製品ガイド
改訂 A
McAfee Data Loss Prevention Endpoint
9.4.100
McAfee ePolicy Orchestrator 用
著作権
Copyright © 2015 McAfee, Inc., 2821 Mission College Boulevard, Santa Clara, CA 95054, 1.888.847.8766, www.intelsecurity.com
商標
Intel および Intel のロゴは、米国法人 Intel Corporation または米国またはその他の国の関係会社における登録商標です。McAfee および McAfee のロゴ、McAfee
Active Protection、McAfee DeepSAFE、ePolicy Orchestrator、McAfee ePO、McAfee EMM、McAfee Evader、Foundscore、Foundstone、Global Threat
Intelligence、マカフィー リブセーフ、Policy Lab、McAfee QuickClean、Safe Eyes、McAfee SECURE、McAfee Shredder、SiteAdvisor、McAfee Stinger、McAfee
TechMaster、McAfee Total Protection、TrustedSource、VirusScan は、米国法人 McAfee, Inc. または米国またはその他の国の関係会社における商標登録または商標
です。その他すべての登録商標および商標はそれぞれの所有者に帰属します。
ライセンス情報
ライセンス条項
お客様へ:お客様がお買い求めになられたライセンスに従い、該当する契約書 (許諾されたソフトウェアの使用につき一般条項を定めるものです、以下「本契約」といいます)
をよくお読みください。お買い求めになられたライセンスの種類がわからない場合は、販売およびライセンス関連部署にご連絡いただくか、製品パッケージに付随する注文
書、または別途送付された注文書 (パンフレット、製品 CD またはソフトウェア パッケージをダウンロードした Web サイト上のファイル) をご確認ください。本契約の規
定に同意されない場合は、製品をインストールしないでください。この場合、弊社またはご購入元に速やかにご返信いただければ、所定の条件を満たすことによりご購入額
全額をお返しいたします。
2
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
目次
7
まえがき
このガイドについて . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
対象読者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
表記法則 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
製品マニュアルの検索 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1
McAfee DLP Endpoint の概要
8
9
McAfee DLP Endpoint の概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
10
追跡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
12
モニター . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
製品モジュールとその相互作用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
13
McAfee DLP Endpoint クライアント ソフトウェア . . . . . . . . . . . . . . . . . . . . . . 15
配備とインストール
2
21
配備オプションとシナリオ
エンドポイント製品オプションの選択 . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3
推奨インストール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
23
システム要件の確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
24
McAfee DLP Endpoint ソフトウェアのインストール
27
McAfee DLP 拡張ファイルのインストールとライセンス . . . . . . . . . . . . . . . . . . . .
27
McAfee DLP Endpoint パッケージを McAfee ePO にチェックインします。 . . . . . . . . . . . . . 28
ポリシーと移行データの変換 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
29
31
ソフトウェアの配備
McAfee DLP Endpoint クライアントの配備 . . . . . . . . . . . . . . . . . . . . . . . .
31
McAfee ePO を使用した McAfee DLP Endpoint クライアントの配備 . . . . . . . . . . . .
31
インストールの確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
32
McAfee ePO によるポリシーの配備 . . . . . . . . . . . . . . . . . . . . . . . .
32
設定と使用
5
37
システム コンポーネントの設定
ポリシー カタログ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37
McAfee DLP サーバー設定の編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
Rights Management サーバーの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
エビデンスによるイベントの記録 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
エビデンス フォルダーの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
エビデンス フォルダーの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
ユーザーと権限セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
3
目次
McAfee DLP 権限セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
McAfee DLP 権限セットの作成 . . . . . . . . . . . . . . . . . . . . . . . . . .
44
使用例: DLP 管理者権限 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44
使用例: DLP インシデント マネージャー の表示を編集権限で制限する . . . . . . . . . . . .
ポリシー カタログの McAfee DLP の設定 . . . . . . . . . . . . . . . . . . . . . . . . .
6
45
46
McAfee DLP Endpoint 設定のインポートまたはエクスポート . . . . . . . . . . . . . . .
46
クライアントの設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
49
リムーバブル メディアの保護
デバイスの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
デバイス クラス . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50
デバイス クラスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
GUID の取得 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
デバイス クラスの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
52
デバイス定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
デバイス定義の扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
54
デバイス プロパティ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
Device Control ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
リムーバブル ストレージ デバイス ルール . . . . . . . . . . . . . . . . . . . . . .
59
プラグ アンド プレイ デバイス ルール . . . . . . . . . . . . . . . . . . . . . . .
61
リムーバブル ストレージ ファイル アクセス ルール . . . . . . . . . . . . . . . . . . . 61
固定ハード ドライブ ルール . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
Citrix XenApp デバイス ルール . . . . . . . . . . . . . . . . . . . . . . . . . . 62
TrueCrypt デバイス ルール . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
63
リムーバブル ストレージ デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . 63
プラグ アンド プレイ デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . .
63
リムーバブル ストレージ ファイル アクセス デバイス ルールの作成 . . . . . . . . . . . . . 64
固定ハード ディスク デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . .
65
Citrix デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
TrueCrypt デバイス ルールの作成 . . . . . . . . . . . . . . . . . . . . . . . . .
7
66
67
機密コンテンツの分類
分類 モジュール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
手動分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
使用例: 手動分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
68
分類の使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
テキスト抽出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
McAfee DLP Endpoint のアプリケーションの分類方法 . . . . . . . . . . . . . . . . .
分類の定義と条件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
70
71
ディクショナリの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
高度なパターンの定義 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74
ドキュメントのプロパティまたはファイル情報を使用したコンテンツの分類 . . . . . . . . . .
74
アプリケーション テンプレート . . . . . . . . . . . . . . . . . . . . . . . . . .
75
分類の作成と設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
75
分類の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
分類条件の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
タグ付け条件の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
76
手動分類権限の割り当て . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78
登録文書 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
78
ホワイトリストに登録されたテキスト . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
4
登録済み文書のアップロード . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
79
ホワイトリスト テキストへのファイルのアップロード . . . . . . . . . . . . . . . . . . . . .
80
分類の定義の作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
80
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
目次
ディクショナリ定義の作成またはインポート . . . . . . . . . . . . . . . . . . . . .
81
高度なパターンの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
Titus Client のサードパーティ タグとの統合 . . . . . . . . . . . . . . . . . . . . .
82
Boldon James Email Classifier と分類条件の統合 . . . . . . . . . . . . . . . . . . . 83
ファイルの場所による分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
84
ネットワーク パラメータの定義 . . . . . . . . . . . . . . . . . . . . . . . . . .
85
ファイルの送信先による分類 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
86
電子メールの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
プリンタの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
87
Web サイトにアップロードした情報の制御 . . . . . . . . . . . . . . . . . . . . . . 87
8
89
ルールを使用した機密コンテンツの保護
ルール セット . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
89
ルールとルール セットの作成と設定 . . . . . . . . . . . . . . . . . . . . . . . .
90
ルール タイプに使用可能な対応 . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
95
アプリケーション ファイル アクセス保護ルール . . . . . . . . . . . . . . . . . . . . . . .
97
使用例: 機密情報のディスクへの書き込みを防止します。 . . . . . . . . . . . . . . . . . 97
電子メール保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
ネットワーク通信保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
ネットワーク共有保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
99
プリンタ保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
リムーバブル ストレージ保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . .
100
スクリーン キャプチャ防止ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101
Web 送信保護ルール . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
102
エンドポイント検出 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
Discovery ルールによるファイルの保護 . . . . . . . . . . . . . . . . . . . . . .
103
スキャンの動作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
103
エンドポイント検出クローラーによるコンテンツの検出 . . . . . . . . . . . . . . . . .
104
権限管理によるファイルの保護 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108
McAfee DLP の権限管理方法 . . . . . . . . . . . . . . . . . . . . . . . . . .
108
サポートされている RM サーバー . . . . . . . . . . . . . . . . . . . . . . . . . 108
9
111
ポリシーに関する操作
複数のポリシーの使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112
定義のしくみ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
112
DLP ポリシーの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
113
監視とレポート
10
117
モニタリングとレポート イベント
DLP インシデント マネージャー . . . . . . . . . . . . . . . . . . . . . . . . . . . .
117
インシデント マネージャーの動作の仕組み . . . . . . . . . . . . . . . . . . . . . . . .
118
インシデント タイプと詳細 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
119
インシデントの表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120
インシデントのソートとフィルタリング . . . . . . . . . . . . . . . . . . . . . . . 120
列表示の設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
120
インシデント フィルターの設定 . . . . . . . . . . . . . . . . . . . . . . . . .
121
インシデントの詳細の表示 . . . . . . . . . . . . . . . . . . . . . . . . . . .
122
インシデントの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
単一のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
複数のインシデントの更新 . . . . . . . . . . . . . . . . . . . . . . . . . . .
123
ラベルの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
124
インシデントの削除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
ケースの取り扱い . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
5
目次
ケースの管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
126
131
管理データの収集と管理
サーバー タスクの編集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131
イベントの完全削除 タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . 132
自動メール通知 タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . .
132
レビューアー設定タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . . . . 133
結果のモニター タスク . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134
12
レポートの作成
135
レポートのタイプ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
レポート オプション . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
事前定義されたダッシュボード . . . . . . . . . . . . . . . . . . . . . . . . . . 136
データのロールアップ、サーバー タスクの作成 . . . . . . . . . . . . . . . . . . . . . . . 137
索引
6
McAfee Data Loss Prevention Endpoint 9.4.100
139
製品ガイド
まえがき
このガイドでは、McAfee 製品の操作に必要な情報を提供します。
目次
このガイドについて
製品マニュアルの検索
このガイドについて
ここでは、このガイドの対象読者、表記規則とアイコン、構成について説明します。
対象読者
McAfee では、対象読者を限定してマニュアルを作成しています。
このガイドの情報は、主に以下の読者を対象としています。
•
管理者 － 企業のセキュリティ プログラムを実装し、施行する担当者。
•
セキュリティ担当者 － 重要な機密情報を判断し、企業の知的財産を保護する企業ポリシーを守る立場にある担当
者。
表記法則
このガイドでは、以下の表記規則とアイコンを使用しています。
『マニュアルのタイト
ル』
、用語 または強調
太字
マニュアル、章またはトピックのタイトル、新しい用語、語句の強調を表します。
特に強調するテキスト
ユーザーの入力、コード、 コマンド、ユーザーが入力するテキスト、画面に表示されるメッセージを表します。
メッセージ
[インターフェースのテ
キスト]
オプション、メニュー、ボタン、ダイアログ ボックスなど、製品のインターフェースの
テキストを表します。
ハイパーテキスト (青
色)
トピックまたは外部の Web サイトへのリンクを表します。
注: 追加情報 (オプションにアクセスする別の方法など) を表します。
ヒント: ヒントや推奨事項を表します。
重要/注意: コンピューター システム、ソフトウェア、ネットワーク、ビジネス、データ
の保護に役立つ情報を表します。
警告: ハードウェア製品を使用する場合に、身体的危害を回避するための重要な注意事項
を表します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
7
まえがき
製品マニュアルの検索
製品マニュアルの検索
製品のリリース後は、McAfee のオンライン ナレッジセンターに製品情報が掲載されます。
タスク
8
1
McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。
2
[KnowledgeBase] ペインで、コンテンツのソースをクリックします。
•
[Product Documentation] をクリックして、ユーザー マニュアルを検索します。
•
[Technical Articles] をクリックして、KnowledgeBase の記事を検索します。
3
[Do not clear my filters] を選択します。
4
製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
1
McAfee DLP Endpoint の概要
データ漏えいとは、アプリケーション、物理デバイスおよびネットワーク プロトコルなどのチャネルを介して、認証
されていない通信が行われる結果、機密情報や個人情報が企業から流出することを指します。 Data Loss
Prevention ソフトウェアは、事前に定義された情報セキュリティ ポリシーを強制して、データ漏えいを防止しま
す。
保護するデータは、3 つのベトル — 使用中のデータ、移動中のデータ、および保存中のデータ に従って分類され利
用されます。
表 1-1
データ ベクトルの説明
データ ベク 説明
トル
関連する製品
使用中のデ
ータ
使用中のデータは、エンドポイント デバイスのユーザーのアクション McAfee Data Loss
に適用されます。 たとえば、リムーバブル メディアへのデータとファ Prevention Endpoint
イルのコピー、ローカル プリンタへのファイルの印刷、およびスクリ (McAfee DLP Endpoint)
ーン キャプチャなどです。
移動中のデ
ータ
移動中のデータは、ネットワーク上の実時間のトラフィックに適用さ
れます。 トラフィックが解析、分類されて McAfee Data Loss
Prevention (McAfee DLP) データベースに保存されます。
®
®
• McAfee Data Loss
Prevention Monitor
(McAfee DLP Monitor)
®
• McAfee Data Loss
Prevention Prevent
(McAfee DLP Prevent)
®
保存データ
保存データは、データベース、ファイル共有、およびリポジトリ上の • McAfee Data Loss
データに適用されます。 McAfee DLP は、保存データをスキャン、追
Prevention Discover
跡して、修復アクションを実行します。
(McAfee DLP Discover)
®
• McAfee DLP Endpoint 検
出
目次
McAfee DLP Endpoint の概要
製品モジュールとその相互作用
McAfee DLP Endpoint クライアント ソフトウェア
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
9
1
McAfee DLP Endpoint の概要
McAfee DLP Endpoint の概要
McAfee DLP Endpoint の概要
McAfee DLP Endpoint は、コンテンツベースのエージェント ソリューションで、企業ユーザーの作業環境やコンピ
ューター
McAfee DLP は、定義、分類、ルール·セット、およびエンドポイント クライアント設定から構成されるポリシーを
配備することで、企業の機密情報を保護します。 次にポリシー監視して、必要な場合は、機密コンテンツを含む定義
されたアクションをブロックします。 または、アクションの処理を許可する前に、機密コンテンツを暗号化すること
ができます。 最後に、McAfee DLP ソフトウェアは、確認用のレポートとプロセスのコントロールを作成して、機
密コンテンツを証拠として保存できます。
図 1-1 McAfee DLP 保護プロセス
McAfee DLP Endpoint クライアントは、プロセスの分類、追跡および保護といった面を管理する必要があります。
McAfee DLP の McAfee ePO 拡張ファイルは、コピー、送信、印刷されるデータ、あるいは管理対象のエンドポイ
ント システムから転送されるデータに適用する分類条件、追跡条件、保護ルールを設定します。 McAfee DLP 拡張
ファイルは、McAfee ePO ユーザー インターフェースと一緒に、プロセスの監視に使用されます。
分類
機密コンテンツを保護するためには、McAfee DLP 管理者は保護すべき対象を定義および分類することから始めま
す。
コンテンツは、分類と分類条件を定義することによって分類されます。 分類条件は、データをそのファイル タイプ、
高度なパターン (検証アルゴリズムを組み合わされた正規表現)、ディクショナリ、キーワード、テキスト パターン
とキーワードの近接性、および著者またはタイトルなどのファイルの属性によって分類する条件を定義します。
10
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
McAfee DLP Endpoint の概要
McAfee DLP Endpoint の概要
1
ソースまたは宛先の ソースを、コンテンツの作成に使用するアプリケーション (アプリケーション テンプレート)
場所
または、コンテンツを作成または受信するエンドユーザーで定義します。
場所を URL またはネットワーク共有で定義します。
ソースの場所、つまり場所ベースのタグ付けルールは、McAfee Device Control ではサポー
トされていません。
データの コンテン ファイルを作成するアプリケーションごとのコンテンツ タイプ、文書のプロパティ、ファイ
定義
ツ タイ
ル情報、または [実際のファイル タイプ] を定義します。
プ
指定用語 ディクショナリでは、機密用語のリストが定義されます。 たとえば、個人の医療情報を保護
するため、HIPAA ディクショナリには機密にする必要がある医療用語のリストがあります。
組み込みまたはユーザー定義。
高度なパ 高度なパターン (テキスト パターン) は、
『社外秘』 といった文字列、またはクレジットカー
ターン
ド番号を識別するための正規表現、あるいは通常のパターンにすることができます。
Boldon James Email Classifier を使用して電子メールを分類できます。 Titus 分類クライアント – Titus
Message Classification、Titus Classification for Desktop、および Titus Classification Suite を使用して電子
メールまたは他のファイルを分類できます。 Titus のサポートを実装するには、Titus SDK をエンドポイント コン
ピューターにインストールする必要があります。
サードパーティの分類ソフトウェアは McAfee Device Control ではサポートされていません。
各ルールは、少なくとも 1 つの適用する分類を指定します。 これは、コンテンツを解析して分類の定義またはタグ
付け条件と比較します。
追跡
McAfee DLP は、コンテンツをその由来に基いて 2 つのテクニック - 登録された文書およびタグ付け条件を使用し
て分類できます。
これらのテクニックを使用すると、たとえば、エンジニアリングの SharePoint サイトからダウンロードしたすべて
のファイルを追跡して知的所有物として分類するように指定できます。
•
登録文書
登録された文書の特徴は、指定したリポジトリ (エンジニアリングの SharePoint など) 内のすべてのファイルの
事前スキャンと、このリポジトリ内の各ファイルの断片の署名の作成に基いています。 この署名は、その後すべ
ての管理対象のエンドポイントに配布されます。 McAfee DLP Endpoint クライアントは、これらの文書の 1 つ
からコピーされた段落を追跡して、登録された文書の署名の分類に従ってこれを分類します。
McAfee DLP Endpoint クライアントが検査する各文書は、その由来を特定するためにすべての登録された文書
の署名と比較されるため、登録された文書は、より多くのメモリを使用してパフォーマンスに影響する可能性が
あります。 署名数とこのテクニックによるパフォーマンスの影響を最小にするために、これは最も機密性の高い
文書の追跡にのみ使用することを推奨します。
•
タグ付け
•
タグ付けは、McAfee DLP Endpoint 製品に固有のコンテンツの追跡テクニックです。 管理者は、ファイルの場
所と分類タグを定義するタグ付け条件のセットを作成して、その場所からのファイルに追加します。 McAfee
DLP Endpoint クライアントは、タグ付け条件に定義された場所から開かれた任意のファイルを追跡し、ファイ
ルがアクセスされるとそのファイルの署名をリアルタイムで作成します。 つぎに、この署名を使用して、ファイ
ルまたはファイルの断片を追跡します。 タグ付け条件は、場所 (UNC パスまたは URL) またはファイルのアクセ
スに使用されたアプリケーションによって定義できます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
11
1
McAfee DLP Endpoint の概要
McAfee DLP Endpoint の概要
永続的なタグ情報のサポート
タグは、ファイルの拡張ファイル属性 (EA) または代替データ ストリーム (ADS) に保存されます。 このようなファ
イルにアクセスすると、McAfee DLP Endpoint ソフトウェアは、その使用方法に関わらず、常にデータ変換を追跡
し、機密コンテンツの分類を永続的に維持します。 たとえば、ユーザーがタグの付いた Word 文書を開いて、いく
つかの段落をテキスト ファイルにコピーし、そのテキスト ファイルを電子メール メッセージに添付すると、送信メ
ッセージにはオリジナル文書と同じタグが含まれます。
EA または ADS をサポートしないファイル システムにおいて、McAfee DLP Endpoint ソフトウェアではタグ情報
がメタファイルとしてディスクに保存されます。 メタファイルは、McAfee DLP Endpoint クライアント ソフトウ
ェアが自動的に生成する ODB$ という名の隠しフォルダーに保存されます。
タグとタグ付け条件は、McAfee Device Control ではサポートされていません。
保護
保護は、DLP ポリシー マネージャー の ルール セット で定義されます。 各ルール セットには、複数のデータ保護、
Device Control、および検出ルールを含むことができます。 複数のパラメーターとブール演算子 AND、OR、NOT
により、ルールの除外とフィルタリングが可能です。
ルール セットには 3 つの種類のルールをすべて含む必要はありません。 ルール セットには、1 つの種類のルール 1
つで十分です。
データ保護ルール
データ保護ルールは、分類されたデータの不正な配布を防止します。 ユーザーが機密データをコピーまたは添付しよ
うとすると、McAfee DLP Endpoint が介入し、データ保護ルールを使用して実行するアクションを決定します。 ア
クションには、許可 (アクションなし)、ブロック、またはリクエスト ジャスティフィケーションがあります。 この
場合、McAfee DLP Endpoint ユーサーの試みを停止して、エンドユーザーにダイアログを表示します。 ユーザーは
試みに対するジャスティフィケーションを入力して、処理を継続します。
McAfee Device Control では、リムーバブル ストレージ データ保護ルールのみが利用可能です。 OS X エンドポイ
ント コンピューターでは、このリリースではデータ保護ルールは利用できません。
Device Control ルール
Device Control ルールにより、リムーバブル ストレージ デバイス、Bluetooth、Wi-Fi、およびその他のプラグ ア
ンド プレイ デバイスなどの物理デバイスからの読み込みを監視し、必要に応じてブロックします。 Device Control
ルールは、デバイス定義と対応の仕様で構成され、エンドユーザーグループでルールをフィルタリングすることによ
って、特定のエンドユーザー グループに割り当てることができます。
エンドポイント検出ルール
エンドポイント検出 は、管理されたコンピューター上で実行するクローラーです。 クローラーは、ローカル エンド
ポイントのファイル システムと、ローカル電子メールの (キャッシュされた) 受信箱および PST ファイルをスキャ
ンします。 ローカル ファイル システムおよび電子メール ストレージ検出ルールでは、コンテンツを隔離、タグ付
け、または暗号化するかどうかを定義します。 また、分類されたファイルまたは電子メールをイベントとして DLP
インシデント マネージャー にレポートするかどうか、またファイルや電子メールをイベントのエビデンスとして保
存するかどうかも定義できます。
検出ルールは、McAfee Device Control ではサポートされていません。
ファイル システム スキャンは、サーバー オペレーティング システムではサポートされていません。
12
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
McAfee DLP Endpoint の概要
製品モジュールとその相互作用
1
ポリシーとポリシーの配備
保護は、ルール セットを McAfee ePO ポリシー カタログ の DLP ポリシー に割り当てることにより適用されます。
ルール セットに加えて、ポリシーには、ポリシー割り当て情報および定義が含まれます。 ポリシーは、McAfee ePO
ソフトウェアによって企業の管理されたコンピューター (McAfee Agent がインストールされているコンピュータ
ー) に配備されます。
®
モニター
ルールの適用によって一部のアクションがブロック、監視、あるいは実行された場合、イベントが生成され McAfee
ePO イベント パーサに送信されて、データベースに保存されます。 イベントにはルール違反のエビデンスも含むこ
とができます。 また、ポリシーの配備または検出スキャンなどのシステム イベントによって管理イベントが生成さ
れます。 McAfee DLP Endpoint によって生成されたイベントは、DLP インシデント マネージャー でモニターさ
れ、McAfee ePO ダッシュボードに表示可能なレポートとグラフの作成に使用されます。 ポリシー監視機能には以
下が含まれます。
•
インシデントの監視 — McAfee ePO の DLP インシデント マネージャー ページを使用すると、受信したエージ
ェント イベントとエビデンスを管理者が表示できます。
•
管理イベントの監視 — McAfee ePO の DLP 操作イベント ページを使用すると、管理者が管理イベントを表示
できます。
•
エビデンスの収集 － 保護ルールがエビデンスを収集するように定義されている場合、タグの付いたデータのコピ
ーが保存され、特定のイベントにリンクされます。 この情報により、イベントの重大度や公開の是非を決定でき
ます。 証拠は保存される前に、AES アルゴリズムを使用して暗号化されます。
•
ヒット ハイライト － イベントを引き起こしたテキストをハイライトしてエビデンスを保存できます。 ハイライ
トしたエビデンスは、暗号化された別の HTML ファイルとして保存されます。
また、イベント トレンドは McAfee ePO ダッシュボードに表示されます。
製品モジュールとその相互作用
McAfee DLP Endpoint は、5 つのモジュールで構成されています。 さらに、McAfee ePO、ポリシー カタログ、
サーバー タスク、サーバー設定、および権限セットを使用します。
McAfee DLP Endpoint バージョン 9.4 では、ワークフローが再編成され、より詳細な設定が可能になっています。
分類
分類 モジュールは、分類条件、タグ付け条件、およびこれらの設定に使用する定義を保存します。 この場所には、
登録された文書 リポジトリ、手動タグ付けのユーザー承認、および ホワイトリストに登録されたテキスト もセット
アップされます。
分類は、データ保護とエンドポイント検出ルールに必要です。
DLP ポリシー マネージャー
DLP ポリシー マネージャー モジュールは、ルール セット、ポリシー割り当て、および DLP ポリシーを作成する定
義を定義します。
DLP ルール セット は、データ保護、Device Control、および検出ルールを定義します。 ルール セットの各ルール
は、3 タイプのルールをすべて含むことができます。 複数のルールを 1 つのルール セットに含めて、複数のルール
セットを DLP ポリシーに割り当てることができます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
13
1
McAfee DLP Endpoint の概要
製品モジュールとその相互作用
ワークフロー
以下のワークフローを使用して、ポリシーを作成しエンドポイント コンピューターに配備します。
1
分類とタグ付け条件、およびそれらを定義するのに必要な定義を作成します。 (定義は、条件の定義に必要となっ
た時点で作成できます。)
2
データ保護、デバイス、検出ルール、およびそれらを定義するのに必要な定義を作成します。
データ保護と検出ルールには、分類の割り当てがルールの定義の一部として含まれています。
3
DLP ポリシーにルール セットを割り当てます。 DLP ポリシーに検出スキャン定義を作成します。
4
システム ツリー にポリシーを割り当てて配備します。
図 1-2 ワークフロー
インシデント マネージャーと操作イベント
DLP インシデント マネージャー モジュールは、ポリシー違反からセキュリティ イベントを表示します。 各エント
リの詳細ページは、クライアントの設定および他の詳細に適用されるルールと分類を表示します。 DLP 操作イベン
ト モジュールは、配備やポリシー更新などの管理イベントを表示します。
ケース管理
ケース管理 モジュールを使用すると、インシデントに関する解決策のために、複数の管理者が協力することができま
す。
多くの場合、単一のインシデントは分離されたイベントではありません。 共通のプロパティを共有する、あるいは互
いに関係のある DLP インシデント マネージャー に複数のインシデントが表示される場合があります。 これらの関
連するインシデントは、1 つのケースに割り当てることができます。 組織内の役割によっては、複数の管理者がケー
スを監視し管理できます。
14
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
McAfee DLP Endpoint の概要
McAfee DLP Endpoint クライアント ソフトウェア
1
ポリシー カタログ
McAfee ePO ポリシー カタログ は、エンドポイント コンピューターに配備するポリシーを保存します。 McAfee
DLP ポリシーを表示/編集するには、[ポリシー カタログ] 、 [製品] 、 [Data Loss Prevention 9.4] を選択しま
す。
McAfee DLP Endpoint ポリシーには 3 つのコンポーネントがあります。
•
DLP ポリシー — ルール セット、エンドポイント検出スキャン、および特権ユーザー、アプリケーション方針、
デバイス クラスの上書きの設定を含みます。
•
クライアントの設定 — エンドユーザー コンピューターの情報を含みます。
表 1-2 クライアントの設定
設定
注
詳細設定
エンドポイントとアクセス保護の設定
アプリケーション ファイル ア
クセス保護
ホワイトリストに登録されたプロセスの追加に使用します
クリップボード保護
Microsoft Office クリップボードを有効にして、ホワイトリストに登録されたプ
ロセスの追加に使用します
コンテンツ追跡
テキスト抽出の設定
会社の接続性
VPN サーバーのデータ保護オプションの設定に使用します
デバッグとロギング
トラブルシューティングのためにロギングとメモリ ダンプを設定します
検出 (エンドポイント)
スキャンのパフォーマンス パラメーターと隔離された電子メールのプレフィック
スを設定します
電子メールの保護
電子メール保護ルールとサードパーティ ソフトウェア統合の設定
エビデンス コピー サービス
エビデンス ストレージ共有、ファイル サイズ、およびエビデンス期間の設定
動作モードとモジュール
Device Control または McAfee DLP Endpoint のオペレーション モードの設
定、アドインとハンドラーの有効化
印刷防止
ホワイトリストに登録されたプロセスの追加に使用します
隔離
隔離フォルダーの設定
リムーバブル ストレージ保護
リムーバブル ストレージの削除 モードの設定
スクリーン キャプチャ防止
スクリーン キャプチャ アプリケーション サポートの追加
ユーザー インターフェース コ
ンポーネント
エンドポイント ユーザー インターフェースの定義
Web 送信保護
HTTP GET 要求の動作、Google Chrome バージョンのサポート、タイムアウト
方針、およびホワイトリストに登録された URL の設定
McAfee DLP Endpoint クライアント ソフトウェア
McAfee DLP Endpoint クライアント ソフトウェア McAfee Agent プラグインとして配備され、McAfee DLP ポリ
シーで定義されたポリシーを強制します。 McAfee DLP Endpoint クライアント ソフトウェアは、ユーザーの行動
を監査し、承認されていないユーザーによる機密データのコピーや移動を監視、制御および阻止します。 次に、
McAfee ePO イベント パーサーで記録されたイベントを生成します。
OS X プラットフォーム上の McAfee DLP Endpoint
®
McAfee Device Control クライアント (OS X 用) は、今日多くの企業でもっとも広範囲で損害の大きなデータ漏え
いの元となっている、リムーバブル メディア デバイスの Macintosh コンピューター上での不正な使用を防ぎます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
15
1
McAfee DLP Endpoint の概要
McAfee DLP Endpoint クライアント ソフトウェア
Microsoft Windows プラットフォーム上の McAfee DLP Endpoint
Windows ベースのコンピューターは、McAfee Device Control または McAfee DLP Endpoint で保護できます。
McAfee DLP Endpoint クライアント ソフトウェアは、高度な検出技術である、テキスト パターン認識と事前定義
されたディクショナリを使用します。 これは機密コンテンツを識別して、コントロールの追加レイヤーに、デバイス
管理と暗号化を組み込みます。
Information Rights Management (IRM) ソフトウェアは、暗号化とアクセス権限の管理を使用して機密ファイル
を保護します。 McAfee DLP Endpoint は、Microsoft Rights Management Service (RMS) および Seclore
FileSecure を、補完的な方法としてサポートします。 一般的な使用目的は、IRM 保護されていないファイルのコピ
ーを防止することです。
分類ソフトウェアは、電子メールと他のファイルが、一貫性をもって分類されラベルにより保護されていることを確
認します。 McAfee DLP Endpoint は、Titus Message Classification および Boldon James Email Classifier
for Microsoft Outlook と統合して、適用される分類に基いて、電子メール保護ルールを作成します。 これは、Titus
SDK により他の Titus 分類クライアントと統合して、適用される Titus 分類に基いて他の保護ルールを作成します。
スクリーン リーダーのサポート
視覚障害者のために広く使用されるスクリーン リーダー ソフトウェア Job Access With Sound (JAWS) は、エン
ドポイント コンピューターでサポートされています。 以下の McAfee DLP Endpoint 機能がサポートされていま
す。
•
エンドユーザー通知ポップアップ — ポップアップ ダイアログが (DLP ポリシー マネージャーで) 手動で閉じる
ように設定されていると、ダイアログがテキストが読み上げられて、視覚障害者がボタンとリンクに移動できま
す。
•
エンドユーザー ジャスティフィケーション ダイアログ — コンボ ボックスがタブ キーでアクセスでき、ジャス
ティフィケーションを矢印キーで選択できます。
•
エンドユーザー コンソール通知履歴 タブ — タブが選択されると、JAWS が「通知履歴タブが選択されました」
と読み上げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。
•
エンドユーザー コンソール検出 タブ — タブが選択されると、JAWS が「検出タブが選択されました」と読み上
げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。
•
エンドユーザー コンソール タスク タブ — タブが選択されると、JAWS が「タスク タブが選択されました」と
読み上げます。 すべての手順はタブ キーでアクセス可能で、適切な指示が読み上げられます。
•
エンドユーザー コンソール詳細 タブ — タブが選択されると、JAWS が「説明タブが選択されました」と読み上
げます。 実行可能なコンテンツがありません。 右パネルのすべての情報が読み上げられます。
オンライン/オフライン操作
管理対象のコンピューターがオンライン (社内ネットワークに接続) またはオフライン (社内ネットワークから切断)
であるかによって、異なる保護ルールを適用できます。 いくつかのルールにより、ネットワーク内にあるコンピュー
ターと VPN により接続されているコンピューターを区別することができます。
複数のユーザー セッション
McAfee DLP Endpoint クライアント ソフトウェアは、複数のユーザー セッションの簡易切り替え (FUS) を、FSU
をサポートする Windows オペレーティング システムでサポートしています。 仮想デスクトップのサポートは、単
一のホスト コンピューター上の複数のユーザー セッションに及びます。
イベント パーサー
McAfee DLP Endpoint クライアント ソフトウェアによって生成されるイベントは、McAfee ePO イベント パーサ
ーに送信され、McAfee ePO データベースのテーブルに記録されます。 イベントは詳細な分析のためにデータベー
スに保存され、他のシステム コンポーネントで使用されます。
16
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
McAfee DLP Endpoint の概要
McAfee DLP Endpoint クライアント ソフトウェア
1
エンドポイント コンソール
エンドポイント コンソールは、ユーザーと情報を共有し、問題の自己修復を可能にするように設計されています。
これは、クライアントの設定 、 ユーザー インターフェース サービス タブで設定します。
Windows ベースのコンピューターでは、システム トレイのアイコンから、管理機能 、 DLP Endpoint コンソール
を選択してコンソールを有効にします。 完全に設定されていると、3 つのタブ ページが表示されます。
•
通知履歴 — 集約されたイベントの詳細を含むイベントを表示します。
•
検出 — 検出スキャンの詳細を表示します。
•
タスク — ID コードを生成して、エージェント バイパスと隔離のリリース コードを入力します。
•
説明 — エージェントのステータスの情報、有効なポリシー、設定、およびコンピューターの割り当てグループ
と、リビジョン ID 番号を含めて表示します。
OS X エンドポイントでは、コンソールはステータス バーの McAfee 小メニューから有効にします。 ダッシュボー
ド は、インストールされた McAfee などの他の McAfee VirusScan for Mac ソフトウェアに統合され、インスト
ールされたすべての McAfee ソフトウェアの概要を表示します。 履歴 ページには、最近の McAfee ソフトウェア
イベントが表示されます。 詳細を表示するエントリをクリックします。
®
®
図 1-3 OS X エンドポイントの表示
エージェント バイパス スクリーンを有効にするには、小メニュー から 基本設定 を選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
17
1
McAfee DLP Endpoint の概要
McAfee DLP Endpoint クライアント ソフトウェア
18
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
配備とインストール
環境に最も適合する配備オプションを決定し、次に、社内のコンピュータにソフトウェ
アをインストールし、McAfee DLP Endpoint クライアントを配備します。
第2章
第3章
第4章
配備オプションとシナリオ
McAfee DLP Endpoint ソフトウェアのインストール
ソフトウェアの配備
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
19
配備とインストール
20
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
2
配備オプションとシナリオ
企業の情報を複数のデータ漏えい防止カテゴリに分類することは、McAfee Data Loss Prevention Endpoint ソフ
トウェアの配備および管理において重要なステップとなります。 企業には、それぞれ固有のガイドラインやベスト
プラクティスがあり、理想的なスキーマは、各企業の目標やニーズによって異なります。 それらのニーズを満たす方
法を決定するための最初のステップは、McAfee Device Control と完全版の McAfee DLP Endpoint という 2 つの
DLP オプションのどちらを使用するかを選択することです。
事前に特有のニーズを正確に把握することは難しいため、1 か月間のトライアル期間に 15 人から 20 人のユーザー
からなるサンプル グループに初期配備をすることをお勧めします。 このトライアル期間中、データは分類されず、
ポリシーはデータのやり取りを監視するために作成され、ブロック目的では作成されません。 データの監視は、企業
データの分類場所や分類方法を決定する上で非常に有用です。 実際に企業全体に配備する前に、この情報から作成し
たポリシーを、さらに大きなテスト グループ（または大企業の場合は複数の大きなグループ）でテストすることをお
勧めします。
McAfee DLP Endpoint ポリシーのデザインと監視ソフトウェアが McAfee ePO にインストールされます。 単純な
インストールでは、Microsoft SQL Server がインストールされた 1 台の McAfee ePO サーバーが使用されますが、
規模がより大きい企業では、複数のサーバーのインストールまたはクラスター環境も使用できます。
McAfee DLP Endpoint クライアント ソフトウェアは、Device Control または完全な McAfee DLP Endpoint のい
ずれかのバージョンの Microsoft Windows サーバー、ワークステーション、およびラップトップに配備されます。
現在、OS X コンピューターには、Device Control バージョンが利用可能です。
目次
エンドポイント製品オプションの選択
推奨インストール
システム要件の確認
エンドポイント製品オプションの選択
McAfee では、いくつかの McAfee ePO ベースの Data Loss Prevention オプションを提供しています。 それらの
製品は、インストールされた同じ製品を使用しますが、ライセンスによって異なる機能を提供します。
McAfee DLP オプションの説明
®
McAfee DLP ソフトウェアは、完全な Device Control, と McAfee DLP Endpoint の 2 つの McAfee Data Loss
Prevention Discover (McAfee DLP Discover) 構成で利用可能です。
•
中小規模のビジネス向けの McAfee Device Control - Device Control のみを提供します。
•
エンタープライズ向け McAfee Device Control - Device Control に加えて、リムーバブル ストレージ保護 (コ
ンテンツ依存ルール) を提供します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
21
2
配備オプションとシナリオ
エンドポイント製品オプションの選択
•
データ保護とデバイス — エンドポイント検出を含む完全な McAfee DLP Endpoint です。
•
McAfee DLP Discover — ネットワーク検出クローリングを提供し、単独であるいは Device Control または
McAfee DLP Endpoint と共にインストール可能です。
現在のリリースは、Device Control オプションを OS X のみでサポートしています。
McAfee Device Control とは
Device Control ソフトウェアは、今日多くの企業において、最も拡散しやすく、最も対策コストのかかるとされて
いるリムーバブル メディア デバイスの不正な使用を防止します。
Device Control ソフトウェアは以下の機能を提供します。
•
デバイスの永続的なデータ保護 — どのテータをリムーバブル デバイスにコピーするかを、ユーザー、ファイル
拡張子、またはファイル名でフィルタリングし、デバイスそのものを完全にブロックするか読み取り専用に設定
してコントロールします。 リムーバブル ドライブからのアプリケーションの実行をブロックします。
•
常時保護 － USB ドライブ、iPod、Bluetooth デバイス、CD、DVD、その他のリムーバブル メディア、および
非システム ハードディスクに対して提供されます。
OS X 用の Device Control の現在のリリースはリムーバブル ストレージ デバイス ルールに限定されています。
コンテンツ依存ルール対応の McAfee Device Control とは
コンテンツ依存ルール対応の Device Control は以下を提供します。
デバイスに対する永続的なコンテンツ識別データ保護 — 高度なパターン、ディクショナリ、文書のプロパティ、ま
たはファイルの情報を使用して、デバイスにコピーされるデータの内容によるコントロールを追加します。
完全な McAfee DLP Endpoint とは
McAfee DLP Endpoint ソフトウェアは以下の機能を提供します。
22
•
全面保護 － リムーバブル デバイス、非システム ハードディスク、電子メールまたは添付ファイル、Web 送信、
クリップボード、スクリーン キャプチャ、印刷、ファイル システムなど、幅広いデータ漏えいチャネルからのデ
ータ漏えいを防ぎます。
•
永続的なコンテンツ識別データ保護 － データの保存形式や操作の形式に関係なくデータ漏えいを防ぎます。 正
当なユーザーのアクティビティを妨害することなくデータ漏えい防止を強化します。
•
常時保護 － 企業のネットワークに接続しているか、ネットワーク外で使用しているかどうかに関係なく、デスク
トップやラップトップからの機密データの転送を防ぎます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
2
配備オプションとシナリオ
推奨インストール
推奨インストール
単純な McAfee DLP Endpoint の実装に推奨されるインストール先は、1 台の McAfee ePO サーバーです。
より複雑なインストールにおける McAfee ePO データベースに別のサーバーを使用するかどうかの推奨について
は、
『McAfee ePolicy Orchestrator Hardware Sizing and Bandwidth Usage Guide (ハードウェアのサイジング
と帯域幅の使用に関するガイド)』 を参照してください。
図 2-1
McAfee DLP Endpoint コンポーネントと関係
推奨アーキテクチャには以下のものがあります。
•
McAfee ePO サーバー — 組み込みの McAfee DLP Endpoint、インシデント マネージャー、操作イベント コ
ンソールをホスティングし、エンドポイント コンピューター上の McAfee Agent ソフトウェアと通信します。
•
McAfee ePO イベント パーサー — McAfee Agent と通信し、イベント情報をデータベースに保存します。
•
DLP イベント パーサー — McAfee DLP Endpoint イベント パーサーから McAfee ePO イベントを収集
し、これらを SQL データベースの DLP テーブルに保存します。
•
ePO データベース — McAfee ePO ポリシー ディストリビュータと通信してポリシーを配布し、DLP イベン
ト パーサーと通信してイベントおよびエビデンスを収集します。
•
管理者のワークステーション — ブラウザーで McAfee ePO および McAfee DLP Endpoint ポリシー コンソー
ルにアクセスします。
•
管理対象のエンドポイント — 以下のソフトウェアを使用してセキュリティ ポリシーを適用します。
•
McAfee DLP Endpoint クライアント — McAfee Agent ポリシーとプロセスを提供する McAfee DLP
Endpoint プラグイン
•
McAfee Agent — McAfee ePO サーバーと McAfee DLP Endpoint クライアント ソフトウェアの間の通
信チャネルを提供します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
23
2
配備オプションとシナリオ
システム要件の確認
システム要件の確認
以下のハードウェアが、Windows および Mac 用の McAfee DLP Endpoint ソフトウェアの実行に推奨されます。
表 2-1 ハードウェア要件
ハードウェアの種類
仕様
サーバ
• RAM — 1 GB 以上 (2 GB 推奨)
• ハード ディスク — 80 GB 以上
エンドポイント コンピュータ
ー
• RAM — 1 GB 以上 (2 GB 推奨)
ネットワーク
すべてのワークステーションおよび McAfee ePO サーバーは、100 Mbit LAN で
接続されている必要があります。
• ハードディスク — 300 MB 以上のディスク空き容量
サポートされているオペレーティング システムは次の通りです。
表 2-2 サポートされているオペレーティング システム
コンピューターの種類
ソフトウェア
エンドポイント コンピュ Microsoft Windows オペレーティング システム
ーター
• Windows 7 SP1 32 ビット/64 ビ
• Windows Server 2008 R2 SP1
64 ビット
ット
• Windows 8 または 8.1 32 ビッ
ト/64 ビット
• Windows Server 2012 64 ビット
• Windows 10 SP1 32 ビット/64
ビット
• Windows Server 2012 R2 64 ビ
ット
• Windows Server 2008 SP2 32 ビ
ット/64 ビット
ファイル システム検出ルールとネットワーク通信保護ルールはサーバーで使用できま
せん。
Apple OS X オペレーティング システム (Device Control のみ)
• OS X Mountain Lion 10.8.0 以降
• OS X Mavericks 10.9.0 以降
• OS X Yosemite 10.10.0 以降
OS X Yosemite 10.10 には、McAfee Agent 4.8 Patch 2 以降または McAfee
Agent 5.0 以降が必要です。
• OS X El Capitan 10.11
OS X El Capitan 10.11 には McAfee Agent 4.8.0.1938 (Patch 3) のみが必要で
す。 重要なインストール情報は、『McAfee Data Loss Prevention Endpoint
9.4.100 リリース ノート』 を参照してください。
サーバー上に McAfee DLP Endpoint ソフトウェアをインストールするユーザーは、ローカル管理者グループのメン
バーである必要があります。
以下の仮想オペレーティング システムがサポートされます。
24
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
配備オプションとシナリオ
システム要件の確認
2
表 2-3 サポートされる仮想オペレーティング システム
システムの種類
ソフトウェア
VDI システム
• Citrix XenDesktop 5.5、5.6、7.0、7.5
• VMware View 5.3、6.0、6.2
• Citrix XenApp 6.0、6.5 Feature Pack 2 および 7.6
リモート デスクトップ
• Microsoft リモート デスクトップ
以下のソフトウェアが、McAfee DLP Endpoint ポリシー コンソールを実行するサーバーに必要です。
表 2-4 サーバー ソフトウェア要件
ソフトウェア
サポートされているバージョン
McAfee ePO
• 4.6.9 以降
• 5.1.1 以降
• 5.3
McAfee ePO を Microsoft Internet Explorer で実行する場合は、バージョン 10.0 以降を使用し
ます。
McAfee Agent • 4.8.2 以降
• 5.0 以降
McAfee Agent for Mac
• 4.6 Patch 3 以降
• 4.8 Patch 2 以降
• 5.0 以降
OS X Yosemite 10.10 には McAfee Agent 4.8 Patch 2 以降、または McAfee Agent 5.0 以降;
OS X El Capitan 10.11 には McAfee Agent 4.8.0.1938 (Patch 3) のみが必要です。
McAfee DLP Endpoint パッケージ DLP_Mgmt_9.4_Package.zip には、McAfee ePO 経由でインストールされる
拡張ファイルが含まれます。
McAfee DLP Endpoint クライアント (McAfee Agent プラグイン) には、McAfee ePO リポジトリからエンドポイ
ント コンピューターにクライアント ソフトウェアを配布するファイル: HDLP_Agent_9_4_0_x.zip (Microsoft
Windows)、DLPAgentInstaller.zip (Mac OS X) が含まれます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
25
2
配備オプションとシナリオ
システム要件の確認
26
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
3
McAfee DLP Endpoint ソフトウェアのインスト
ール
McAfee DLP Endpoint コンソールは、McAfee ePO に完全に統合されます。 McAfee DLP Endpoint クライアン
トは、McAfee ePO によって社内のコンピューターに配備されます。
目次
McAfee DLP 拡張ファイルのインストールとライセンス
McAfee DLP Endpoint パッケージを McAfee ePO にチェックインします。
ポリシーと移行データの変換
McAfee DLP 拡張ファイルのインストールとライセンス
拡張ファイルは、McAfee DLP を McAfee ePO に設定するためのユーザー インターフェースを提供します。
開始する前に
•
McAfee DLP 拡張ファイルを McAfee ダウンロード サイトからダウンロードします。
または、McAfee ePO で、[メニュー | ソフトウェア | ソフトウェア マネージャー] に移動して、
ソフトウェアを表示、ダウンロード、インストールすることができます。
•
Internet Explorer のセキュリティ設定の信頼済みサイトに McAfee ePO サーバー名が一覧表示さ
れていることを確認します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [拡張ファイル] を選択して、[拡張ファイルのインストール]
をクリックします。
2
拡張ファイルの .zip ファイルを参照して、[OK] をクリックします。
インストール ダイアログ ボックスにファイル パラメータが表示されるので、正しい拡張ファイルがインストー
ルされていることを確認します。
3
[OK] をクリックします。 拡張ファイルがインストールされます。
4
ライセンスとコンポーネントをインストールして、インストールをカスタマイズします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
27
3
McAfee DLP Endpoint ソフトウェアのインストール
McAfee DLP Endpoint パッケージを McAfee ePO にチェックインします。
ライセンスをインストールすると、関連する McAfee ePO コンポーネントと McAfee ePO ポリシー カタログの
ポリシーが有効になります ライセンス オプションは次のとおりです。
•
McAfee Device Control
•
McAfee Device Control および McAfee DLP
Discover
•
McAfee DLP Endpoint (McAfee Device
Control を含む)
•
McAfee DLP Endpoint および McAfee DLP
Discover
•
McAfee DLP Discover
a
[メニュー] 、 [データ保護] の順に選択します。
b
[DLP ポリシー マネージャー] または [McAfee DLP Discover] のいずれかを選択して、ライセンスを入力す
るプロンプトが表示されたら [はい] をクリックします。
[サーバー設定] 、 [Data Loss Prevention] ページが開きます。
5
c
[キー] フィールドで、ライセンスを入力し、[追加] をクリックします。
d
必要に応じて、別のライセンスを追加します。
[デフォルトのエビデンス ストレージ] フィールドに、パスを入力します。
エビデンス ストレージ パスは、\\[サーバー]\[ローカル パス] の形式のネットワークパスです。 この手順は、
設定を保存してソフトウェアをアクティブ化するのに必要です。
6
[保存] をクリックします。
McAfee DLP モジュールは、ライセンスに従って [メニュー] 、 [データ保護] に表示されます。
関連トピック:
41 ページの「エビデンス フォルダーの作成」
37 ページの「McAfee DLP サーバー設定の編集」
41 ページの「エビデンス フォルダーの設定」
McAfee DLP Endpoint パッケージを McAfee ePO にチェックインしま
す。
McAfee ソフトウェアの保護対象となるデータを含む企業内コンピューターには、McAfee Agent がインストールさ
れ、管理されたコンピューターになっている必要があります。 データ漏えい保護を追加するには、McAfee DLP
Endpoint の McAfee Agent プラグインも必要です。 インストールは、McAfee ePO インフラストラクチャを使用
して実行できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
28
1
McAfee ePO で、[メニュー] 、 [ソフトウェア] 、 [マスター リポジトリ] の順に選択します。
2
マスター リポジトリで、[パッケージをチェックイン] を選択します。
3
パッケージ タイプで、[製品またはアップデート (.ZIP)] を選択します。 [参照] をクリックします。
•
Microsoft Windows クライアントは、...\HDLP_Agent_9_4_0_xxx.zip を参照します。
•
Mac OS X クライアントは、...\DLPAgentInstaller を参照します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
McAfee DLP Endpoint ソフトウェアのインストール
ポリシーと移行データの変換
4
[次へ] をクリックします。
5
[パッケージのチェックイン] ページの詳細を確認して、[保存] をクリックします。
3
パッケージが [マスター リポジトリ] に追加されます。
ポリシーと移行データの変換
McAfee DLP Endpoint バージョン 9.4 は、McAfee DLP Endpoint バージョン 9.3 のポリシーとイベントの形式
と互換性のない新しいスキーマを使用します。 McAfee ePO サーバー タスクを使用して、ポリシーとデータを新し
いスキーマに移行します。
開始する前に
ポリシーを変換またはデータを McAfee DLP Endpoint 9.4.100 に移行する前に、McAfee DLP
Endpoint 9.3 Patch 5 (9.3.500) 移行にアップデートします。
ポリシー変換タスクは、有効にされデータベースに適用されたルールのみを変換します。 変換の前に
McAfee DLP 9.3 ポリシーを確認して、変換するルールの状態を確認します。
McAfee DLP 9.4.100 拡張ファイルを McAfee ePO にインストールしたあとで、DLP ポリシー変換タスクを実行し
ます。 プロセッサーにかかる負荷を考慮して、移行タスクを週末または休日にスケジュールすることをお奨めしま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。
2
[DLP ポリシーの変換] を選択して、次に [アクション] 、 [実行] をクリックします。
サーバー タスク ログ ページが開き、タスクが実行されていることを確認できます。
タスクは、前に実行されたことがあると失敗します。 McAfee DLP 9.3 ポリシーに変更を加え、変換を再実行す
るには、[アクション] ページの [[9.3] ポリシー変換ルール セットが存在する場合はポリシーの変換を実行しな
い] の選択を解除してサーバー タスクを編集します。 以前のルール セットが削除されて置き換えられます。
3
[サーバー タスク] ページに戻り、[DLP インシデントの移行] を選択して、[アクション] 、 [編集] をクリック
します。
[DLP 操作イベントの移行] も同じ方法で実行できます。
4
[スケジュール ステータス] 、 [有効] を選択して、[次へ] を 2 回クリックします。
移行が事前にプログラムされるため、[アクション] ページはスキップできます。
5
スケジュール タイプと回数を選択します。 [スケジュール タイプ] 、 [毎時] を選択することを推奨します。 開
始日と終了日を設定し、期間をピーク時間帯を避けて定義して、タスクを毎時にスケジュールします。
インシデントは、200,000 件単位でまとめて移行されます。 移行するインシデント データベースのサイズに応
じて、タスクの反復をスケジュールします。
6
[次へ] をクリックして設定を確認し、[保存] をクリックします。
関連トピック:
131 ページの「サーバー タスクの編集」
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
29
3
McAfee DLP Endpoint ソフトウェアのインストール
ポリシーと移行データの変換
30
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
4
ソフトウェアの配備
ポリシーを適用してスキャンを実行するには、まず、エンドポイント コンピューターとサーバーにソフトウェアを配
備する必要があります。
McAfee ePO の配備が何らかの理由により不可能な場合、手動で配備できる場合でも、配備に McAfee ePO を使用
することをお奨めします。
McAfee DLP Endpoint クライアントの配備
McAfee DLP Endpoint ポリシーは、エンドポイント コンピューター上の McAfee Agent により強制されます。
最初の手順は、エンドポイントへの McAfee DLP Endpoint クライアント ソフトウェア、McAfee Agent プラグイ
ンの配備です。
McAfee ePO を使用した McAfee DLP Endpoint クライアントの配備
ポリシーを適用する前に、McAfee DLP Endpoint クライアントが McAfee ePO によってエンドポイント コンピュ
ーターに配備される必要があります。
開始する前に
現在のバージョンの McAfee Agent が McAfee ePO にインストールされ、McAfee DLP Endpoint が
配備される前に、ターゲット コンピューターに配備される必要があります。
•
Microsoft Windows エンドポイント コンピューターでは、McAfee Agent 4.8 Patch 3 以降をイ
ンストールします。
•
Mac OS X エンドポイント コンピューターでは、McAfee Agent for Mac 4.6 Patch 3 以降をイン
ストールします。 OS X 10.10 では、McAfee Agent 4.8 Patch 2 以降または 5.0 が必要です。
OS X 10.11 には、McAfee Agent 4.8.0 Patch 3 をインストールします。
バージョンの確認方法およびインストール方法については、必要に応じて、McAfee ePO のマニュアル
を参照してください。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [システム ツリー] の順に選択します。
2
[システム ツリー]で、McAfee DLP Endpoint を配備するレベルを選択します。
レベルを [My Organization] のままにすると、McAfee ePO によって管理されるすべてのワークステーションに
配備されます。
[My Organization] の下のレベルを選択すると、右パネルに使用可能なワークステーションが表示されます。
McAfee DLP Endpoint を個々のワークステーションに配備することもできます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
31
4
ソフトウェアの配備
McAfee DLP Endpoint クライアントの配備
3
[クライアント タスク ビルダー] ウィザードを開いて、[割り当て済みクライアント タスク] タブをクリックしま
す。 [アクション] [新規クライアント タスクの割り当て] の順に選択します。
[クライアント タスク ビルダー] ウィザードが開きます。
4
タスク ビルダー フィールドに入力します。
•
[製品] フィールドで、[McAfee Agent] を選択します。
•
[タスク タイプ] フィールドで、[製品配備] を選択します。
5
[タスクの新規作成] をクリックします。
6
[製品とコンポーネント] フィールドで、[Data Loss Prevention 9.4] を選択します。 [アクション] フィールド
は、自動的に [インストール] にリセットされます。 [保存] をクリックします。
7
[スケジュール タイプ] を [すぐに実行] に変更します。 [次へ] をクリックします。
8
タスク サマリーを確認します。 正しいことを確認したら、[保存] をクリックします。 このタスクは、次回
McAfee Agent がポリシーをアップデートするときに実行されるようスケジュールされます。 インストールを
直ちに強制実行するには、エージェント ウェークアップ コールを発行します。
9
McAfee DLP Endpoint が配備された後、管理対象のコンピューターを再起動します。
インストールの確認
McAfee DLP Endpoint ソフトウェアのインストール後に、[DLP 操作イベント] コンソールからインストールを確
認する必要があります。
タスク
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP 操作イベント] の順に選択します。 詳細を表示するイベ
ントをクリックします。
図 4-1 DLP 操作イベントの詳細パネル
2
エンドポイント コンピューターの McAfee Agent システム トレイ アイコンで [説明] を選択して McAfee
DLP Endpoint クライアント ソフトウェアのインストールを確認します。 McAfee DLP Endpoint の情報をス
クロールします。
McAfee ePO によるポリシーの配備
McAfee DLP Endpoint ポリシーには、ルール セット、分類、定義、およびクライアントとサーバーの設定が含まれ
ます。
McAfee DLP Endpoint は以下のポリシーで機能します。
32
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ソフトウェアの配備
McAfee DLP Endpoint クライアントの配備
•
DLP ポリシー
•
クライアントの設定
4
これらのポリシーのそれぞれには、リビジョン番号 1 が割り当てられ、この番号はポリシーが変更される際に増加し
ます。 リビジョン番号は、トラブルシューティング プロセスのサポートに重要で、ポリシーの変更が実際のエンド
ポイント コンピューターに確実に適用されるようにします。 これは、クライアント バイパスやアンインストール キ
ーの要求時にも使用されます。 クライアント コンピューターの DLP Endpoint コンソールには、現在のポリシーの
リビジョン番号が表示されます。
ポリシーを適用する前に、次のことを確認します。
•
すべての設定が正しく構成されているか。
•
すべてのルールが有効になっているか。
•
エンドユーザー グループ (必要な場合) が各ルールに割り当てられているか。
タスク
•
33 ページの「ポリシーまたはクライアントの設定の割り当て」
McAfee ePO に適用されたポリシーを使用するには、管理されたコンピューターにそれを割り当て、配
備する必要があります。
•
34 ページの「ポリシーの更新」
システム ポリシーの配備は McAfee ePO サーバーに依存するため、管理されたコンピューターでのポ
リシーの更新は McAfee Agent の設定に従って実行されます。 ただし、スケジュールされた更新を待
たずに McAfee ePO を更新することができます。
ポリシーまたはクライアントの設定の割り当て
McAfee ePO に適用されたポリシーを使用するには、管理されたコンピューターにそれを割り当て、配備する必要が
あります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [システム ツリー] の順に選択します。
2
ポリシーを割り当てるコンピューターが含まれるディレクトリを検索し、選択します。
3
[アクション] 、 [エージェント] 、 [エージェント ウェークアップ] の順にクリックします。
4
[エージェント ウェークアップ コール]を選択し、[ランダム化]を 0 分に設定します。 [OK] をクリックします。
5
エージェント ウェークアップ コールが完了すると、システム ツリーに戻ります。 ポリシーを割り当てるコンピ
ューターを再び選択し、[アクション] 、 [エージェント] 、 [ポリシーの設定と継承] の順にクリックします。
6
[ポリシーの割り当て] ページで、[製品] ドロップダウン リストから [Data Loss Prevention 9.4.] を選択しま
す。
[カテゴリ] 列に、2 つのポリシー: [DLP ポリシー] と [クライアントの設定] が表示されます。
7
割り当てる各ポリシーに次の手順を実行します。
a
いずれかのカテゴリで、[アクション] 列の [割り当ての編集] をクリックします。
b
[継承を無効にする...] オプションをクリックして、ドロップダウン リストから割り当てるポリシーを選択し
ます。 [保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
33
4
ソフトウェアの配備
McAfee DLP Endpoint クライアントの配備
ポリシーの更新
システム ポリシーの配備は McAfee ePO サーバーに依存するため、管理されたコンピューターでのポリシーの更新
は McAfee Agent の設定に従って実行されます。 ただし、スケジュールされた更新を待たずに McAfee ePO を更
新することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [システム ツリー] を選択して、更新する単一または複数のコンピューターを選
択します。
2
[その他のアクション] 、 [エージェント ウェークアップ] の順にクリックします。
3
ウェークアップ コールのタイプを選択し、[ランダム化] を 0 分に設定します。 [OK] をクリックします。
ポリシーは McAfee ePO サーバーのスケジュールに基づいて更新されます。 管理されたコンピューターのユー
ザーは特に指示がない限り、手動でポリシーを更新しないでください。
34
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
設定と使用
保護対象のコンテンツとその最良の保護方法の管理上の判断に基づいて、企業環境で最
適に使用するためにソフトウェアを設定します。
第5章
第6章
第7章
第8章
第9章
システム コンポーネントの設定
リムーバブル メディアの保護
機密コンテンツの分類
ルールを使用した機密コンテンツの保護
ポリシーに関する操作
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
35
設定と使用
36
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
5
システム コンポーネントの設定
システム コンポーネントは、企業のニーズに合わせてカスタマイズできます。 エージェントおよびシステムのオプ
ションを設定してシステムをカスタマイズし、企業の機密情報を効果的に保護します。
McAfee DLP モジュールの設定に加えて、McAfee DLP の管理に影響する構成設定が、McAfee ePO のサーバーの
設定、登録済みサーバー、および サーバー タスク にあります。
目次
ポリシー カタログ
McAfee DLP サーバー設定の編集
Rights Management サーバーの定義
エビデンスによるイベントの記録
ユーザーと権限セット
ポリシー カタログの McAfee DLP の設定
ポリシー カタログ
McAfee ePO ポリシー カタログは、以下の McAfee DLP ポリシー設定を表示します。
•
クライアントの設定 — McAfee DLP Endpoint クライアントの構成設定を含みます。 設定により、クライアン
トが McAfee DLP ポリシーをエンドポイント コンピューターにどのように適用するかを決定します。
•
DLP ポリシー — ポリシーに割り当てられたルール セット、スケジュールされたエンドポイント検出スキャン、
およびアプリケーション方針、デバイス クラスの上書き、特権ユーザーの設定を含みます。
McAfee DLP Endpoint 9.4 は、複数のポリシーと複数のクライアント設定をサポートしています。 既存の項目を複
製して編集することにより、ポリシー カタログ にポリシーとクライアント設定を作成します。 ポリシーにルール セ
ットを割り当てて、[DLP ポリシー マネージャー] の [ポリシー割り当て] タブの McAfee ePO データベースに適用
します。 ポリシーとクライアント設定を McAfee ePO [システム ツリー] のエンドポイント コンピューターへの配
備に割り当てます。
McAfee DLP サーバー設定の編集
McAfee DLP Endpoint は、デフォルトの構成設定を McAfee ePO サーバー設定に挿入します。 これらの設定は必
要に応じて編集できます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
37
5
システム コンポーネントの設定
Rights Management サーバーの定義
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [設定] 、 [サーバー設定] 、 [Data Loss Prevention] を選択します。
2
[編集] をクリックします。
3
以下のパラメーターを編集できます。
オプション
定義
ライセンス キー
インストールされたバージョン: McAfee Device Control または完全版の McAfee DLP
Endpoint を特定します。 McAfee DLP Discover のライセンスを、いずれかに追加する
こともできます。
デフォルトのエビ ストレージ共有への UNC パスです。 パスはネットワーク共有で、サーバー名を含む必要
デンス ストレージ があります。
共有パスワード
ソフトウェアのアンインストール、隔離からのファイルの削除、エビデンスの暗号化、一
