データ損失防止

ShareFileのデータ損失防止(DLP)機能を使用すると、ファイル内のコンテンツに基づいてアクセスと共有を制限できます。

ストレージゾーンにアップロードされたドキュメントは、インラインコンテンツスキャン用の標準ネットワークプロトコルである ICAP をサポートするサードパーティの DLP セキュリティスイートを使用してスキャンできます。次に、DLP スキャンの結果とアクセスを厳密に制御する設定に基づいて、共有およびアクセス権限を調整します。

サポートされている DLP システム

Storage Zone Controller は、ICAP プロトコルを使用して、サードパーティの DLP ソリューションと対話します。既存のDLPソリューションでShareFile を使用した場合、既存のポリシーやサーバーを変更する必要がありません。ただし、負荷が大きくなると予想される場合は、ICAP サーバーをShareFile データの処理専用にすることもできます。

一般的な ICAP 準拠の DLP ソリューションには、次のものがあります。

  • シマンテックの情報漏えい対策
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSAデータ損失防止

ShareFile eは既存のDLPセキュリティスイートを使用するため、データ検査とセキュリティ警告のポリシー管理を一元管理することができます。送信メールの添付ファイルや Web トラフィックの機密データをスキャンするために前述のソリューションのいずれかをすでに使用している場合は、ShareFile Storage Zone Controller を同じサーバーに接続できます。これらの既存の DLP システムでは、基盤となる DLP システム自体が ICAPS をサポートしている場合、セキュア ICAP (ICAPS) もサポートします。

DLP を有効にする

ShareFile およびStorage Zone Controller の DLP を有効にするには、次の 3 つのアクションを実行します。

  1. ShareFile アカウントでDLP機能を有効にします。
  2. Storage Zone Controller サーバーで DLP を有効にします。
  3. ファイル分類ごとに許可されるアクションを設定します。

これらのアクションについては、以降のセクションで詳しく説明します。

ShareFile アカウントでDLP機能を有効にする

ShareFile サブドメインがDLPに対して有効になっていることを要求または確認するには、に要求を送信します Citrixサポート

一部のアカウントでは、DLPを有効化するには、ShareFile Webサイトの新しいユーザーエクスペリエンスを有効化する必要があります。アカウントで DLP を有効にしたら、Storage Zone Controller サーバーで DLP を有効にできます。

Storage Zone Controller サーバーで DLP を有効にする

以下の手順に従って、Storage Zone Controller 展開で DLP 設定を構成します。

  1. StorageZones Controller 3.2以降をインストールまたはアップグレードします。
  2. Storage Zone Controllerコンソールhttp://*localhost*/configservice/login.aspxで、[ShareFile Data] タブをクリックします。ゾーンが存在する場合は、[ 修正 ] をクリックします。
  3. [ DLP 統合を有効にする ] チェックボックスをオンにし、[ICAP REQMOD URL] フィールドに DLP サーバーの ICAP アドレスを入力します。アドレスの形式は次のとおりです。

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. [ 保存 ] または [ 登録] をクリックします。

DLP を有効にした後、[ 監視 ] タブの [DLP ICAP サーバーステータス] エントリをチェックして、DLP サーバー に到達可能であることを確認します。

DLP スキャン結果に基づいてアクセスを制御する

アカウントおよびStorage Zone Controller で DLP を有効にすると、DLP が有効なストレージゾーンにアップロードされるすべてのファイルのバージョンが機密コンテンツについてスキャンされます。スキャンの結果は、データの分類としてShareFile データベースに保存されます。

DLP 設定は、DLP 分類に基づいて、ファイルに使用できる通常のアクセス許可と共有コントロールを制限します。ドキュメントを共有する場合、DLP 設定で匿名で共有できる場合でも、ユーザーは匿名アクセスをブロックできます。ただし、ユーザーが DLP 設定に違反するような方法でファイルを共有しようとすると、ShareFile は共有できません。

データの分類は次のとおりです。

  • Scanned: OK — DLP システムによってスキャンされ、正常に渡されたファイル。
  • Scanned: Reject ed — DLP システムによってスキャンされ、機密データが含まれていることが検出されたファイル。
  • Unscanned — スキャンされていないファイル。

