情報漏えい対策

ShareFileのデータ損失防止(DLP)機能を使用すると、ファイル内で見つかったコンテンツに基づいてアクセスと共有を制限できます。

インラインコンテンツスキャンの標準ネットワークプロトコルである ICAP をサポートするサードパーティの DLP セキュリティスイートを使用して、ストレージゾーンにアップロードされたドキュメントをスキャンできます。次に、DLP スキャンの結果と、アクセスをどの程度厳密に制御するかの設定に基づいて、共有権限とアクセス権限を調整します。

サポートされている DLP システム

ストレージゾーンController は、ICAP プロトコルを使用して、サードパーティの DLP ソリューションと対話します。ShareFileを既存のDLPソリューションで使用すると、既存のポリシーやサーバーを変更する必要はありません。ただし、負荷が大きいと予想される場合は、ShareFileデータの処理専用のICAPサーバーを使用することもできます。

一般的なICAP準拠DLPソリューションには、次のものがあります。

  • シマンテック社による情報漏えい対策
  • McAfee DLP Prevent
  • Websense TRITON AP-DATA
  • RSAデータ消失防止

ShareFileは既存のDLPセキュリティスイートを使用するため、データ検査とセキュリティアラートのためのポリシー管理を一元管理できます。送信メールの添付ファイルやWebトラフィックのスキャンに前述のソリューションの1つをすでに使用している場合は、ShareFileストレージゾーンController 同じサーバーに設定できます。これらの既存の DLP システムでは、基盤となる DLP システム自体が ICAPS をサポートしている場合、セキュリティで保護された ICAP (ICAPS) もサポートします。

DLP の有効化

ShareFileおよびストレージゾーンController 用のDLPを有効にするには、次の3つのアクションを実行します。

  1. ShareFileアカウントでDLP機能を有効にします。
  2. ストレージゾーンController サーバーで DLP を有効にします。
  3. 各ファイル分類に対して許可されるアクションを構成します。

これらのアクションについては、以降のセクションで詳しく説明します。

ShareFile アカウントでDLP機能を有効にする

メールを < support@sharefile.com > に送信して、ShareFileサブドメインがDLPに対して有効になっていることをリクエストするか、確認します。一部のアカウントでは、DLPを有効にすると、ShareFileウェブサイトの新しいユーザーエクスペリエンスを有効にする必要もあります。アカウントで DLP が有効になったら、ストレージゾーン Controller サーバーで DLP を有効にすることができます。

ストレージゾーンController サーバーで DLP を有効にする

ストレージゾーンController デプロイメントで DLP 設定を構成するには、次の手順に従います。

  1. StorageZones Controller 3.2 以降をインストールまたはアップグレードします。
  2. ストレージゾーンのController コンソールhttp://*localhost*/configservice/login.aspxで、 ShareFile Dataタブをクリックします。ゾーンが存在する場合は、[ Modify] をクリックします。
  3. [ DLP 統合を有効にする ] チェックボックスをオンにし、[ICAP REQMOD URL] フィールドに DLP サーバーの ICAP アドレスを入力します。アドレスの形式は次のとおりです。

    icap://<\*name or IP address of your DLP server\*>:<\*port\*>/reqmod
    
    OR
    
    \*icaps://<name or IP address of your DLP server>:<port>/reqmod\*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://\*dlp-server.example.com\*:1344/reqmod
    
    OR
    
    \*icaps://dlp-server.example.com:11344/reqmod\*
    
  4. [ 保存 ] または [ 登録 ] をクリックします。

DLP を有効にした後、[ モニタリング ] タブの [DLP ICAP サーバーステータス] エントリをチェックして、DLP サーバーが到達可能であることを確認します。

DLP スキャン結果に基づくアクセスの制御

アカウントおよびストレージゾーン Controller で DLP を有効にすると、DLP が有効なストレージゾーンにアップロードされたすべてのファイルのすべてのバージョンが機密コンテンツについてスキャンされます。スキャンの結果は、データの分類としてShareFileデータベースに保存されます。

DLP 設定では、DLP の分類に基づいて、ファイルで使用できる通常のアクセス許可と共有コントロールが制限されます。ドキュメントを共有する場合、DLP 設定で匿名での共有が許可されていても、ユーザーは匿名アクセスをブロックできます。ただし、ユーザーが DLP 設定に違反するような方法でファイルを共有しようとすると、ShareFile によって共有できなくなります。

