機密データの漏洩防止の概要
Web セキュリティアプライアンス は以下の機能によってデータの安全を確保します。
オプション |
説明 |
---|---|
Cisco データ セキュリティ フィルタ |
Web セキュリティアプライアンス の Cisco データ セキュリティ フィルタは、HTTP、HTTPS、FTP を介してネットワークから発信されるデータを評価します。 |
サードパーティ製データ漏洩防止(DLP)の統合 |
Web セキュリティアプライアンス は、機密データを識別して保護する代表的なサードパーティ製コンテンツ対応 DLP システムを統合します。Web プロキシは Internet Content Adaptation Protocol(ICAP)を使用して、プロキシ サーバーが外部システムにコンテンツ スキャンをオフロードできるようにします。 |
アップロード要求を受信すると、Web プロキシは要求をデータ セキュリティ ポリシー グループや外部 DLP ポリシー グループと比較して、適用するポリシー グループを決定します。両方のタイプのポリシーが設定されている場合は、外部 DLP ポリシーと比較する前に、Cisco データ セキュリティ ポリシーと要求を比較します。ポリシー グループに要求を割り当てた後、その要求をポリシー グループの設定済み制御設定と比較し、要求に対して実行するアクションを決定します。アップロード要求を処理するためのアプライアンスの設定方法は、ポリシー グループのタイプによって異なります。
(注) |
サイズがゼロ(0)バイトのファイルのアップロードを試みているアップロード要求は、Cisco データ セキュリティ ポリシーまたは外部 DLP ポリシーに対して評価されません。 |
ネットワークから発信されるデータを制限したり制御するには、以下のタスクを実行します。
タスク |
タスクへのリンク |
---|---|
Cisco データ セキュリティ ポリシーを作成する |
|
外部 DLP ポリシーを作成する |
|
データ セキュリティ ポリシーおよび外部 DLP ポリシーを作成する |
|
Cisco データ セキュリティ ポリシーを使用してアップロード要求を制御する |
|
外部 DLP ポリシーを使用してアップロード要求を制御する |
最小サイズ以下のアップロード要求のバイパス
ログ ファイルに記録されるアップロード要求の数を減らすために、最小要求サイズを定義できます。このサイズを下回る場合、アップロード要求は Cisco データセキュリティ フィルタや外部 DLP サーバーによってスキャンされません。
これを実行するには、以下の CLI コマンドを使用します。
datasecurityconfig。
Cisco データ セキュリティ フィルタに適用します。externaldlpconfig。
設定されている外部 DLP サーバーに適用します。
デフォルトでは、どちらの CLI コマンドでも要求本文の最小サイズは 4 KB(4096 バイト)です。有効な値は 1 ~ 64 KB です。指定したサイズは、アップロード要求の本文全体のサイズに適用されます。
(注) |
すべてのチャンク エンコードされたアップロードとすべてのネイティブ FTP トランザクションは、Cisco データ セキュリティ フィルタまたは外部 DLP サーバーによってスキャンされます(有効な場合)。ただし、カスタム URL カテゴリに基づいてこれらをバイパスできます。 |
要求が機密データとしてブロックされた場合のユーザー エクスペリエンス
Cisco データセキュリティ フィルタや外部 DLP サーバーは、アップロード要求をブロックするときに、Web プロキシがエンド ユーザーに送信するブロック ページを提供します。すべての Web サイトでエンド ユーザーにブロック ページが表示されるわけではありません。たとえば、一部の Web 2.0 Web サイトは静的な Web ページの代わりに JavaScript を使用して動的なコンテンツを表示し、ブロック ページを表示しない場合が多くあります。そのような場合でも、データ セキュリティ違反が発生しないようにユーザーは適切にブロックされていますが、そのことが Web サイトから通知されない場合もあります。