スキャンされていない 分類は、Citrix が管理するストレージゾーン、または DLP が有効になっていないその他のストレージゾーンに保存されているすべてのドキュメントに適用されます。この分類は、DLP を構成する前にアップロードされた DLP が有効なストレージゾーン内のファイルにも適用されます。この分類は、外部 DLP システムが使用できないか、応答が遅いため、スキャンを待機しているファイルにも適用されます。

各項目の分類は、ICAP サーバーの応答規則によって決定されます。DLP ICAP サーバーが、コンテンツをブロックまたは削除する必要があるというメッセージで応答した場合、ファイルは「 スキャン:拒否」とマークされます。それ以外の場合、ファイルは「 スキャン済み:OK」とマークされます

データ分類ごとに、異なるアクセス制限と共有制限を設定できます。ShareFile 管理者は、3つのカテゴリごとに、許可するアクションを選択します。

  • 従業員はファイルをダウンロードまたは共有できます。
  • サードパーティのクライアントユーザーは、ファイルをダウンロードまたは共有できます。クライアント共有はデフォルトで無効になっていますが、[管理者] > [詳細設定] > [クライアントによるファイルの共有を許可] で有効にできます。
  • 匿名ユーザーはファイルをダウンロードできます。

ユーザーがファイルを共有する場合、ダウンロード権限を持つユーザーのみがファイルを受信できます。したがって、データ分類の共有権限を有効にする場合は、少なくとも 1 つのクラスのユーザーダウンロード権限も付与する必要があります。

ShareFile でDLP設定を構成するには

  1. ShareFile Webインターフェイスで、「 管理」>「情報漏えい対策」をクリックします。
  2. [ファイルの 内容に基づいてファイルへのアクセスを制限 する] オプションを [はい]に変更します。
  3. 各データ分類に対して許可されるアクションを構成します。

重要:

ShareFile On-Demand Sync ツールでは、通常の操作にはダウンロード権限が必要です。展開にShareFile On-Demand Sync が含まれている場合は、すべてのコンテンツ分類に対して従業員のダウンロードを有効にします。

Storage Zone ControllerからDLPシステムにファイルを送信する場合、ファイルの所有者を示すメタデータが含まれます。このファイルには、ShareFile 内のファイルが存在するフォルダパスも含まれます。この情報により、DLP サーバー管理者は、機密性の高いコンテンツを含むShareFile 固有の詳細を表示できます。

DLP の詳細設定

DLP スキャンプロセスを調整するには、Storage Zone Controller のwwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.configにある設定ファイルを編集します。次の表では、DLP に関連する各設定について説明します。

設定 説明 デフォルト値
scan-interval DLP サービスが DLP キューに新しいファイルをチェックし、処理のために DLP ICAP サーバーに送信する頻度。 30秒
icap-response-timeout Storage Zone Controller が ICAP 応答を待機してから、ICAP サーバーを使用不可とマークする時間。 30秒
icap-exclude-extensions DLP スキャンから除外する拡張子のカンマ区切りリスト。DLP サーバーは、これらの拡張子で終わる名前を持つファイルを処理しませんが、スキャン済み:OK とマークします。値の例:「exe, jpg, bin, mov」 なし
icap-max-file-size-bytes 処理のために DLP サーバーに送信するファイルの最大サイズ(バイト単位)。値 0 は、最大値がないことを意味し、すべてのファイルサイズが送信されます。ゼロ以外の値で構成すると、DLP サーバーは構成サイズより大きいファイルを処理しませんが、Scanned: OK とマークされます。 31457280 (30 MB)
x-queue-items-to-process 各スキャン間隔反復ごとにスキャンするキュー内のアイテムの最大数。この値を小さくすると、StorageZone に大量のファイルが追加される場合に DLP サーバーへの影響が軽減されます。 512
max-queue-processing-threads DLP スキャンキューの排出に使用する同時プロセッサスレッドの最大数。この値は、ICAP サーバーに許可される同時接続の最大数に基づいて設定します。同じ ICAP サーバを使用する他のネットワークサービスをブロックしないようにするには、妥当な制限内である必要があります。 4
Icap-reqmod-http-request-verb デフォルトでは、ネットワーク呼び出しは PUT 動詞で行われます。必要に応じて、この設定を POST に変更できます。 PUT