データの分類は、次のとおりです。

  • スキャン済み: OK — DLP システムによってスキャンされ、[OK] に合格したファイル。
  • スキャン済み:却下 — DLP システムによってスキャンされ、機密データが含まれていることが検出されたファイル。
  • [ Unscanned ]:スキャンされていないファイル。

スキャンされていない 分類は、Citrixが管理するストレージゾーンまたはDLPが有効になっていないその他のストレージゾーンに保存されているすべてのドキュメントに適用されます。この分類は、DLP が構成される前にアップロードされた DLP が有効なストレージゾーン内のファイルにも適用されます。この分類は、外部 DLP システムが使用できないか、応答が遅いためにスキャンを待機しているファイルにも適用されます。

各アイテムの分類は、ICAP サーバーの応答ルールによって決定されます。DLP ICAP サーバーが、コンテンツをブロックまたは削除する必要があるというメッセージで応答した場合、ファイルは「 スキャン:拒否」とマークされます。それ以外の場合、ファイルは「 スキャン:OK」とマークされます。

データ分類ごとに、異なるアクセス制限と共有制限を設定できます。ShareFile管理者は、3つのカテゴリのそれぞれに対して、許可するアクションを選択します。

  • 従業員は、ファイルをダウンロードまたは共有できます。
  • サードパーティクライアントユーザは、ファイルをダウンロードまたは共有できます。クライアント共有はデフォルトで無効になっていますが、 [管理] > [詳細設定] > [クライアントによるファイルの共有を許可する]で有効にできます。
  • 匿名ユーザーは、ファイルをダウンロードできます

ユーザーがファイルを共有すると、ダウンロード権限を持つユーザーのみがファイルを受け取ることができます。したがって、データ分類の共有アクセス許可を有効にする場合は、少なくとも 1 つのクラスのユーザーダウンロードアクセス許可も付与する必要があります。

ShareFile で DLP 設定を構成するには

  1. ShareFile Webインターフェイスで、[ 管理] > [情報漏えい防止] をクリックします。
  2. [ コンテンツに基づいてファイルへのアクセスを制限 する] オプションを [はい] に変更します。
  3. 各データ分類に対して許可されるアクションを設定します。

重要:

ShareFile On-Demand Sync ツールには、通常の操作のためのダウンロード権限が必要です。展開にShareFile On-Demand Sync が含まれている場合は、すべてのコンテンツ分類の従業員ダウンロードを有効にします。

ストレージゾーンController がDLPシステムにファイルを送信すると、ファイルの所有者を示すメタデータが含まれます。このファイルには、ShareFile内のファイルが存在するフォルダパスも含まれます。この情報により、DLP サーバー管理者は、機密コンテンツを含むファイルについて ShareFile に固有の詳細を表示できます。

DLP の詳細設定

DLP スキャンプロセスを調整するには、ストレージゾーン Controller のwwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.configにある設定ファイルを編集します。次の表では、DLP に関連する各設定について説明します。

設定 説明 デフォルト値
scan-interval DLP サービスが DLP キューで新しいファイルをチェックし、処理のために DLP ICAP サーバーに送信する頻度。 30 秒
icap-response-timeout 記憶域ゾーン Controller が ICAP サーバーを使用不可とマークするまでに ICAP 応答を待機する時間。 30 秒
icap-exclude-extensions DLP スキャンから除外する拡張子のコンマ区切りリスト。DLP サーバーは、名前の拡張子で終わるファイルは処理しませんが、ファイルを Scanned: OK とマークします。値の例:「exe、jpg、ビン、mov」 無し
icap-max-file-size-bytes 処理のために DLP サーバに送信するファイルの最大サイズ (バイト単位)。値 0 は、最大値がなく、すべてのファイルサイズが送信されることを意味します。ゼロ以外の値で構成した場合、DLP サーバーは構成されたサイズより大きいファイルを処理しませんが、[スキャン:OK] とマークされます。 31457280 (30 MB)
x-queue-items-to-process 各スキャン間隔の反復ごとにスキャンするキューに入れられたアイテムの最大数。この値を小さくすると、StorageZone に多数のファイルが追加されるときに DLP サーバへの影響が軽減されます。 512
max-queue-processing-threads DLP スキャンキューの排出に使用する同時プロセッサスレッドの最大数。この値は、ICAP サーバーに許可される同時接続の最大数に基づいて設定します。同じ ICAP サーバーを使用する他のネットワークサービスがブロックされないようにするには、妥当な範囲内である必要があります。 4
Icap-reqmod-http-request-verb デフォルトでは、ネットワークコールは PUT 動詞で行われます。必要に応じて、この設定を [POST] に変更できます。 PUT