時的なクライアント バイパスのためにパスワードに優先します。
チャレンジ応答キ
ーの長さ
Help Desk で、隔離からのファイルの解放またはクライアント バイパス モードの設定に
使用します。
システム ツリー権 システム ツリーの権限は、DLP インシデント マネージャー と DLP 操作イベント コンソ
限を強制する
ールで、インシデントのフィルタリングに使用できます。 この設定を使用して、システム
ツリー権限を 使用 または 無視 します。
ケース管理
電子メール通知オプションの選択: ケースの所有者、ケースの提出者、また両方に送信しま
す。
前回のバックアッ
プ
前回のバイパスを表示し、現在の設定をファイルに保存することができます。
前回のリストア
前回のリストア バージョンを表示し、設定をファイルからリストアすることができます。
Rights Management サーバーの定義
McAfee DLP Endpoint は、2 種類の Rights Management (RM) システム: Microsoft Windows Rights
Management Services (RMS) および Seclore FileSecure™ をサポートしています。 これらのシステムを使用す
るには、McAfee ePO で RM ポリシーを入力してサーバーを設定します。
開始する前に
38
•
RM サーバーをセットアップして、ユーザーとポリシーを作成します。 すべてのサーバーの URL と
パスワード、ポリシー テンプレート、認証情報、およびライセンスを入手します。 Seclore の場合
は、HotFolder キャビネット ID と パスフレーズ、および詳細ライセンス情報 (利用可能な場合)
が必要です。
•
Microsoft RMS および Seclore サーバーを表示、作成、および編集する権限があることを確認しま
す。 McAfee ePO で、[メニュー] 、 [ユーザー 管理] 、 [権限セット] を選択し、[登録済みのサー
バー] で必要な権限を持つグループに所属していることを確認します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
システム コンポーネントの設定
エビデンスによるイベントの記録
5
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [登録済みのサーバー] の順に選択します。
2
[新しいサーバー] をクリックします。
[登録済みのサーバー] の説明ページが開きます。
3
[サーバー タイプ] ドロップダウン リストから、設定するサーバーのタイプ: [Microsoft RMS Server] または
[Seclore Server] を選択します。
4
サーバー 設定の名前を入力して、[次へ] をクリックします。
5
必要な詳細情報を入力します。 必要なフィールドを入力したら、[接続テスト] をクリックして入力したデータを
確認します。
6
•
RMS 設定には、[DLP 施行設定] セクションも含まれます。 [RMS テンプレートのローカル パス] フィール
ドはオプションですが、証明書とライセンスの URL フィールドは、AD 自動サービス検出オプションを選択
したかどうかに関わらず、必要です。
•
Seclore の場合は、[HotFolder キャビネット]情報が必要ですが、追加のライセンス情報はオプションです。
設定が完了したら、[保存] をクリックします。
エビデンスによるイベントの記録
エビデンスとは、セキュリティ イベントが DLP インシデント マネージャーに送信される原因となったファイルまた
は電子メールのコピーのことです。
一部のルールでは、エビデンスの保存オプションを使用できます。 このオプションを選択すると、ブロックまたは監
視されたコンテンツの暗号化されたコピーが、エンドポイント コンピューターの事前定義されたエビデンス フォル
ダーに保存されます。 McAfee DLP Endpoint がサーバーに情報を渡すと、フォルダーはパージされ、エビデンスは
サーバーのエビデンス フォルダーに保存されます。 ポリシー カタログ 、 クライアントの設定 、 エビデンス コピ
ー サービス 、 エビデンス コピー サービス の設定は、コンピューターがオフラインの場合の、ローカル エビデンス
ストレージの最大サイズと最大期間の制御に使用されます。
エビデンスの保存の前提条件
エビデンス ストレージの有効化は、McAfee DLP Endpoint のデフォルトの条件です。 エビデンスを保存しない場
合は、エビデンス サービスを無効にすることでパフォーマンスを向上させることができます。 次の項目は、ソフト
ウェアのセットアップ時に必要になるか、デフォルトとして設定されています。
•
エビデンス ストレージ フォルダー — エビデンス ストレージ フォルダーの作成とそのフォルダーへの UNC パ
スの指定は、McAfee ePO へのポリシーの適用のための要件です。 フォルダーの設定とアクセス権限の設定
(『エビデンスのネットワーク共有』 とも呼ばれる) の詳細は、このガイドの 『リポジトリ フォルダーの作成と
設定』を参照してください. クライアント設定ポリシーの エビデンス コピー サービス のページのポリシー カタ
ログのパスを指定します。
•
エビデンス コピー サービス — エビデンス コピー サービスは、クライアント設定ポリシーの 動作モードとモジ
ュール のページで有効にされます。 これは、レポート サービス の下のサブエントリで、エビデンスの収集には
このサービスも有効にする必要があります。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
39
5
システム コンポーネントの設定
エビデンスによるイベントの記録
エビデンス ストレージとメモリ
イベントあたりの保存されるエビデンス ファイルの数は、ストレージの量、イベント パーサーのパフォーマンス、
DLP インシデント マネージャーと DLP 操作イベント ページのスクリーン描画 (つまりユーザー エクスペリエン
ス) を意味します。 異なるエビデンスの要件を扱う場合は、McAfee DLP Endpoint ソフトウェアが以下を実行しま
す。
•
イベントあたりの保存されるエビデンス ファイルの数は、クライアント設定ポリシーの エビデンス コピー サー
ビス ページで設定されます。 デフォルトは 1,000 です。
•
多量のエビデンス ファイルが 1 つのイベントにリンクされる場合は、最初の 100 ファイル名のみがデータベー
スに保存されて DLP インシデント マネージャーの詳細ページに表示されます。 残りのエビデンス ファイル
(設定された最大数以下) は、エビデンス ストレージ共有に保存されますがイベントには関連付けされません。
ファイル名に基いてエビデンスをフィルタリングするレポートとクエリーは、この最初の 100 ファイル名にのみ
アクセスできます。
•
DLP インシデント マネージャー フィールドの 一致数の合計 は、インシデント数の合計を表示します。
ヒット ハイライト
ヒット ハイライト オプションを使用すると、管理者はイベントを引き起こした機密コンテンツを正確に特定できま
す。 選択すると、抽出したテキストを含む暗号化された HTML ファイルが保存されます。 タグおよびコンテンツ
カテゴリの場合、テキストは、強調表示されたワードまたはフレーズと、イベントをトリガしたタグまたはコンテン
ツ カテゴリで構成されたコンテキストの前後 100 文字で構成され、タグ/コンテンツ カテゴリごとのイベント数の
カウントが含まれます。 セキュア テキストのパターンとディクショナリの場合は、正確なテキストが抽出されます。
正規表現と完全一致のキーワードは、式につき 100 件の一致を表示し、ディクショナリはディクショナリ エントリ
あたり最大 250 件の一致を表示できます。 表示オプションは、分類が一致するファイル フィールドのクライアント
設定ポリシーの エビデンス コピー サービス ページで設定します。
•
簡略的な結果を作成する (デフォルト) — セクションあたり 1500 文字 (5 ～ 7 ヒット) を表示します。
•
すべての一致を作成する — すべての一致を表示しますが、前述した制限があります。
•
無効 — ヒット ハイライト機能を無効にします。
エビデンスの保存を許可するルール
これらのルールには、エビデンスの保存オプションがあります。
表 5-1 ルールによるエビデンスの保存
40
ルール
保存対象
アプリケーション ファイル アクセス保護ルール
ファイルのコピー
クリップボード保護ルール
クリップボードのコピー
クラウド保護ルール
ファイルのコピー
電子メール保護ルール
電子メールのコピー
ネットワーク共有の保護ルール
ファイルのコピー
プリンタ保護ルール
ファイルのコピー
リムーバブル ストレージ保護ルール
ファイルのコピー
スクリーン キャプチャ防止ルール
画面の JPEG
Web 送信保護ルール
Web 送信のコピー
ファイル システム検出ルール
ファイルのコピー
電子メール ストレージ検出ルール
.msg ファイルのコピー
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
システム コンポーネントの設定
エビデンスによるイベントの記録
5
エビデンス フォルダーの作成
エビデンス フォルダーには、McAfee DLP ソフトウェアがポリシーと作成とレポートに使用する情報が含まれてい
ます。 McAfee DLP のインストールによっては、フォルダーおよびネットワーク共有が作成され、プロパティとセ
キュリティ設定が適切に設定されている必要があります。
このフォルダーは McAfee DLP データベース サーバーと同じコンピューター上にある必要はありませんが、通常は
同じ場所に置いた方が便利です。
エビデンス フォルダ — ルールには、証拠 (エビデンス) を保存できるものがあります。そのため、前もってエビデ
ンスを格納するフォルダを指定する必要があります。 たとえば、ファイルがブロックされると、ファイルのコピーが
エビデンス フォルダに保存されます。
次のフォルダー パス、フォルダー名、および共有名を推奨していますが、使用している環境に応じたものを作成する
こともできます。
•
c:\dlp_resources\
•
c:\dlp_resources\evidence
エビデンス ストレージ パスは、ネットワーク共有で、McAfee ePO サーバー名を含む必要があります。
エビデンス フォルダーの設定
エビデンス フォルダーを設定するには、特定のセキュリティ設定が必要です。
開始する前に
エビデンス フォルダーの作成
タスク
1
Windows Explorer で、エビデンス フォルダーを右クリックして [プロパティ] を選択します。
2
[共有] タブをクリックしてから、[詳細共有] をクリックします。 [このフォルダーを共有する] オプションを選
択します。
a
[共有名] を evidence$ / whitelist$ に変更します。 [OK] をクリックします。
$ は、共有が表示されないことを示します。
b
3
[権限] をクリックして [すべてのユーザーにすべての権限] を選択します。 [OK] を 2 回クリックします。
[セキュリティ] タブをクリックしてから、[詳細] をクリックします。
a
[権限]タブで、[権限の変更] をクリックし、次に [オブジェクトの親からの継承権限を含める] オプションの
選択を解除します。
この変更によるフォルダーへの影響を説明する確認ボックスが表示されます。
b
[削除] をクリックします。
[詳細セキュリティ設定ウィンドウ] の [権限] タブに、限定されたすべての権限が表示されます。
c
[追加] をクリックして、オブジェクトのタイプを選択します。
d
[選択するオブジェクト名を入力] フィールドに、Domain Computers と入力して、[OK] をクリックしま
す。
[権限エントリ] ダイアログ ボックスが表示されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
41
5
システム コンポーネントの設定
ユーザーと権限セット
e
[許可] 列で [ファイルの作成/データの書き込み] と [フォルダーの作成/データの追加] を選択します。
[適用] オプションが [このフォルダー、サブフォルダーおよびファイル] になっていることを確認し、[OK]
をクリックします。
これで、[詳細セキュリティ設定] ウィンドウに [Domain Computers] が含まれます。
f
[追加] をもう一度クリックして、オブジェクトのタイプを選択します。
g
[選択するオブジェクト名を入力] フィールドに Administrators と入力し、[OK] をクリックして、[権限
エントリ] ダイアログ ボックスを表示します。 必要な権限を設定します。
管理者の追加はオプションですが、セキュリティを考慮して追加できます。 また、権限をポリシー配備の権限
を持つ管理者にのみ限定することもできます。
4
[OK] を 2 回クリックしてダイアログ ボックスを閉じます。
ユーザーと権限セット
McAfee DLP は McAfee ePO ユーザー と 権限セット を使用します。 これにより、McAfee DLP 管理の別の部分
を、別のユーザーまたはグループに割り当てることができます。
特定の McAfee DLP ユーザーまたはグループ、および管理者とレビュワーの権限を McAfee ePO に作成することを
推奨します。 McAfee DLP Endpoint、および DLP インシデント マネージャーの異なる権限をユーザーに割り当て
ることにより、異なるロールを作成できます。
システム ツリー フィルタリング権限のサポート
McAfee DLP Endpoint は、DLP インシデント マネージャー および DLP 操作イベント の McAfee ePO システム
ツリー フィルタリング権限をサポートしています。 システム ツリー フィルタリングが有効にされると、McAfee
ePO のオペレーターは、システム ツリー の許可された場所のコンピューターからのインシデントのみを表示できま
す。 デフォルトでは、グループ管理者には、McAfee ePO システム ツリーに権限はありません。 [Data Loss
Prevention] 権限セットに割り当てられた権限に関わらず、DLP インシデント マネージャー または DLP 操作イベ
ント のインシデントは表示できません。 システム ツリー フィルタリングはデフォルトで無効になっていますが、
[メニュー] 、 [サーバー設定] 、 [Data Loss Prevention] で有効にできます。
Data Loss Prevention 権限セットでグループ管理者を使用している場合は、グループ管理者に [システム ツリー タ
ブを表示] 権限 (システム の下) および [システム ツリーへのアクセス] 権限を適切なレベルで割り当てることを推奨
します。
機密データに対する対応と McAfee ePO 権限セット
市場によって異なりますが、あらゆる状況での機密情報保護という法的要求を満たすために、McAfee DLP Endpoint
ソフトウェアはデータ編集機能を備えています。 機密コンテンツを含む DLP インシデント マネージャー と DLP
操作イベント コンソール のフィールドは、不正な閲覧を防止するために編集され、機密のエビデンスへのリンクは
非表示になります。 この機能は「二重鍵」の解放を想定して設計されています。 そのためこの機能を使用するには、
2 つの権限セット: 1 つはインシデントとイベントの表示用、もう 1 つは編集されたフィールドの表示用 (スーパー
バイザー権限) を作成する必要があります。 両方のロールを同じユーザーに割り当てることができます。
42
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
5
システム コンポーネントの設定
ユーザーと権限セット
McAfee DLP 権限セット
McAfee DLP 権限セットは、ポリシーの表示と保存、および編集されたフィールドの表示の権限を割り当てます。 こ
れは、役割ベースのアクセス コントロール (RBAC) の割り当てにも使用されます。
McAfee DLP サーバー ソフトウェアをインストールすると、McAfee ePO 権限セット Data Loss Prevention 9.4
が追加されます。 以前のバージョンの McAfee DLP が、同じ McAfee ePO サーバーにインストールされている場
合は、Data Loss Prevention の権限セットも表示されます。
Data Loss Prevention 9.4 権限セットの権限は、インシデント マネージャーのみでなく、管理コンソールのすべて
のセクションをカバーします。 権限には 3 つのレベルがあります。
•
使用 — ユーザーはオブジェクト (定義、分類、など) の名前のみを表示できます。
ポリシーでは、最小の権限は [権限なし] です。
•
表示と使用 — ユーザーはオブジェクトの詳細を表示できますが、変更はできません。
•
フルアクセス権限 — ユーザーはオブジェクトの作成と変更ができます。
管理者とレビュアーに必要に応じて異なる権限を与えることによって、管理コンソールの異なるセクションの権限を
設定できます。 このセクションは論理的にグループ化できます。たとえば、分類条件の設定には定義の使用が必要な
ため、[分類] を選択すると自動的に [定義] が選択されます。 権限グループは:
• ポリシー カタログ
• DLP ポリシー マネージャー
• 分類
• DLP ポリシー マネージャー
• 分類
• 定義
• 分類
• 定義
• 定義
インシデント管理、操作イベント および ケース管理 は個別に選択できます。
Data Loss Prevention アクション は、ヘルプ デスク アクション 権限セットに移動されました。 これらの権限を使
用すると、管理者は、クライアント バイパスとアンインストール キー、隔離解放キー、およびマスター キーを生成で
きます。
このセクションのデフォルトの権限に加えて、各オブジェクトの上書きを設定できます。 上書きは、権限レベルの増
加あるいは減少のいずれかです。 たとえば、DLP ポリシー マネージャー 権限では、権限セットが作成される際に存
在するすべてのルール セットが一覧表示されます。 それぞれに異なる上書きを設定できます。 新しいルール セッ
トが作成されると、それらにはデフォルトの権限が設定されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
43
5
システム コンポーネントの設定
ユーザーと権限セット
McAfee DLP 権限セットの作成
権限セットは、McAfee DLP ソフトウェアで、異なる管理者とレビューアーのロールを定義するために使用されま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [権限セット] の順に選択します。
2
事前定義された権限セットを選択するか、[新規] をクリックして権限セットを作成します。
3
a
セットの名前を入力し、ユーザーを選択します。
b
[保存] をクリックします。
権限セットを選択して、[Data Loss Prevention 9.4] セクションの [編集] をクリックします。
a
左パネルで、データ保護モジュールを選択します。
[インシデント管理]、[操作イベント] および [ケース管理] は個別に選択できます。 他のオプションは、自動
的に事前定義のグループを作成します。
b
必要に応じてオプションと権限の上書きを編集します。
ポリシー カタログ には編集できるオプションはありません。 ポリシー カタログ を権限セットに割り当てる
場合は、ポリシー カタログ グループのサブモジュールを編集できます。
c
[保存] をクリックします。
使用例: DLP 管理者権限
必要に応じて管理者タスクを分離し、たとえばイベントのレビュー責任のないポリシー管理者を作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [権限セット] の順に選択します。
2
[新規] をクリックして権限セットを作成します。
a
セットの名前を入力し、ユーザーを選択します。
ポリシーを編集するには、ユーザーがポリシーの所有者またはグローバル管理者権限セットのメンバーである
必要があります。
b
3
[保存] をクリックします。
[Data Loss Prevention 9.4] 権限セットで、[ポリシー カタログ] を選択します。
[DLP ポリシー マネージャー]、[分類]、および [定義] が自動的に選択されます。
4
3 つのサブモジュールのそれぞれで、ユーザーに完全な権限と完全なアクセス権があることを確認します。
完全な権限はデフォルトの設定です。
これで、管理者は、ポリシー、ルール、分類、および定義の作成と変更ができます。
44
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
システム コンポーネントの設定
ユーザーと権限セット
5
使用例: DLP インシデント マネージャー の表示を編集権限で制限する
機密情報を保護し、市場の法的な要求に対応するために、McAfee DLP Endpoint はデータ編集機能を備えています。
データ編集機能を使用する場合は、機密コンテンツを含む DLP インシデント マネージャー と DLP 操作イベント コ
ンソール のフィールドは、不正な閲覧を防止するために暗号化され、エビデンスへのリンクは非表示になります。
[コンピュータ名]および[ユーザ名] フィールドはプライベートとして事前定義されています。
この例では、DLP インシデント マネージャー の権限を 編集レビューアー 向けに設定する方法を示します。この管
理者は、実際のインシデントは表示できませんが、インシデントを参照する他のレビューアーが必要とする場合に暗
号化されたフィールドを表示することができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [ユーザー管理] 、 [権限セット] を選択します。
2
通常のレビューアーと編集レビューアーの権限セットを作成します。
a
[新規] (または [アクション] 、 [新規]) をクリックします。
b
DLPE インシデント レビューアー または 編集レビューアーなどのグループの名前を入力します。
異なるレビューアー グループに異なるタイプのインシデントを割り当てることができます。 インシデントを
割り当てる前に、[権限セット] にグループを作成する必要があります。
c
利用可能な McAfee ePO ユーザーから、または Active Directory のユーザーまたはグループを権限セット
にマッピングすることにより、ユーザーをグループに割り当てます。 [保存] をクリックします。
左パネルの [権限セット] リストにグループが表示されます。
3
標準レビューアーの権限セットを選択して、[Data Loss Prevention 9.4] セクションの [編集] をクリックしま
す。
a
左パネルで、[インシデント管理] を選択します。
b
[インシデント レビューアー] セクションで、[ユーザーは次の権限セットに割り当てられたインシデントを表
示できます] を選択して、選択アイコンをクリックし、関連する権限セットを選択します。
c
[インシデント データの編集] セクションで、デフォルトの [管理者権限] を選択解除して、[重要なインシデ
ント データを難読化する] オプションを選択します。
このオプションを選択すると、編集機能が有効になります。 このオプションを非選択のままにすると、すべ
てのデータ フィールドがテキスト形式で表示されます。
4
d
[インシデント タスク] セクションで、必要に応じてタスクを選択または選択解除します。
e
[保存] をクリックします。
編集レビューアーの権限セットを選択して、[Data Loss Prevention 9.4] セクションの [編集] をクリックしま
す。
a
左パネルで、[インシデント管理] を選択します。
b
[インシデント レビューアー] セクションで、[ユーザーはすべてのインシデントを表示できます] を選択しま
す。
この例では、すべてのインシデントに対して 1 人の編集レビューアーを割り当てるものとします。 異なるイ
ンシデントのセットに対して、異なる編集レビューアーを割り当てることもできます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
45
5
システム コンポーネントの設定
ポリシー カタログの McAfee DLP の設定
c
[インシデント データの編集] セクションで、デフォルトの [管理者権限] と [重要なインシデント データを
難読化する] オプションを選択します。
d
[インシデント タスク] セクションで、すべてのタスクを選択解除します。
編集レビューアーには、通常は他のレビューアーのタスクはありません。 ただし、これは特定の必要性があル
場合のオプションです。
e
[保存] をクリックします。
ポリシー カタログの McAfee DLP の設定
McAfee DLP は、McAfee ePO ポリシー カタログを使用して、ポリシーとクライアントの設定を保存します。
McAfee DLP は、McAfee ePO ポリシー カタログにポリシーを作成します。
•
クライアントの設定
•
DLP ポリシー
[クライアントの設定] ポリシーには、エンドポイント コンピューターによるポリシーの扱い設定が含まれています。
[DLP ポリシー] は、[ルール セット]、[エンドポイント検出] の設定、および [設定] で構成されています。
McAfee DLP Endpoint 設定のインポートまたはエクスポート
ポリシーの設定は、HTML 形式でバックアップのために保存するか、ポリシーを McAfee ePO サーバーに転送する
ことができます。 ポリシーのインポートとエクスポートは、McAfee ePO ポリシー カタログから実行します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[ポリシー カタログ] 、 [製品] 、 [Data Loss Prevention 9.4] の順に選択します。
2
以下のいずれかを実行します。
•
エクスポートするには、[エクスポート] をクリックします。 [エクスポート] ウィンドウで、ファイル リンク
を右クリックし、[リンクに名前を付けて保存] を選択します。
[エクスポート] ボタンは、すべてのポリシーをエクスポートします。 個別のポリシーは、ポリシー名の行の
[アクション列] の [エクスポート] を選択してエクスポートできます。
•
保存されたポリシーをインポートするには、[インポート] をクリックします。 [ポリシーのインポート] ウィ
ンドウで、保存されたポリシーを参照して、[開く] をクリックしてから [OK] をクリックします。
インポート ウィンドウが開き、インポートしようとしているポリシーと、名前の重複の有無が表示されます。 重
複するポリシーは、選択解除することによりインポートしないようにできます。 名前が重複するポリシーを選択
した場合は、既存のポリシーが上書きされて割り当てを継続します。
クライアントの設定
McAfee DLP Endpoint 用の McAfee Agent クライアント ソフトウェアは、企業のコンピューター内に常駐し、定
義されたポリシーを実行します。 また、このソフトウェアは、機密コンテンツに関連するユーザーのアクティビティ
を監視します。 クライアントの設定は、管理されたコンピューターに配備されたポリシー内に保存されています。
ポリシー カタログは、エンドポイント設定とエンドポイント ポリシー用の McAfee デフォルト ポリシーに付属して
います。 ([アクション] 列にある) [複製] をクリックして、独自のポリシー用の編集可能なコピーを作成します。
46
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
5
システム コンポーネントの設定
ポリシー カタログの McAfee DLP の設定
クライアントの設定は、McAfee ePO により管理されたコンピューターに配備されたポリシー内に保存されていま
す。 設定が更新されたら、ポリシーを再配備する必要があります。
クライアント サービスのウォッチドッグ
不正な干渉が発生した場合でも、McAfee DLP Endpoint ソフトウェアの正常な動作を維持するため、McAfee DLP
Endpoint はクライアント サービスのウォッチドッグと呼ばれる保護サービスを実行します。 このサービスは、
McAfee DLP Endpoint ソフトウェアを監視し、何らかの理由でこのソフトウェアが停止した場合はこれを再起動し
ます。 このサービスはデフォルトで有効になっています。 これが実行中であることを確認するには、Microsoft
Windows のタスク マネージャーのプロセスで fcagswd.exe という名前のサービスが実行中であるかどうか確認
します。
OS X は、クライアントの設定パラメーターをサポートしています。
クライアントの設定は、Microsoft Windows と OS X のエンドポイント コンピューターに適用できます。 OS X の
McAfee DLP Endpoint クライアント ソフトウェアは、オペレーティング システムでサポートされていないパラメ
ーターを無視します。
表 5-2 デバッグとロギング ページ
パラメーター
オペレーティング システムのサポート
[クライアントによって
レポートされる管理 イ
ベント]
OS X と Microsoft Windows の両方で適用されるフィルター設定は以下のとおりです、
• クライアントがバイパス モードに変
更されました
• ポリシーの変更
• クライアントがバイパス モードから
変更されました
• 解放コードがロックされました
• クライアントがインストールされま
した
その他のすべての設定は、Microsoft Windows エンドポイントのみに適用されます。
[ロギング]
Microsoft Windows と OS X の両方でサポートされています。
表 5-3 ユーザー インターフェース コンポーネント ページ
セクション
パラメーター
オペレーティング システムのサ
ポート
[クライアント ユーザー インターフェ [DLP コンソールを表示する] (すべての Microsoft Windows のみ
ース]
オプション)
[エンドユーザー通知ポップアップを有
効化]
OS X および Microsoft
Windows
[リクエスト ジャスティフィケーション
ダイアログを表示する]
Microsoft Windows のみ
すべてのオプション
OS X および Microsoft
Windows
[リリース コードのロックアウト ポリ すべてのオプション
シー]
OS X および Microsoft
Windows
[クライアント バナー イメージ]
Microsoft Windows のみ
[チャレンジ応答]
McAfee Data Loss Prevention Endpoint 9.4.100
すべてのオプション
製品ガイド
47
5
システム コンポーネントの設定
ポリシー カタログの McAfee DLP の設定
クライアントの設定
クライアントの設定は、エンドポイント ソフトウェアの動作を決定します。
ソフトウェアの設定時にソフトウェアが要件を満たしているか確認する場合は、クライアントの設定を確認すること
をお奨めします。 多くの設定項目には適切なデフォルトが設定されており、初期のセットアプとテストでは変更なし
に使用できます。 以下の表示に、確認する必要のある重要な設定を一覧表示します。
表 5-4
エンドポイント設定
設定
詳細
[詳細設定]
DLP クライアントをセ デフォルトで無効。 これを有効にすると、コンピューターがセーフ モー
ーフ モードで実行
ドで起動されたときに McAfee DLP Endpoint が完全に機能します。
McAfee DLP Endpoint クライアントが起動に失敗する場合は、復旧メ
カニズムが機能します。
[コンテンツ追
跡]
次のフォールバック
言語が設定されていない場合は、エンドポイント コンピューターのフォ
ANSI コード ページを ールバックがデフォルト言語です。
使用
[会社の接続性]
サーバー アドレス
会社のネットワーク内にある、またはネットワーク外にある、あるいは
VPN 接続されているエンドポイント コンピューターには、それぞれ異な
る防止アクションを適用できます。VPN オプションを使用するには、サ
ーバーの IP アドレスを設定します。
[エビデンス コ
ピー サービス]
[エビデンス ストレー
ジ]共有 UNC
例のテキストをエビデンス ストレージ共有で置き換えます。
[動作モードと
モジュール]
[Web 送信保
護]
48
説明
パフォーマンスを改善するには、使用していないモジュールの選択を解
除することをお奨めします。
サポートされている
Chrome バージョン
Google Chrome を使用する場合は、[参照] をクリックして、サポート
されているバージョンの現在のリストを追加します。 このリストは、
McAfee サポートからダウンロードした XML ファイルです。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
6
リムーバブル メディアの保護
®
McAfee Device Control は、スタンドアロン デバイスが使用される際に、機密コンテンツの許可されない転送に関
連するリスクから企業を保護します。
Device Control は、会社の管理対象のコンピューターに接続されたデバイスを監視またはブロックして、これらの
デバイスの機密情報の配布のための使用を監視してコントロールすることができます。 スマートフォン、リムーバブ
ル ストレージ デバイス、Bluetooth デバイス、MP3 プレーヤー、またはプラグ アンド プレイ デバイスのすべてを
コントロールできます。
McAfee Device Control は、別製品として販売される McAfee DLP Endpoint のコンポーネントです。 Device
Control という用語がこのセクションで使用されますが、すべての機能と説明は McAfee DLP Endpoint にも適用さ
れます。
表 6-1 Device Control 用語
用語
オペレーティン 定義
グ システムへの
適用:
デバイス クラス Windows
デバイス定義
デバイス クラス — 類似した特性をもち同様の方法で管理できるデバイスの集
合。 デバイス クラスには、管理対象、管理対象外、またはホワイトリストに
登録済み の状態があります。
Windows、Mac デバイスの特定あるいはグループ化に使用するデバイス プロパティのリスト
です。
デバイス プロパ Windows、Mac バス タイプ、ベンダー ID、製品 ID などの、デバイスの定義に使用できるプ
ティ
ロパティです。
デバイス ルール Windows、Mac ポリシーのデバイス定義に一致するデバイスをユーザーが使用しようとした時
に実行するアクションを定義します。 ルールは、デバイス ドライバー レベル
またはファイル システム レベルで、ハードウェアに適用されます。 デバイス
ルールは、特定のエンドユーザーに割り当てることができます。
管理対象のデバ
イス
Windows
そのクラスのデバイスが Device Control により管理されていることを示すデ
バイス クラスの状態です。
リムーバブル ス Windows、Mac デバイスのブロックまたは監視、あるいは読み取り専用の設定に使用されます。
『デバイス ルール』の参照
トレージ デバイ
ス ルール
リムーバブル ス Windows
トレージ保護ル
ール
ユーザーが、機密にラベル付けされたコンテンルを管理対象のデバイスにコピ
ー使用とした場合に、実行するアクションを定義します。
管理対象外のデ
バイス
Windows
そのクラスのデバイスが Device Control により管理されていないことを示す
デバイス クラスの状態です。
ホワイトリスト
に登録されたデ
バイス
Windows
そのクラスのデバイスを管理しようとすると、管理対象のコンピューター、シ
ステムの状態、または効率に影響を与える可能性があるため、Device Control
により管理できないことを示すデバイス クラスの状態です。
目次
デバイスの保護
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
49
6
リムーバブル メディアの保護
デバイスの保護
デバイス クラス
デバイス定義
Device Control ルール
デバイス ルールの作成
デバイスの保護
USB ドライブは、大量のデータをダウンロードするための、最も小型で、最も利用が容易で、追跡が最も困難な方法
です。 これは、不正なデータ転送に「よく選択される武器」であると考えられます。 Device Control ソフトウェア
は、USB ドライブと、スマートフォン、Bluetooth デバイス、プラグ アンド プレイ デバイス、オーディオ プレー
ヤー、および非システム デバイスなどの他の外部デバイスを監視して制御します。 Device Control は、サーバーを
含む大部分の Windows と OS X オペレーティング システムで実行します。 詳細は、このガイドのシステム要件の
ページを参照してください。
McAfee Device Control 保護は 3 つのレイヤーに組み込まれています。
•
デバイス クラス — 類似した特性を持ち、同様の方法で管理できるデバイスの集合。 デバイス クラスは、プラグ
アンド プレイ デバイスの定義とルールにのみ適用され、OS X オペレーティング システムには適用されません。
•
デバイス定義 — デバイスを共通プロパティによって特定してグループ化します。
•
デバイス ルール — デバイスの動作を制御します。
デバイス ルールは、ルールに含まれるあるいは除外されるデバイス定義のリストと、デバイスの使用によってルール
がトリガーされると実行するアクションで構成されています。 さらに、ルールに含めるあるいはルールから除外する
エンドユーザーを指定できます。 オプションで、アプリケーション定義を含めて、機密コンテンツのソースに従って
ルールをフィルタリングできます。
リムーバブル ストレージ保護ルール
デバイス ルールに加えて、Device Control には、1 つのデータ保護ルール タイプが含まれます。 リムーバブル ス
トレージ保護ルールには、ルールをトリガーする機密コンテンツを定義する分類が 1 つ以上含まれます。 これには、
オプションでアプリケーション定義または Web ブラウザー URL を含むことができ、またエンドユーザーを含むあ
るいは除外することができます。
デバイス クラス
デバイス クラスは類似した特性をもち同様の方法で管理できるデバイスの集合です。
デバイス クラスとは、システムで使用するデバイスに名前を付け、識別することです。 各デバイス クラスの定義に
は、名前と 1 つ以上のグローバルに一意の識別子 (GUID) が含まれます。 たとえば、『Intel® PRO/1000 PL
Network Connection』 および 『Dell wireless 1490 Dual Band WLAN Mini-Card』 は、
『Network Adapter』
デバイス クラスに属する 2 つのデバイスです。
デバイス クラスは、OS X デバイスには適用されません。
50
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
デバイス クラス
6
デバイス クラスの構成方法
DLP ポリシー マネージャー は、Device Control の下の 定義 タブで事前定義された (組み込みの) デバイス クラス
を一覧表示します。 デバイス クラスは、次の状態によって分類されます。
•
管理対象 デバイスは、McAfee DLP Endpoint で管理される特定のプラグ アンド プレイ デバイスまたはリムー
バブル ストレージ デバイスです。
•
管理対象外 のデバイスは、デフォルトの設定では Device Control で管理されません。
•
ホワイトリストに登録されたデバイスは、バッテリー デバイスやプロセッサーのように Device Control がコン
トロールしないデバイスです。
システムやオペレーティング システムの障害を避けるために、デバイス クラスは編集できませんが、複製して編集
し、ユーザー定義クラスをリストに追加できます。
デバイス クラスをリストに追加する前に、そうすることによる結果をまずテストすることをお奨めします。 ポリシー
カタログの DLP ポリシーでは、設定 タブに デバイス クラス ページがあり、デバイス クラスの状態とフィルター タ
イプの設定への一時的な上書きを作成できます。 上書きは、恒久的なクラスを作成する前のユーザー定義の変更のテ
ストや、Device Control の問題のトラブルシューティングに使用できます。
Device Control は、デバイス定義とプラグ アンド プレイの Device Control ルールを使用して、管理対象のデバイ
ス クラスと管理対象のデバイス クラスに属する特定のデバイスの動作を制御します。 一方、リムーバブル ストレー
ジ デバイス ルールは、管理対象のデバイス クラスを必要としません。 その理由は、この 2 つのタイプの デバイス
ルールがデバイス クラスを使用する方法が異なっていることに関係しています。
•
プラグ アンド プレイ デバイス ルールは、ハードウェア デバイスがコンピューターに接続されるとトリガーされ
ます。 対応はデバイス ドライバーに対するものであるため、デバイス クラスは認識されるデバイスに対して管
理される必要があります。
•
リムーバブル ストレージ デバイス ルールは、新しいファイル システムがマウントされるとトリガーされます。
ファイル システムがマウントされると、Device Control クライアントが、特定のハードウェア デバイスにドラ
イブ文字を関連付けて、デバイスのプロパティをチェックします。 対応が、(ファイル システムがマウントされ
た場合の) ファイル システム操作に対するものであるため、デバイス クラスを管理する必要はありません。
関連トピック:
52 ページの「デバイス クラスの作成」
デバイス クラスの作成
適切なデバイスクラスが、事前定義されたリストにない場合、または新しいハードウェアを接続した際に自動的に作
成されなかった場合は、McAfee DLP Endpoint ポリシー マネージャー コンソールで新しいデバイス クラスを作成
できます。
GUID の取得
各デバイス クラスの定義には、名前と 1 つ以上のグローバルに一意の識別子 (GUID) が必要です。
ハードウェア デバイスには、独自のデバイス クラスをインストールするものがあります。 独自のデバイス クラスを
定義するプラグ アンド プレイ デバイスの動作をコントロールするには、最初に新しいデバイス クラスを [デバイス
クラス] リストの [管理された] ステータスに追加する必要があります。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
51
6
リムーバブル メディアの保護
デバイス クラス
デバイス クラスは、2 つのプロパティ: 『名前』 および 『GUID』 で定義されます。 新しいデバイスの名前はデバ
イス マネージャーに表示されますが、GUID は Windows レジストリにのみ表示され、これを取得する簡単な方法
はありません。 新しいデバイスの名前と GUID の取得を容易にするために、認識されるデバイス クラスに属さない
ハードウェア デバイスがホスト コンピューターに接続されると Device Control クライアントは 『見つかった新し
いデバイス クラス』 イベントを DLP インシデント マネージャーにレポートします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] 、 [インシデント リスト]
の順に選択します。
2
[フィルター] ドロップダウン リストの横の [編集] をクリックしてフィルター条件を編集します。
3
[使用可能なプロパティ] リスト (左パネル) で、[インシデント タイプ] を選択します。
4
[比較] ドロップダウン リストの値が [等しい] になっていることを確認します。
5
[値] ドロップダウン リストから、[新しいデバイス クラスが見つかりました] を選択します。
6
[フィルターの更新] をクリックします。
[インシデント リスト] は、すべてのエンドポイント コンピューターで見つかった新しいデバイス クラスを表示
します。
7
特定のデバイスの名前と GUID を表示するには、インシデントの詳細を表示する項目をダブル クリックします。
デバイス クラスの作成
適切なデバイス クラスが事前定義リストにない場合、または新しいハードウェアのインストール時に自動的に作成さ
れなかった場合は、デバイス クラスを作成します。
開始する前に
このタスクを開始する前に、デバイスの GUID を取得します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[Device Control] 、 [デバイス クラス] を選択します。
3
以下のいずれかを実行します。
•
[アクション] 、 [新規]の順に選択します。
•
組み込みデバイス クラス リストで類似のクラスを見つけて、[アクション] 列の [複製] をクリックします。
複製したデバイス クラスで [編集] をクリックします。
4
一意の[名前]とオプションの[説明]を入力します。
