【CrowdStrike】データ保護設置前のモニター動作確認を行う（Data Protection）｜Nextmode Blog

はじめに

こんにちは、 ネクストモード株式会社 の sobar です。

今回はFalcon Data Protection を利用してデータ保護を実施する前にシミュレートモード（可視化のみのモニター動作）での動作確認方法についてご紹介いたします。OSについてはWindows端末での設定、プリセットで定義されている分類（コンテンツパターン）をすべて選択・設定します。設定はWindows、Mac それぞれ別々に設定を行う必要がある点について予めご了承ください。

Falcon Data Protection とは？

CrowdStrike Falcon Data Protection は、この切実な課題に応える統合型データ保護プラットフォームです。Webブラウザ・USBデバイス経由の機密データ送信を可視化・ブロックすることが可能です。機能の詳細については以下のブログをご確認ください。

• 【CrowdStrike】Falcon Data Protectionについて整理した件

Falcon Data Protection の利用は追加ライセンスが必要となります。※ライセンスの詳細につきましては弊社までお問い合わせください。

データ保護機能のモニター環境設定の手順と設定イメージ

Falcon Data Protection を使用してデータ保護機能のモニター環境設定を行う場合、以下のような手順で実施します。

【設定手順】

• ①コンテンツパターンの作成（機密データの定義）※今回はプリセットを利用するため、特に作成は行いません。
• ②分類の作成（パターンの組み合わせとアクションの定義）
• ③ブラウザ拡張機能ポリシー作成（Web転送制御の有効化）
• ④データ保護のポリシー作成（ホストグループへの適用）

【設定イメージ】

それではコンテンツパターンの作成から設定していきます。

①コンテンツパターンの作成について（機密データの定義）

今回はユーザ側で作成するコンテンツパターンの定義は使用せず、デフォルトで定義されている分類を利用して設定を行います。ユーザ側でコンテンツパターンを定義する場合のイメージとしては以下のブログで実施を行っておりますので、必要に応じてご参照ください。

• 【CrowdStrike】FalconでChatGPTへのファイルアップロードを制御し機密情報を保護する （Data Protection）【生成AIセキュリティ対策シリーズ】 > １．コンテンツパターンの作成

②分類の作成（パターンの組み合わせとアクションの定義）

データ保護 > 分類 より、プラットフォーム：Windows が選択された状態で、分類の作成 をクリックします。

分類設定画面よりまずは以下を選択・設定します。

• 名前：分類名を入力
• 外向き転送時にフォレンジック認証を保存：オン
• 条件を追加 > コンテンツパターン を選択

いずれかに一致を選択、パターングループを表示よりそれぞれのカテゴリごとに、対象のパターン108個（2026年6月時点）をすべて選択します。

すべて選択 ボタンを活用しすべて選択、選択の適用 をクリックします。

コンテンツパターンにおいて108件（2026年6月時点）すべて選択されている状況を確認し、ルールタブよりルールの設定を行っていきます。

ルールの追加をクリックします。

以下のように設定、追加を行います。

• レスポンスアクション：ブロック（定義したデータの転送を許可するか否かを設定します。[許可/ブロック ]）
• エンドユーザーに通知：チェック（[許可/ブロック]実行時に端末にポップアップを表示させます。メッセージ内容はポリシーの設定でカスタマイズ可能です。 ）
• ユーザースコープ ：All（このルールを適用するユーザーを制限することができます。）
• 外向き転送経路のスコープ：リムーバブルメディア、Webアップロード、すべて、プリンター（Windowsのみ）にそれぞれチェック。
• 検知トリガー：チェック
• スクリーンキャプチャを有効にする（Windowsのみ）：チェック

ルールが追加されていることを確認し、モード：シミュレートする が選択されている状態で保存をクリックします。

モード：シミュレートする（シミュレーションモードの場合、ルールに一致したとしてもブロックや通知は行われません。イベントは生成されますので、意図した通りに制御できるか否かを事前に確認する用途でお使いいただけます。[適用]にすることでFalconはルールに従い制御を行います。）

以下の2点を了承・同意したとみなしますよ、という確認が出るので、内容を確認のうえ承認して保存ボタンをクリックします。

• あなた自身が、会社（組織）を代表してこの画面キャプチャ機能を有効にする権限を持っていること。

• 従業員へ「画面をキャプチャしますよ」と通知したり同意を得たりするなど、プライバシーに関する法律やルールを守ってこの機能を使う責任は、すべてあなたの会社側にあること。（CrowdStrike側は責任を負いません、という念押しです）

※Policy（ポリシー）が設定されていない警告については次項で設定するため問題ありません。

シミュレーションで分類が作成されました。

③ブラウザ拡張機能ポリシー作成

ホストのセットアップおよび管理 > ブラウザ拡張機能ポリシー > ポリシーの作成 をクリックします。

名前を入力しポリシーの作成をクリックします。

Assigned host groups > ホストグループの割り当て よりホストグループを割り当てます。

Settings より以下のように設定し保存します。

• Automatic installation：チェック（有効化することでブラウザ拡張機能が自動でインストール・更新されます。）
• Automatic installation update channel：Production（拡張機能のバージョンを指定します。[Production/Early Adopter]※Production推奨） 
• Incognito/InPrivate mode user notification：チェック（ブラウザがシークレットモードの場合に拡張機能が無効である旨の通知を行います。）
• Incognito/InPrivate user notification text：（※デフォルト 表示されるメッセージ内容を編集することができます。）

ポリシーの有効化をクリックしポリシーを有効化します。

④データ保護のポリシー作成

データ保護 > ポリシー  > ポリシーの作成 をクリックします。

ポリシー名を入力し、プラットフォーム：Windowsが選択された状態でポリシーの作成をクリックします。

割り当て済み分類 > 分類の割り当て をクリックします。

作成した分類を選択し分類を割り当てます。

設定 より各種設定を変更できます。（今回はデフォルトの値より以下の類似検知のみチェックをつけました。）

割り当て済みホストグループ > ホストグループの割り当て より、ホストグループを選択し割り当てます。

ポリシーの有効化をクリックし、ポリシーを有効化します。

有効 となっていることを確認します。

設定は以上となります。以降で動作確認を行います。

動作確認

検証端末にて以下のファイルをGoogle Driveにアップロードしました。

• test03.txt  > 記載内容：hoge@hoge.com
  

以下のような情報を確認できます。

• イベント時間、ユーザー名、一致した分類、レスポンスアクション：シミュレーションブロック、宛先：Google Drive、宛先パス、データ：test03.txt、このファイルで検知されたコンテンツパターン：Email Address

また、このファイルで検知されたコンテンツパターン：Email Addressのリンクをクリックすると以下のような情報が確認できます。

• 確信度、コンテンツタイプ、コンテンツ（値のヒント）、説明

参考

• CrowdStrike Documentation > Home > データ保護 > エンドポイントのデータ保護 > 概要（※要テナントログイン）

さいごに

今回はFalcon Data Protection を利用してデータ保護を実施する前にモニターで動作を確認する方法についてご紹介いたしました。

この記事によってなにか新たな気づきがあり、皆さまの CrowdStrike Falconの運用一助となれば幸いです。

CrowdStrike についてのお問い合わせ

ネクストモードでは、CrowdStrikeをはじめ、OktaやNetskopeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください！