皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ/ゼロトラスト関連のプリセールスを担当している　大東です。

今回は、ZscalerのDLP機能についてご説明します。

2023年夏より、ZscalerのDLPはShift-JISにも対応したため、英語だけでなく、日本語での制御も可能となりました。

※これまでも、2バイト文字は対応しておりましたが、Unicodeのみの対応でした。

Zscalerの全体的なソリューションについても軽く触れると、イメージは下記図が参考になります。インターネット向けへは「ZIA」、内部サーバへのアクセスについては「ZPA」という製品体系になります。

■DLP(Data Loss Prevention)

DLPは簡単に言えば、通信上を通るファイルやデータの中身を確認し、特定の文字列があった場合にブロックしたり、許可するなどの処理をさせることができます。

たとえば、「クレジットカード番号」や「マイナンバー」、ファイル内に「社外秘」と記載があるデータなど情報漏洩すると好ましくないものをチェックすることができます。

Zscalerでは、「ZIA」がDLPの機能を有しています。SSLインスペクションと併用することで中身をチェックすることが可能です。

昨今の通信は、ほとんどの通信がHTTPSで暗号化されています。

そのためZIAをプロキシとして利用することでSSLインスペクションを行い、ZIA側でHTTPSの暗号化を一度復号化し、中身をチェックして問題なければ通信を許可するということが可能になります。

SSLインスペクションを行うには、パソコン側でZscalerの証明書をインストールする必要がありますが、Zscalerのエージェント（パソコンにインストールするソフト）にて、自動的にインストールすることができるため、ユーザー側は特に負担はありません。

■DLPの動き

では実際にDLPの設定を見ながら動きを確認していきましょう。

設定の流れとしては下記になります。

１．DLP辞書を作成

２．DLPエンジンの設定

３．検知時の通知プロファイルを作成

４．DLPポリシーを作成

ーーーーーーーーーーーーーーーー

１．DLP辞書を作成

ZIAには既に定義済みの辞書があり、マイナンバーやクレジットカードは登録されています。追加で独自の辞書を作ることも可能です。

追加で辞書を作る場合は下記のようなイメージで作成可能です。

２．DLPエンジンの設定

作成した辞書を基に、DLPエンジンを作成ます。このエンジンをDLPのポリシーに設定をします。DLPエンジンでは、各辞書に対して何件以上ヒットしたら検知のトリガーとさせるなどの設定を行います。以下の設定の場合は、「マイナンバーが2件より多い(3件以上)」、「クレジットカードが2件より多い(3件以上)」、「上記で作成した独自辞書内の文字列が0件より多い(1件以上)」というルールにしており、どれが１つでも当てはまったら検知するようなOR条件としています。

３．検知時の通知プロファイルを作成

DLPポリシーに適用する通知プロファイルを作成します。ここで設定するのは文面に関するものであり、送付するメールアドレスなどは別で設定します。Zscalerのゆういてんの一つとして、DLPで検知した際にルールに合致した添付ファイルを、管理者にメール通知をするというものがあります。これを有効にしておくことで管理者はどのファイルを送付しようとしたのかが分かるようになります。文面についてはデフォルトのままにしています。

４．DLPポリシーを作成

これまでで作成したプロファイルなどをルールに当てはめていきます。今回は、作成したルールをすべてのアプリケーションで適用する設定としています。特定のアプリケーションやユーザー、URLなどに限定することも可能です。

設定したDLPエンジンを設定します。

アクションを「ブロック」とし、警告テンプレートに通知プロファイルを設定します。

■．検知の動き

では、実際に「マイナンバー」や「クレジットカード」、「機密情報」が入ったファイルをオンラインストレージにアップしてみましょう。

実際に利用するファイル(Excelファイル)はこちらになります。

アップロードサイトは、ソフトバンクが提供している「PrimeDrive」というオンラインストレージを利用します。下記図の通りサイトの証明書が「Zscaler」となっており、SSLインスペクションが効いていることが分かります。

アップロードをすると一見アップロードしたように見えますが、実はここで画面が固まっており、ユーザーからはキャンセルを押しても反応がありません。(ブラウザを閉じるしか方法はありません)

管理者側のメールを確認すると下記のようなメールが来ています。

添付ファイルの他、だれが、どこのURLに、なにをしたか、どの辞書に何件引っかかったのかなどが記載されています。

情報漏洩は、外部からの犯行だけでなく、内部犯行によるものも少なくありません。Zscalerを使うことにより、すべてのユーザーがZscalerを介して通信を行うことができるため、ユーザーがどこにいても同じセキュリティポリシーを適用できます。情報漏洩対策は様々なものがありますが、対策の一つとして検討してみてはいかがでしょうか？

■DLPのライセンスについて

DLPを利用するには、ライセンスが必要となります。

以前紹介した「Zscalerライセンス形態」の記事では、「DLP機能（エッセンシャル）」という機能がZIAのBusiness Editionから利用できますが、こちらはあくまで可視化ができるだけであり、ブロックまではできません。

ブロックまでの制御をする場合は「データプロテクション(インラインWEB)」のオプションが必要となります。

まとめ

いかがでしたでしょうか。

ZIAのDLP機能は2023年夏よりShift-JISも対応したことにより一気に日本でも活用しやすい状況となりました。クラウドプロキシ機能の製品はZIA以外にも多くありますが、DLPなどの機能も含めて検討してみてはいかがでしょうか。

ZIAでは、DLP以外にも「URLフィルタ」「ファイアウォール」「サンドボックス」「ファイルタイプ制御」「アンチウイルス」「IPS」「CASB」など様々な機能があります。

SB C&SではZscalerについても案件プリセールスや案件同行、ハンズオンセミナーなどさまざまな対応を行っておりますので、お気軽にお問い合わせください。