 インシデント タスク 142, 157 インシデント マネージャー 142 インストールの確認 34 検証 80 こ このガイドで使用している表記規則とアイコン 9 う このガイドについて 9 ウェークアップ コール 35 コンテンツ フィンガープリント え コンテンツ フィンガープリント条件 13 条件 74 コンテンツ分類 エージェントの設定 Mac OS のサポート 42 エビデンス エンドポイント イベント 141 暗号化されたコンテンツ用のストレージ 45 条件 74 コンポーネント、データ漏えい防止 (図) 24 さ エビデンス フォルダー 47 サーバー タスク 30, 157 エンドポイント コンソール 18–20 サーバー タスク, ロールアップ 163 エンドポイント検出ルール 119 エンドポイント検出 133 た タイムアウト方針, Web 送信 112 お タグ付け 73 バージョン情報 74 オンライン/オフライン操作 18 ダッシュボード, レポート オプション 162 か ち 下位互換性 29 監視 142 チャレンジ/応答 137 く て クライアント サービス WatchDog 40 定義 101 クライアントの設定 40 Web 宛先 76 ePolicy Orchestrator を使用した割り当て 35 ディクショナリ 79 システム ツリー 39 テキスト パターン 80 クラウド保護ルール 107 ネットワーク 75 グループの割り当て ファイル拡張子 80 文書プロパティ 80 定義 14 登録された文書 84 ディクショナリ け エントリのインポート 91 ケース 作成 91 インシデントの割り当て 153 監査ログ 152 172 バージョン情報 79 データ 更新 154 移動中のデータ 76 コメントの追加 154 分類 79 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 索引 データ ロールアップ 163 プレースホルダ 115 テキスト パターン 文書プロパティ定義 80 バージョン情報 80 テキスト抽出 76 へ テクニカル サポート、製品情報の検索 10 ベスト プラクティス 13, 23, 27, 30, 48, 59, 108, 123 デバイス ベスト プラクティス: 33 リスト, プラグ アンド プレイの定義の追加 61 ベストプラクティス 61 デバイス GUID 58 デバイス クラス 57 ほ デバイス プロパティ 62 ポリシー 16, 39 デバイス ルール 119 更新 35 説明 65 割り当て 35 定義 14 デバイス定義 59 リムーバブル ストレージ 61 電子メール アドレス 作成 94 定義 14 ポリシー カタログ 39 ポリシー, 調整 169 ポリシーの割り当て 102 ホワイトリスト 14 プラグ アンド プレイの定義, 作成 61 と ホワイトリストに登録されたテキスト 86 ドキュメント このガイドの対象読者 9 ま 表記規則とアイコン 9 マニュアル 製品固有、検索 10 ね ネットワーク定義 アドレス範囲 94 ポート範囲 93 ネットワークの定義 説明 75 ゆ ユーザー セッション 65 ユーザーが開始したスキャン 133 ユーザーの自己修復 133 ユーザー通知, カスタマイズ 115 は る 場所, 分類 76 ルール 106 Citrix XenApp 65 ハンドラー クラウド保護 107 クラウド保護 107 作成 119 例外 119 ひ 応答 116 ビジネス ジャスティフィケーション, カスタマイズ 115 電子メール保護 108 ルール セット ふ 説明 105, 118 ファイル アクセス ルール, 説明 65 ルール セット, ポリシーへの追加 102 ルールの例外 119 ファイル拡張子 定義 80 フィルター ネットワークの定義 75 ろ ロールアップされたレポート 161 フィンガープリント条件 87 プラグ アンド プレイ デバイス ホワイトリストに登録された定義, 作詞 61 McAfee Data Loss Prevention Endpoint 10.0.0 製品ガイド 173 0A16
© Copyright 2024 Paperzz