5
[ステータス] および [フィルター タイプ] は必須です。
6
GUID を入力して。[追加] をクリックします。
GUID は、正しい形式で入力してください。 間違って入力するとプロンプトが表示されます。
7
52
[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
デバイス定義
6
関連トピック:
50 ページの「デバイス クラス」
53 ページの「デバイス定義」
デバイス定義
デバイス定義は、バス タイプ、デバイス クラス、ベンダー ID および 製品 ID などのデバイス プロパティのリスト
です。
デバイス定義の役割は、デバイスを共通のデバイス プロパティで識別してグループ化することです。 あるデバイス
プロパティはあらゆるデバイス定義に適用でき、その他のデバイス プロパティは特定のデバイス タイプに対して排
他的です。
使用可能なデバイス定義タイプ:
•
固定ハード ドライブ デバイス は、コンピューターに接続され、オペレーティング システムによってリムーバブ
ル ストレージとマークされません。 Device Control は、ブート ドライブ以外の固定ハード ドライブをコント
ロールできます。
•
プラグ アンド プレイ デバイス は、DLL およびドライバの設定または手動インストールを行っていない管理され
たコンピューターに追加できるデバイスです。 プラグ アンド プレイ デバイスには、ほとんどの Microsoft
Windows デバイスが含まれます。
•
リムーバブル ストレージ デバイス は、ドライブとして管理されたコンピューター上に表示されるファイル シス
テムを含む外部デバイスです。 リムーバブル ストレージ デバイス定義は、Windows または OS X オペレーテ
ィング システムをサポートしています。
•
ホワイトリストに登録されたプラグ アンド プレイ デバイスは、デバイス管理で正しく機能せず、システムが応
答を停止したり他の深刻な問題を発生する場合があります。
ホワイトリストに登録されたプラグ アンド プレイ デバイスの定義は、各プラグ アンド プレイ デバイス コント
ロール ルールの『除外』リストに自動的に追加されます。 親のデバイス クラスが管理対象であっても、これらは
管理対象とはなりません。
リムーバブル ストレージ デバイス定義はより柔軟で、リムーバブル ストレージ デバイスに関連する追加のプロパテ
ィを含んでいます。 McAfee では、USB 大容量ストレージ デバイスのように、リムーバブル ストレージ デバイス
として分類されるデバイスの制御にはリムーバブル ストレージ デバイス定義とルールを使用することをお勧めしま
す。
関連トピック:
52 ページの「デバイス クラスの作成」
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
53
6
リムーバブル メディアの保護
デバイス定義
デバイス定義の扱い
複数のパラメーターが、論理 OR (デフォルト) または論理 AND としてデバイス定義に追加されます。 複数のパラ
メーター タイプは、常に論理 AND として追加されます。
たとえば、以下のパラメーターの選択:
つぎの定義を作成します:
•
バス タイプは次のいずれかです: Firewire (IEEE 1394) OR (または) USB
•
AND デバイス クラスは、メモリ デバイス OR (または) Windows ポータブル デバイスのいずれかです。
タスク
•
54 ページの「デバイス定義の作成」
デバイス定義は、ルールをトリガーするデバイスのプロパティを指定します。
•
55 ページの「ホワイトリストに登録されたプラグ アンド プレイ定義の作成」
プラグ アンド プレイ デバイスをホワイトリストに登録する目的は、デバイスを管理できず、システム
の応答が無くなったりその他の深刻な問題が発生する可能性のあるデバイスに対処することです。 互換
性の問題を避けるために、そのようなデバイスはホワイトリスト デバイス リストに追加することをお勧
めします。
•
55 ページの「リムーバブル ストレージ デバイス定義の作成」
リムーバブル ストレージ デバイスとは、ドライブとして管理されたコンピューター上に表示されるファ
イル システムを含む外部デバイスのことです。 リムーバブル ストレージ デバイス定義は、プラグ アン
ド プレイ デバイス定義よりも柔軟で、デバイスに関連する追加のプロパティを含んでいます。
デバイス定義の作成
デバイス定義は、ルールをトリガーするデバイスのプロパティを指定します。
明確な管理ができず、システムが応答を停止したり他の深刻な問題が発生させる可能性のあるデバイスに対して、ホワ
イトリストに登録されたプラグ アンド プレイの定義を作成します。 これらのデバイスに対しては、ルールがトリガー
されても、アクションは実行されません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
54
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[Device Control] 、 [デバイス定義] を選択します。
3
[アクション] 、 [新規] を選択して、次に定義のタイプを選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
デバイス定義
4
一意の[名前]とオプションの[説明]を入力します。
5
デバイスのプロパティを選択します。
6
利用可能なプロパティのリストは、デバイスのタイプによって異なります。
•
プロパティを追加するには、[>] をクリックします。
•
プロパティを削除するには、[<] をクリックします。
•
追加の値をプロパティに追加するには、[+] をクリックします。
値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン
をクリックします。
•
6
プロパティを削除するには、[-] をクリックします。
[保存] をクリックします。
ホワイトリストに登録されたプラグ アンド プレイ定義の作成
プラグ アンド プレイ デバイスをホワイトリストに登録する目的は、デバイスを管理できず、システムの応答が無く
なったりその他の深刻な問題が発生する可能性のあるデバイスに対処することです。 互換性の問題を避けるために、
そのようなデバイスはホワイトリスト デバイス リストに追加することをお勧めします。
ホワイトリストに登録されたプラグ アンド プレイ デバイスは、ポリシー適用時に、すべてのプラグ アンド プレイ
デバイス ルールの『除外』リストに自動的に追加されます。 親のデバイス クラスが管理対象であっても、これらは
管理対象とはなりません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[Device Control] 、 [デバイスの定義] を選択して、次に [アクション] 、 [新規] 、 [ホワイトリ
ストに登録されたプラグ アンド プレイ デバイス定義] を選択します。
3
一意の[名前]とオプションの[説明]を入力します。
4
デバイスのプロパティを選択します。
•
プロパティを追加するには、[>] をクリックします。
•
プロパティを削除するには、[<] をクリックします。
•
追加の値をプロパティに追加するには、[+] をクリックします。
値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン
をクリックします。
•
5
プロパティを削除するには、[-] をクリックします。
[保存] をクリックします。
リムーバブル ストレージ デバイス定義の作成
リムーバブル ストレージ デバイスとは、ドライブとして管理されたコンピューター上に表示されるファイル システ
ムを含む外部デバイスのことです。 リムーバブル ストレージ デバイス定義は、プラグ アンド プレイ デバイス定義
よりも柔軟で、デバイスに関連する追加のプロパティを含んでいます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
55
6
リムーバブル メディアの保護
デバイス定義
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[Device Control] 、 [デバイス定義] の順に選択し、次に、[アクション] 、 [新規] 、 [リムーバブ
ル ストレージ デバイス定義] を選択します。
3
一意の[名前]とオプションの[説明]を入力します。
4
Microsoft Windows または OS X デバイスの [適用先] オプションを選択します。
[使用可能なプロパティ] リストは、選択されたオペレーティング システムのプロパティに合わせて変化します。
5
デバイスのプロパティを選択します。
•
プロパティを追加するには、[>] をクリックします。
•
プロパティを削除するには、[<] をクリックします。
•
追加の値をプロパティに追加するには、[+] をクリックします。
値は、デフォルトで論理演算子 OR として追加されます。 これを AND に変更するには、[AND/OR] ボタン
をクリックします。
•
6
プロパティを削除するには、[-] をクリックします。
[保存] をクリックします。
デバイス プロパティ
デバイス プロパティは、デバイス名、バス タイプ、またはファイル システム タイプなどのデバイスの特性を指定し
ます。
このテーブルは、どの定義タイプがプロパティを使用するか、どのオペレーティング システムに適用されるかという
デバイス プロパティ定義を提供します。
表 6-2 デバイス プロパティのタイプ
プロパティ名
デバイス オペレーティング シ 説明
定義
ステムへの適用:
バス タイプ
すべて
デバイスのバス タイプを使用可能なリストから選択します。
• Windows —
Bluetooth、
Firewire
(IEEE1394)、
IDE/SATA、PCI、
PCMIA、SCSI、
USB
• Mac OS X —
Firewire
(IEEE1394)、
IDE/SATA、SD、
Thunderbolt、
USB
CD/DVD ドライ リムーバ • Windows
ブル ス
ブ
トレージ • Mac OS X
56
McAfee Data Loss Prevention Endpoint 9.4.100
選択すると、すべての CD または DVD ドライブを示します。
製品ガイド
リムーバブル メディアの保護
デバイス定義
6
表 6-2 デバイス プロパティのタイプ (続き)
プロパティ名
デバイス オペレーティング シ 説明
定義
ステムへの適用:
Endpoint
Encryption で
暗号化されたコ
ンテンツ
リムーバ Windows
ブル ス
トレージ
Endpoint Encryption で保護されたデバイス。
デバイス クラス プラグ
アンド
プレイ
Windows
使用可能な管理リストからデバイス クラスを選択します。
デバイスの互換
ID
すべて
Windows
物理デバイスの説明リスト。 PCI ベンダ ID/デバイス ID ま
たは USB PID/VID を使用して、より簡単に識別される USB
および PCI 以外のデバイス タイプに特に効果的です。
デバイス インス すべて
タンス ID
(Microsoft
Windows XP)
Windows
システム内でデバイスを一意に識別する Windows が生成し
た文字列。
例:
USB\VID_0930&PID_6533\5&26450FC&0&6
デバイス インス
タンス パス
(Windows
Vista 以降の
Microsoft
Windows オペ
レーティング シ
ステム、サーバー
を含む)
デバイス名
すべて
• Windows
ハードウェアに設定した名前。物理アドレスを表します。
• Mac OS X
ファイル システ • 固定ハ • Windows —
ムのタイプ
ード
CDFS、exFAT、
ディス
FAT16、FAT32、
ク
NTFS、UDFS
• リムー • Mac OS X —
バブル
CDFS、exFAT、
ストレ
FAT16、FAT32、
ージ
HFS/HFS+、
NTFS、UDFS
ファイル システムのタイプ。
• ハードディスクでは、exFAT、FAT16、FAT32、または NTFS
を選択します。
• リムーバブル ストレージ デバイスでは、上記のいずれか、
および CDFS または UDFS。
Mac OS X は、ブー
ト ディスク以外のデ
ィスクでは、FAT の
みをサポートしま
す。 Mac OS X は、
NTFS を読み取り専
用としてサポートし
ます。
ファイル システ リムーバ • Windows
ブル ス
ム アクセス
トレージ • Mac OS X
McAfee Data Loss Prevention Endpoint 9.4.100
ファイル システムへのアクセス: 読み取り専用または読み取
り/書き込み
製品ガイド
57
6
リムーバブル メディアの保護
デバイス定義
表 6-2 デバイス プロパティのタイプ (続き)
プロパティ名
デバイス オペレーティング シ 説明
定義
ステムへの適用:
ファイル システ • 固定ハ • Windows
ム ボリューム
ード
• Mac OS X
ラベル
ディス
ク
ユーザー定義のボリューム ラベル。Windows Explorer での
表示が可能。 部分一致が許可されます。
• リムー
バブル
ストレ
ージ
ファイル システ • 固定ハ Windows
ム ボリューム
ード
シリアル番号
ディス
ク
デバイスにファイル システムが作成されると、自動的に 32 ビ
ットの数値が生成されます。 これは、コマンド ライン コマン
ド dir x: を実行すると表示できます。 ここで、x: はドライ
ブの文字です。
• リムー
バブル
ストレ
ージ
PCI 製品 ID/デ
バイス ID
すべて
Windows
PCI ベンダ ID およびデバイス ID は PCI デバイスに埋め込
まれています。 これらのパラメータは物理デバイスのハード
ウェア ID の文字列から取得できます。
例:
PCI\VEN_8086&DEV_2580&SUBSYS_00000000 &REV_04
TrueCrypt デバ リムーバ Windows
ブル ス
イス
トレージ
Windows
USB クラス コ
ード
プラグ
アンド
プレイ
USB デバイス
シリアル番号
• プラグ • Windows
アンド
• Mac OS X
プレイ
一般的にリムーバブル ストレージ デバイスに対して USB デ
バイス製造メーカーが割り当てる一意の英数字文字列。 シリ
アル番号は、インスタンス ID の最後の部分です。
• リムー
バブル
ストレ
ージ
例:
USB ベンダ ID/ • プラグ • Windows
製品 ID
アンド
• Mac OS X
プレイ
• リムー
バブル
ストレ
ージ
58
選択すると TrueCrypt デバイスを指定します。
McAfee Data Loss Prevention Endpoint 9.4.100
一般機能で物理 USB デバイスを識別します。 リストからク
ラス コードを選択します。
USB\VID_3538&PID_0042\00000000002CD8
有効なシリアル番号は、5 文字以上のアルファベットまたは数
字で、アンパサンド (&) は使用できません。 インスタンス ID
の最後の部分がこの条件を満たさない場合、シリアル番号には
なりません。
USB ベンダ ID および製品 ID は USB デバイスに埋め込まれ
ています。 これらのパラメータは物理デバイスのハードウェ
ア ID の文字列から取得できます。
例:
USB\Vid_3538&Pid_0042
製品ガイド
リムーバブル メディアの保護
Device Control ルール
6
Device Control ルール
Device Control ルールは、特定のデバイスが使用された場合に実行するアクションを定義します。
このリリースでは、6 タイプの Device Control ルールのうち、リムーバブル ストレージ デバイス ルールのみが OS
X でサポートされています。
•
リムーバブル ストレージ デバイス ルール (Microsoft Windows、OS X) - リムーバブル ストレージ デバイス
のブロックまたは監視、あるいは読み取り専用の設定に使用します。 アクションが実行されると、ユーザーに通
知することができます。
•
プラグ アンド プレイ デバイス ルール (Microsoft Windows のみ) - プラグ アンド プレイ デバイスのブロッ
クまたは監視に使用します。 アクションが実行されると、ユーザーに通知することができます。
•
リムーバブル ストレージ ファイル アクセス ルール (Microsoft Windows のみ) - プラグイン デバイス上の実
行可能ファイルが実行されないようにブロックするために使用されます。
•
固定ハード ドライブ ルール (Microsoft Windows のみ) - 固定ハード ドライブのブロックまたは監視、あるい
は読み取り専用の設定に使用します。 アクションが実行されると、ユーザーに通知することができます。 固定ハ
ード ドライブ デバイス ルールは、ブート パーティションまたはシステム パーティションを保護しません。
•
Citrix XenApp デバイス ルール (Microsoft Windows のみ) を使用して、共有デスクトップ セッションにマ
ッピングされた Citrix デバイス をブロックします。
•
TrueCrypt デバイス ルール (Microsoft Windows のみ) — TrueCrypt の保護に使用します。 ブロック、監
視、または読み取り専用の設定に使用できます。 アクションが実行されると、ユーザーに通知することができま
す。
リムーバブル ストレージ デバイス ルール
リムーバブル ストレージ デバイス ルールを使用して、リムーバブル ストレージ デバイスをブロックまたは監視、
あるいは読み取り専用に設定します。 実行したアクションをユーザーに通知することができます。
リムーバブル ストレージ デバイス ルールは、Microsoft Windows と OS X の両方でサポートされています。 2 つ
のタイプのデバイス ルールのデバイス クラスの使用方法が異なるため、これらには管理対象のデバイス クラスは必
要ありません。
•
プラグ アンド プレイ デバイス ルールは、ハードウェア デバイスがコンピューターに接続されるとトリガーされ
ます。 対応はデバイス ドライバーに対するものであるため、デバイス クラスは認識されるデバイスに対して管
理される必要があります。
•
リムーバブル ストレージ デバイス ルールは、新しいファイル システムがマウントされるとトリガーされます。
ファイル システムがマウントされると、McAfee DLP Endpoint ソフトウェアが、特定のハードウェア デバイス
にドライブ文字を関連付けて、デバイスのプロパティをチェックします。 対応は、デバイス ドライバーではなく
ファイル システム操作に対するものであるため、デバイス クラスを管理する必要はありません。
使用例: リムーバブル ストレージ デバイス ルールとホワイトリストに登録されたプロセス
リムーバブル ストレージ ブロック ルールの例外として、プロセスをホワイトリストに登録できます。
リムーバブル ストレージ デバイス ルールは、アプリケーションのデバイス上での動作のブロックに使用されます。
ただし、ルールでは、ホワイトリストに登録されたプロセスを 1 つ許可できます。 この例では、Sandisk リムーバ
ブル ストレージ デバイスをブロックしますが、ウイルス対策ソフトウェアがデバイスをスキャンして感染したファ
イルを削除することを許可します。
この機能は、Windows ベースのコンピューターのみでサポートされます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
59
6
リムーバブル メディアの保護
Device Control ルール
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[定義] タブで、Sandisk リムーバブル デバイス (Windows) の組み込みデバイス定義をみつけて、[複製] をク
リックします。
組み込みの定義を複製してカスタマイズすることを推奨します。 ただし、単純な例では、そのまま使用すること
ができます。 定義では、Sandisk のベンダー ID 0781 を使用します。 他のベンダー ID を追加して、他のブラ
ンドのリムーバブル デバイスを定義に追加できます。
3
[ルール セット] タブで、ルール セットを選択または作成します。
4
[Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を
選択します。
5
ルールの名前を入力して、[状態] 、 [有効] を選択します。 [条件] セクションの [リムーバブル ストレージ] フ
ィールドで、手順 2 で作成したデバイス定義を選択します。
6
[プロセス名] フィールドで、組み込みの [McAfee AV] 定義を追加します。
リムーバブル ストレージ デバイス定義で、この定義を複製してカスタマイズできます。
7
[対応] タブで、[防止アクション] 、 [ブロック] を選択します。 オプションで、ユーザー通知を追加して、[イ
ンシデントのレポート] オプションを選択できます。
8
[保存] をクリックしてから、[OK] をクリックします。
使用例: リムーバブル デバイスを読み取り専用にする
リムーバブル ストレージ デバイス保護ルールには、プラグ アンド プレイ デバイス ルールとは異なり、読み取り専
用のオプションがあります。
リムーバブル デバイスを読み取り専用に設定することにより、パーソナル デバイスをストレージ デバイスとしての
使用を防止して、MP3 プレーヤーとしての使用を許可できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[デバイス定義] ページの [定義] タブで、リムーバブル ストレージ デバイス定義を作成します。
リムーバブル ストレージ デバイス亭午をは、Windows または Mac デバイスとして分類する必要があります。
Windows または Mac の組み込み定義の 1 つを複製して、これをカスタマイズすることができます。 [バス タイ
プ] には、USB、Bluetooth、および使用する予定の任意のバス タイプを含むことができます。 デバイスをベンダ
ー ID またはデバイス名で識別することができます。
60
3
[ルール セット] タブで、ルール セットを選択または作成します。
4
[Device Control] タブで、[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を
選択します。
5
ルールの名前を入力して、[状態] 、 [有効] を選択します。 [条件] セクションの [リムーバブル ストレージ] フ
ィールドで、手順 2 で作成したデバイス定義を選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
Device Control ルール
6
6
[対応] タブで、[防止アクション] 、 [読み取り専用] を選択します。 オプションで、ユーザー通知を追加して、
[インシデントのレポート] オプションを選択できます。
7
[保存] をクリックしてから、[OK] をクリックします。
プラグ アンド プレイ デバイス ルール
プラグ アンド プレイ デバイス ルールは、プラグ アンド プレイ デバイスのブロックまたは監視に使用します。 ア
クションが実行されると、ユーザーに通知することができます。
プラグ アンド プレイ デバイスは、DLL およびドライバの設定または手動インストールを行っていない管理されたコ
ンピューターに追加できるデバイスです。 プラグ アンド プレイ デバイス ルールは、Windows ベースのコンピュ
ーターのみでサポートされています。 ハードウェア デバイスをコントロールするプラグ アンド プレイ デバイス
ルールでは、ルールが使用するデバイス定義のデバイス クラスは [管理対象] ステータスに設定する必要があります。
使用例: iPhone を、プラグ アンド プレイ デバイス ルールでブロックして充電する
Apple iPhones は、コンピューターから充電中にストレージとしての使用をブロックできます。
この使用例では、iPhone の大容量ストレージ デバイスとしてお使用をブロックするルールを使用します。 プラグ
アンド プレイ デバイス保護ルールは、ルールがどのように指定されていても充電が可能なため、使用されます。 こ
の機能は、その他のスマートフォン、または他の Apple モバイル デバイスではサポートされません。 この機能は、
コンピューターからの iPhone の充電を妨げません。
プラグ アンド プレイ デバイス ルールを特定のデバイスに定義するには、デバイスの定義をベンダーと製品 ID コー
ド (VID/PID) で作成します。 この情報は、デバイスをプラグインしている時に Windows [デバイス マネージャ
ー] から取得できます。 この例では VID のみが必要なため、この情報を探す代わりに、組み込みデバイス定義 [す
べての Apple デバイス] を使用できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブで、ルール セットを選択 (または作成) します。 [デバイス コントロール] タブをクリック
して、プラグ アンド プレイ デバイス ルール作成します。 組み込みのデバイス定義 [すべての Apple デバイス]
を含まれる ([いずれか (OR)]) 定義として使用します。
3
[対応] タブで、防止アクションを [ブロック] に設定します。
4
[保存] をクリックしてから、[OK] をクリックします。
リムーバブル ストレージ ファイル アクセス ルール
リムーバブル ストレージ ファイル アクセス ルールは、プラグイン デバイス上の実行可能ファイルが実行されない
ようにブロックするために使用されます。
リムーバブル ストレージ ファイル アクセス ルールは、Windows ベースのコンピューターのみでサポートされてい
ます。 リムーバブル ストレージ ファイル アクセス ルールは、リムーバブル ストレージ デバイス上の実行可能ファ
イルが実行されないようにブロックします。 ルールで、含めるデバイスと除外するデバイスを指定できます。 暗号
化されたデバイス上の暗号化アプリケーションなどの、ある種の実行可能ファイルの実行を許可する必要があるため、
名前付きファイルをブロック ルールから免除するために、ルールには、[ファイル名] 、 [いずれでもない]パラメー
ターが含まれます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
61
6
リムーバブル メディアの保護
Device Control ルール
ファイル アクセス ルールは、実際のファイル タイプを使用してどのファイルをブロックするか決定します。 実際の
ファイル タイプは、拡張子が変更されていても正確に識別できるため、その内部で登録されたデータ タイプにより
ファイルを識別します。 デフォルトで、ルールが圧縮ファイル (.zip、.gz、.jar、.rar、および .cab) と実行可能フ
ァイル (.bat、.bin、.cgi、.com、.cmd、.dll、.exe、.class、.sys、および .msi) をブロックします。 ファイル
拡張子の定義は、必要な任意のファイル タイプを追加してカスタマイズできます。
ファイル フィルター ドライバーは実行可能ファイルを開くことと作成することを区別できないため、ファイル アクセ
ス ルールは、実行可能ファイルのリムーバブル ストレージ デバイスへのコピーもブロックします。
固定ハード ドライブ ルール
固定ハード ドライブ ルールを使用して、固定ハード ドライブをブロックまたは監視、あるいは読み取り専用に設定
します。 アクションが実行されると、ユーザーに通知することができます。 固定ハード ドライブ デバイス ルール
は、ブート パーティションまたはシステム パーティションを保護しません。
固定ハード ドライブ デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 固定ハ
ード ドライブ ルールには、ブロックあるいは読み取り専用にするアクションのドライブの定義、エンドユーザー定
義、およびオプションのユーザー定義が含まれます。
Citrix XenApp デバイス ルール
Citrix XenApp デバイス ルールを使用して、共有デスクトップ セッションにマッピングされた Citrix デバイス を
ブロックします。
Citrix XenApp デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 McAfee
DLP Endpoint ソフトウェアは、共有デスクトップ セッションにマッピングされた Citrix デバイスをブロックでき
ます。 フロッピー ディスク、固定ディスク、CD、リムーバブル ドライブ、ネットワーク ドライブ、プリンタ、お
よびクリップボード リダイレクトは、すべてブロックできます。 ルールを特定のアプリケーションに割り当てでき
ます。
TrueCrypt デバイス ルール
TrueCrypt デバイス ルールは、ブロック、監視、または TrueCrypt デバイスの読み取り専用の設定に使用します。
実行したアクションをユーザーに通知することができます。
TrueCrypt デバイス ルールは、Windows ベースのコンピューターのみでサポートされています。 TrueCrypt ルー
ルは、リムーバブル ストレージ デバイス ルールのサプセットです。
TrueCrypt for OS X は現在サポートされていません。
TrueCrypt で暗号化された仮想デバイスは、TrueCrypt デバイス ルールまたはリムーバブル ストレージ保護ルール
で保護できます。
•
TrueCrypt ボリュームをブロックまたは監視する、あるいは読み取り専用にするには、デバイス ルールを使用し
ます。
•
TrueCrypt ボリュームのコンテンツ依存の保護を使用するには保護ルールを使用します。
McAfee DLP Endpoint クライアント ソフトウェアは、TrueCrypt アプリケーションがローカル ディスクに書き込む
場合でも、すべての TrueCrypt マウントをリムーバブル ストレージとして扱います。
関連トピック:
95 ページの「ルール タイプに使用可能な対応」
62
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
デバイス ルールの作成
6
デバイス ルールの作成
企業内のデバイスの利用をコントロールするデバイス ルールを作成します。
Windows ではすべてのデバイス ルールがサポートされています。 OS X では、現在リムーバブル ストレージ デバ
イス ルールのみがサポートされています。
リムーバブル ストレージ デバイス ルールの作成
リムーバブル ストレージ デバイスは、管理対象のコンピューターではドライブとして表示されます。 リムーバブル
ストレージ デバイス ルールを使用して、リムーバブル デバイスの使用をブロックするか、読み取り専用に設定しま
す。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
4
[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ デバイス ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
6
[条件] ペインで、1 つ以上のリムーバブル ストレージ デバイス定義を選択します。 オプション: エンドユーザ
ー グループと [プロセス名] をルールに割り当てます。
デバイス定義は、追加する ([いずれか]) または除外する ([いずれでもない]) デバイスを定義できます。 少なく
とも 1 つの定義を含める必要があります。
7
[対応] ペインで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポ
ート] を追加します。
[インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな
ります。
8
オプション: エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選
択します。
9
[保存] をクリックします。
プラグ アンド プレイ デバイス ルールの作成
プラグ アンド プレイ デバイスは、DLL およびドライバの設定または手動インストールを行っていない管理されたコ
ンピューターに追加できます。 プラグ アンド プレイ デバイス ルールを使用して、エンドポイント コンピューター
がこれらのデバイスをロードするのを防止します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
63
6
リムーバブル メディアの保護
デバイス ルールの作成
4
[アクション] 、 [新しいルール] 、 [プラグ アンド プレイ デバイス ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
6
[条件] ペインで、1 つ以上のプラグ アンド プレイ デバイス定義を選択します。 オプション: エンドユーザー グ
ループをルールに割り当てます。
デバイス定義は、追加する ([いずれか]) または除外する ([いずれでもない]) デバイスを定義できます。 少なく
とも 1 つの定義を含める必要があります。
7
[対応] ペインで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポ
ート] を追加します。
[インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな
ります。
8
オプション: エンドユーザーが会社のネットワークの外で作業をしているか、VPN で接続している場合は、異な
る [防止アクション] を選択します。
9
[保存] をクリックします。
リムーバブル ストレージ ファイル アクセス デバイス ルールの作成
リムーバブル ストレージのファイル アクセスのルールを使用して、プラグイン デバイス上の実行可能ファイルが実
行されないようにブロックします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
4
[アクション] 、 [新しいルール] 、 [リムーバブル ストレージ ファイル アクセス ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
6
[条件] ペインで、1 つ以上のリムーバブル ストレージ デバイス定義を選択します。 オプション: エンドユーザ
ー グループをルールに割り当てます。
デバイス定義は、追加する ([いずれか]) または除外する ([いずれでもない]) デバイスを定義できます。 少なく
とも 1 つの定義を含める必要があります。
7
オプション: デフォルトの [実際のファイル タイプ] または [ファイル拡張子] 定義を必要に講じて変更します。
8
オプション: ルールから除外する [ファイル名] を入力します。
デフォルトで、実行可能ファイルは、[ファイル拡張子] オプションのルールに含まれています。 このオプション
は必要に応じて編集できます。 [ファイル名] 除外は、実行を許可する必要があるアプリケーションが対象です。
たとえば、暗号化デバイスの暗号化アプリケーションなどです。
9
[対応] ペインで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポ
ート] を追加します。
[インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな
ります。
64
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
リムーバブル メディアの保護
デバイス ルールの作成
6
10 オプション: エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選
択します。
11 [保存] をクリックします。
固定ハード ディスク デバイス ルールの作成
固定ハード ディスク デバイス ルールを使用して、コンピューターに接続され、オペレーティング システムによって
リムーバブル ストレージとしてマークされていないハード ドライブをコントロールします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
4
[アクション] 、 [新しいルール] 、 [固定ハード ドライブ ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
6
[条件] ペインで、1 つ以上の固定ハード ドライブ デバイス定義を選択します。 オプション: エンドユーザー グ
ループをルールに割り当てます。
デバイス定義は、追加する ([いずれか]) または除外する ([いずれでもない]) デバイスを定義できます。 少なく
とも 1 つの定義を含める必要があります。
7
[対応] ペインで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポ
ート] を追加します。
[インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな
ります。
8
オプション: エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選
択します。
9
[保存] をクリックします。
Citrix デバイス ルールの作成
Citrix デバイス ルールを使用して、共有デスクトップ セッションにマッピングされた Citrix デバイス をブロックし
ます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
4
[アクション] 、 [新しいルール] 、 [Citrix XenApp デバイス ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
65
6
リムーバブル メディアの保護
デバイス ルールの作成
6
[条件] ペインで、1 つ以上のリソースを選択します。 オプション: エンドユーザー グループをルールに割り当て
ます。
7
[保存] をクリックします。
選択されたリソースがブロックされます。
Citrix ルールの [防止アクション] のみが [ブロック] です。 [対応] ペインでアクションを選択する必要はありませ
ん。
TrueCrypt デバイス ルールの作成
TrueCrypt デバイス ルールを使用して、TrueCrypt 仮想暗号化デバイスをブロックまたは監視するか、あるいはこ
れらを読み取り専用に設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [ルール セット] の順に選択
します。
2
[アクション] 、 [新しいルール セット] を選択するか、または既存のルール セットを編集します。
3
ルール セット名をクリックして、ルール セットを開いて編集します。 [ルール セット] タブをクリックします。
4
[アクション] 、 [新しいルール] 、 [TrueCrypt デバイス ルール] を選択します。
5
一意の[ルール名]を入力します。 オプション: [ステータス] を変更して、[重大度] を選択します。
6
オプション: [条件] ペインで、エンドユーザーをルールに割り当てます。
7
[対応] ペインで、[防止アクション] を選択します。 オプション: [ユーザー通知]、および [インシデントのレポ
ート] を追加します。
[インシデントのレポート] を選択しない場合は、DLP インシデント マネージャーにインシデントの記録がなくな
ります。
66
8
オプション: エンドユーザーが会社のネットワークの外で作業をしている場合は、異なる [防止アクション] を選
択します。
9
[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
7
機密コンテンツの分類
分類は、機密のコンテンツとファイルを特定として追跡します。
目次
分類 モジュール
手動分類
分類の使用
分類の定義と条件
分類の作成と設定
登録文書
ホワイトリストに登録されたテキスト
登録済み文書のアップロード
ホワイトリスト テキストへのファイルのアップロード
分類の定義の作成
ファイルの場所による分類
ファイルの送信先による分類
分類 モジュール
McAfee ePO の 分類 モジュールは、分類条件、タグ付け条件、およびこれらの設定に使用する定義を保存します。
この場所には、登録された文書 リポジトリ、手動タグ付けのユーザー承認、および ホワイトリストに登録されたテ
キスト もセットアップされます。
このモジュールは以下の機能を提供します。
•
手動分類 — エンドユーザー グループを設定して手動の分類またはタグ付けを許可します。
•
定義 — コンテンツ、プロパティ、および分類するファイルの場所を定義します。
•
分類 — 分類を作成して、分類とタグ付け条件を定義します。
•
文書の登録 — 既知の機密コンテンツを含むファイルをアップロードします。
•
ホワイトリストに登録されたテキスト — ホワイトリストに登録するテキストを含むファイルをアップロードし
ます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
67
7
機密コンテンツの分類
手動分類
手動分類
エンドユーザーは、分類またはタグ付け条件をファイルに手動で適用あるいは削除できます。
ファイルまたはコンテンツを分類するもっとも簡単な方法は、手動分類です。 デフォルトでは、エンドユーザーには
分類を表示、追加、削除する権限がありません。 ただし、定義された分類を特定のユーザー グループに割り当てる
ことができます。 するとそのユーザーは、分類を作業対象のファイルに割り当てできます。 手動分類を使用すると、
システムによって自動的にタグ付けされていない機密情報や特殊情報など、特別な場合でも組織の分類ポリシーを保
持することができます。
使用例: 手動分類
機密データを含むファイルのルーチン作成が必要な仕事の担当者に、手動分類の権限を割り当てできます。 この担当
者は通常のワークフローの一部としてファイルを作成するため、このファイル分類できます。
この例では、医療機関の従事者は、すべての患者の記録は HIPAA の規則の下で機密とみなされなければならないこ
とを理解しています。 患者の記録を作成または編集する担当者には、手動分類の権限が与えられています。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
2
患者の記録を作成または編集するユーザー グループまたは担当者のグループを作成します。
a
McAfee ePO で、分類 モジュール ([メニュー] 、 [データ保護] 、 [分流]) を開きます。
b
[定義] タブで、[ソース/宛先] 、 [エンドユーザー グループ] を選択します。
c
[アクション] 、 [新規] を選択して、デフォルトの名前を PHI ユーザー グループ などの意味のある名前に
置き換えて、定義にユーザーまたはグループを追加します。
d
[保存] をクリックします。
PHI (保護された医療情報) 分類を作成します。
a
[分類] モジュールの [分類] タブで、左ペインの [[サンプル] PHI [組み込み]] を選択し、次に [アクション]
、 [分類の複製] を選択します。
編集可能なサンプルのコピーが表示されます。
b
[名前]、[説明]、および [分類条件] フィールドを必要に応じて編集します。
c
[手動分類] フィールドで、[編集] をクリックします。
d
[アクション] 、 [エンドユーザー グループの選択] を選択します。
e
[既存の値から選択] ウィンドウで、以前作成したグループを選択し、[OK] をクリックします。
f
[分類] タブに戻り、[アクション] 、 [分類の保存] を選択します。
これで、割り当てられたグループのメンバーである担当者が、ファイルを右クリックし、[手動タグ付け] を選択し、
適切なタグを選択して患者の記録を作成すると、これを分類できます。
68
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の使用
7
分類の使用
分類は、タグまたは分類条件をファイルとコンテンツに適用することにより、機密コンテンツを特定して追跡します。
McAfee DLP Endpoint は、ユーザー定義の 分類 で機密コンテンツを特定して追跡します。 タグ および 分類条件
の 2 つの基本タイプがサポートされています。 タグが機密情報にラベルを付け、機密情報が他のドキュメントにコ
ピーされたり、別の形式で保存されてもラベルは付いたままです。
分類条件
分類条件は、機密性の高いテキスト パターン、ディクショナリ、キーワード、またはこれらの組み合わせを特定しま
す。 組み合わせは、単純に複数の名前をもつプロパティ、または近接性として知られる定義された関係をもつプロパ
ティのいずれかです。 また、ファイル タイプ、文書のプロパティ、ファイルの暗号化、またはファイル内の場所 (ヘ
ッダー/本文/フッター) などのファイルの条件も指定できます。
タグ付け条件
タグ付け条件は、以下のオプションのいずれかに基いてファイルまたはコンテンツに適用されます。
•
