はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
今回はFalcon Data Protection を利用してGoogleエンタープライズアカウント以外への機密情報アップロードをブロックする設定方法についてご紹介いたします。OSについてはWindows端末での設定、動作確認を行います。設定はWindows、Mac それぞれ別々に設定を行う必要がある点について予めご了承ください。
Falcon Data Protection とは?
CrowdStrike Falcon Data Protection はWebブラウザ・USBデバイス経由の機密データ送信を可視化・ブロックすることが可能です。
Falcon Data Protection の利用はライセンスが必要となります。※ライセンスの詳細につきましては弊社までお問い合わせください。
前提条件
※以下のブログにある可視化・モニター設定がされていることを前提とし本ブログでは設定を行っていきます。
※適用範囲(ユーザーグループ)については本ブログでは触れません。上記のブログにて設定箇所をご確認ください。なお、ブロックのポリシーを適用する際は、最初は小さい範囲 (グループ) で動作確認を行い、その後に全体へ適用することをお勧めいたします。
※Google Drive > 共有ドライブも含めた制御をするためにはドライブのラベル(Drive Labels)機能を利用するため、Enterprise Standard 以上が必要となります。本ブログは以下のブログにあるGoogle Driveエンタープライズアカウントの制御が設定されていることが前提となります。
上記を設定すると、データ保護 > Webアプリケーション(管理対象Webアプリケーション)の設定されたアプリケーションのアプリケーションの数字の横記号をクリックすると制御可能なアプリケーションの一覧が表示されます。
今回はこのなかから以下のアプリケーションを許可対象の分類の宛先として利用しますので控えておきます。
- Google Calendar @sobar-test-google-workspace02
- Google Drive @sobar-test-google-workspace02
- Google Gemini @sobar-test-google-workspace02
- Google Gmail @sobar-test-google-workspace02
- Google Photos @sobar-test-google-workspace02
今回の設定作業の流れについて
今回の設定作業の流れは以下となります。
- ①Google Driveエンタープライズアカウントの許可分類の作成&Google設定
- ②データ保護ポリシーの割り当て済み分類に作成した①の分類を優先順位1として追加
- ③データ保護ポリシーの割り当て済み分類にあるすべてBlockの分類のシミュレートモードを解除する
それでは以下①より、Google Driveエンタープライズアカウントの許可分類の作成から実施していきます。
①Google Driveエンタープライズアカウントの許可分類の作成&Google設定
①-1.データ保護 > 分類 の設定
データ保護 > 分類 より、プラットフォーム:Windows が選択された状態で、分類の作成 をクリックします。
分類設定画面よりまずは以下を選択・設定しルールタブをクリックします。
- 名前:分類名を入力
- 外向き転送時にフォレンジック証拠を保存:オン(※イベントに許可としてログが残ります。)
- 定義 > 条件:無し
ルールの追加をクリックします。
以下のように設定し追加をクリックます。
- レスポンスアクション:許可
- エンドユーザーに通知:ー
- ユーザースコープ :すべて
- 外向き転送経路のスコープ:Webアップロードのみチェック > 固有※以下前項の前提条件より確認・設定
- Google Calendar @sobar-test-google-workspace02
- Google Drive @sobar-test-google-workspace02
- Google Gemini @sobar-test-google-workspace02
- Google Gmail @sobar-test-google-workspace02
- Google Photos @sobar-test-google-workspace02
- 検知トリガー:ー
- スクリーンキャプチャを有効にする(Windowsのみ):ー
モード:適用 を選択し保存をクリックします。
表示内容を確認のうえ保存をクリックします。
適用で分類が作成されました。
②データ保護ポリシーの割り当て済み分類に作成した①の分類を優先順位1として追加
データ保護 > ポリシー > 対象のポリシー をクリックします。
割り当て済み分類 > 分類の割り当て をクリックします。
①で作成した分類を選択し、分類の割り当てをクリックします。
優先順位の編集をクリックします。
①で作成した分類を上(優先順位:1)に移動し保存をクリックします。
③データ保護ポリシーの割り当て済み分類にあるすべてBlockの分類のシミュレートモードを解除する
データ保護 > ポリシー の画面より設定を編集できますので、該当のBlockの分類(今回はALL_CONFIG)をクリックします。
ルールタブ > モード:適用 を選択し、保存をクリックします。
メッセージの内容を確認のうえ、承認して保存をクリックしてください。※ここで、承認して保存を押下後にブロックが有効となりますのでご注意ください。
動作確認
以下のファイルアップロードにて動作を確認した結果を一部(①~⑤の5件)記載します。
-
ファイル名:test03.txt(内容:hoge@hoge.com)※メールアドレスが1件記載
確認① 社内利用のGoogleアカウントの共有ドライブ(sobar-test-drive)へのファイルアップロード
アップロードが実施できることを確認。(⇒ 想定動作)
ログでも通信が許可されていることを確認。
確認② 社内利用のGoogleアカウントのマイドライブ(sobar-test-drive)へのファイルアップロード
アップロードが実施できることを確認。(⇒ 想定動作)
ログでも通信が許可されていることを確認。
確認③ 個人利用(Gmailドメイン)のGoogleアカウントのマイドライブへのファイルアップロード
ポップアップの表示とアップロードが実施できないことを確認。(⇒ 想定動作)
ログでも通信がブロックされていることを確認。
確認④ 社内利用のGoogleアカウントのGeminiへのファイルアップロード
アップロードが実施できることを確認。(⇒ 想定動作)
ログでも通信が許可されていることを確認。
確認⑤ 個人利用(Gmailドメイン)のGoogleアカウントのGeminiへのファイルアップロード
ポップアップの表示とアップロードが実施できないことを確認。(⇒ 想定動作)
ログでも通信がブロックされていることを確認。
参考
さいごに
今回はFalcon Data Protection を利用してGoogleエンタープライズアカウント以外への機密情報アップロードをブロックする設定方法についてご紹介いたしました。
データ保護ポリシーの設定についてはホワイトリスト型としてブロックの分類より上(優先度をあげて)に許可の分類を設定することで、社内利用のGoogle サービス以外へファイルアップロードの通信は確保され、社内利用のGoogleサービス以外への機密データを含んだファイルアップロードはブロックされることを確認をいたしました。※制御対象外のブラウザや制御対象にできない通信等もございますので、Falcon Data Protection の仕様については別途ご確認いただけますと幸いです。また、Googleアカウントでの制御はご利用のライセンス・設定内容も含め対応可能な内容も変わってきますため、以下のブログもご参照いただき一度POCを実施してみていただくこと推奨いたします。
この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。
CrowdStrike についてのお問い合わせ
ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