DLPExistingFiles tool

ShareFile Storage Zone Controller は、ICAPを介してストレージセンターとデータ損失防止(DLP)プロバイダを統合するためのオプションを提供します。

ただし、ICAP サービスは、新しく作成されたファイルのみによって読み込まれるキューを処理します。つまり、ICAP が有効になる前にゾーン内に存在するファイルは、サービスによってスキャンされません。このツールは、スキャンのためにそれらのファイルをキューに入れるのに役立ちます。また、スキャンしたファイルを再スキャンするためにキューに入れることもできます。

名前の通り、ツールは現在 DLP ICAP サービスに対してのみ機能します。

要件

このツールはPowerShell スクリプトであるため、実行するにはPowerShellが必要です。PsExec または、ネットワーク共有の場所にアクセスするために Network Service としてスクリプトを実行する必要があるため、同様のツールも必要です。

場所

インストール済みのStorage Zone Controller の場合、ツールは<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1にあります。Storage Zone Controllerのインストール場所は、デフォルトで C:\inetpub\wwwroot\Citrix\StorageCenterです。

ツールの実行前の考慮事項

次の状況に応じて、ツールを 1 回の操作で複数回実行する必要がある場合があります。

  • キューサイズの制限に規定されている制限。
  • 指定された基準の項目数。この考慮事項は、キューサイズの制限が 0 以下に設定されていない限り当てはまります。この場合、キューディレクトリ内の最大サイズが 200,000 個であると想定されます。

たとえば、スキャンされていないアイテムをキューに入れるためにツールが使用されている場合、キューのサイズ制限は 500 アイテムに設定されます。スキャンされていないアイテムが 500 個を超える場合、キューに 500 個のアイテムがいっぱいになると、ツールが停止します。停止した場所を追跡するために、ツールは最後に取得されたアイテムの作成日を格納します。このツールは、DLPExistingFiles-enddate.temp という名前の<storage zones controller installation location>\SCの一時ファイルに日付を保存します。

各実行前に、ツールはこのファイルを検索します。ファイルが存在する場合、ツールはそのファイルの次のバッチのマーカーとして作成日を使用します。ツールでは、特定の操作が完了しても一時ファイルは削除されません。代わりに、特定の操作のすべてのバッチが完了した時点で、ゾーン管理者はファイルを削除できます。このような状況のため、完全な操作が完了すると、別の操作を実行する前に、一時ファイルが存在する場合は、手動で削除する必要があります。

PSExec でツールを実行する

コマンドウィンドウを開き、次のコマンドを使用して PSExec を実行します。

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

これにより、ネットワークサービスとして実行されているPowerShell が開きます。実際にネットワークサービスとして実行されていることを確認するには、 whoami を実行して結果を確認します。

PowerShell が開いたら、そこでツールを直接実行して、必要なタスクを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

コマンドラインオプション

ツールの実行には、次のオプションを使用できます。

  • -runscan (必須):このオプションは、スキャンのためにキューに入れるファイルの種類を指定するために使用します。サブオプション:
    • スキャンなし: スキャンされていないファイル。たとえば、スキャンされなかったDLP以前の時代ファイルなどです。
    • ScannedOK: クリーンとしてマークされたスキャン済みファイル。
    • ScannedRepeded: クリーンでないとマークされたスキャンされたファイル。
    • スキャン済み: すべてのスキャン済みファイル。
  • -queueLimit (オプション): このオプションは、ツールが停止する前にキューで許可される項目数を指定するために使用します。
  • -date (オプション):スキャンのためにキューに入れられるアイテムの最大作成日。たとえば、日付が「2017/10/30 AM 11:30」と指定されている場合、この日付/時刻より前に作成されたファイルのみがスキャンのためにキューに入れられます。

例:

すべての例については、PSExecを介してネットワークサービスとしてPowerShell を開きます。手順については、この記事で前述した手順を参照してください。

ゾーン内のスキャンされていないアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

キュー制限が 100 のゾーン内のすべてのスキャン済みアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

2017 年 10 月 30 日の午前 11 時 30 分までに作成されたすべてのスキャン済みアイテムを次の特性でキューに入れるには、キュー制限が 200 のゾーンで「クリーン」としてマークし、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"