データ損失防止:分類ミスおよびスキャン障害のトラブルシューティング

ダウンロード オプション

  • PDF     (379.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (282.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (247.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2020 年 6 月 17 日
Document ID:215447

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    概要

    このドキュメントでは、Eメールセキュリティアプライアンス(ESA)のデータ損失防止(DLP)に関連する誤分類およびスキャン障害(ミス)のトラブルシューティングに関する一般的な方法について説明します。

    前提条件

    • AsyncOS 11.x以降を実行するESA。
    • DLP機能キーがインストールされ、使用中です。

    重要な情報

    ESAのDLPは、有効にしてポリシーを作成し、機密データのスキャンを開始できるという意味でプラグアンドプレイに対応していることに注意することが重要です。ただし、最適な結果が得られるのは、会社固有の要件に合わせてDLPを調整した後だけであることにも注意してください。これには、DLPポリシーの種類、ポリシーのマッチングの詳細、重大度の調整、フィルタリング、追加のカスタマイズなどが含まれます。

    違反と違反なしログの例

    メールログやメッセージトラッキングに表示されるDLP違反の例をいくつか示します。ログラインには、タイムスタンプ、ログレベル、MID番号、違反または違反なし、重大度とリスク要因、および一致したポリシーが含まれます。 

    Thu Jul 11 16:05:28 2019 Info: MID 40 DLP violation. Severity: CRITICAL (Risk Factor: 96). DLP policy match: 'US HIPAA and HITECH'.
    Thu Jul 11 16:41:50 2019 Info: MID 46 DLP violation. Severity: LOW (Risk Factor: 24). DLP policy match: 'US State Regulations (Indiana HB 1101)'.

    違反が見つからない場合は、メールログまたはメッセージトラッキングが単にDLP違反を記録します。 

    Mon Jan 20 12:59:01 2020 Info: MID 26245883 DLP no violation

    トラブルシューティングチェックリスト

    DLPの誤分類またはスキャンの失敗/ミスを処理する際に確認できる一般的な項目を次に示します。 

    注:これはすべてを網羅したリストではありません。ご希望の内容がございましたら、Cisco TACまでお問い合わせください。

    DLPエンジンのバージョンの確認

    DLPエンジンのアップデートはデフォルトでは自動的に行われないため、最新の拡張機能やバグ修正を含む最新バージョンを実行していることを確認することが重要です。

    GUIの[Security Services] の[Data Loss Prevention] に移動して、現在のエンジンバージョンを確認し、更新プログラムが利用可能かどうかを確認できます。更新が可能な場合は、[今すぐ更新]をクリックして更新を実行できます。 

    一致したコンテンツロギングの有効化

    DLPには、DLPポリシーに違反するコンテンツを、周囲のコンテンツとともにログに記録するオプションがあります。このデータはメッセージの追跡で表示き、特定の違反を引き起こしている可能性がある電子メール内のコンテンツを追跡できます。 

    注意:有効にした場合、このコンテンツにはクレジットカード番号や社会保障番号などの機密データが含まれる可能性があることを知っておくことが重要です。

    GUIの[Security Services]の下の[Data Loss Prevention]に移動して、[Matched Content Logging]が有効になっているかどうかを確認できます。

    メッセージトラッキングに表示される一致したコンテンツロギングの例

    スキャン動作設定の確認

    ESAのスキャン動作の設定は、DLPスキャンの背後にある機能にも影響します。次のスクリーンショットを例として見ると、添付ファイルの最大スキャンサイズが5Mに設定されている場合は、それ以上の場合はDLPスキャンが失われる可能性があります。また、MIMEタイプ設定を含む添付ファイルに対するアクションも、確認する共通アイテムです。リストされているMIMEタイプがスキップされ、その他すべてがスキャンされるように、Skipのデフォルトに設定する必要があります。代わりにScanに設定されている場合は、テーブルにリストされているMIMEタイプのみスキャンします。

    同様に、ここに示した他の設定はDLPスキャンに影響を与える可能性があり、添付ファイルや電子メールの内容に応じて考慮する必要があります。

    GUIの[Security Services] で[Scan Behavior]に移動するか、CLIでscanconfigコマンドを実行して移動できます。 

    重大度スケール設定の確認

    ほとんどの環境では、デフォルトの重大度スケールのしきい値で十分です。ただし、False Negative(FN)またはFalse Positive(FP)のマッチングをサポートするように修正する必要がある場合は、修正できます。また、新しいダミーポリシーを作成して比較することにより、推奨されるデフォルトのしきい値を使用していることを確認することもできます。 

    :事前定義されたポリシー(米国のHIPAAとPCI-DSSなど)によってスケールが異なります。 

    [送信者と受信者のフィルタ]フィールドに追加された電子メールアドレスの確認

    これらのフィールドに入力したエントリが、送信者または受信者の電子メールアドレスの正しい大文字と小文字に一致していることを確認します。[送信者と受信者のフィルタ]フィールドでは、大文字と小文字が区別されます。DLPポリシーは、電子メールアドレスがメールクライアントで「TestEmail@mail.com」のように表示され、これらのフィールドに「testemail@mail.com」と入力されている場合はトリガーされません。

    関連情報

    TAC Authored

    シスコ エンジニア提供

    • Dennis McCabe Jr
      Cisco TAC Engineer

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています