コンテンツまでスキップ

【Netskope】DLPを使って利便性を担保しつつ、情報漏洩対策してみた

Picture of tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回は、NetskopeでDLPを実装するための具体的な設定手順やログの見え方等運用についてご紹介していきます

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

 

 

 

DLPや具体的な設定手順

前回のブログでDLPについて解説していますので、こちらもぜひご覧ください

 

設定手順ですが、下記の手順で実施します

①Entityの作成

②DLPルールの作成

③DLPプロファイルの作成

④ポリシーで実際に制御する

またDLPは検知したい内容を単語や正規表現で記載します。NetskopeのDLPでは、検知したい内容が事前定義として用意されているEntityがあります。例えば住所や会社名等の様々なものが用意されていますし、それが日本に対応したものが用意されています。また、マイナンバーの事前定義もあります。これらを利用する場合は手順の①は不要になります

具体的な設定手順

①Entityの作成

こちらは事前定義として用意されたEntityを利用しない場合に必要な手順です

まずはPolicies > DLP > ENTITIES > NEW ENTITYに移動します

DLPルール設定

NAMEには任意の名前、その下の部分に検知したい単語を入力します。Case Sensitiveの場合は大文字と小文字を区別して認識するというものですので、"Apple"と入力しても、実際は"apple"は検知されないというものになります。大文字と小文字を区別しない場合はCase Insensitiveをご利用ください

CSVファイルで読み込ませたい場合はDictionaryをご利用ください

また、正規表現を記載する場合は、検知したい文字がきちんととれるか、Validate Regexで確認すると良いでしょう

DLP Entityの設定

あとはSaveするのみです

②DLPルールの作成

次にPolicies > DLP > EDIT RULE > Data Loss Preventionに移動します。ここでNEW RULEをクリックします

DLPルールの設定

①で作成したEntityや事前定義されたEntityが出てきます

例えばですが、下記は日本人の姓名の検知に利用できる事前定義のEntityになります。いくつか利用しやすい事前定義されたEntityも載せておきます

DLPの日本人姓名

日本の会社名について日本語表記、英語表記の事前定義されたEntity

DLPの会社名日本語/英語表記

運転免許証の番号や、パスポート番号の事前定義されたEntity

DLPの運転免許番号/パスポート番号

マイナンバーの事前定義されたEntity

DLPのマイナンバー定義

事前定義されたEntityは他にもたくさんあります。今回はマインバーと日本人の姓名をどちらも検知した場合に設定しました。ANDで設定していますが、ORにするとどちらかが検知された場合という条件になります

DLPのAdvanced Options

メタデータのみ、コンテンツのみ、どちらもを選択できます。また、スプレッドシートやエクセルなどの行の構造を持ったものを検知させたい場合にRecord Based Scanを有効にしてください

DLPのContent

ここでは単語が何件出たらLow/Medium/High/Criticalと判断するかの定義、制御はLowやHigh等どこから実施するかを定義します。今回はLow Severityを1以上とし、制御はLowからと定義したため、マインバーと日本人の姓名をどちらも1回検知した場合に制御されます

DLPのSeverity Threshold

これで次のページで名前を付けてSaveすると、DLPルールの作成完了です。いつものApply Changesもお忘れなく

DLPのルールApply

③DLPプロファイルの作成

続いてDLPプロファイルの作成です。Policies > DLP に移動します。ここでNEW Profileをクリックします

DLPのポリシー

ここではFileの種類を特定のものに絞りたいときに利用します。ファイルサイズやExcelだけ検知対象にしたい!という場合はNew File Profileから設定してください

DLPのファイル

New File Profileではファイルのパスワードプロテクトされているものの検知も可能です。中身の検知というより、パスワードがかかっているファイルは検知、Blockしたいという場合は下記のような設定とReal-time Protectionで設定してみてください。2024年10月時点ではZip、PDF、Officeドキュメントに対応しています。今回は特に設定しません

パスワードプロテクトにも対応

先ほど作成したDLPルールを設定します

DLPのルール

後は任意の名前を付けてSaveでDLPプロファイルの完成です。Apply Changesをしましたら実際の制御設定に移ります

DLPのプロファイルApply

④ポリシーで実際に制御する

最後にポリシー作成です。Policies > Real-time Protectionに移動します。ここでNew Policy > DLPをクリックします

DLPのポリシー設定

設定は下記のようなイメージです。Destinationには対象を、Profile & Actionには今回作成したDLPプロファイルを入力し、Actions:Blockに設定します

DLPのポリシー作成

以上が具体的な設定手順です。引っ掛かりやすいポイントとしては、DLPルールの各設定や、Severity Thresholdで何個検知させたらポリシー実行するかという項目がデフォルトでは5つからなので、検証であれば1にして実施してください

DLPの運用

実際のアラートが下記になります。Skope IT > Alertsで確認可能です

DLPのアラート

DLPのアラート詳細

Incidents > DLPでも確認可能です。Incidentsの方ではDLP発生したけどこの問題って情シスの誰が確認しているんだっけ?や重大度の管理、問題のStatus管理ができます

DLPのインシデント

DLPのインシデント詳細

ポリシーやDLPルールのチューニングは必要になりますが、情報漏洩を未然に防げるツールなのでぜひ設定をしてもらえると良いかと思います。DLPではユーザーに使ってほしいけど、情報漏洩対策はしたいという需要にこたえられる機能なので利便性の担保と情報漏洩対策の両立ができます

さいごに

DLPの設定イメージは掴めましたでしょうか。事前定義が使いやすいのはもちろん、ログも色々見えるので運用中に後追いがしやすいかと思います。ただ、今回の設定ではどんな単語、内容で引っ掛かったかはわからないため、次回はそこの解消をするためにフォレンジックの紹介をしていこうと思います
,