アプリケーションベース — ファイルを作成または変更したアプリケーション
•
ロケーションベース — ファイルが保存されているネットワーク共有またはリムーバブル ストレージの定義
•
Web ベース — ファイルを開いた、あるいはダウンロードした Web アドレス
分類条件に利用可能なすべてのデータとファイルの条件は、タグ付け条件に利用でき、タグは両方の条件のタイプの
機能を結合することができます。
タグ付け条件は、ファイルの拡張ファイル属性(EA) または代替データ ストリーム (ADS) に保存され、ファイルが
保存される際にファイルに適用されます。 タグ付けされたコンテンツを他のファイルにコピーまたは移動すると、タ
グ付け条件はそのファイルに適用されます。 タグ付けされたコンテンツがファイルから削除されると、タグ付け条件
も削除されます。
保護ルールで分類が使用されたかどうかに関わらず、ポリシーが適用された後に、McAfee DLP Endpoint はタグ付け
条件をファイルに適用します。
条件の適用
条件は以下のいずれかの方法でファイルに適用されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
69
7
機密コンテンツの分類
分類の使用
•
•
以下の場合に McAfee DLP Endpoint が条件を適用します。
•
ファイルが、設定された分類に一致する。
•
ファイルまたは機密コンテンツが新しい場所に移動またはコピーされる。
•
ファイルが、検出スキャンで一致する。
権限をもつユーザーが、条件をファイルに手動で追加する。
関連トピック:
76 ページの「分類条件の作成」
76 ページの「タグ付け条件の作成」
78 ページの「手動分類権限の割り当て」
テキスト抽出
ファイルが開く/コピーされると、テキスト抽出によってファイル コンテンツが解析され、分類ルールのテキスト パ
ターンやディクショナリ定義と比較されます。 一致が発生すると、条件がコンテンツに適用されます。
テキスト抽出では、プロセッサのコア数に応じて複数のプロセスが実行されます。
•
シングル コア プロセッサは 1 つのプロセスを実行します。
•
デュアル コア プロセッサは 2 つのプロセスを実行します。
•
マルチコア プロセッサは最大 3 つのプロセスを実行します。
複数のユーサーがログオンしている場合は、各ユーザーにはそれぞれのプロセスのセットがあります。 このように、
テキスト抽出の数は、コア数とユーザー セッションの数に依存します。 マルチ プロセスは、Windows タスク マネ
ージャで表示することができます。 テキスト抽出が使用するメモリの最大量は設定できます。 デフォルトは、75
MB です。
McAfee DLP Endpoint は、アクセント付きの文字をサポートしています。 フランス語やスペイン語、一部の通常ラ
テン文字などのアクセント付き文字が ASCII テキスト ファイルに混在する場合、テキスト抽出では正しく文字セッ
トが識別されない場合があります。 この問題は、すべてのテキスト抽出プログラムで発生します。 この場合の
ANSI コード ページを識別する既知の方法やテクニックはありません。 テキスト抽出がコードページを特定できな
い場合は、テキスト パターンとタグ署名は認識できません。 文書が正しく分類できず、ブロックまたは監視の正し
いアクションが実行できません。 この問題を回避するために、McAfee DLP Endpoint クライアント ソフトウェア
はフォールバックのコードページを使用します。 フォールバックは、コンピューターのデフォルト言語または管理者
が設定した別の言語です。
McAfee DLP Endpoint のアプリケーションの分類方法
アプリケーションを使用して分類またはルール セットを作成する前に、McAfee DLP Endpoint がどのようにそれを
分類するか、またシステム パフォーマンスへの影響について、理解する必要があります。
McAfee DLP Endpoint ソフトウェアは、アプリケーションを方針と呼ばれる 4 つのカテゴリに分割します。 これ
は、異なるアプリケーションに対するソフトウェアの動作に影響を与えます。 アプリケーションの方針を変更して、
セキュリティとコンピューター操作の効率性のバランスをとることができます。
セキュリティの低い順に方針を並べると以下のようになります。
70
•
エディタ － ファイルのコンテンツを変更できるアプリケーション。 Microsoft Word および Microsoft Excel
のように従来型のエディタや、ブラウザ、グラフィック ソフトウェア、アカウンティング ソフトウェアなどが含
まれます。 多くのアプリケーションがエディタの中に含まれます。
•
エクスプローラ － Microsoft Windows Explorer や特定のシェル アプリケーションなど、ファイルを変更せず
にコピーまたは移動するアプリケーションです。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の定義と条件
•
7
®
信頼 － スキャンする際にファイルへの無制限のアクセスが必要なアプリケーションです。 たとえば、McAfee
VirusScan Enterprise、バックアップ ソフトウェア、および Google Desktop などのデスクトップ検索ソフト
ウェアなどです。
®
•
アーカイバ － ファイルを再処理するアプリケーションです。 たとえば、WinZip などの圧縮ソフトウェア、
McAfee Endpoint Encryption ソフトウェアや PGP などの暗号化ソフトウェアです。
DLP 方針の設定方法
パフォーマンスを最適化するため、必要に応じて方針を変更してください。 たとえば、エディタのアプリケーション
に対する高レベルの監視は、常時行われるデスクトップ検索アプリケーションの索引付けには適していません。 パフ
ォーマンスのペナルティは高い一方、このようなアプリケーションからのデータ漏えいの危険性は高くありません。
そのため、これらのアプリケーションに対しては信頼された方針を使用する必要があります。
DLP ポリシー 、 設定 、 アプリケーション方針ページのデフォルトの方針を上書きできます。 必要に応じて上書き
を作成または削除して、ポリシーを実験的に微調整できます。
1 つのアプリケーションに 2 つ以上のテンプレートを作成して、2 つ以上の方針を割り当てることもできます。 異
なる分類とルールに異なるテンプレートを使用して、異なるコンテキストで異なる結果を得ることができます。 ただ
し、ルール セットにテンプレートを割り当てる際には、衝突を避けるように注意します。 McAfee DLP Endpoint
は、次の階層に従って衝突を解決します: アーカイバー > 信頼 > エクスプローラー > エディタ つまり、エディタ
は最下位の順位です。 あるテンプレートにおいてアプリケーションがエディタで、別のテンプレートではエディタで
はない場合、McAfee DLP Endpoint はアプリケーションをエディタとしては扱いません。
分類の定義と条件
分類の定義と条件には、コンテンツまたはファイルのプロパティを説明する 1 つ以上の条件が含まれます。
表 7-1 利用可能な条件
プロパティ
適用先:
定義
[高度なパター
ン]
定義、条 日付やクレジットカード番号などのデータの検索に使用される正規表現または語句。
件
[ディクショナ
リ]
定義、条 俗語や医療用語などの、関連するキーワードと語句の集合。
件
[キーワード]
条件
文字列値
複数のキーワードをタグ定義に追加できます。 複数のキーワードに対するデフォル
トの論理演算子は OR ですが、AND に変更できます。
[近接性]
条件
2 つのプロパティを互いの場所に基いて組み合わせを定義します。
高度なパターン、ディクショナリ、またはキーワードをいずれかのプロパティで使用
できます。
近接性 パラメーターは、「x 文字未満」として定義され、デフォルトは 1 文字です。
また、一致数 パラメーターを指定して、一致の最低数を指定してトリガーすることも
できます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
71
7
機密コンテンツの分類
分類の定義と条件
表 7-1 利用可能な条件 (続き)
プロパティ
適用先:
定義
[文書プロパテ
ィ]
定義、条 以下のオプションが含まれます。
件
• 任意のプロパティ
• 最終保存者
• 作成者
• マネージャー名
• カテゴリ
• セキュリティ
• 説明
• 件名
• 会社
• テンプレート
• キーワード (タグ)
• タイトル
任意のプロパティは、ユーザー定義のプロパティです。
[ファイルの暗号 条件
化]
[ファイル情報]
以下のオプションが含まれます。
• 暗号化なし
• Microsoft Rights Management
暗号化
• McAfee 暗号化自己解凍ファイル
• Seclore Rights Management 暗
号化
• McAfee Endpoint Encryption
• 暗号化タイプ、またはパスワード保
護ファイルがサポートされていま
せん
定義、条 以下のオプションが含まれます。
件
• アクセス日
• ファイル名
• 作成日
• ファイル所有者
• 変更日
• ファイル サイズ
• ファイル拡張子
[ファイル内の場 条件
所]
データが置かれているファイル内のセクション。
• Microsoft Word 文書 — 分類エンジンは、ヘッダー、本文、およびフッターを識別
できます。
• PowerPoint 文書 — WordArt はヘッダー、その他のすべては本文と見做されます。
• 他の文書 — ヘッダーおよびフッターは適用されません。 分類条件は、文書が選択
されている場合は検索されません。
[サードパーティ 条件
タグ]
Titus のフィールド名と値の指定に使用します。
[実際のファイル 定義、条 ファイル タイプのグループ
件
タイプ]
たとえば、組み込みの Microsoft Excel グループには、Excel XLS、XLSX、および
XML ファイル、Lotus WK1 および FM3 ファイル、CSV、DIF ファイル、Apple
iWork ファイルなどが含まれます。
72
[アプリケーショ 定義
ン テンプレー
ト]
ファイルにアクセスするアプリケーションまたは実行可能ファイル。
[エンドユーザー 定義
グループ]
手動分類権限の定義に使用されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の定義と条件
7
表 7-1 利用可能な条件 (続き)
プロパティ
適用先:
定義
[ネットワーク共 定義
有]
ファイルを保存するネットワーク共有です。
[URL リスト]
ファイルにアクセスする URL です。
定義
関連トピック:
80 ページの「分類の定義の作成」
ディクショナリの定義
ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当てられていま
す。
分類およびタグ付けの条件は、定義されているしきい値 (スコアの合計) を超過した場合、つまり、ドキュメント内
でディクショナリの用語が過多に使用されている場合、指定されたディクショナリを使用してドキュメントを分類し
ます。
ディクショナリ および キーワード 定義内の文字列の違いは、割り当てられたスコアです。
•
キーワード分類は、語句が存在する場合はドキュメントに常にタグを付けます。
•
ディクショナリの分類では、しきい値を設定できるため相対的な分類を作成することができ、より柔軟性があり
ます。
割り当てられるスコアは、正または負のいずれも使用することができ、これによって他の語句またはフレーズ内にあ
る語句やフレーズを検索することができます。
McAfee DLP ソフトウェアには、医療、銀行、証券、およびその他の業界で一般的に使用される用語が収められた、
いくつかの組み込みディクショナリがあります。 さらに、ユーザー独自のディクショナリを作成することができま
す。 ディクショナリは手動で作成 (および編集) することも、他のドキュメントからコピー アンド ペーストするこ
ともできます。
制限事項
ディクショナリの使用にはいくつかの制限があります。 ディクショナリは Unicode (UTF-8) で保存されるため、任
意の言語で作成することができます。 以下の説明は、英語で作成されたディクショナリについてのものです。 この
説明は一般的に他の言語にも適用されますが、言語によっては予測できない問題が発生する可能性があります。
ディクショナリの検索一致には以下の特徴があります。
•
大文字と小文字を区別する辞書エントリを作成する場合にのみ大文字と小文字が区別されます。 この機能が利用
可能となる前に作成された組み込みディクショナリは大文字と小文字を区別しません。
•
オプションで、語句全体ではなく部分文字列の検索も可能です。
•
スペースを含むフレーズの検索一致を行います。
部分文字列の検索が指定されている場合、誤検知の可能性があるため、短い語句の入力では十分に注意してください。
たとえば、"cat" のディクショナリ エントリは、"cataracts" と "duplicate" に一致します。 これらの誤検知を防
止するには、全体句の一致のオプションまたは、Statistically Improbable Phrases: 統計的に珍しい言い回し
(SIP) を使用して最適な結果が得られるようにします。 類似のエントリは、誤検知の別の原因となります。 たとえ
ば、いくつかの HIPAA 疾病一覧では、
「celiac (セリアック病患者)」と「celiac disease (セリアック病)」が別々の
エントリとして出てきます。 2 番目の用語がドキュメント内に出現し、部分文字列の一致検索が指定されている場
合、それぞれのエントリに対して 1 つずつ、2 つヒットしてしまうため、合計スコアは歪曲したものとなります。
関連トピック:
81 ページの「ディクショナリ定義の作成またはインポート」
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
73
7
機密コンテンツの分類
分類の定義と条件
高度なパターンの定義
高度なパターンは、社会保障番号やクレジットカード番号のような複雑なパターン検索を可能にする正規表現
(regex) を使用します。 定義には、Google RE2 正規表現の構文を使用します。
高度なパターンは、組み込みパターン中の携帯電話事業者の通話ログや財務報告の例のように、複雑な単語パターン
を定義することができます。
単語パターンでは、正規表現パターンには、単語パターン用の標準の正規表現の表記のように、先頭と末尾に \b が
デフォルトで付加されます。 このように、語句に対するテキスト パターン検索は、誤検知を削減するために、デフ
ォルトでは語句全体の検索一致になります。
高度なパターン定義には、ディクショナリの定義のようにスコア (必須) が含まれます。 これには、オプションで誤
検知の式、キーワードまたは正規表現、および検証ツール - 正規表現をテストするアルゴリズムも含むことができま
す。 適切な検証ツールを使用することによっても、誤検知を大幅に減らすことができます。 誤検知では、複数のキ
ーワードを一度にインポートできます。
高度なパターンは、重要なテキストを示します。 重要なテキスト パターンは強調表示するよう編集されます。
含まれるパターンと除外されるパターンの両方が指定される場合は、『除外されるパターンが優先されます』。 このた
め、ユーザーは通常のルールを指定した後でも、それを書き直すことなく例外を追加できます。
関連トピック:
81 ページの「高度なパターンの作成」
ドキュメントのプロパティまたはファイル情報を使用したコンテンツの分類
ドキュメント プロパティ定義は、あらかじめ定義されたメタデータ値によってコンテンツを分類します。 ファイル
情報定義は、ファイルのメタデータでコンテンツを分類します。
文書プロパティ
文書プロパティは、任意の Microsoft Office 文書または PDF から取得して、分類定義に使用できます。 部分一致
は、[包含] 比較を使用してサポートされています。
ドキュメント プロパティは 3 種類あります。
•
事前定義のプロパティ － 『作成者』や『タイトル』などの標準的なプロパティです。
•
カスタム プロパティ － ドキュメント メタデータに追加され、Microsoft Word などのいくつかのアプリケーシ
ョンで許可されているカスタム プロパティです。 カスタム プロパティは、事前定義されていないプロパティ リ
ストの標準ドキュメント プロパティも参照できますが、事前定義されているプロパティ リストのプロパティと重
複できません。
•
任意のプロパティ － 値だけでプロパティを定義できます。 この機能は、不正なプロパティ パラメータにキーワ
ードが入力されている場合、またはプロパティ名が不明な場合に使用します。 たとえば、『任意のプロパティ』
パラメータに [Secret] という値を追加した場合、
『Secret』という単語を 1 回以上含むすべての文書が分類され
ます。
ファイル情報
ファイル情報の定義は、データ保護、検出ルール、および分類で粒度を高めるために使用されます。 ファイル情報に
は、作成日、変更日、ファイルの所有者、およびファイル サイズが含まれます。 日付のプロパティには、正確な日
付 (指定日の前、後、間) および相対日付 (最近の X 日、週、年の中で指定) の両方のオプションがあります。 [ファ
イル タイプ (拡張子のみ)] が事前定義された、拡張性のあるファイル拡張子のリストです。
74
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の作成と設定
7
アプリケーション テンプレート
アプリケーション テンプレート コントロールでは、製品またはベンダー名、実行可能ファイル名、ウィンドウ タイ
トルなどのプロパティを使用して特定のアプリケーションを制御します。
アプリケーション テンプレートは単一のアプリケーション、または類似したアプリケーションのグループに対して定
義できます。 Web ブラウザー、暗号化アプリケーション、電子メールクライアントなどの多くの一般的なアプリケ
ーションには、組み込みの (事前定義された) テンプレートがあります。
アプリケーション テンプレートは、以下のパラメーターを使用できます。
•
コマンド ライン — コマンド ラインの引数、たとえば: java-jar を許可し、以前は制御できなかったアプリケ
ーションを制御します。
•
実行可能ファイル ディレクトリ － 実行可能ファイルが置かれるディレクトリ。 このパラメータの使用法の 1
つは、U3 アプリケーションを制御することです。
•
実行可能ファイル ハッシュ － SHA2 ハッシュであることを示す、アプリケーションの表示名。
•
実行可能ファイル名 — 通常は表示名 (SHA2 ハッシュを取る) と同じですが、ファイルの名前が変更されている
場合は異なります。
•
元の実行可能ファイル名 － ファイルの名前が変更されていない限り、実行可能ファイル名とまったく同じです。
•
製品名 － 実行可能ファイルのプロパティに表示されている場合、Microsoft Office 2012 などの製品の一般名。
•
ベンダー名 － 実行可能ファイルのプロパティに表示されている場合は、会社名。
•
ウィンドウ タイトル － 実行時に有効なファイル名を含んで変化する動的な値。
SHA2 アプリケーション名以外のパラメーターと実行可能ファイル ディレクトリでは、部分文字列検索を使用できま
す。
分類の作成と設定
分類と条件を作成し、登録またはホワイトリストに登録するファイルをアップロードします。
タスク
•
75 ページの「分類の作成」
データ保護と検出ルールには、それらの設定に分類定義が必要です。
•
76 ページの「分類条件の作成」
ファイルのコンテンツとプロパティに基いて、分類条件をファイルに適用します。
•
76 ページの「タグ付け条件の作成」
アプリケーションまたはファイルの場所に基いて、タグ付け条件をファイルに適用します。
•
78 ページの「手動分類権限の割り当て」
手動でファイルを分類することができるユーザーを設定します。
分類の作成
データ保護と検出ルールには、それらの設定に分類定義が必要です。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[新規分類] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
75
7
機密コンテンツの分類
分類の作成と設定
3
名前とオプションの説明を入力します。
4
[OK] をクリックします。
5
各コンポーネントの [編集] をクリックすることにより、エンドユーザー グループを手動分類に追加するか、ま
たは登録された文書を分類に追加します。
6
分類条件またはタグ付け条件を [アクション] コントロールで追加します。
分類条件の作成
ファイルのコンテンツとプロパティに基いて、分類条件をファイルに適用します。
データとファイルの[定義]から、分類条件を構築します。 必要な定義が存在シない場合は、条件を定義する際に作成
できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
条件を追加する分類を選択し、[アクション] 、 [新しい分類条件] を選択します。
3
名前を入力します。
4
1 つ以上のプロパティを選択して、比較と値のエントリを設定します。
5
•
プロパティを削除するには、[<] をクリックします。
•
プロパティによっては、[...] をクリックして、既存のプロパティを選択するか、新しいプロパティを作成し
ます。
•
追加の値をプロパティに追加するには、[+] をクリックします。
•
値を削除するには、[-] をクリックします。
[保存] をクリックします。
関連トピック:
69 ページの「分類の使用」
タグ付け条件の作成
アプリケーションまたはファイルの場所に基いて、タグ付け条件をファイルに適用します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
76
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
条件を追加する分類を選択して、
3
[アクション] 、 [新しいタグ付け条件]を選択して、次にタグ付け条件のタイプを選択します。
4
名前を入力して、タグ付け条件のタイプに基づいて追加の情報を指定します。
•
[アプリケーション] — [...] をクリックして 1 つ以上のアプリケーションを選択します。
•
[場所] — [...] をクリックして 1 つ以上のネットワーク共有を選択します。 必要な場合は、リムーバブル メ
ディアのタイプを指定します。
•
[Web アプリケーション] — [...] をクリックして 1 つ以上の URL を選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の作成と設定
5
6
7
(オプション) 1 つ以上のプロパティを選択して、比較と値のエントリを設定します。
•
プロパティを削除するには、[<] をクリックします。
•
プロパティによっては、[...] をクリックして、既存のプロパティを選択するか、新しいプロパティを作成し
ます。
•
追加の値をプロパティに追加するには、[+] をクリックします。
•
値を削除するには、[-] をクリックします。
[保存] をクリックします。
タスク
•
77 ページの「使用例: アプリケーション ベースのタグ付け」
コンテンツを作成したアプリケーションに従って、コンテンツを機密に指定できます。
関連トピック:
69 ページの「分類の使用」
使用例: アプリケーション ベースのタグ付け
コンテンツを作成したアプリケーションに従って、コンテンツを機密に指定できます。
場合よっては、コンテンツを作成したアプリケーションにより、コンテンツを機密に指定できることがあります。 例:
トップ シークレットの軍用地図。 これらの JPEG ファイルは、通常は、特定の US Air Force GIS アプリケーショ
ンによって作成されます。 タグ付け条件定義でこのアプリケーションを選択することにより、このアプリケーション
で作成したすべての JPEG ファイルが機密にタグ付けされます。 その他のアプリケーションで作成された JPEG フ
ァイルはタグ付けされません。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[定義] タブで、[アプリケーション テンプレート] を選択して、次に、[アクション] 、 [新規] を選択します。
3
たとえば 名前を GIS アプリケーション と入力して、オプションの説明を入力します。 [利用可能なプロパティ]
リストから 1 つ以上のプロパティを使用して、GIS アプリケーションを定義します。 [保存] をクリックします。
4
[分類] タブで、[新規分類] をクリックして、名前を例えば GIS アプリケーション と入力して、オプションの定
義を入力します。 [OK] をクリックします。
5
[アクション] 、 [新規タグ付け条件] 、 [アプリケーション]を選択します。
タグ付け条件ページが表示されます。
6
[名前] フィールドに、タグの名前を、たとえば、GIS タグ と入力します。
7
[アプリケーション] フィールドで、手順 1 で作成した GIS アプリケーションを選択します。
8
[使用可能なプロパティ] 、 [ファイルの条件] リストで、[実際のファイル タイプ] を選択します。 [値] フィー
ルドで、[グラフィック ファイル [組み込み]] を選択します。
組み込みの定義には、JPEG やその他のグラフィック ファイルのタイプが含まれます。 アプリケーションとファ
イル タイプを選択することにより。そのアプリケーションで作成した JPEG ファイルのみが分類に含まれます。
9
[保存] をクリックして、次に [アクション] 、 [分類の保存] を選択します。
これで、分類が保護ルールで使用できるようになります
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
77
7
機密コンテンツの分類
登録文書
手動分類権限の割り当て
手動でファイルを分類することができるユーザーを設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[手動分類] タブをクリックします。
3
[グループ別] ドロップダウン リストを使用して、[分類] または [ユーザー グループ] のいずれかを選択します。
分類をユーザー グループに割り当てるか、ユーザー グループを分類に割り当てるか、いずれか便利な方を選択で
きます。 [グループ別] リストは表示をコントロールします。
4
5
分類でグループ化している場合は、以下の手順を実行します。
a
表示されたリストから分類を選択します。
b
[アクション] 、 [エンドユーザー グループの選択] を選択します。
c
[既存の値から選択] ウィンドウで、ユーザー グループを選択するか、[新しい項目] をクリックして新しいグ
ループを作成します。 [OK] をクリックします。
ユーザー グループでグループ分けする場合は、以下の手順を実行します。
a
表示されたリストからユーザー グループを選択します。
b
[アクション] 、 [分類の選択] を選択します。
c
[既存の値から選択] ウィンドウで、分類を選択します。 [OK] をクリックします。
登録文書
登録された文書の機能は、ロケーションベースのタグ付けの拡張機能です。 この機能を使用して管理者は別の方法で
機密情報を定義し、不正な方法で配布されるのを保護することができます。
登録された文書は機密文書として事前定義されており、たとえば、次の四半期の売上予測のスプレッドシートなどが
該当します。 McAfee DLP Endpoint ソフトウェアは、ファイルのコンテンツを分類してフィンガープリントを作成
します。 作成された署名は言語非依存で、プロセスはすべての言語で機能します。 パッケージを作成する場合は、
署名が McAfee ePO データベースに読み込まれ、すべてのエンドポイント ワークステーションに配布されます。 管
理されたコンピューターの McAfee DLP Endpoint クライアントが、登録されたコンテンツの一部を含む文書の配布
を管理します。
登録された文書を使用するには、分類モジュールの 文書の登録 タブにファイルをアップロードし、アップロード後
にファイルを分類に割り当てます。 エンドポイント クライアントは、適用されない分類を無視します。 たとえば、
ファイル プロパティで分類された登録文書のパッケージは、電子メールが機密コンテンツについて解析される場合に
は、無視されます。
表示には、統計 および 分類 の 2 つのオプションがあります。 統計表示では、ファイル数、ファイルサイズ、署名
の数、などの合計が左パネルに表示され、ファイルごとに統計が右パネルに表示されます。 署名数が制限に近づいた
場合は、このデータを使用して比較的重要でないパッケージを削除します。 分類表示では、分類ごとにアップロード
されたファイルが表示されます。 最終パッケージ作成の情報とファイル リストの変更が右上に表示されます。
78
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
ホワイトリストに登録されたテキスト
7
パッケージを作成する際に、ソフトウェアがリストされたすべてのファイルを処理して、配布用のフィンガープリン
トを McAfee ePO データベースに読み込みます。 文書を追加または削除する場合は、新しいパッケージを作成する
必要があります。 ソフトウェアは、いくつかのファイルにフィンガープリントが既に作成されているかどうか計算す
ることはしません。 リスト全体に対して処理が実行されます。
パッケージの作成 コマンドは、登録された文書のリストと、ホワイトリストに登録された文書のリストの両方を使用
して単一のパッケージを作成します。 パッケージあたりの署名の最大数は、登録された文書とホワイトリストに登録
された文書それぞれに 100 万件です。
関連トピック:
79 ページの「登録済み文書のアップロード」
ホワイトリストに登録されたテキスト
McAfee DLP Endpoint は、ファイル コンテンツを処理する際に、ホワイトリストに登録されたテキストを無視しま
す。
テキストを含むファイルを McAfee ePO にアップロードしてホワイトリストに登録できます。 ホワイトリストに登
録されたテキストによって、コンテンツの一部が分類またはタグ付け条件に一致した場合でも、コンテンツが分類ま
たはタグ付けされることはありません。 常用文、免責条項、著作権などの、ファイルに頻繁に出現するテキストには
ホワイトリスト登録を使用します。
•
ホワイトリストに登録するファイルは、400 文字以上を含んでいる必要があります。
•
ファイル内にタグ付きまたは分類されたデータとホワイトリストに登録されたデータの両方がある場合、システ
ムによって無視されません。 コンテンツに関連付けられたすべての関連タグまたは分類条件は有効なままです。
関連トピック:
80 ページの「ホワイトリスト テキストへのファイルのアップロード」
登録済み文書のアップロード
エンドポイント コンピューターに配布する文書を選択して分類します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[文書の登録] タブをクリックします。
3
[ファイルのアップロード] をクリックします。
4
ファイルを参照して、ファイル名が存在する場合に上書きをするかどうかを選択し、分類を選択します。
[ファイルのアップロード] は単一のファイいるを処理します。 複数の文書をアップロードするには、ZIP ファイ
ルを作成をします。
5
[OK] をクリックします。
ファイルがアップロードされ処理されて、統計情報がページに表示されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
79
7
機密コンテンツの分類
ホワイトリスト テキストへのファイルのアップロード
ファイル リストを作成したら、[パッケージの作成] をクリックします。 すべての登録された文書の署名パッケージ
とホワイトリストに登録されたすべての文書が、エンドポイント コンピューターに配布するために McAfee ePO デ
ータベースにロードされます。
登録したばかりの文書またはホワイトリストに登録された文書のパッケージは、1 つのリストを空にすることにより作
成できます。 ファイルが削除されると、ファイルがリストから削除され、変更を適用した新しいパッケージが作成さ
れます。
関連トピック:
78 ページの「登録文書」
ホワイトリスト テキストへのファイルのアップロード
一般的に使用されるテキストを含むファイルをホワイトリストにアップロードします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[ホワイトリストに登録されたテキスト] タブをクリックします。
3
[ファイルのアップロード] をクリックします。
4
ファイルを参照して、ファイル名が存在する場合に上書きをするかどうかを選択します。
5
[OK] をクリックします。
関連トピック:
79 ページの「ホワイトリストに登録されたテキスト」
分類の定義の作成
分類の定義の事前定義はは変更/削除できません。 必要に応じて新しい定義を作成します。
タスク
•
81 ページの「ディクショナリ定義の作成またはインポート」
ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当
てられています。 スコアによって、より詳細なルールの定義か可能になります。
•
81 ページの「高度なパターンの作成」
高度なパターンは、分類の定義に使用されます。 高度なパターンの定義は、単一の式、または複数の式
と誤検知の定義の組み合わせで構成されます。
•
82 ページの「Titus Client のサードパーティ タグとの統合」
分類またはタグ付け条件には、複数の Titus タグ名/タグ値のペアを含むことができます。
•
83 ページの「Boldon James Email Classifier と分類条件の統合」
Boldon James Email Classifier を統合する分類条件を作成します。
関連トピック:
71 ページの「分類の定義と条件」
80
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の定義の作成
7
ディクショナリ定義の作成またはインポート
ディクショナリは、キーワードまたはキー フレーズの集合で、それぞれのエントリにはスコアが割り当てられていま
す。 スコアによって、より詳細なルールの定義か可能になります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで、[ディクショナリ] を選択します。
4
[アクション] 、 [新規]の順に選択します。
5
名前とオプションの説明を入力します。
6
ディクショナリにエントリを追加します。
エントリをインポートするには:
a
[エントリのインポート] をクリックします。
b
単語または語句を入力、あるいは他のドキュメントからカット アンド ペーストします。
テキスト ウィンドウは、1 行につき 50 文字の 20,000 行までに制限されています。
c
[OK] をクリックします。
すべてのエントリにはデフォルトのスコア 1 が割り当てられます。
d
必要な場合は、エントリの [編集] をクリックして、デフォルト スコアの 1 を更新します。
e
[次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。
[次の値で始まる] および [次の値で終わる] は、一致する文字列を提供します。
手動でエントリを作成:
7
a
語句とスコアを入力します。
b
[次の値で始まる]、[次の値で終わる]、および [大文字と小文字を区別] 列を必要に応じて選択します。
c
[追加] をクリックします。
[保存] をクリックします。
高度なパターンの作成
高度なパターンは、分類の定義に使用されます。 高度なパターンの定義は、単一の式、または複数の式と誤検知の定
義の組み合わせで構成されます。
高度なパターンは、正規表現 (RegEx) を使用して定義します。 正規表現についての説明は、本書の範囲では扱いませ
ん。 正規表現に関する詳しい説明は、インターネットで多数チュートリアルが提供されています。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
81
7
機密コンテンツの分類
分類の定義の作成
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[定義] タブを選択して、左パネルの [高度なパターン] を選択します。
利用可能なパターンは、右パネルに表示されます。
ユーザー定義の高度なパターンのみを表示するには、[組み込み項目を含む] チェックボックスの選択を解除しま
す。 ユーザー定義パターンは、編集可能なパターンのみです。
3
[アクション] 、 [新規]の順に選択します。
新しい高度なパターンの定義ページが表示されます。
4
名前とオプションの説明を入力します。
5
[一致した式] の下で、以下を実行します。
a
式をテキスト ボックスに入力します。 オプションの説明を追加します。
b
ドロップダウン リストから検証ツールを選択します。
McAfee では、誤検知を最小化することが可能であっても必須ではない場合に、検証ツールを使用することを
推奨します。 検証ツールを指定しない場合、または検証が式に対して適切ではない場合は、[検証なし] を選
択します。
c
[スコア] フィールドに数字を入力します。
数字は、しきい値の比較の式の重みを示します。 このフィールドは必須です。
d
6
[追加] をクリックします。
[誤検知] の下で、以下を実行します。
a
式をテキスト ボックスに入力します。
外部ドキュメントにテキスト パターンが保存されている場合、[エントリのインポート] を使用してそれらをコ
ピーして定義に貼り付けることができます。
7
b
[タイプ] フィールドで、文字列が正規表現の場合はドロップダウン リストから [正規表現] を、テキストの場
合は、[キーワード] を選択します。
c
[追加] をクリックします。
[保存] をクリックします。
Titus Client のサードパーティ タグとの統合
分類またはタグ付け条件には、複数の Titus タグ名/タグ値のペアを含むことができます。
開始する前に
82
1
ポリシー カタログで、現在の クライアントの設定 を開きます。 [設定] 、 [操作モードとモジュー
ル] を選択します。 [Outlook アドイン] 、 [サードパーティ アドイン統合をアクティブにする] が
選択されていることを確認します。
2
[設定] 、 [電子メール保護] の、[Outlook サードパーティ アドインの統合] セクションで、Titus
を [ベンダー名] ドロップダウン リストから選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
分類の定義の作成
7
McAfee DLP Endpoint は、Titus API を呼び出して、タグ付けされたファイルを特定し、タグを決定します。 サー
ドパーティ タグで作成された分類は、ファイルを検査するすべての保護ルールと検出ルールに適用できます。
この機能を実装するには、Titus SDK をエネルギーコンピューターにインストールする必要があります。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
2
[新規分類] をクリックします。
3
一意の名前とオプションの説明を入力します。
4
[アクション] をクリックし、[新しい分類条件] または [新しいタグ付け条件] を選択します。
5
[サードパーティ タグ] プロパティを選択します。
6
Titus フィールドの名前と値を入力します。 ドロップダウン リストから値の定義を選択します。
入力した値の文字列は次のように定義できます。
•
いずれかに一致
•
すべてに一致
•
いずれかを含む
•
すべてを含む
7
(オプション) [+] をクリックして別の名前 / 値のペアを追加します。
8
[保存] をクリックします。
Boldon James Email Classifier と分類条件の統合
Boldon James Email Classifier を統合する分類条件を作成します。
Boldon James Email Classifier は、電子メールにラベル付をして分類する電子メール ソリューションです。
McAfee DLP Endpoint ソフトウェアは、Email Classifier と統合して割り当てされた分類に基いて電子メールをブ
ロックできます。 Email Classifier ソフトウェアのセットアップ時に、Email Classifier が McAfee DLP Endpoint
に送信する文字列を選択できます。 この文字列を使用して、分類条件を定義します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
Boldon James 互換性を McAfee DLP Endpoint にセットアップします。
a
Boldon James [Classifier 管理] コンソールを使用して、[Classifier アプリケーション設定] 、 [Outlook
設定] を開きます。 [McAfee Host DLP スキャン] を有効に設定し、[McAfee Host DLP マーキング] を、
分類値と DLP マーキングに固有の静的なテキストを含むマーキング形式を参照するように設定します。 こ
のマーキング形式に基づく文字列は、分類条件を含む McAfee DLP Endpoint に渡されます。
b
ポリシー カタログで、現在の クライアントの設定 を開きます。 [設定] 、 [操作モードとモジュール] を選択
します。 [Outlook アドイン] 、 [サードパーティ アドイン統合をアクティブにする] が選択されていること
を確認します。
c
[設定] 、 [電子メール保護] の Outlook サードパーティ アドインの統合 セクションで、[Boldon James] を
[ベンダー名] ドロップダウン リストから選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
83
7
機密コンテンツの分類
ファイルの場所による分類
2
Boldon James 分類を作成します。
必要な各分類で、以下の手順を実行します。
a
McAfee ePO で、[メニュー] 、 [データ保護] 、 [分類] の順に選択します。
b
[分類] タブをクリックしてから、[新しい分類] をクリックします。
c
一意の名前とオプションの説明を入力します。
d
[アクセス] 、 [新しい分類条件] をクリックします。
e
[キーワード] プロパティを選択します。 [値] フィールドに、[Classifier 管理] セットアップで選択したマー
キング形式からビルドされた文字列を入力して、McAfee DLP Endpoint に送信します。
[Boldon James Classification] は、Email Classifier のセットアップで、McAfee DLP Endpoint に
送信するよう選択した文字列です。
3
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ルール セット] の順に選択します。
4
[ルール セット] タブで、以下のいずれかを実行します。
5
•
[アクション] 、 [新しいルール セット]を選択します。
•
既存のルール セットを選択します。
[アクション] 、 [新しいルール] 、 [電子メール保護] を選択します。
電子メール保護定義フォームが表示されます。
6
一意のルール名を入力します。
7
[条件] タブで、ドロップダウン リストから [本文] を選択し、次に適切な Boldon James Classification を選択
します。 適切な [エンドユーザー]、[電子メール エンベロープ]、および [受信者] オプションを選択します。
McAfee DLP Endpoint クライアントは、Boldon James 分類が電子メール本文の一部であるとみなします。 定
義を、本文のみをスキャンするように制限すると、ルールがより効率的になります。
8
[応答] タブで、適切な [保護アクション]、[ユーザー通知]、[インシデントのレポート]、および [重要度] パラ
メーターを選択します。 [ステータス] を [有効] に設定して、次に [保存] をクリックします。
ファイルの場所による分類
機密のコンテンツは、それが存在する (保存されている) 場所またはそれが使用されている場所 (ファイル拡張子また
はアプリケーション) によって定義することができます。
McAfee DLP Endpoint は、いくつかの方法を使用して、機密コンテンツを特定して分類します。 保存注のデータ
は、ファイルの場所の説明に使用する用語です。 これは、
「ネットワーク上のどこにありますか?」または「どのフォ
ルダーに入っていますか?」といった質問によりコンテンツを分類します。 使用中のデータ (data-in-use) は、使
用法または使用場所の定義に使用する用語です。 これは、
「どのアプライアンスから呼び出されますか?」または「フ
ァイルの拡張子は何ですか?」といった質問によりコンテンツ分類します。
McAfee DLP Endpoint Discovery ルールは、保存中のデータを見つけます。 これらは、エンドポイント コンピュ
ーター ファイルまたは電子メール ストレージ (PST、マッピングされた PST、および OST) ファイルでコンテンツ
