2022.09.20

こんにちは。 SB C&S の鵜重です。
今回は、VMwareが提供するSecure Access Service Edge (SASE)ソリューション「VMware SASE」に新たに追加された DLPを実際にさわってみましたので、こちらの機能についてご紹介致します。
VMware SASEとは
VMWare SASEそのものに関しては弊社メンバーによる別記事にて、プロダクト概要とアーキテクチャをご紹介しておりますので、こちらもあわせてご覧ください。
また、VMware Cloud Web Securityについては同じくこちらの別記事をご覧ください。
DLPとは?
「Data Loss Prevention」の頭文字からなっており、その名称通り情報漏えい対策のセキュリティソリューションになります。時折、ニュース紙面で『〇〇社で情報漏えい発生!』などとセキュリティインシデントとして大きく報道されることがありますが、クラウドシフトが進むとともに企業が保有する顧客情報や従業員のマイナンバーなど重要データの情報漏えい対策が、これまで以上に重要な役割を持つようになってきました。
また、故意ではないながらもオペレーションミスや従業員への教育不足からうっかり漏えいというケースも散見されることもあり、それらの対策ソリューションとしてDLPが有効です。
そんなDLPですが、技術的には大まかに以下のような要素を用いて重要データの持ち出しを監視します。
・特定キーワード、正規表現
・ファイルのフィンガープリント
・AIを用いたマッチング などなど
また、これらのどこでDLPを稼働させるかも大きなポイントとなります。Emailやエンドポイントに加え、クラウドサービス内の重要データ保護(≒CASB)、そしてVMware SASEも提供するネットワーク上でのDLPが挙げられます。これらを複合的に組み合わせることで、より完成度の高いDLPソリューションが完成します。
VMware SASE DLP設定方法
ここから実際の設定画面と動作イメージをご紹介します。
設定は専用のWeb管理コンソールとなりVMware SD-WANのUIである『VMware SD-WAN(VeloCloud)オーケストレータ』から行います。(誰もが嬉しいシンプルな日本語でのUIが提供されています)
VMware SASEのDLP機能では、あらかじめ禁止文字列の候補となる350種類のテンプレート(辞書)が用意されており、これを活用することで非常に簡単に設定を投入することが出来ます。日本での運用を意図した内容としてはマイナンバーに加えて、『機密』や『秘』といったキーワードが登録されています。
また、ユーザー自身によるキーワードの追加も簡単に行うことができます。こちらの画面では無害ではありますが、わかりやすくするため『こんにちは』『Hello』を禁止文字列と指定しています。この設定を有効にすると、この2つの単語が記載されたファイルアップロード、もしくはWebフォーム入力を実施するとCWSのセキュリティポリシーによってブロックされる形になります。
CWSのセキュリティポリシーで上記の辞書を指定し、反映すれば設定は完了です。