を検索できます。 プロパティ、アプリケーション、またはルール分類の場所によっては、ルールが、指定したストレ
ージの場所を検索して、暗号化、隔離、または RM ポリシーを適用できます。 代わりに、ファイルをタグ付けまた
は分類して、どのように使用するかを制御できます。
84
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
ファイルの場所による分類
7
ネットワーク パラメータの定義
ネットワークの定義は、ネットワークの保護ルールのフィルタリング基準として機能します。
•
ネットワーク アドレス は外部ソースと管理されたコンピューター間のネットワーク接続を監視します。 定義
は、単一のアドレス、範囲またはサブネットにすることができます。 ネットワーク通信保護ルールでは、定義さ
れたネットワーク アドレスの追加と除外ができます。
•
ネットワーク通信保護ルールの ネットワーク ポート 定義を使用すると、ネットワーク ポートで定義された特定
のサービスを除外できます。 一般的なサービスとそのポートのリストは組み込まれています。 リストの項目を
編集するか、独自の定義を作成することができます。
•
ネットワーク共有 定義は、ネットワーク共有保護ルールに共有ネットワーク フォルダーを指定します。 定義さ
れた共有は追加または除外ができます。
ネットワーク アドレス範囲の作成
ネットワーク アドレスの範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能します。
タスク
必要な各定義に対して、手順 1–4 を実行します。 オプションの定義の場合、インターフェースで [?] をクリックし
ます。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで [ネットワーク アドレス (IP アドレス)] を選択して、次に [アクション] 、 [新規] をクリックしま
す。
3
定義の一意の名前とオプションの説明を入力します。
4
アドレス、範囲、またはサブネットをテキスト ボックスに入力します。 [追加] をクリックします。
正しくフォーマットされた例がページに表示されます。
5
必要な定義をすべて入力したら、[保存] をクリックします。
ネットワーク ポート範囲の作成
ネットワーク ポート範囲は、ネットワーク通信の保護ルールのフィルタリング基準として機能します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[ネットワーク ポート] を選択して、次に [アクション] 、 [新規] をクリックします。
組み込みの定義を編集することもできます。
3
一意の名前とオプションの説明を入力します。
4
ポート番号をカンマで区切って入力し、オプションの説明を入力します。 [追加] をクリックします。
5
必要なポートをすべて追加したら、[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
85
7
機密コンテンツの分類
ファイルの送信先による分類
ファイルの送信先による分類
コンテンツの送信元を分類することに加えて、コンテンツの送信先を分類、および制御することができます。 Data
Loss Prevention の用語では、これは移動中のデータ (data-in-motion) と呼ばれています。
対象をコントロールするファイル保護ルールには以下が含まれます。
•
クラウド保護ルール
•
プリンタ保護ルール
•
電子メール保護ルール
•
リムーバブル ストレージ保護ルール
•
ネットワーク通信保護ルール (送信)
•
Web 送信保護ルール
電子メールの取り扱い
McAfee DLP Endpoint は、電子メールのヘッダー、本文または添付ファイル中の機密データを保護します。 電子メ
ール ストレージ検出は、OST または PST ファイルに機密データがある電子メールを検出して、タグ付けまたは隔離
します。
McAfee DLP Endpoint は、コンテンツを分類またはタグ付けして、機密コンテンツを含む電子メールが送信される
のを防止することによって、電子メール中の機密コンテンツを保護します。 電子メール保護ポリシーは、異なるユー
ザーと宛先に対して、または暗号化あるいは権限管理によって保護されたメール対して、異なるルールを指定するこ
とができます。
クライアントの設定
このページの、McAfee ePO [ポリシー カタログ] 、 [Data Loss Prevention 9.4.0] 、 [クライアントの設定] 、
[電子メール保護] の設定で、電子メール機能の動作の設定のコントロールには、 以下が含まれます。
•
[電子メールのキャッシュ] - 電子メールのタグ署名をディスクに保存して、電子メールの再解析を不要にします。
•
[電子メール処理 API] — 送信メールは、Outlook オブジェクト モデル (OOM) または Messaging Application
Programming Interface (MAPI) のいずれかによって処理されます。 OOM がデフォルトの API ですが、設定
によっては MAPI が必要です。
•
[Outlook のサードパーティ アドインの統合] — Titus および Boldon James の 2 つのサードパーティ分類ア
プリケーションがサポートされています。
•
[電子メール タイムアウト方針] - 電子メールを分析する最大時間と、その時間を超えた場合のアクションを設定
します。
電子メールの送信先の作成
電子メール送信先の定義とは、事前定義された電子メール ドメインまたは特定の電子メール アドレスのことで、電
子メール保護ルール内で参照できます。
電子メール保護ルールを詳細に設定するには、いくつかの電子メール アドレスを追加し、他の電子メール アドレス
を除外します。 両方のタイプの定義を作成するようにします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
86
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[電子メール アドレス] を選択して、次に [アクション] 、 [新規] を選択します。
3
[名前]とオプションの[説明]を入力します。
4
ドロップダウン リストから [演算子] を選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
機密コンテンツの分類
ファイルの送信先による分類
7
演算子は以下のとおりです。
•
[ドメイン名が次の値の場合]
•
[メール アドレスが次の値の場合]
•
[表示名が次の値の場合]
•
[表示名が次の値を含む場合]
5
値を入力して [追加] をクリックします。
6
電子メール アドレスの追加が終わったら、[保存] をクリックします。
プリンタの取り扱い
印刷保護ルールは、ローカル プリンタとネットワーク プリンタの両方を管理し、機密事項の印刷をブロックまたは
監視するときに使用します。
McAfee DLP Endpoint 9.4 のプリンタ保護ルールは、高機能モードと V4 プリンタをサポートしています。 定義し
たプリンタは、ルールに追加またはルールから除外することができます。 イメージ プリンタと PDF プリンタをルー
ルに追加することができます。
プリンタ保護ルールにはアプリケーション定義を含むことができます。 ホワイトリストに登録されたプロセスを定
義して、ポリシー カタログ 、 Data Loss Prevention 9.4 、 クライアントの設定 、 プリンタ保護 の設定で、プリ
ンタ保護ルールを免除できます。
ネットワーク プリンタ定義の作成
ネットワーク プリンタ定義を使用して、詳細なプリンタ保護ルールを作成します。 定義したプリンタは、ルールに
追加またはルールから除外することができます。
開始する前に
ネットワーク内のプリンタの UNC パスを取得します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、[ネットワーク プリンタ] を選択して、[アクション] 、 [新規] を選択します。
3
一意の[名前]とオプションの[説明]を入力します。
4
[UNC] パスを入力します。
その他のパラメーターはすべてオプションです。
5
[保存] をクリックします。
Web サイトにアップロードした情報の制御
Web アドレスが Web 送信保護ルールで使用されます。
Web アドレス定義を使用すると、タグの付いたデータの定義済み Web 宛先 (Web サイトまたは Web サイトの特
定のページ) へのポスティングをブロックしたり、未定義の Web サイトへのポスティングを防ぐことができます。
一般的に、Web アドレス定義は、タグ付きデータのポスティングが許可されている外部 Web サイトと同様に、内部
Web サイトも定義します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
87
7
機密コンテンツの分類
ファイルの送信先による分類
URL リスト定義の作成
URL リスト定義は、Web 送信保護ルールの定義に使用します。 それらは [Web アドレス (URL)] 条件としてルー
ルに追加されます。
タスク
必要な各 URL に対して、手順 1–4 を実行します。 オプションの定義の場合、インターフェースで [?] をクリック
します。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] 、 [定義] の順に選択します。
2
左パネルで、URL リストを選択し、次に [アクション] 、 [新規] を選択します。
3
一意の[名前]とオプションの[定義]を入力します。
4
以下のいずれかを実行します。
•
[プロトコル]、[ホスト]、[ポート]、および [パス] の情報をテキスト ボックスに入力して、[追加] をクリッ
クします。
•
URL を [URL の貼り付け] テキスト ボックスに貼り付けて、[解析] をクリックし、次に [追加] をクリック
します。
URL フィールドは、ソフトウェアにより入力されます。
5
88
必要な URL を定義にすべて追加したら、[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
8
ルールを使用した機密コンテンツの保護
McAfee DLP Endpoint は、保護ルール、Device Control ルール、および検出ルールを組み合わせて、機密コンテ
ンツを保護します。 ルールを組み合わせてルール セットにして、McAfee DLP ポリシーに適用されます。
McAfee ePO は、McAfee DLP ポリシーをエンドポイント コンピューターに配備します。 次に McAfee DLP
Endpoint クライアント ソフトウェアが、ポリシーを適用して機密コンテンツを保護します。
目次
ルール セット
ルール タイプに使用可能な対応
アプリケーション ファイル アクセス保護ルール
電子メール保護ルール
ネットワーク通信保護ルール
ネットワーク共有保護ルール
プリンタ保護ルール
リムーバブル ストレージ保護ルール
スクリーン キャプチャ防止ルール
Web 送信保護ルール
エンドポイント検出
権限管理によるファイルの保護
ルール セット
ルール セットは、McAfee DLP Endpoint ポリシーを定義します。 ルール セットには、データ保護、デバイス コン
トロール、および検出ルールの組み合わせを含むことができます。
[ルール セット] ページには、定義されたルール セットのリストと、それぞれのステータスが表示されます。 表示に
は、各ルール セットでログされたインシデントの数、定義されたルール数、および有効にされたルール数が含まれま
す。 色付けされたアイコンは有効にされたルールのタイプを示します。 アイコンにマウス オーバーすると表示さ
れるツールチップは、ルールのタイプと有効にされたルール数を表示します。
図 8-1 ルール セット ページには、ツールチップ情報が表示されます。
ルール セット 1、6 つのデータ保護ルール、2 つの検出ルール、および 1 つの Device Control ルールが定義され
ています。 3 つのデータ保護ルールのみが有効にされています。 ツールチップには、2 つのクリップボード ルール
が表示されます。 3 番目の、列の右の青いアイコンは、アプリケーション ファイル アクセス保護ルールを表しま
す。 定義されていて有効にされていないルールを表示するには、ルールを編集用に開きます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
89
8
ルールを使用した機密コンテンツの保護
ルール セット
関連トピック:
103 ページの「Discovery ルールによるファイルの保護」
90 ページの「ルールの作成」
ルールとルール セットの作成と設定
McAfee DLP Endpoint, Device Control、および McAfee DLP Discover ポリシーのルールを作成、設定します。
タスク
•
90 ページの「ルール セットの作成」
ルール セットは、複数のデバイス保護、データ保護、および検出スキャン ルールを結合します。
•
90 ページの「ルールの作成」
ルールを作成するプロセスは、すべてのルール タイプで類似しています。
•
91 ページの「ポリシーへのルール セットの割り当て」
ルール セットは、エンドポイント コンピューターに割り当てられる前に、ポリシーに割り当てられ、ポ
リシーが McAfee ePO データベースに適用されます。
•
91 ページの「ルールの有効化、無効化、または削除」
複数のルールの状態を一度に削除または変更できます。
•
92 ページの「ルールまたはルール セットの列の設定」
ルールまたはルール セットを表示する列を移動、追加、または削除します。
•
93 ページの「ジャスティフィケーション定義の作成」
ビジネス ジャスティフィケーション定義は、ルールのジャスティフィケーション防止アクションのパラ
メーターを定義します。
•
94 ページの「通知の定義の作成」
ユーザー通知は、ユーザーのアクションがポリシーに違反すると、ポップアップまたはエンドユーザー
コンソールに表示されます。
ルール セットの作成
ルール セットは、複数のデバイス保護、データ保護、および検出スキャン ルールを結合します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブをクリックします。
3
[アクション] 、 [新しいルール セット] を選択します。
4
名前とオプションの注記を入力して、[OK] をクリックします。
ルールの作成
ルールを作成するプロセスは、すべてのルール タイプで類似しています。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
90
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブをクリックします。
3
ルール セットのタブをクリックして、必要な場合は [データ保護]、[Device Control]、または [検出] ルールの
適切なタブを選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
ルール セット
4
[アクション] 、 [新しいルール]を選択して、ルールのタイプを選択します。
5
[条件] タブで、情報を入力します。
8
•
分類またはデバイス定義などの条件によっては、[...] をクリックして既存の項目を選択するか新しい項目を
作成します。
•
さらに条件を追加するには、[+] をクリックします。
•
条件を削除するには、[-] をクリックします。
6
[対応] タブで、対応を設定します。
7
[保存] をクリックします。
関連トピック:
89 ページの「ルール セット」
ポリシーへのルール セットの割り当て
ルール セットは、エンドポイント コンピューターに割り当てられる前に、ポリシーに割り当てられ、ポリシーが
McAfee ePO データベースに適用されます。
開始する前に
[DLP ポリシー マネージャー] 、 [ルール セット] ページで、1 つ以上のルール セットを作成して、こ
れに必要なルールを追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
[DLP ポリシー マネージャー] 、 [ポリシー管理] ページで、以下のいずれかを実行します。
•
[アクション] 、 [ポリシーへのルール セットの割り当て] を選択します。 割り当てウィンドウで、ドロップ
ダウン リストからルールを選択し、これに割り当てるポリシーを選択して、[OK] をクリックします。
•
[アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。 割り当てウィンドウで、ドロ
ップダウン リストからポリシーを選択し、これに割り当てるルールを選択して、[OK] をクリックします。
前に選択したルール セットまたはポリシーの選択を解除すると、ルール セットがポリシーから削除されます。
2
[アクション] 、 [選択したポリシーを適用] を選択します。 割り当てウィンドウで、McAfee ePO データベース
に適用するポリシーを選択します。 [OK] をクリックします。
データベースにまだ割り当てられていないポリシーのみが選択ウィンドウに表示されます。 ルール セット割り
当てまたは割り当てられたルール セットのルールを変更すると、ポリシーが表示され、更新されたポリシーが以
前のポリシーの代わりに適用されます。
ルールの有効化、無効化、または削除
複数のルールの状態を一度に削除または変更できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブをクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
91
8
ルールを使用した機密コンテンツの保護
ルール セット
3
ルール セットのタブをクリックして、必要な場合は [データ保護]、[Device Control]、または [検出] ルールの
適切なタブをクリックします。
4
1 つ以上のルールを選択します。
5
選択したルールを更新または削除します。
•
ルールを有効にするには、[アクション] 、 [状態の変更] 、 [有効にする]を選択します。
•
ルールを無効にするには、[アクション] 、 [状態の変更] 、 [無効にする]を選択します。
•
ルールを削除するには、[アクション] 、 [削除]を選択します。
ルールまたはルール セットの列の設定
ルールまたはルール セットを表示する列を移動、追加、または削除します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブをクリックします。
3
[表示する列を選択] ページにアクセスします。
4
5
•
ルール セット — [アクション] 、 [列の選択]の順に選択します。
•
ルール — ルール セットを選択して、次に [アクション] 、 [列の選択] を選択します。
列を変更します。
•
[利用可能な列] パネルで、列を追加するアイテムをクリックします。
•
[選択した列] パネルで、矢印または [x] をクリックして列を移動または削除します。
•
[デフォルトを使用] をクリックして、列をデフォルト設定に復元します。
[保存] をクリックします。
エンドユーザー メッセージのカスタマイズ
エンドユーザーとのコミュニケーションには、通知とユーザー ジャスティフィケーション メッセージの 2 つのタイ
プのメッセージが使用されます。
通知とジャスティフィケーションの定義では、[ロケール] (言語) を指定し、プレースホルダを追加して実際の値で
置き換えることができます。 ロケールを定義すると、メッセージとオプション ボタン (ビジネス ジャスティフィケ
ーション用) が、エンドポイント コンピューターのデフォルト言語に表示されます。
ユーザー通知
ユーザー通知は、ユーザーにポリシー違反を通知するポップアップ メッセージです。
ルールで複数のイベントがトリガーされると、複数のメッセージを表示する代わりに、ポップアップ メッセージに
『DLP コンソールに新しい DLP イベントがあります』 と表示されます。
ユーザー通知メッセージは、[DLP ポリシー マネージャー] 、 [定義] 、 [通知] で定義されます。
ビジネス ジャスティフィケーション
ビジネス ジャスティフィケーションは、ポリシー バイパスのフォームです。 [リクエスト ジャスティフィケーショ
ン] は、ルールの防止アクションとして指定され、ユーザーはジャスティフィケーションを入力すると、ブロックさ
れることなく継続できます。
92
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
ルール セット
8
ビジネス ジャスティフィケーション メッセージは、[DLP ポリシー マネージャー] 、 [定義] 、 [ジャスティフィケ
ーション] で定義されます。
プレースホルダ
プレースホルダは、エンドユーザー メッセージをトリガーしたものに基いて、メッセージに変更可能なテキストを入
力する方法です。 使用可能なプレースホルダは以下のとおりです。
•
%c - 分類
•
%a - アクション
•
%r - ルールセット
•
%s - 文字列値 (ファイル名、デバイス名、その他)
•
%v - ベクトル (電子メール保護、Web
Protection、その他)
ジャスティフィケーション定義の作成
ビジネス ジャスティフィケーション定義は、ルールのジャスティフィケーション防止アクションのパラメーターを定
義します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[定義] タブをクリックし、次に [通知] 、 [ジャスティフィケーション] を選択します。
3
[アクション] 、 [新規]の順に選択します。
4
一意の名前とオプションの説明を入力します。
5
2 言語以上でジャスティフィケーション定義を作成するには、[ロケール アクション] 、 [新しいロケール] を選
択します。 必要な各ロケールについて、ドロップダウン リストからロケールを選択します。
選択されたロケールがリストに追加されます。
6
各ロケールで、以下を実行します。
a
左パネルで、編集するロケールを選択します。 テキスト ボックスにテキストを入力して、必要に応じてチェ
ックボックスを選択します。
[一致する文字列の表示] は、ポップアップに一致するコンテンツを強調表示してリンクを提供します。 [詳細
情報] は、文書またはイントラネット ページへのリンクを情報として提供します。
ロケール定義の入力時には、チェックボックスとアクションは使用できません。 ボタンのラベル、概要、およ
びタイトルのみを入力できます。 [ジャスティフィケーション オプション] セクションで、[アクション] 列の
[編集] 機能を使用して、デフォルトの定義をロケール バージョンで置き換えることができます。
b
[ジャスティフィケーションの概要] およびオプションの [ダイアログのタイトル] を入力します。
概要は、ユーザー向けの一般的な説明です。例: 『このアクションにはビジネス ジャスティフィケーションが
必要です。』 入力可能な最大文字数は 500 文字です。
c
ボタンのラベルを入力してボタンのアクションを選択します。 [ボタンを隠す] チェックボックスを選択する
と、ボタンが 2 個の定義を作成します。
ボタンのアクションは、定義を使用するルール タイプで利用可能な防止アクションと一致する必要がありま
す。 たとえば、ネットワーク共有保護ルールには、防止アクションとして [アクションなし]、[暗号化]、ま
たは [リクエスト ジャスティフィケーション] のみがあります。 ボタン アクションの 1 つに [ブロック] を
選択して、ネットワーク共有保護ルールの定義を使用しようとすると、エラー メッセージが表示されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
93
8
ルールを使用した機密コンテンツの保護
ルール セット
d
テキスト ボックスにテキストを入力して、[追加] をクリックすると、[ジャスティフィケーション オプショ
ン] のリストに追加されます。 エンドユーザーがこのリストを表示するようにするには、[ジャスティフィケ
ーション オプションを表示する] チェックボックスを選択します。
プレースホルダを使用してテキストをカスタマイズし、ポップアップをトリガーした理由を表示できます。
7
すべてのロケールが完了したら、[保存] をクリックします。
関連トピック:
92 ページの「エンドユーザー メッセージのカスタマイズ」
通知の定義の作成
ユーザー通知は、ユーザーのアクションがポリシーに違反すると、ポップアップまたはエンドユーザー コンソールに
表示されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[定義] タブをクリックし、次に [通知] 、 [ユーザー通知] を選択します。
3
[アクション] 、 [新規]の順に選択します。
4
一意の名前とオプションの説明を入力します。
5
ユーザー通知の定義を 2 言語以上で作成するには、[ロケール アクション] 、 [新しいロケール] を選択します。
必要な各ロケールについて、ドロップダウン リストからロケールを選択します。
選択されたロケールがリストに追加されます。
6
各ロケールで、以下を実行します。
a
左パネルで、編集するロケールを選択します。
[デフォルトのロケール] チェックボックスを選択することにより、任意のロケールをデフォルトに設定できま
す。
b
テキストをテキスト ボックスに入力します。
プレースホルダを使用してテキストをカスタマイズし、ポップアップをトリガーした理由を表示できます。
c
オプション: [詳細情報のリンクを表示する] チェックボックスを選択して、詳細情報を提供する URL を入力
します。
デフォルトのロケールのみで使用できます。
7
すべてのロケールが完了したら、[保存] をクリックします。
関連トピック:
92 ページの「エンドユーザー メッセージのカスタマイズ」
94
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
8
ルールを使用した機密コンテンツの保護
ルール タイプに使用可能な対応
ルール タイプに使用可能な対応
ルールで使用可能な対応はルール タイプによって異なります。
•
データ保護ルールは McAfee DLP Endpoint で使用できます。
•
Device Control ルールは、McAfee DLP Endpoint と Device Control で使用できます。
•
検出ルールは、McAfee DLP Endpoint 検出で利用できます。
表 8-1 使用可能な対応
対応
適用先ルール:
結果
アクションなし
すべて
アクションを許可します。
ブロック
• データ保護
アクションをブロックします。
• Device Control
[コピー]
検出
ファイルを特定の UNC で定義する場所にコピーします。
暗号化
• データ保護
ファイルを暗号化します。 暗号化のオプションは、FRP または
StormShield データ セキュリティ暗号化ソフトウェアです。
• 検出
[移動]
検出
ファイルを特定の UNC で定義する場所に移動します。 プレースホル
ダー ファイル (オプション) を作成して、ファイルが移動されたことを
ユーザーに通知できます。
読み取り専用
Device Control
読み取り専用アクセスを強制します。
リクエスト ジャステ データ保護
ィフィケーション
エンドユーザー コンピューターにポップアップを作成します。 ユーザ
ーがジャスティフィケーションを (オプションのユーザー入力で) 選択
するか、オプションのアクションを選択します。
RM ポリシーの適用
権限管理 (RM) ポリシーをファイルに適用します。
• データ保護
• 検出
隔離
検出
ファイルを隔離します。
タグ
検出
ファイルにタグ付けします。
DLP Endpoint コン
ソールにファイル表
示する
検出
[ファイル名] と [パス] をエンドポイント コンソールに表示します。
[ファイル名] は、ファイルが隔離されている場合を除き、ファイルを開
くリンクです。 [パス] ファイルを含むフォルダーを開きます。
ユーザー通知
• データ保護
エンドポイント コンピューターにメッセージを送信して、ユーザーにポ
リシー違反を通知します。
• 検出
[ユーザー通知] が選択され、複数のイベントがトリガーされると、複
数のメッセージを表示する代わりに、ポップアップ メッセージに
『DLP コンソールに新しい DLP イベントがあります』 と表示されま
す。
インシデントのレポ
ート
すべて
違反のインシデント エントリを DLP インシデント マネージャーに生
成します。
元のファイルを保存
• データ保護
インシデント マネージャーで表示するためにファイルを保存します。
• 検出
McAfee Data Loss Prevention Endpoint 9.4.100
指定したエビデンス フォルダーとエビデンス コピー サービスの有効
化が必要です。
製品ガイド
95
8
ルールを使用した機密コンテンツの保護
ルール タイプに使用可能な対応
表 8-2 データ保護ルールの対応
対応
アクシ
ョンな
し
ルール タイプ
ブロッ
ク
暗号化 リクエスト ジャ RM ポ
ユーザ
スティフィケー リシーの ー通知
ション
適用
インシデ 元のフ
ントのレ ァイル
ポート
を保存
アプリケーション ファイ
X
ル アクセス保護
X
X
X
X
クリップボード保護
X
X
X
X
X
クラウド保護
X
X
X
X
X
X
電子メールの保護
X
X
X
X
X
X
ネットワーク通信の保護
X
X
X
X
ネットワーク共有の保護
X
X
X
X
X
プリンタ保護
X
X
X
X
X
X
リムーバブル ストレージ
X
保護
X
X
X
X
X
スクリーン キャプチャ防
X
止
X
X
X
X
X
X
X
X
X
Web 送信保護
X
X
X
X
表 8-3 Device Control ルールの対応
対応
ルール
アクションな ブロック 読み取り専
し
用
ユーザー通知 インシデント
のレポート
X
Citrix XenApp デバイス
固定ハード ドライブ
X
X
プラグ アンド プレイ デバイス
X
X
リムーバブル ストレージ デバイス
X
X
リムーバル ストレージ ファイル アクセス X
X
X
X
TrueCrypt デバイス
X
X
X
X
X
X
X
X
X
X
X
X
X
表 8-4 検出ルールの対応
対応
ルール
アクションな
し
エンドポイ X
ント ファ
イル シス
テム
コピ
ー
暗号
移動
化
X
エンドポイ X
ント メー
ル ストレ
ージ保護
96
McAfee Data Loss Prevention Endpoint 9.4.100
RM ポリシーの
適用
McAfee DLP
Endpoint コン
隔離 タグ
ソールへのファ
イルの表示
インシ
元のフ
デント
ァイル
のレポ
を保存
ート
X
X
X
X
X
X
X
X
X
X
X
製品ガイド
8
ルールを使用した機密コンテンツの保護
アプリケーション ファイル アクセス保護ルール
アプリケーション ファイル アクセス保護ルール
ファイル アクセス保護ルールは、ファイルを作成したアプリケーション (複数可) に基づいてファイルをモニタリン
グします。
ルールを特定のアプリケーションに限定するには、アプリケーションまたは URL 定義を選択します。 アプリケーシ
ョン ファイル アクセス保護ルールは、McAfee Threat Intelligence Exchange (TIE) の McAfee Data
Exchange Layer (DXL) と通信します。 TIE からの情報を使用して TIE レピュテーションに従ってルールを定義
できます。 アプリケーションを選択する場合は、ドロップダウン リストを使用すると、アプリケーションまたはブ
ラウザー URL の代わりに TIE レピュテーションを選択できます。
®
®
TIE レピュテーションをルールで使用するには、DXL クライアントをエンドポイント コンピューターにインストール
する必要があります。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特
定のユーザー グループに限定することもできます。
アクション
利用可能なアクションは、ブロック、ユーザー通知、インシデントのレポート、および元のファイルを保存 です。
インシデントをレポートする場合は、エビデンスの保存はオプションです。 ユーザー通知を選択すると、エンドポイ
ント コンピューターでユーザー通知ポップアップが有効になります。 コンピューターが社内ネットワークから切断
されている場合は、異なるアクションが適用されます。
[分類] フィールドが 任意のデータ (すべて) に設定されている場合は、ブロック アクションは許されません。 このよ
うな条件でルールを保存しようとすると警告が表示されます。
クライアントの設定
ホワイトリストに登録されたプロセスと特定の拡張子を アプリケーション ファイル アクセス保護 ページのクライ
アント設定に追加できます。
使用例: 機密情報のディスクへの書き込みを防止します。
アプリケーション ファイル アクセス保護ルールは、CD/DVD ライターを使用した機密情報のコピーのブロックに使
用できます。
開始する前に
機密コンテンツを特定する分類を作成します。 環境に関連するパラメーター — キーワード、テキスト
パターン、ファイル情報などを使用します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] タブで、現在のルール セットを選択するか、または [アクション] 、 [新しいルール セット] を
選択して、ルール セットを定義します。
3
[データ保護] タブで、[アクション] 、 [新しいルール] 、 [アプリケーション ファイル アクセス保護] を選択し
ます。
4
(オプション) 名前を [ルール名] フィールド (必須) に入力します。 [状態] および [重大度] フィールドのオプ
ションを選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
97
8
ルールを使用した機密コンテンツの保護
電子メール保護ルール
5
[条件] タブの [分類] フィールドで、機密コンテンツに対して作成した分類を選択します。
6
[エンドユーザー] フィールドで、ユーザー グループ (オプション) を選択します。
ルールにユーザーまたはグループを追加することにより、ルールを特定のユーザーに限定できます。
7
[アプリケーション] フィールドで、[メディア書き込みアプリケーション [組み込み]] を利用可能なアプリケーシ
ョン定義リストから選択します。
組み込みの定義を編集することにより、独自のメディア書き込みアプリケーションを作成できます。 組み込みの
定義を編集すると、元の定義から自動的にコピーを作成します。
8
(オプション) [例外] タブで、ルールの例外を作成します。
例外の定義には、条件定義にある任意のフィールドを含むことができます。 複数の例外を定義して、複数の異な
る状況に使用できます。 1 つの例は、ルールが免除される "特権ユーザー" です。
9
[対応] タブで、[防止アクション]を [ブロック] に設定します。 [ユーザー通知] を選択します (オプション)。
[保存] をクリックしてから、[OK] をクリックします。
その他のオプションは、デフォルトのインシデント レポートを変更して、コンピューターがネットワークから切
断機されたときのアクションを防止します。
10 [ポリシーの割り当て] タブで、ルール セットをポリシーに割り当てます。
a
[アクション] 、 [ポリシーへのルール セットの割り当て] を選択します。
b
ドロップダウン リストから適切なルール セットを選択します。
c
割り当てるポリシーを選択します。
11 [アクション] 、 [選択したポリシーを適用] を選択します。 McAfee ePO データベースに適用するポリシーを選
択して、[OK] をクリックします。
電子メール保護ルール
電子メール保護ルールは、特定の送信先またはユーザーに送信された電子メールを監視またはブロックします。
電子メール保護ルールを使用して、特定の受信者へのメールをブロックできます。 電子メールのエンベロープ フィ
ールドで、電子メールが RMS 権限で保護されることを指定できます。 このオプションは、例外の定義によく使用さ
れます。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 この分類は、電子メール全体、あるい
は件名、本文、または添付ファイルを定義できます。 ルールをローカル ユーザーまたは特定のユーザー グループに
限定することもできます。
アクション
利用可能なアクションは、ブロック、リクエスト ジャスティフィケーション、ユーザー通知、インシデントのレポー
ト、および元のファイルを保存 です。 インシデントをレポートする場合は、エビデンスの保存はオプションです。
ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効になります。 コン
ピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されます。
98
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
ネットワーク通信保護ルール
8
クライアントの設定
Lotus Notes を使用している場合は、Lotus Notes プラグインを Operational Mode and Modules ページで有効
にします。 Microsoft Outlook を使用している場合は、必要なアドインを有効にします。 パフォーマンスを改善す
るには、使用しないハンドラーを無効にすることをお奨めします。
Microsoft Exchange と Lotus Notes の両方が利用できるシステムでは、送信メール サーバー (SMTP) の名前が両
方に設定されていないと、電子メール ルールが機能しません。
Microsoft Outlook サードパーティ アドイン (Boldon James または Titus) を使用するには、電子メール保護 ペ
ージでアドインを選択します。 サードパーティ アドインがインストールされ、アクティブになっていると、McAfee
DLP Outlook アドインは自身をバイパス モードに設定します 電子メール保護 ページのその他の設定は、タイムア
ウト方針、キャッシュ、API、およびユーザー通知を制御します。
ネットワーク通信保護ルール
ネットワーク通信保護ルールは、ネットワークの送受信データを監視またはブロックします。
ネットワーク通信保護ルールは、指定されたネットワーク アドレス (必須) およびポート (オプション) に基づいた
ネットワーク トラフィックを制御します。 また、受信接続または送信接続、あるいは両方を指定できます。 1 つの
ネットワーク アドレス定義および 1 つのポート定義を追加できますが、定義には複数のアドレスまたはポートを含
むことができます。
ルールを特定のタグに限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特定のユーザー グ
ループに限定することもできます。
スクリーン キャプチャ防止は、分類条件をチェックしません。 ネットワーク通信保護ルールで使用する分類を定義す
る場合は、タグ付け条件を使用します。
アクション
ネットワーク通信保護ルールのアクションには、ブロック、インシデントのレポート、および ユーザーに通知 が含
まれます。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効になり
ます。 コンピューターがネットワークから切断されている場合、またはコンピューターが VPN を使用して会社のネ
ットワークに接続されている場合は、異なるアクションを適用できます。
クライアントの設定
動作モードとモジュール ページで ネットワーク通信ドライバーが有効 (デフォルト) にされています。
ネットワーク共有保護ルール
ネットワーク共有保護ルールは、ネットワーク共有上の機密コンテンツを制御します。
ネットワーク共有保護ルールは、すべてのネットワーク共有または指定された共有に適用されます。 ルールには 1
つの共有の定義を含むことができ、定義には複数の共有を含むことができます。 含まれる分類 (必須) は、保護する
機密コンテンツを定義します。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特
定のユーザー グループに限定することもできます。
アクション
ネットワーク共有保護ルールのアクションには、暗号化、リクエスト ジャスティフィケーション、インシデントのレ
ポート、元のファイルを保存、および ユーザー通知 です。 インシデントをレポートする場合は、エビデンスの保存
はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
99
8
ルールを使用した機密コンテンツの保護
プリンタ保護ルール
効になります。 コンピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されます。
暗号化のオプションは、McAfee File and Removable Media Protection (FRP) および StormShield データ セ
キュリティ暗号化ソフトウェアです。
®
プリンタ保護ルール
プリンタ保護ルールは、ファイルの印刷を監視して防止します。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 ユーザー、プリンタ、またはアプリケ
ーションを指定することによりルールを限定することもできます。 プリンタ定義では、ローカル プリンタ、名前付
きのネットワーク プリンタ、またはイメージ プリンタを指定できます。
以前のバージョンでは別のルールを定義していたイメージ プリンタは、現在では一般的なプリンタ ルールに含まれて
います。
アクション
プリンタ保護ルールのアクションは、ブロック、リクエスト ジャスティフィケーション、ユーザー通知、インシデン
トのレポート、および元のファイルを保存 です。 インシデントをレポートする場合は、エビデンスの保存はオプシ
ョンです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効になり
ます。 コンピューターがネットワークから切断されている場合、またはコンピューターが VPN を使用して会社のネ
ットワークに接続されている場合は、異なるアクションを適用できます。
クライアントの設定
ホワイトリストに登録されたアプリケーションは、プリンタ保護ページに一覧表示されています。 プリンタ保護ルー
ルは、ホワイトリストに登録されたアプリケーションからの印刷を無視します。
動作モードとモジュール ページで選択したプリンタ アプリケーション アドインは、一般的なアプリケーションで使
用するとプリンタのパフォーマンスを改善できます。 このアドインは、管理対象のコンピューターでプリンタ保護ル
ールが有効な場合にのみインストールされます。
リムーバブル ストレージ保護ルール
リムーバブル ストレージ保護ルールは、データをリムーバブル ストレージ デバイスへの書き込みからブロックしま
す。
リムーバブル ストレージ保護ルールは、CD/DVD デバイス、リムーバブル ストレージ デバイスまたは両方を制御
できます。 ルールを、分類のタグまたは分類条件で限定します (必須)。 ルールはまた、指定したユーザー、アプリ
ケーション、または Web URL で定義できます。
アクション
リムーバブル ストレージ保護ルールのアクションは、ブロック、リクエスト ジャスティフィケーション、暗号化、
ユーザー通知、インシデントのレポート、および元のファイルを保存 です。 インシデントをレポートする場合は、
エビデンスの保存はオプションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知
ポップアップが有効になります。 コンピューターが社内ネットワークから切断されている場合は、異なるアクション
が適用されます。
クライアントの設定
リムーバブル ストレージ保護 ページで、削除モードを設定します。 通常モードはファイルを削除し、積極モードは
削除したファイルを回復不能にします。
100
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
スクリーン キャプチャ防止ルール
8
操作モードとモジュール ページの詳細オプションを有効にします。 オプションは次のとおりです。
•
TrueCrypt ディスク マウントを保護する
•
ポータブル デバイス ハンドラー
•
高度なファイル コピー保護
ポータブル デバイス ハンドラー
メディア転送プロトコル (MTP) は、コンピューターからスマートフォンなどのモバイル デバイスへの、ファイルお
よび関連付けされたメタデータの転送に使用します。 MTP デバイスには、接続したコンピューターのものとは異な
るファイル システムが実装されているため、従来のリムーバブル デバイスとは異なります。クライアントが MTP デ
バイスに対して設定されると、リムーバブル ストレージ保護ルールが、MTP 転送への介入を許可してセキュリティ
ポリシーを適用します。 現在、USB 接続のみがサポートされています。
ハンドラーは、Windows Explorer によるすべてデータ転送で機能します。 iOS デバイスでは、iTunes がデータ転
送を管理するため、ハンドラーは機能しません。 iOS デバイスでの代りの方針は、リムーバブル ストレージ デバイ
ス ルールを使用してデバイスを読み取り専用にすることです。
リムーバブル ストレージ保護ルールによる TrueCrypt デバイスの保護
TrueCrypt で暗号化された仮想デバイスは、TrueCrypt デバイス ルールまたはリムーバブル ストレージ保護ルール
で保護できます。
•
TrueCrypt ボリュームをブロックまたは監視する、あるいは読み取り専用にするには、デバイス ルールを使用し
ます。
•
TrueCrypt ボリュームのコンテンツ依存の保護を使用するには保護ルールを使用します。
TrueCrypt ボリュームは拡張ファイル属性をサポートしていないため、タグ付けされたコンテンツが TrueCrypt ボリ
ュームにコピーされると、タグが失われます。 文書のプロパティ、ファイル暗号化、または分類定義のファイル タイ
プ グループ定義を使用してコンテンツを識別します。
高度なファイル コピー保護
高度なファイル コピー保護は、Windows Explorer のコピー操作に介入して、ファイルがリムーバブル デバイスに
コピーされる前に、McAfee DLP Endpoint クライアントによるソースのファイルの検査を可能にします。 これはデ
フォルトで有効にされており、トラブルシューティングの場合のみ無効にする必要があります。
高度なコピー保護が適用できない場合の使用例があります。 例: アプリケーションが開いたファイルをリムーバブル
デバイスに、名前をつけて保存 を使用して保存すると、通常のコピー保護に戻ります。 このファイルはデバイスにコ
ピーされてから検査されます。 機密コンテンツが見つかった場合、ファイルはすぐに削除されます。
スクリーン キャプチャ防止ルール
スクリーン キャプチャ防止ルールは、スクリーンからのデータのコピー/貼り付けを制御します。
ルールを特定のタグに限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特定のユーザー グ
ループに限定することもできます。
スクリーン キャプチャ防止は、分類条件をチェックしません。 スクリーン キャプチャ防止ルールで使用する分類を定
義する場合は、タグ付け条件を使用します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
101
8
ルールを使用した機密コンテンツの保護
Web 送信保護ルール
アクション
スクリーン キャプチャ防止ルールのアクションは ブロック、ユーザー通知、インシデントのレポート、および 元の
ファイルの保存 です。 インシデントをレポートする場合は、エビデンスの保存はオプションです。 ユーザー通知を
選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効になります。 コンピューターが社
内ネットワークから切断されている場合は、異なるアクションが適用されます。
クライアントの設定
スクリーン キャプチャ防止ルールにより保護戯れるアプリケーションは、スクリーン キャプチャ防止 ページに一覧
表示されています。 リストには一般的なスクリーン キャプチャ アプリケーションが含まれており、アプリケーショ
ンを追加、編集、または削除できます。
動作モードとモジュール ページで、スクリーン キャプチャ サービスを有効にします。 アプリケーション ハンドラ
ーと Print Screen キー ハンドラーは個別に有効にできます。 デフォルトでは、両方が有効になっています。 アプ
リケーション ハンドラーまたはスクリーン キャプチャ サービスを無効にすると、スクリーン キャプチャ保護 ペー
ジに一覧表示されているすべてのアプリケーションが無効にされます。
Web 送信保護ルール
Web 送信保護ルールは、Web ベースの電子メール サイトを含め、Web サイトへのデータの送信を監視またはブロ
ックします。
Web 送信保護ルールは、Web アドレスをルールに追加することにより定義されます。
ルールを特定のタグまたは分類条件に限定するには、分類定義を使用します。 ルールをローカル ユーザーまたは特
定のユーザー グループに限定することもできます。
アクション
Web 送信保護ルールのアクションは、ブロック、リクエスト ジャスティフィケーション、ユーザー通知、インシデ
ントのレポート、および元のファイルを保存 です。 インシデントをレポートする場合は、エビデンスの保存はオプ
ションです。 ユーザー通知を選択すると、エンドポイント コンピューターでユーザー通知ポップアップが有効にな
ります。 コンピューターが社内ネットワークから切断されている場合は、異なるアクションが適用されます。
クライアントの設定
動作モードとモジュール ページで Web 保護に使用するブラウザーを有効にします。 Microsoft Internet
Explorer、Microsoft Edge、Mozilla Firefox、および Google Chrome がサポートされています。
Web 送信保護ページ
Web 送信保護 ページには、Web 送信保護ルールから除外するホワイトリストに登録された URL のリストが含まれ
ています。 これには、HTTP GET リクエストの処理を有効にする設定もあります。 GET リクエストは、リソースを
消費するため、デフォルトで無効にされています。 このオプションの使用には注意が必要です。
Web タイムアウト方針 は、Web 送信の解析の最大時間と、タイムアウトした場合のアクションを設定します。 オ
プションはブロックまたは許可です。 また、ユーザー通知を選択することもできます。
ページには、サポートされている Google Chrome バージョンのリストも含まれています。 Chrome が頻繁にアッ
プデートされるため、このリストが必要です。 このリストは、最新のリストを McAfee サポートからダウンロード
し、参照 を使用して XML ファイルをインストールすることにより入力されます。
102
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
8
ルールを使用した機密コンテンツの保護
エンドポイント検出
エンドポイント検出
Discovery は、クライアント コンピューターで実行されるクローラーです。 ローカル ファイル システムと電子メ
ール ストレージ ファイルを検索して、機密コンテンツを保護するルールを適用します。
目次
Discovery ルールによるファイルの保護
スキャンの動作
エンドポイント検出クローラーによるコンテンツの検出
Discovery ルールによるファイルの保護
Discovery ルールは、リポジトリをスキャンし一致するコンテンツが見つかったときのアクションを決定する際に、
McAfee DLP が検索するコンテンツを定義します。
ルール タイプによって、スキャンに一致するファイルには、コピー、移動、暗号化、隔離、タグ付け、または適切な
管理ポリシーが適用されます。 すべての Discovery ルール条件には分類が含まれます。
電子メール ストレージ Discovery ルールを 隔離防止アクションと共に使用する場合は、Outlook アドインが有効に
なっていることを確認してください (ポリシー カタログ 、 Data Loss Prevention 9.4 、 クライアント設定 、 操作
モードとモジュール)。 Outlook アドインがないと、隔離から電子メールを解放できません。
表 8-5 利用可能な Discovery ルール
ルール タイプ
製品
以下で見つかったファイルをコントロールします。
ローカル ファイル システム
McAfee DLP Endpoint
ローカル ファイル システムのスキャン
ローカル メール (OST、PST)
McAfee DLP Endpoint
電子メール ストレージ システム スキャン
スキャンの動作
エンドポイント検出スキャンを使用して、機密コンテンツのあるローカル ファイル システムまたは電子メール スト
レージのファイルを特定し、タグ付けあるいは隔離します。
McAfee DLP Endpoint 検出は、クライアント コンピューターで実行されるクローラーです。 事前定義されたコン
テンツが検出されると、そのコンテンツを含むファイルの監視、隔離、暗号化、または RM ポリシーの適用を実行で
きます。 エンドポイント検出では、コンピューター ファイルまたは電子メール ストレージ (PST、マッピングされ
た PST、および OST) ファイルを検索できます。 電子メール ストレージ ファイルは、ユーザーごとにキャッシュ
されます。
エンドポイント検出を使用するには、ポリシー カタログ 、 クライアントの設定 、 操作モードとモジュール ページで
検出モジュールを有効にする必要があります。
各検出スキャンの終了時に、McAfee DLP Endpoint クライアントは、検出サマリー イベントを McAfee ePO の
DLP 操作イベント コンソールに送信してスキャンの詳細を記録します。 イベントには、スキャンできなかったファ
イルとスキャンできなかった理由を一覧表示するエビデンスファイルが含まれます。 また、分類に一致するファイル
と、実行したアクションを記録するエビデンス ファイルもあります。
McAfee DLP Endpoint 9.4.0 では、サマリー イベントは操作イベントでした。 古いサマリー イベントを DLP
Incident Manager に更新するには、McAfee ePO サーバー タスク DLP インシデント イベントの 9.4 から 9.4.1
への移行 を使用します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
103
8
ルールを使用した機密コンテンツの保護
エンドポイント検出
検索のタイミング
ポリシー カタログ 、 DLP ポリシー 、 エンドポイント検出 ページのスケジュール検出スキャン 毎日特定の時間に
スキャンを実行したり、あるいは週または月の指定した曜日や日に実行するように指定することもできます。 開始日
と終了日を指定、または McAfee DLP Endpoint 設定が施行されたときにスキャンを実行することもできます。 コ
ンピューターの CPU または RAM が指定された制限を超過したとき、スキャンを一時的に停止することができます。
エンドポイント スキャンの実行中に検出ポリシーを変更すると、ルールおよびスケジュール パラメータは直ちに変
更されます。 有効化または無効化されたパラメータの変更は、次のスキャン時に有効となります。 スキャンの実行
中にコンピューターが再起動されると、スキャンは中断した場所から再開します。
検出可能なコンテンツ
検出ルールは分類で定義します。 分類条件に追加できるすべてのファイル プロパティまたはデータ条件は、コンテ
ンツの検出に使用できます。
機密コンテンツが含まれているファイルが検出された場合
電子メール ファイルは、隔離またはタグ付けできます。 ローカル ファイル システムのファイルは、暗号化、隔離、
タグ付け、または RM ポリシーの適用ができます。 エビデンスは、両方のファイル タイプに保存できます。
エンドポイント検出クローラーによるコンテンツの検出
検出クローラを実行するには、4 つのステップがあります。
1
機密コンテンツを特定する分類を作成して定義します。
2
検出ルールの作成と定義 検出ルールには、定義の一部として分類が含まれます。
3
スケジュール定義の作成
4
スキャン パラメータの設定 スキャン定義には、パラメーターの 1 つとしてスケジュールが含まれます。
タスク
•
104 ページの「検出ルールの作成と定義」
検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について
定義します。
•
105 ページの「スケジューラー定義の作成」
スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。
•
106 ページの「スキャンのセットアップ」
検出スキャンは、ローカル ファイル システムまたはメールボックスの機密コンテンツを巡回します。
•
106 ページの「使用例: 隔離済みファイルまたは電子メール項目の復元」
McAfee DLP Endpoint 検出で機密コンテンツが検出されると、影響を受けるファイルまたは電子メー
ル項目は隔離フォルダに移動され、プレースホルダに置き換えられて、ユーザにはファイルまたは電子
メール項目が隔離されたことが通知されます。 隔離されたファイルと電子メール項目も不正使用を防止
するために暗号化されます。
検出ルールの作成と定義
検出ルールは、クローラが検索するコンテンツおよびこのコンテンツが検出されたときの処理について定義します。
検出ルールの変更は、ポリシーが配備されると有効になります。 スキャンが進行中であっても、新規のルールはすぐ
に有効となります。
電子メール ストレージ (PST、マッピングされた PST、および OST) スキャンでは、クローラーが電子メール項目
(本文と添付ファイル)、カレンダー項目、およびタスクをスキャンします。 公開フォルダや付箋はスキャンしませ
ん。
104
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
エンドポイント検出
8
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[ルール セット] ページで、[アクション] 、 [新しいルール セット] を選択します。 名前を入力し、[OK] をク
リックします。
既存のルール セットに検出ルールを追加することもできます。
3
[検出] タブで、[アクション] 、 [新しいエンドポイント検出ルール] を選択して、次に [ローカル メール] また
は [ローカル ファイル システム] のいずれかを選択します。
適切なページが表示されます。
4
ルール名 を入力して、分類を選択します。
5
[対応] をクリックします。 ドロップダウン リストから防止アクションを選択します。
6
オプション: [インシデントのレポート] オプションを選択し、[状態] を [有効] に設定して、ドロップダウン リ
ストから [重大度] の指定を選択します。
7
[保存] をクリックします。
スケジューラー定義の作成
スケジューラーは、検出スキャンを実行するタイミングと頻度を決定します。
5 つのスケジュール タイプが使用できます。
•
すぐに実行
•
週単位
•
1 回だけ
•
月次
•
毎日
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ポリシー マネージャー] の順に選択します。
2
[定義] タブをクリックします。
3
左パネルで [スケジューラー] をクリックします。
McAfee DLP Discover と McAfee DLP Endpoint の両方がインストールされている場合、表示される既存のス
ケジュールのリストには両方のスケジュールが含まれます。
4
[アクション] 、 [新規]の順に選択します。
[新しいスケジューラー] ページが表示されます。
5
一意の[名前]を入力して、ドロップダウン リストから [スケジュール タイプ] を選択します。
スケジュール タイプを選択して、そのタイプに必要なフィールをを入力すると、表示が変化します。
6
必要なオプションを入力し、[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
105
8
ルールを使用した機密コンテンツの保護
エンドポイント検出
スキャンのセットアップ
検出スキャンは、ローカル ファイル システムまたはメールボックスの機密コンテンツを巡回します。
開始する前に
スキャンに適用するルールセットが DLP ポリシー に適用されていることを確認します。 この情報は、
[DLP ポリシー] 、 [ルール セット] タブに表示されています。
検出設定パラメータの変更は、次回のスキャンから有効になります。 すでに進行中のスキャンに対しては適用されま
せん。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [ポリシー] 、 [ポリシー カタログ] の順に選択します。
2
[製品] [Data Loss Prevention 9.4] を選択して、有効な DLP ポリシーを選択します。
3
[Endpoint Discovery] タブで、[アクション] 、 [新しいエンドポイントのスキャン] を選択して、次に [ローカ
ル メール] または [ローカル ファイル システム] のいずれかを選択します。
4
スキャンの 名前 を入力して、ドロップダウン リストから スケジュール を選択します。
5
オプション: [インシデント処理] および [エラー処理] のデフォルトを変更します。 [状態] を [有効] に変更し
ます。
エラー処理は、テキストが抽出できない場合を指します。
6
7
フォルダー タブで、以下のいずれかを実行します。
•
ファイル システム スキャンでは、[アクション] 、 [フォルダーの選択] を選択します。 定義されたフォルダ
ー定義を選択するか、[新しい項目] をクリックして定義を作成します。 フォルダーを [追加] または [除外]
として定義します。
•
電子メール スキャンでは、ファイル タイプ (OST、PST) とスキャンするメールボックスを選択します。
オプション: [フィルター] タブ (ファイル システムのみ) で、[アクション] 、 [フィルターの選択] を選択しま
す。 ファイル情報の定義を選択するか、[新しい項目] をクリックして定義を作成します。 フィルターを [追加]
または [除外] として定義します。 [OK] をクリックします。
デフォルトの設定は [すべてのファイル] です。 フィルターを定義すると、スキャンがより効率的になります。
8
[ルール] タブで、適用するルールを確認します。
ポリシーに適用されるルール セットのすべての検出ルールが実行されます。
使用例: 隔離済みファイルまたは電子メール項目の復元
McAfee DLP Endpoint 検出で機密コンテンツが検出されると、影響を受けるファイルまたは電子メール項目は隔離
フォルダに移動され、プレースホルダに置き換えられて、ユーザにはファイルまたは電子メール項目が隔離されたこ
とが通知されます。 隔離されたファイルと電子メール項目も不正使用を防止するために暗号化されます。
開始する前に
McAfee DLP アイコンを Microsoft Outlook で表示するには、[ポリシー カタログ] 、 [クライアント
ポリシー] 、 [操作モードとモジュール]で [隔離から解放するコントロールを Outlook に表示] オプシ
ョンを有効にする必要があります。 無効になっていると、隔離された電子メールを表示するオプション
のアイコンと右クリック オプションがブロックされ、電子メールを隔離から解放できません。
ファイル システム検出ルールを [隔離] に設定した場合、クローラで機密コンテンツが検出されると、影響を受けた
ファイルは隔離フォルダに移動され、プレースホルダに置き換えられて、ユーザーにはファイルが隔離されたことが
通知されます。 隔離されたファイルは不正使用を防止するために暗号化されます。
106
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
エンドポイント検出
8
隔離済みの電子メール項目については、McAfee DLP Endpoint 検出では Outlook の [件名] に電子メールが隔離さ
れたことを示す接頭辞を付けます。 電子メール本体とすべての添付ファイルが隔離されます。
以前の McAfee DLP Endpoint バージョンでは、電子メールの署名システムで処理する際に署名が壊れるのを防止す
るために、本文と添付ダイルのいずれかを暗号化できましたが、メカニズムが変わりました。
カレンダー項目とタスクも隔離することができます。
図 8-2 隔離済み電子メールの例
タスク
1
隔離されたファイルの復元方法
a
管理対象のコンピューターのシステム トレイで、[McAfee Agent] アイコンをクリックして、[管理機能] 、
[DLP Endpoint コンソール] を選択します。
DLP Endpoint コンソールが開きます。
b
[タスク] タブで、[隔離フォルダーを開く] を選択します。
隔離フォルダーが開きます。
c
復元するファイルを選択します。 右クリックして、[隔離から解放] を選択します。
[隔離から解放] のコンテキストに応じたメニュー項目は、タイプが *.dlpenc (DLP で暗号化) のファイルを
選択した場合にのみ表示されます。
[リリース コード] ポップアップ ウィンドウが表示されます。
2
隔離された電子メール項目を復元するには、[McAfee DLP] アイコンをクリックするか、[隔離から解放] を右ク
リックして選択します。
a
Microsoft Outlook で、復元する電子メール (またはその他の項目) を選択します。
b
[McAfee DLP] アイコンをクリックします。
[リリース コード] ポップアップ ウィンドウが表示されます。
3
ポップアップ ウィンドウからチャレンジ ID コードをコピーし、これを DLP 管理者に送信します。
4
管理者は応答コードを生成し、ユーザーに送信します。 (またイベントはすべての詳細を記録する DLP 操作イベ
ントにも送信されます。)
5
ユーザーは、リリース コードを [リリース コード] ポップアップ ウィンドウに入力して、[OK] をクリックしま
す。
復号化されたファイルは、元の場所に復元されます。 リリース コード ロックアウト ポリシーがアクティブ ([エ
ージェント設定] 、 [通知サービス] タブで設定) になっている場合に間違ったコードを 3 回入力すると、ポップ
アップは 30 分間 (デフォルト設定) タイムアウトします。
ファイルの場合、パスが変更または削除されている場合、元のパスが復元されます。 その場所に同じ名前のファイ
ルが存在する場合、ファイルは xxx-copy.abc という名前で復元されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
107
8
ルールを使用した機密コンテンツの保護
権限管理によるファイルの保護
権限管理によるファイルの保護
McAfee DLP Endpoint は、権限管理 (RM) サーバーと統合して、ルール分類に一致するファイルに保護を適用する
ことができます。
RM ポリシーの対応をデータ保護および検出ルールに適用できます。
•
クラウド保護
•
エンドポイント ファイル システム
RM ポリシーは、デバイス コントロール ルールと併用できません。
McAfee DLP Endpoint は、ファイル暗号化プロパティを分類またはタグ付け条件に追加することにより、RM 保護
されたファイルを認識できます。 これらのファイルは、分類に追加または分類から除外することができます。
関連トピック:
38 ページの「Rights Management サーバーの定義」
McAfee DLP の権限管理方法
McAfee DLP は、RM ポリシーをファイルに適用するワークフローに従います。
RM ワークフロー
1
データ保護または検出ルールを、RM ポリシーを適用する対応とともに作成して適用します。 対応には、RM サ
ーバーと RM ポリシー エントリが必要です。 タグを RM 保護されたファイルに追加するタグ付けルールを作成
できます。
2
ファイルがルールをトリガーすると、McAfee DLP がファイルを RM サーバーに送信します。
3
RM サーバーは、指定されたポリシーに基いて、ファイルの暗号化、ファイルへのアクセスまたは暗号解除ができ
るユーザーの制限、およびファイルにアクセスできる条件などの、保護を適用します。
4
RM サーバーは、ファイルに保護を適用して、送信元に返送します。
5
ファイルのタグを設定した場合は、McAfee DLP はどのファイルを監視できます。
ファイル システム検出ルールを適用する McAfee DLP ソフトウェアは、保護対象のファイルを見つけると、テンプ
レート GUID を一意の識別子として使用してテンプレートを特定し、保護を適用します。
制限事項
McAfee DLP Endpoint ソフトウェアは、RM の保護対象ファイルで内容に関する検査は行いません。 タグ付きのフ
ァイルが RM の保護対象の場合、静的タグ (場所およびアプリケーション) のみが保持されます。 ユーザーがファイ
ルを変更すると、ファイルの保存時にすべてのタグが失われます。
サポートされている RM サーバー
McAfee DLP Endpoint は、Microsoft Windows Rights Management サービス (Microsoft RMS) および
Seclore FileSecure™ Information Rights Management (IRM) をサポートしています。
Microsoft RMS
McAfee DLP Endpoint は、Windows Server 2003 上の Microsoft RMS および Windows Server 2008/2012
上の Active Directory RMS (AD-RMS) をサポートしています。 Windows Rights Management サービス保護
を以下に適用できます。
108
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
ルールを使用した機密コンテンツの保護
権限管理によるファイルの保護
•
Microsoft Word 2007、Word 2010、および Word 2013 文書
•
Microsoft Excel 2007、Excel 2010、および Excel 2013 文書
•
Microsoft PowerPoint 2007、PowerPoint 2010、および PowerPoint 2013 文書
•
SharePoint 2007 文書
•
Exchange Server 2007 文書
8
Windows RMS で使用する場合、現在のユーザーに表示権限があれば、McAfee DLP Endpoint ソフトウェアは保護
対象ファイルのコンテンツを検査できます。
Microsoft RMS の詳細は、http://technet.microsoft.com/en-us/library/cc772403.aspx を参照してください。
Seclore IRM
McAfee DLP Endpoint は、最も一般的な以下の形式を含む 140 以上のファイル形式に対応する Seclore
FileSecure RM をサポートしています。
•
Microsoft Office 文書
•
テキストおよび CSV、XML、HTML を含むテキス
ト ベースの形式
•
Open Office 文書
•
JPEG、BMP、GIF などを含む画像形式
•
PDF
•
DWG、DXF、DWF を含むエンジニアリング デザ
イン形式
McAfee DLP Endpoint クライアントは、FileSecure デスクトップ クライアントと協調してオンラインおよびオフ
ラインの統合を提供います。
Seclore IRM の詳細は、http://seclore.com/seclorefilesecure_overview.html を参照してください。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
109
8
ルールを使用した機密コンテンツの保護
権限管理によるファイルの保護
110
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
9
ポリシーに関する操作
McAfee DLP Endpoint は、ポリシーと設定を McAfee ePO に保存します。
McAfee ePO ポリシー カタログの DLP ポリシーは、ルール セット (保護ルール) と、関連する分類および定義から
構成されます。 これには、エンドポイント検出スキャンの設定とサーバーの設定も含むことができます。
DLP ポリシー マネージャーのルールとルール セットを作成できます。 ルール セットには、複数のデータ保護、
Device Control、および検出ルールを含むことができます。 ルール セットのルールは、論理 OR で、検査したコン
テンツがいずれかのルールに一致すると、ルール セットが適用されます。 1 つのルールでは、いくつかのパラメー
ターは 論理 AND または NOT で、いくつかのパラメーターの組み合わせは、AND、OR、または NOT のいずれか
で、管理者によって指定されます。
ワークフロー
ポリシーを管理する手順は以下のとおりです。
1
DLP Policy Manager 、 [ルール セット] ページで、ルール セットを作成して保存します。
2
ほとんどのルールには分類が必要です。 分類モジュールで分類を定義します。
3
DLP ポリシー マネージャー 、 ポリシー 割り当て ページで、ルール セットを DLP ポリシーに割り当てます。
4
定義を作成または編集します。
5
ポリシー カタログ の McAfee ePO にポリシーが適用されます。
ポリシー カタログ では、デフォルトのポリシーまたは他の既存のポリシーを複製して新しいポリシーを作成できま
す。
目次
複数のポリシーの使用
定義のしくみ
DLP ポリシーの編集
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
111
9
ポリシーに関する操作
複数のポリシーの使用
複数のポリシーの使用
共通の設定と定義を上書きするには複数のポリシーを使用します。
McAfee DLP ポリシーは、システム ツリーから McAfee ePO によりグローバル ポリシーとして、またはポリシー
割り当てルールによって、エンドポイント コンピューターに割り当てできます。 McAfee DLP バージョン 9.3 で
は、共通の設定と定義を含む単一のポリシーがありました。 これらの設定と定義は、どの方法が使用されるかに関係
なく、すべてのエンドポイント コンピューターに送信されました。 この設定には、以下の種類の情報が含まれてい
ました。
•
タグ付けルール
•
ホワイトリストに登録されたテキスト
•
分類ルール
•
アプリケーション定義
•
タグと分類条件の名前
•
デバイス クラス
いくつかの設定と定義は、エンドポイント コンピューターの動作に影響する可能性があります。 たとえば、デバイ
ス クラスを管理対象外から管理対象に変更すると、McAfee DLP Endpoint クライアントがそのクラスに属するデバ
イスを監視してコントロールしようとします。 一部のエンドポイント コンピューターが McAfee DLP Endpoint
デバイス ドライバーと互換性の問題があるデバイスを使用すると、パフォーマンスが著しく低下する場合がありま
す。
McAfee DLP バージョン 9.4 では、複数のポリシーを提供することで、この問題を解決します。 管理者は、ポリシ
ーごとに、デバイス クラスとアプリケーション テンプレートを上書きして、組織内の異なるシステムに対して異な
る設定と定義を適用することができます。 異なるポリシーを、ポリシー割り当てルールまたはユーザー割り当てグル
ープにより割り当てできます。 デフォルトでは、デフォルト DLP ポリシー がシステム ツリーのルートの割り当て
られています。
定義のしくみ
定義を使用して、ルール、分類条件、およびス検出キャンを設定します。
McAfee DLP の定義は、定義カタログに保存されます。 定義すると、すべての McAfee DLP の機能で使用できま
す。 すべての定義はユーザーが設定可能で、いくつかの定義は事前設定されています。
チェックボックスを選択することにより、[組み込みの定義] を表示します。
表 9-1 McAfee DLP の機能で利用可能な定義
[データ]
分類
ルール セット
高度なパターン*
ファイル拡張子*
ディクショナリ*
文書プロパティ
ファイル拡張子*
ファイル情報
実際のファイル タイプ*
[Device Control]
デバイス クラス
デバイス定義
[通知]
ジャスティフィケーション
ユーザー通知
[その他]
112
McAfee Data Loss Prevention Endpoint 9.4.100
スケジューラー
製品ガイド
ポリシーに関する操作
DLP ポリシーの編集
9
表 9-1 McAfee DLP の機能で利用可能な定義 (続き)
分類
[ソース/宛先]
ルール セット
アプリケーション テンプレート
メール アドレス
エンドユーザー グループ
ローカル フォルダー
ネットワーク アドレス (IP アドレス)
ネットワーク ポート
ネットワーク プリンター
ネットワーク共有
プロセス名
URL リスト
ウィンドウ タイトル
* は、事前定義された (組み込みの) 定義が利用可能なことを示します。
DLP ポリシーの編集
DLP ポリシーの設定は、ルール セット、ポリシー割り当て、および定義で構成されます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [DLP ポリシー マネージャー] の順に選択します。 少なくとも 1 つのルール セ
ットを作成して DLP ポリシーに割り当てます。
詳細は、このマニュアルの 『ルール セットの作成』 を参照してください。
2
McAfee ePO で、[ポリシー カタログ] 、 [製品データ] 、 [Product: Data Loss Prevention 9.4] の順に選択
します。 DLP ポリシー設定を開きます。
[カテゴリ] 列の DLP ポリシー ラベルを選択して、[名前] 列をクリックします。
3
[有効なルール セット] タブを選択します。
何らかのルール セットがポリシーに割り当てられている場合は、ページに表示されます。
4
新しいルール セットをポリシーに割り当てるには、以下の手順を実行します。
a
[メニュー] 、 [DLP ポリシー マネージャー] 、 [ポリシー割り当て] の順に選択します。
b
[アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。
代わりに、[アクション] メニューから、複数のポリシーにルール セットを割り当てることもできます。
c
選択ウィンドウで、ドロップダウン リストからポリシーを選択し、チェックボックスで割り当てるルール セ
ットを選択します。 [OK] をクリックします。
選択したルール セットがポリシーに適用されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
113
9
ポリシーに関する操作
DLP ポリシーの編集
5
ルール セットをポリシーから削除するには、以下の手順を実行します。
a
[アクション] 、 [ポリシーにルール セットを割り当てる] の順に選択します。
b
選択ウィンドウでポリシーから削除するルール セットのボックスの選択を解除します。 [OK] をクリックし
ます。
選択したルール セットがポリシーから削除されます。
6
[エンドポイント検出] タブを選択します。
7
[アクション] 、 [新しいエンドポイント スキャン] を選択して、実行するスキャンのタイプ: [ローカル電子メー
ル] または [ローカル ファイル システム] を選択します。
スキャン設定ページが表示されます。 [スケジュール] 定義を選択したページで、適用する [ルール] とその他の
スキャンの詳細を選択します。 すべての必要な詳細情報を入力したら [保存] をクリックします。
8
9
[設定] タブを選択します。 このページで、以下のオプションを設定できます。
•
デフォルト アプリケーション方針、および選択したアプリケーションのアプリケーション方針の上書き。
•
デバイス クラスの上書きとフィルター タイプ
•
すべての特権ユーザーまたはユーザー グループの追加
すべての編集が完了したら、[ポリシーを適用] をクリックします。
変更が、McAfee ePO データベースに適用されます。
114
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
監視とレポート
McAfee DLP Endpoint ソフトウェア コンポーネントを使用すると、ポリシー違反を追
跡して確認し、管理 (操作) イベントを追跡することができます。
第 10 章
第 11 章
第 12 章
モニタリングとレポート イベント
管理データの収集と管理
レポートの作成
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
115
監視とレポート
116
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
10
モニタリングとレポート イベント
McAfee DLP は、イベントを 2 つのクラス: インシデント イベント (ポリシー違反) および管理イベントに分割しま
す。 これらのイベントは、2 つのコンソール - DLP インシデント マネージャー および DLP 操作イベント に表示さ
れます。
McAfee DLP がポリシー違反の発生を確認すると、イベントを生成し McAfee ePO イベント パーサーに送信しま
す。 これらのイベントは DLP インシデント マネージャー コンソールで表示、フィルタリングおよびソートできる
ため、セキュリティ担当者または管理者はイベントを確認し、すぐに対応できます。 該当する場合、不審なコンテン
ツがエビデンスとしてイベントに添付されます。
McAfee DLP の主な役割は、あらゆる規制や個人情報関連の法律への企業の順守を円滑に行うことです。このため、
DLP インシデント マネージャーは最も的確で柔軟性のある方法で機密データの転送情報を提供します。 監査担当や
決定権を持つ役員、プライバシー担当者などの主要な役員は、DLP インシデント マネージャーを使用して、不審な
または未許可の動作を観察し、エンタープライズのプライバシー ポリシー、関連規則またはその他の法律に従って作
業できます。
システム管理者またはセキュリティ担当者は、エージェントおよびポリシー配備のステータスに関する管理イベント
を追跡することができます。
DLP 操作イベント コンソールは、クライアントの配備、ポリシーの変更、ポリシーの配備、セーフモード ログオン、
エージェント上書き、および他の管理イベントを表示します。
目次
DLP インシデント マネージャー
インシデント マネージャーの動作の仕組み
インシデント タイプと詳細
インシデントの管理
ケースの取り扱い
DLP インシデント マネージャー
McAfee ePO の DLP インシデント マネージャー ページを使用して、ポリシー違反のセキュリティはイベントを表
示します。
インシデント マネージャーには 3 つのタブ形式のセクションがあります。
•
[インシデント リスト] — ポリシー違反イベントの現在のリスト。
•
[インシデント タスク] — リストで実行できるアクションのリスト、またはそのリストから選択した部分。 これ
には、レビューアーの割り当て、自動電子メール通知の設定、リストの全部または一部の完全削除が含まれます。
•
[インシデント履歴] — すべてのインシデントの履歴を含むリスト。 インシデント リストの完全削除は、履歴に
影響しません。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
117
10
モニタリングとレポート イベント
インシデント マネージャーの動作の仕組み
DLP 操作イベント モジュールを使用して、エージェント配備などの管理イベントを表示します。 モジュールは、3
つのタブ形式のページで 操作イベント リスト、操作イベント タスク、および 操作イベント履歴 同じように構成さ
れています。
インシデント マネージャーの動作の仕組み
DLP インシデント マネージャーの インシデント リスト タブには、ポリシー違反インシデントの確認に必要なすべ
ての機能があります。 特定のイベントをクリックすると、イベントの詳細が表示されます。 フィルターを作成し保
存してビューを変更するか、グループ別 ペインで事前定義されたフィルターを使用できます。 列を選択して並べ替
えることによっても、ビューを変更できます。 カラーコード付けされたアイコンと重大度の評価は、イベントの素早
い目視確認に役立ちます。
インシデント リスト タブは、McAfee ePO のクエリとレポートと併用することにより、McAfee ePO ダッシュボー
ドでレポートを作成してデータを表示できます。
イベントに実行できる操作には、以下が含まれます。
•
ケース管理 — ケースの作成と、選択したインシデントのケースへの追加
•
コメント — 選択したインシデントへのコメントの追加
•
イベントの電子メール送信 — 選択したイベントの送信 Send selected events
•
デバイス パラメーターのエクスポート — デバイス パラメーターの CSV ファイルへのエクスポート (使用中/
送信中のデータのリストのみ)
•
ラベル — ラベルによるフィルタリングにラベルを付ける。
•
編集の解放 — 編集を削除して、保護フィールドを表示 (正しい権限が必要)。
•
プロパティの設定 —重大度、ステータス、または解決策の編集、インシデント確認にユーザーまたはグループの
割り当て。
DLP 操作イベント ページは、管理イベントまったく同様に機能します。
図 10-1
DLP インシデント マネージャー
インシデント タスク/操作イベント タスク
インシデント タスク または 操作イベント タスク タブを使用して、スケジュールされたタスクの条件を設定します。
ページでのタスクの設定を、McAfee ePO サーバー タスクと併用して、タスクをスケジュールします。
118
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
10
モニタリングとレポート イベント
インシデント タイプと詳細
両方のタスク タブは、タスク タイプ (左パネル) で構成されます。 インシデント タスク タブは、インシデント タ
イプでも構成され、そのため実際には 4 x 3 のマトリックスで、表示される情報は、選択する 2 つのパラメーター
によって異なります。
使用中/送信中のデータ 保存中のデータ (エンドポイント)
レビューアー設定
X
X
自動メール通知
X
X
完全削除イベント
X
X
使用中/送信中のデータ (履歴)
X
使用例 — プロパティの設定
プロパティは、フォローアップが必要なインシデントに追加されるデータです。 プロパティは、[アク
ション] 、 [プロパティの設定]または、インシデントの詳細ペインから追加できます。 プロパティは次
のとおりです。
•
重大度
•
グループの確認
•
ステータス
•
ユーザーの確認
•
解決策
任意の McAfee ePO ユーザーがレビューアーになることができます。 重大度が変更できる理由は、ス
テータスが誤検知であると管理者が決定した場合は元の重大度が無意味になるためです。
使用例 — ビューの変更
フィルターを使用したビューの変更に加えて、表示のフィールドと順序をカスタマイズすることもでき
ます。 カスタマイズされたビューは保存して再利用できます。
フィルターの作成には以下のタスクが含まれます。
1
[アクション] 、 [ビュー] 、 [列の選択]をクリックして、表示の編集ウィンドウを開きます。
2
[x] アイコンを使用して列を削除し、矢印アイコンを使用して列を左右に移動します。
3
[ビューの更新] をクリックしてカスタマイズした表示を適用し、[アクション] 、 [ビュー] 、 [ビュ
ーの保存]をクリックして後で使用するために保存します。 ビューを保存する際に、時刻とカスタム
フィルターも保存できます。 保存されたビューは、ページの上部のドロップダウン メニューから選
択できます。
インシデント タイプと詳細
インシデントは、発生した違反のタイプに基いて分類されます。
インシデント マネージャーは、すべての McAfee DLP ソフトウェア製品で作成されたインシデントを表示します。
DLP インシデント マネージャー 詳細ページは、特定のインシデントに関連する詳細をすべて表示します。
表示される情報とオプションは、インシデントのタイプによって異なります。 たとえば、ネットワーク共有保護 イ
ンシデントの詳細には、宛先情報が含まれますが、Device Control インシデントには、デバイス情報が含まれます。
すべてのインシデントには、ルール と [監査ログ] および コメント タブが含まれますが、インシデント タイプによ
っては、ネットワーク共有保護 などのように エビデンス と 分類 タブも含むものがあります。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
119
10
モニタリングとレポート イベント
インシデント タイプと詳細
インシデントの表示
インシデント マネージャーは、McAfee DLP デバイスからレポートされるすべてのインシデントを表示します。 重
要な違反をより効率的に特定しやすくするように、インシデントの表示方法を変更できます。
McAfee DLP に、電子メール メッセージなどの複数のルールをトリガーするオブジェクトがある場合は、インシデ
ント マネージャーは違反を個別のインシデントではなく、1 つインシデントとして結合して表示します。
インシデントのソートとフィルタリング
インシデントの表示方法を、時間、場所、ユーザー、または重大度などの属性に基いて変更します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
以下の任意のタスクを実行します。
•
列でソートするには、列ヘッダーをクリックします。
•
列をカスタム ビューに変更するには、[ビュー] ドロップダウン リストから、カスタム ビューを選択します。
•
時間でフィルタリングするには、[時間] ドロップダウン リストから、時間帯を選択します。
•
カスタム フィルターを適用するには、[フィルター] ドロップダウン リストからカスタム フィルターを選択
します。
•
属性でグループ化するには:
1
[グループ別] ドロップダウン リストから属性を選択します。
使用可能なオプションのリストが表示されます。 リストには、最も頻繁に使用される 250 のオプション
が含まれています。
2
リストからオプションを選択します。 選択に一致するインシデントが表示されます。
例
[ユーザー ID] を選択して、違反をトリガーしたユーザーの名前を表示します。 ユーザー名を選択して、
そのユーザーのすべてのインシデントを表示します。
列表示の設定
ビューを使用して、インシデント マネージャーで表示する列のタイプと順序を設定します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
[ビュー] ドロップダウン リストから、[デフォルト] を選択して [編集] をクリックします。
3
列を設定します。
a
[利用可能な列] リストから、これを [選択した列] エリアに移動するオプションをクリックします。
b
[選択した列] エリアで、必要に応じて列を変更/削除します。
c
120
•
列を削除するには、[x] をクリックします。
•
列を移動するには、矢印ボタンをクリックするか、列をドラッグ アンド ドロップします。
[ビューの更新] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
モニタリングとレポート イベント
インシデント タイプと詳細
4
10
ビューを設定します。
a
[ビュー] ドロップダウン リストの横の [保存] をクリックします。
b
次のいずれかのオプションを選択します。
c
•
[新しいビューとして保存] — ビューの名前を指定します。
•
[既存のビューを上書き] — 保存するビューを選択します。
ビューを使用できるユーザーを選択します。
•
[パブリック] — すべてのユーザーがビューを使用できます。
•
[プライベート] — ビューを作成したユーザーのみが使用できます。
d
ビューに適用された現在のフィルターまたはグループ化を使用するかどうかを指定します。
e
[OK] をクリックします。
インシデント マネージャーで[アクション] 、 [ビュー]を選択することでも、ビューを管理することができます。
インシデント フィルターの設定
指定した条件に一致するインシデントを表示するには、フィルターを使用します。
例: 特定のユーザーが機密データを含む接続を社外の IP アドレス範囲に送信していることが疑われる場合は、 ユー
ザー名と IP アドレスの範囲に一致するインシデントを表示するフィルターを作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
[フィルター] ドロップダウン リストから、[(カスタム フィルターなし)] を選択して [編集] をクリックします。
3
フィルター パラメーターを設定します。
a
[使用可能なプロパティ] リストから、プロパティを選択します。
b
プロパティの値を入力します。
追加の値を同じプロパティに追加するには、[+] をクリックします。
c
必要に応じて追加のプロパティを選択します。
プロパティのエントリを削除するには、[<] をクリックします。
d
4
[フィルターの更新] をクリックします。
フィルターを設定します。
a
[フィルター] ドロップダウン リストの横の [保存] をクリックします。
b
次のいずれかのオプションを選択します。
•
[新しいフィルターとして保存] — フィルターの名前を指定します。
•
[既存のフィルターを上書き] — 保存するフィルターを選択します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
121
10
モニタリングとレポート イベント
インシデントの管理
c
d
フィルターを使用できるユーザーを選択します。
•
[パブリック] — すべてのユーザーがフィルターを使用できます。
•
[プライベート] — フィルターを作成したユーザーのみが使用できます。
[OK] をクリックします。
インシデント マネージャーで[アクション] 、 [フィルター]を選択することでも、フィルターを管理することができま
す。
インシデントの詳細の表示
インシデントに関連する情報を表示します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
[インシデント ID] をクリックします。
ページには、全般設定の詳細とソース情報が表示されます。 インシデント タイプによって、宛先またはデバイス
の詳細が表示されます。
3
追加の情報を表示するには、以下のいずれかのタスクを実行します。
•
ユーザー情報を表示するには、[ソース] エリアでユーザー名をクリックします。
•
エビデンス ファイルを表示するには:
1
[エビデンス] タブをクリックします。
2
ファイル名をクリックして、適切なプログラムでファイルを開きます。
•
インシデントをトリガーしたルールを表示するには、[ルール] タブをクリックします。
•
分類を表示するには、分類 タブをクリックします。
[分類] タブは、インシデント タイプによっては表示されません。
•
インシデントの履歴を表示するには、[監査ログ] タブをクリックします。
•
インシデントに追加されたコメントを表示するには、[コメント] タブをクリックします。
•
インシデント マネージャーに戻るには、[OK] をクリックします。
インシデントの管理
インシデント マネージャーを使用して、インシデントを更新、管理します。
インシデントを削除するには、イベントを完全削除するタスクを設定します。
122
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
モニタリングとレポート イベント
インシデントの管理
10
タスク
•
123 ページの「単一のインシデントの更新」
重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。
•
123 ページの「複数のインシデントの更新」
複数のインシデントを同じ情報で同時に更新します。
•
124 ページの「ラベルの管理」
ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。
•
125 ページの「インシデントの削除」
有用でないインシデントを削除します。
単一のインシデントの更新
重大度、ステータス、およびレビューアーなどのインシデント情報を更新します。
[監査ログ] タブは、インシデントで実行されるすべての更新と変更をレポートします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
インシデントをクリックします。
3
以下の任意のタスクを実行します。
•
•
•
重大度、ステータス、解決策を更新するには:
1
[重大度]、[ステータス]、または[解決策] ドロップダウン リストからオプションを選択します。
2
[保存] をクリックします。
レビューアーを更新するには:
1
[レビューアー] フィールドの横にある [...] をクリックします。
2
グループまたはユーザーを選択して、[OK] をクリックします。
3
[保存] をクリックします。
コメントを追加するには:
1
[アクション] 、 [コメントを追加] を選択します。
2
コメントを入力して [OK] をクリックします。
複数のインシデントの更新
複数のインシデントを同じ情報で同時に更新します。
例: 特定のユーザーのすべてのインシデントを表示するフィルターを適用し、これらのインシデントの重大度をすべ
て メジャー に変更します。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
123
10
モニタリングとレポート イベント
インシデントの管理
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
更新するインシデントのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選
択] をクリックします。
3
以下の任意のタスクを実行します。
•
コメントを追加するには、[アクション] 、 [コメントの追加] を選択し、コメントを入力して [OK] をクリッ
クします。
•
インシデントを電子メールで送信するには、[アクション] 、 [選択したイベントを電子メール送信] を選択
し、情報を入力して [OK] をクリックします。
•
プロパティを変更するには、[アクション] 、 [プロパティの設定] を選択して、[OK] をクリックします。
ラベルの管理
ラベルは、類似した特徴をもつインシデントの識別に使用するカスタム属性です。
1 つのインシデントに複数のラベルを割り当てることができ、また複数のインシデントでラベルを再利用できます。
例: 社内で開発中のいくつかのプロジェクトに関連するインシデントがある場合、 各プロジェクトの名前でラベルを
作成して、それぞれのインシデントにラベルを割り当てることができます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[DLP インシデント マネージャー] を選択します。
2
1 つ以上のインシデントのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選
択] をクリックします。
3
以下の任意のタスクを実行します。
•
•
124
ラベルを追加するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [添付] を選択します。
2
新しいラベルを追加するには、名前を入力して [追加] をクリックします。
3
1 つ以上のラベルを選択します。
4
[OK] をクリックします。
インシデントからラベルを削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [解除]選択します。
2
インシデントから削除するラベルを選択します。
3
[OK] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
モニタリングとレポート イベント
ケースの取り扱い
•
10
ラベルを削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [ラベルの削除]を選択します。
2
削除するラベルを選択します。
3
[OK] をクリックします。
インシデントの削除
有用でないインシデントを削除します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] 、 [インシデント タスク]
の順に選択します。
2
左パネルの [タスク タイプ] で、[完全削除イベント] を選択します。 複数のインシデント タイプが使用可能な
場合は、ドロップダウン リストからタイプ (使用中/送信中のデータ、保存中のデータ、など) を選択します。
このリストの選択に従って、[インシデント リスト] または [インシデント履歴] から完全削除できます。
3
[アクション] 、 [新規タスク] の順に選択します。
[完全削除ルール] ページが表示されます。
4
一意の名前とオプションの説明を入力します。 [次へ] をクリックします。
[状態]はデフォルトで[有効]になっています。 すぐにルールを実行する予定がない場合は、状態を [無効] に変更
できます。
5
[>] をクリックして条件を選択し、[比較] を選択して、[値を] 入力または選択します。 条件を削除するには [<]
をクリックします。 [保存] をクリックします。
デフォルトで、完全削除タスクは毎日実行されます。
ケースの取り扱い
ケースを使用すると、インシデントに関する解決策のために、複数の管理者が協力することができます。
多くの場合、単一のインシデントは分離されたイベントではありません。 共通のプロパティを共有する、あるいは互
いに関係のある DLP インシデント マネージャー に複数のインシデントが表示される場合があります。 これらの関
連するインシデントは、1 つのケースに割り当てることができます。 組織内の役割によっては、複数の管理者がケー
スを監視し管理できます。
シナリオ: 特定のユーザーが終業後に頻繁にいくつかのインシデントを生成することがあります。 これは、ユーザー
が不審な行動をしているか、ユーザーのシステムが侵入されている可能性があることを示しています。 このようなイ
ンシデントをケースに割り当てて、この違反がどのような場合にどれくらいの頻度で行われるかを追跡できます。
違反の性質によっては、人事または法務の担当チームにこれらのインシデントに関するアラートを報告する必要があ
ります。 これらのチームの担当者に、コメントの追加や、優先度の変更、または主要な関係者への通知などの、この
ケースに関する対応を許可することができます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
125
10
モニタリングとレポート イベント
ケースの取り扱い
ケースの管理
インシデントの解決のためにケースを作成して維持します。
ケースの作成
グループにケースを作成して、関連するインシデントをレビューします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
[アクション] 、 [新規]の順に選択します。
3
タイトル名を入力して、オプションを設定します。
4
[OK] をクリックします。
インシデントのケースへの割り当て
関連するインシデントを新規または既存のケースに追加します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] の順に選択します。
2
[現在] ドロップダウン リストから、インシデント タイプを選択します。 [保存中のデータ (ネットワーク)] で、
必要に応じて [スキャン] リンクをクリックしてスキャンを設定します。
3
1 つ以上のインシデントのチェックボックスを選択します。
[フィルター] または [グループ別 G] などのオプションを使用して関連するインシデントを表示します。 現在の
フィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべての項目を選択] をク
リックします。
4
5
インシデントのケースへの割り当て
•
新規ケースを追加するには、[アクション] 、 [ケース管理] 、 [新規ケースの追加] を選択して、タイトル名
を入力して、オプションを設定します。
•
既存のケースを追加するには、[アクション] 、 [ケース管理] 、 [既存のケースの追加] を選択して、ケース
ID またはタイトルでフィルタリングして、ケースを選択します。
[OK] をクリックします。
ケース情報の表示
監査ログ、ユーザー コメント、およびケースに割り当てられたインシデントを表示します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
126
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
ケース ID をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
モニタリングとレポート イベント
ケースの取り扱い
3
4
10
以下の任意のタスクを実行します。
•
ケースに割り当てられたインストールを表示するには、[インシデント] タブをクリックします。
•
ユーザー コメントを表示するには、[コメント] タブを表示します。
•
監査ログを表示するには、[監査ログ] タブをクリックします。
[OK] をクリックします。
ケースの更新
所有者の変更、通知の送信、またはコメントの追加などの、ケース情報を更新します。
通知は、ケースの作成者、ケースの所有者、および選択されたユーザーに、以下の場合に送信されます。
•
電子メールが追加または変更された場合
•
優先度が変更された場合
•
インシデントがケースに追加またはケースから削
除された場合
•
経穴方法が変更された場合
•
ケースのタイトルが変更された場合
•
コメントが追加された場合
•
諸湯者の詳細が変更された場合
[メニュー] 、 [設定] 、 [サーバー設定] 、 [Data Loss Prevention] から、ケースの作成者/所有者への通知の自動送
信を無効にできます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
ケース ID をクリックします。
3
以下の任意のタスクを実行します。
•
ケース名を更新するには、[タイトル] フィールドで、新しい名前を入力して、[保存] をクリックします。
•
所有者をを更新するには:
1
[所有者] フィールドの横にある [...] をクリックします。
2
グループまたはユーザーを選択します。
3
[OK] をクリックします。
4
[保存] をクリックします。
•
[優先度]、[ステータス]、または [解決策] オプションを更新するには、ドロップダウン リストを使用して項
目を選択し、[保存] をクリックします。
•
通知メールの送信
1
[通知の送信先] フィールドの横にある [...] をクリックします。
2
通知を送信するユーザーを選択します。
連絡先が一覧表示にない場合は、McAfee ePO の電子メール サーバーを指定して、ユーザーの電子メー
ル'アドレスを追加する必要があります。 [メニュー] 、 [設定] 、 [サーバー設定] 、 [電子メール サーバ
ー] から電子メール サーバーを設定します。 [メニュー] 、 [ユーザー管理] 、 [ユーザー] からユーザー
を設定します。
3
[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
127
10
モニタリングとレポート イベント
ケースの取り扱い
•
•
4
ケースにコメントを追加するには、以下の手順を実行します。
1
[コメント] タブをクリックします。
2
テキスト フィールドにコメントを入力します。
3
[コメントの追加] をクリックします。
ケースからインシデントを削除するには、以下の手順を情報のします。
1
[インシデント] タブをクリックして、インシデントを見つけます。
2
[アクション] 列で [削除] をクリックします。
[OK] をクリックします。
ケースへのラベルの追加と削除
ラベルを使用して、カスタム属性でケースを区別します。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
1 つ以上のケースのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのインシデントを更新するには、[このページのすべてを選択] をク
リックします。
3
以下の任意のタスクを実行します。
•
•
ラベルを選択したケースに追加するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [添付] を選択します。
2
新しいラベルを追加するには、名前を入力して [追加] をクリックします。
3
1 つ以上のラベルを選択します。
4
[OK] をクリックします。
ラベルを選択したケースから削除するには、以下の手順を実行します。
1
[アクション] 、 [ラベルの管理] 、 [解除]選択します。
2
削除するラベルを選択します。
3
[OK] をクリックします。
ケースの削除
必要がなくなったケースを削除します。
128
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
モニタリングとレポート イベント
ケースの取り扱い
10
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP ケース管理] の順に選択します。
2
1 つ以上のケースのチェックボックスを選択します。
現在のフィルターを使用して表示されたすべてのケースを削除するには、[このページのすべてを選択] をクリック
します。
3
[アクション] 、 [削除] を選択して、[はい] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
129
10
モニタリングとレポート イベント
ケースの取り扱い
130
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
11
管理データの収集と管理
システムの監視は、エビデンスやイベントの収集および確認と、レポートの生成で構成されています。 McAfee ePO
データベースの DLP テーブルのインシデントとイベントのデータは、DLP インシデント マネージャーと DLP 操作
イベントのページに表示されるか、レポートとダッシュボードに結合されます。
記録されたイベントとエビデンスを確認することにより、管理者は作業の遅延を無駄に発生させている厳しすぎるル
ールや、データ漏えいの原因となっている甘すぎるルールを特定できます。
目次
サーバー タスクの編集
結果のモニター タスク
サーバー タスクの編集
McAfee DLP は、McAfee ePO サーバー タスクを使用して、DLP インシデント マネージャーと DLP 操作イベント
タスクを実行します。
各インシデントと操作イベント タスクは、サーバー タスク リストで事前定義されています。 使用できるオプション
は、それらを有効/無効にする、またはスケジュールを変更することのみです。 利用可能な McAfee DLP 9.4 インシ
デントおよび操作イベント サーバー タスクは以下のとおりです。
•
9.4 から 9.4.1 への DLP インシデント イベン
トの移行
•
DLP 操作イベントとインシデントを完全削除
•
DLP インシデント移行
•
DLP 操作イベントとインシデントを電子メール
で送信
•
DLP 操作イベントの移行
•
DLP 操作イベントとインシデントのレビューア
ーを設定
•
DLP 操作イベントとインシデントの履歴を完全
削除
DLP インシデント タスクの実行元は McAfee DLP 9.3 タスクです。 これは、両方のバージョンの McAfee DLP がイ
ンストールされている場合のみです。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。
2
編集するタスクを選択します。
[高速検索] フィールドを使用して、リストをフィルタリングします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
131
11
管理データの収集と管理
サーバー タスクの編集
3
[アクション] 、 [編集] を選択して、[スケジュール] をクリックします。
4
必要に応じてスケジュールを編集したら、[保存] をクリックします。
タスク
•
132 ページの「イベントの完全削除 タスクの作成」
インシデントとイベント完全削除タスクを作成して、必要のなくなったデータのデータベースを消去し
ます。
•
132 ページの「自動メール通知 タスクの作成」
管理者、マネージャー、またはユーザーへのインシデントと操作イベントの自動電子メール通知を設定
できます。
•
133 ページの「レビューアー設定タスクの作成」
異なるインシデントと操作イベント タスクにレビューアーを割り当てて、大規模の組織のワークロード
を分割できます。
関連トピック:
29 ページの「ポリシーと移行データの変換」
133 ページの「レビューアー設定タスクの作成」
132 ページの「自動メール通知 タスクの作成」
132 ページの「イベントの完全削除 タスクの作成」
イベントの完全削除 タスクの作成
インシデントとイベント完全削除タスクを作成して、必要のなくなったデータのデータベースを消去します。
完全削除タスクは、インシデント リスト、履歴リストの使用中のデータのインシデント、または操作イベント リス
トに対して作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作イベント] を選択します。
2
[インシデント タスク] または [操作イベント タスク] タブをクリックします。
3
ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン
から [完全削除イベント] を選択して、次に [アクション] 、 [新しいルール] をクリックします。
[使用中/送信中のデータ (アーカイブ)] は、履歴からイベントを完全に削除します。
4
名前とオプションの説明を入力して、[次へ] をクリックします。
デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま
す。
5
条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。 条件の定義が終了したら、[保存] をクリックします。
タスクは、ライブ データに対しては毎日、履歴データに対しては毎週金曜日 10:00 PM に実行されます。
関連トピック:
131 ページの「サーバー タスクの編集」
自動メール通知 タスクの作成
管理者、マネージャー、またはユーザーへのインシデントと操作イベントの自動電子メール通知を設定できます。
132
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
管理データの収集と管理
サーバー タスクの編集
11
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作イベント] を選択します。
2
[インシデント タスク] または [操作イベント タスク] タブをクリックします。
3
ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン
で [自動メール通知] を選択して、次に [アクション] 、 [新しいルール] をクリックします。
4
名前とオプションの説明を入力します。
デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま
す。
5
6
処理するイベントを選択します。
•
すべてのインシデント/(選択されたイベント タイプの) イベントを処理します。
•
最後にメール通知を実行して以降のインシデント/イベントを処理します。
[受信者] を選択します。
このフィールドは必須です。 受信者を 1 人以上選択する必要があります。
7
電子メールの件名を入力します。
このフィールドは必須です。
必要に応じてドロップダウン リストから変数を挿入できます。
8
電子メールの本文を入力します。
必要に応じてドロップダウン リストから変数を挿入できます。
9
(オプション) 電子メールにエビデンス情報を添付するチェックボックスを選択します。 [次へ] をクリックしま
す。
10 条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。 条件の定義が終了したら、[保存] をクリックします。
タスクは 1 時間ごとに実行されます。
関連トピック:
131 ページの「サーバー タスクの編集」
レビューアー設定タスクの作成
異なるインシデントと操作イベント タスクにレビューアーを割り当てて、大規模の組織のワークロードを分割できま
す。
開始する前に
McAfee ePO [ユーザー管理] 、 [権限セット] で、DLP インシデント マネージャーと DLP 操作イベン
ト の レビューアー設定 権限で、レビューアーを作成するかグループ レビューアーを指定します、
レビューアー設定 タスクは、ルール条件に従って、レビューアーをインシデント/イベントに割り当てます。 タスク
は、レビューアーが割り当てられていないインシデントでのみ実行されます。 これを使用して、インシデントを別の
レビューアーに再割り当てすることはできません。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
133
11
管理データの収集と管理
結果のモニター タスク
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [データ保護] 、 [DLP インシデント マネージャー] または [メニュー] 、 [デー
タ保護] 、 [DLP 操作イベント] を選択します。
2
[インシデント タスク] または [操作イベント タスク] タブをクリックします。
3
ドロップダウン リスト (インシデント タスクのみ) からインシデント タイプを選択し、[タスク タイプ] ペイン
の [レビューアー設定] を選択して、[アクション] 、 [新しいルール] をクリックします。
4
名前とオプションの説明を入力します。 レビューアーまたはグループを選択して、[次へ] をクリックします。
デフォルトでは、ルールは有効になっています。 この設定を変更して、タスクの実行を遅延させることができま
す。
5
条件を追加するには [>] を、削除するには [<] をクリックします。 [比較] および [値] パラメーターを設定し
ます。 条件の定義が終了したら、[保存] をクリックします。
複数の レビューアー設定 ルールがある場合は、リスト内でルールの並び替えができます。
タスクは 1 時間ごとに実行されます。
レビューアーが設定されると、レビューアー設定 タスクでレビューアーを上書きすることはできません。
関連トピック:
131 ページの「サーバー タスクの編集」
結果のモニター タスク
インシデントと操作イベント タスクの結果をモニターします。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク ログ] を選択します。
2
完了した McAfee DLP タスクを見つけます。
DLP を [高速検索] フィールドに入力するか、カスタム フィルターを設定します。
3
タスクの名前をクリックします。
タスクが失敗した場合のエラー情報を含め、タスクの詳細が表示されます。
134
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
12
レポートの作成
McAfee DLP Endpoint は、McAfee ePO のレポート機能を使用します。 いくつかの事前にプログラムされたレポ
ートと、カスタム レポートを作成するオプションが使用できます。
詳細については、『McAfee ePolicy Orchestrator 製品ガイド』の『データベースのクエリの実行』のトピックを参
照してください。
目次
レポートのタイプ
レポート オプション
データのロールアップ、サーバー タスクの作成
レポートのタイプ
McAfee ePO レポート機能を使用して、McAfee DLP Endpoint パフォーマンスをモニターします。
2 つの種類のレポートがサポートされています。
•
DLP プロパティ レポート
•
DLP イベント レポート
6 つの DLP プロパティは、DLP: システム サマリー ダッシュボード に表示されます。 事前定義された 12 個のイ
ベントのクエリが提供されています。 ロールアップ クエリーを含む 28 件すべてのクエリーが、メニュー 、 レポー
ト 、 クエリーとレポート 、 共有グループ にある McAfee ePO コンソールにあります。
McAfee ePO には『ロールアップ』機能があります。この機能は、複数の McAfee ePO データベースからのサマリ
データについてレポートするクエリを実行します。 すべての McAfee DLP Endpoint レポートは、ロールアップ ク
エリをサポートするように設定されます。
レポート オプション
McAfee DLP software uses McAfee ePO Reports to review events. さらに、McAfee ePO ダッシュボードでは
製品のプロパティに関する情報を参照できます。
McAfee ePO レポート
McAfee DLP Endpoint ソフトウェアは、レポートを McAfee ePO レポート サービスと統合します。 McAfee ePO
レポート サービス使用の詳細については、『McAfee ePolicy Orchestrator 製品ガイド』 を参照してください。
複数の McAfee ePO データベースからのデータをまとめた McAfee ePO ロールアップ クエリとロールアップ レポ
ートがサポートされています。
McAfee ePO 通知はサポートされています。 詳細については、
『McAfee ePolicy Orchestrator 製品ガイド』の『通
知の送信』のトピックを参照してください。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
135
12
レポートの作成
レポート オプション
ePO ダッシュボード
詳細は McAfee ePO [メニュー] 、[ダッシュボード] ページの McAfee DLP 製品プロパティで表示できます。 事前
定義された 3 つのダッシュボードがあります。
•
DLP: インシデントのサマリー
•
DLP: 操作のサマリー
•
DLP: ポリシーのサマリー
ダッシュボードは編集およびカスタマイズ可能です。また新しい監視を成することもできます。 手順については、
McAfee ePO 製品マニュアルを参照してください。
ダッシュボードでまとめられた事前定義されたレポートは、[メニュー] 、 [クエリーとレポート] を選択すると使用
できます。 これらは、[共有グループ] (McAfee ePO 4.6) または [McAfee グループ] (McAfee ePO 5.1) にあり
ます。 さらに、DLP ロールアップ レポート、[タイプ別のイベント] もあります。
事前定義されたダッシュボード
以下の表では、事前定義された McAfee DLP ダッシュボードについて説明します。
表 12-1 事前定義された DLP ダッシュボード
カテゴリ
[インシデント
サマリー]
オプション
説明
[1 日あたりのインシデント数] これらのグラフはインシデントの合計を示し、異なる細分化によ
って、特定の問題の分析に利用できます。
[重大度別のインシデント数]
[タイプ別のインシデント数]
[ルール セット別のインシデン
ト数]
[操作のサマリ
ー]
[1 日あたりの操作イベント数] すべての管理イベントを表示します。
[エージェント ステータス]
すべてのエージェントとそのステータスが表示されます。
[エージェント バージョン]
エンタープライズ内のエンドポイントの分布が表示されます。
エージェント配備の進捗を監視するために使用されます。
[エージェント操作モード]
エージェントの円グラフを DLP 操作モード別に表示します。 操
作モードは以下のとおりです。
• デバイス コントロールのみのモード
• デバイス コントロールと完全コンテンツ保護のモード
• デバイス コントロールおよびコンテンツを識別するリムーバ
ブル ストレージ保護のモード
• 不明
[Discovery (エンドポイント) ローカル ファイル システムの検出スキャン プロパティの数とそ
ローカル ファイル システムの の状態 (完了、実行中、未定義) を円グラフに表示します。
スキャン ステータス]
[ポリシーのサ
マリー]
136
[Discovery (エンドポイント)
ローカル電子メール ストレー
ジのスキャン ステータス]
ローカル電子メール ストレージの検出スキャン プロパティの数
とその状態 (完了、実行中、未定義) を円グラフに表示します。
[ポリシーの配布]
エンタープライズ全体での DLP ポリシーの配布をバージョンご
とに表示します。 新しいポリシーを配備する際に進捗を監視す
るために使用されます。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
レポートの作成
データのロールアップ、サーバー タスクの作成
12
表 12-1 事前定義された DLP ダッシュボード (続き)
カテゴリ
オプション
説明
[エンドポイント コンピュータ ルール セット名と強制されたポリシーの数を棒グラフに表示し
ーごとの施行済みのルール セ ます。
ット]
[バイパスされたユーザー]
システム名/ユーザー名およびユーザー セッション プロパティ
の数を表示します。
[未定義デバイス クラス]
Windows デバイスの未定義のデバイス クラスを表示します。
[特権ユーザ]
システム名/ユーザー名およびユーザー セッション プロパティ
の数を表示します。
[ポリシー リビジョンの配布]
ポリシーの配布に似ていますが、リビジョン - つまり既存のバー
ジョンに対するアップデートを表示します。
データのロールアップ、サーバー タスクの作成
McAfee ePO のロールアップ タスクは、複数のサーバーからデータを取得して単一のレポートを生成します。
McAfee DLP の操作イベントとインシデントのロールアップ レポートを作成できます。
タスク
オプションの定義の場合、インターフェースで [?] をクリックします。
1
McAfee ePO で、[メニュー] 、 [自動化] 、 [サーバー タスク] を選択します。
2
[新しいタスク] をクリックします。
3
[サーバー タスク ビルダー] で、名前とオプションの注記を入力して、[次へ] をクリックします。
4
[アクション] ドロップダウン リストから [ロールアップ データ] を選択します。
ロールアップ データ フォームが表示されます。
5
(オプション) [ロールアップ データ フォーム] フィールドでサーバーを選択します。
6
[データ タイプ] ドロップダウン リストから、[DLP インシデント] または [DLP 操作イベント] を必要に応じて
選択します。
7
(オプション) [完全削除]、[フィルター]、または [ロールアップ方法] オプションを設定します。 [次へ] をクリ
ックします。
8
[スケジュール タイプ]、[開始日]、[終了日]、および [スケジュール] 時間を入力します。 [次へ] をクリックし
ます。
9
[サマリー] 情報を確認し、[保存] をクリックします。
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
137
12
レポートの作成
データのロールアップ、サーバー タスクの作成
138
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
索引
A
J
all_evidences.csv ファイル 39
JAWS サポート 15
B
M
Boldon James 83
McAfee ServicePortal、アクセス 8
C
O
Chrome, サポートされているバージョン 48, 102
OS X サポート 15
Citrix XenApp デバイス ルール 59
OST ファイル 86
D
P
Data Loss Prevention ソフトウェア, 説明 21
PST ファイル 86
Device Control を完全版の DLPE にアップグレード、参照:ライセンス
キー
DLP Discover 103
R
DLP Endpoint
ePolicy Orchestrator へのチェックイン 28
ウェークアップ コール 34
DLP インシデント マネージャー 117
イベントに応答 117
DLP エンドポイント
rights management 38, 108
S
ServicePortal、製品マニュアルの入手方法 8
T
配備 31
Titus, 統合 82
配備の検証 32
TrueCrypt デバイス ルール 59
DLP データ, 分類 74
DLP ポリシー 113
U
DLP ポリシー コンソール, インストール 27
URL リスト
DLP ルール
作成 88
タグ付け 11
デバイス 12
保護 12
分類 10
V
VPN 接続 48
W
E
Web 宛先
ePO レポート 135
説明 87
ePO 通知 135
Web 送信保護ルール 102
G
あ
Google Chrome, サポートされているバージョン 48, 102
アプリケーション テンプレート
GUID、参照:デバイス GUID
説明 75
アプリケーション定義
方針 70
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
139
索引
ケース (続き)
い
通知の送信 127
移行 29
ラベル 128
イベント
権限セット 43
監視 117
権限セット, システム ツリーのフィルタリング 42
インシデント
更新 123
権限セット, 定義 44
削除 125
検出
詳細 119, 122
セットアップ 106
ソート 120
説明 103
ファイル システムの検出ルールの作成 104
タイプ 119
ビュー 120
検出ルール 11
フィルタリング 120, 121
検証ツール 74
ラベル 124
インシデント タスク 117, 131
インシデント マネージャー 117, 118
こ
高度なパターン
作成 81
インストールの検証 32
このガイドで使用している表記規則とアイコン 7
う
このガイドについて 7
ウェークアップ コール 34
コンテンツの追跡 48
え
コンポーネント、データ漏えい防止 (図) 23
さ
エージェント設定
Mac OS サポート 47
エビデンス
サーバー ソフトウェア要件 24
サーバー タスク 29, 131
暗号化されたコンテンツ用のストレージ 39
サーバー タスク, ロールアップ 137
エンドポイント イベント 117
サーバー設定 37
エビデンス ストレージ 48
エビデンス フォルダー 41
エビデンス フォルダー, 設定 41
エンドポイント コンソール 15
サポートされるオペレーティング システム 24
し
システム要件 24
手動分類 78
か
せ
隔離
セーフ モード動作 48
解放 39
ファイルまたは電子メール項目の復元 106
そ
監視 117
操作イベント 118
く
クライアントの設定 46
た
ePolicy Orchestrator を使用した割り当て 33
アイムアウトの方針, Web 送信 102
システム ツリー 37
タグ付け 67
条件 69
説明 69
け
タグ付けルール
ケース
インシデントの割り当て 126
監査ログ 126
ダッシュボード, レポート オプション 136
更新 127
コメントの追加 127
削除 128
140
定義 11
タグ付け条件 76
ち
作成 126
チャレンジ/応答 106
説明 125
チャレンジ応答キーの長さ 37
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
索引
て
は
定義 112
ハードウェア要件 24
Web 宛先 87
場所, 分類 84
ディクショナリ 73
テキスト パターン 74
ひ
登録された文書 78
ビジネス ジャスティフィケーション, カスタマイズ 92
ネットワーク 85
ヒット ハイライト, イベント 39
ファイル拡張子 74
文書プロパティ 74
ディクショナリ
ふ
ファイル アクセス
エントリのインポート 81
作成 81
ルール, 説明 59
ファイル拡張子
説明 73
データ
定義 74
フィルター
移動中のデータ 87
分類 73
ネットワークの定義 85
プラグ アンド プレイ デバイス
データ ロールアップ 137
テキスト パターン
説明 74
テキスト抽出 70
テクニカル サポート、製品情報の入手方法 8
ホワイトリストに登録された定義, 作成 55
プレースホルダ 92
文書プロパティ定義 74
分類 67, 75
手動 68
デバイス
条件 69, 76
リスト, プラグ アンド プレイ定義を追加 55
説明 67
デバイス GUID 51
デバイス クラス 50
デバイス プロパティ 56
デバイス ルール
説明 59
定義 12
デバイス定義 53
リムーバブル ストレージ 55
電子メール 86
電子メールの宛先
作成 86
電子メールの分類 83
電子メール 83
分類, 手動 78
へ
変換 29
編集 42
ほ
方針、参照:アプリケーション定義
保護ルール
定義 12
ポリシー 13, 37
更新 34
と
定義 12
登録された文書 78
ドキュメント
このガイドの対象読者 7
製品固有、検索 8
表記規則とアイコン 7
割り当て 33
ポリシー カタログ 46
ポリシーのバックアップ 37
ポリシーのリストア 37
ポリシー割り当て 113
ホワイトリスト 12
ね
プラグ アンド プレイ定義, 作成 55
ネットワーク定義
ホワイトリストに登録されたテキスト 80
アドレス範囲 85
ポート範囲 85
ネットワークの定義
や
役割ベースのアクセス制御 44
説明 85
ゆ
ユーザー セッション 59
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
141
索引
ユーザー通知, カスタマイズ 92
ルール セット
説明 89, 90
ら
ルール セット, ポリシーに追加 113
ライセンス キー 37
ろ
る
ロールアップ レポート 135
ルール
Citrix XenApp 59
タグ付け 11
対応 95
142
わ
割り当てグループ
定義 12
McAfee Data Loss Prevention Endpoint 9.4.100
製品ガイド
0A16

オフライン端末・組み込み制御システム向けマルウェア対策ツール

McAfee Endpoint Security for Mac 脅威対策 10.2.1 リリース ノート

マカフィー アンチウイルス プラス 2010

DLP プロジェクターランプ値下（一部機種限定）のご案内

MacOSX用 ESET NOD32アンチウイルスV4.0 提供開始

SaaS Email and Web Service 8.5.0 リリース ノート