DLPExistingFiles tool

ShareFileストレージゾーンController は、ICAPを通じてストレージセンターをDLP(データ損失防止)プロバイダと統合するためのオプションを提供します。

ただし、ICAP サービスは、新しく作成されたファイルによってのみ取り込まれるキューを介して動作します。つまり、ICAP が有効になる前にゾーンに存在するファイルは、サービスによってスキャンされません。このツールは、スキャンのためにそれらのファイルをキューに入れるのに役立ち、スキャンしたファイルを再スキャンするためにキューに入れることもできます。

名前が示すように、このツールは現在 DLP ICAP サービスでのみ機能します。

要件

このツールはPowerShell スクリプトであるため、PowerShellを実行する必要があります。PsExecまたは同様のツールも必要です。これは、スクリプトをネットワーク共有の場所にアクセスするためにネットワークサービスとして実行する必要があるためです。

[場所]

インストール済みのストレージゾーンController の場合、ツールは<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1にあります。ストレージゾーンController のインストール場所は、デフォルトでですC:\inetpub\wwwroot\Citrix\StorageCenter

ツールを実行する前の考慮事項

次の状況に応じて、1 回の操作でツールを複数回実行する必要がある場合があります。

  • キューサイズ制限に関する制限事項。
  • 指定した基準の項目数。キューサイズの制限が 0 以下に設定されていない限り、この考慮事項は当てはまります。この場合、ツールはキューディレクトリ内のアイテムの最大サイズを 200,000 と仮定します。

たとえば、ツールがスキャンされていないアイテムをキューに入れる場合、キューサイズの制限は 500 アイテムに設定されます。スキャンされていないアイテムが 500 個を超える場合、500 個のアイテムがキューにいっぱいになった後にツールが停止します。ツールは停止した場所を追跡するために、最後に取得したアイテムの作成日を保存します。このツールは、DLPExistingFiles-enddate.temp という名前の<storage zones controller installation location>\SCの一時ファイルに日付を保存します。

各実行の前に、ツールはこのファイルを探します。ファイルが存在する場合、ツールはファイルの次のバッチのマーカーとして作成日を使用します。ツールは、特定の操作の完了時に一時ファイルを削除しません。代わりに、ゾーン管理者は、特定の操作のすべてのバッチが完了したら、ファイルを削除できます。この状況により、完全な操作が完了すると、別の操作を実行する前に、一時ファイル (存在する場合) を手動で削除する必要があります。

PsExec を使用してツールを実行する

コマンドウィンドウを開き、次のコマンドを使用して PsExec を実行します。

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"

これにより、ネットワークサービスとして実行されているPowerShell が開きます。実際にネットワークサービスとして実行されていることを確認するには、 whoami を実行して結果を確認します。

PowerShell が開いたら、そこでツールを直接実行して、必要なタスクを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>

コマンドラインオプション

ツールの実行には、次のオプションを使用できます。

  • -runscan (必須): このオプションは、スキャンのためにキューに入れるファイルの種類を指定するために使用します。サブオプション:
    • [ スキャンなし]: スキャンされていないファイル。たとえば、スキャンされなかったDLP以前のファイルなどです。
    • ScannedOK: クリーンとしてマークされたファイルをスキャンします。
    • スキャン拒否済み: スキャンされたファイルが、クリーンでないとマークされています。
    • [スキャン]: スキャンされたすべてのファイル。
  • -queueLimit (オプション): このオプションは、ツールが停止する前にキュー内で許可されるアイテムの数を指定するために使用します。
  • -date (オプション): スキャンのためにキューに入れられるアイテムの最大作成日。例えば、日付が「2017年10月30日 11:30 AM」と指定されている場合、この日付/時刻より前に作成されたファイルのみがスキャンのためにキューに入れられます。

例:

すべての例については、PsExec を使用してネットワークサービスとして PowerShell を開きます。手順については、この資料の前の手順を参照してください。

ゾーン内のスキャンされていないアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned

キュー制限が 100 のゾーン内のすべてのスキャン済みアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100

2017 年 10 月 30 日の午前 11 時 30 分までに作成されたすべてのスキャン済みアイテムを、次の特性でキューに入れるには、キュー制限が 200 のゾーンでクリーンとしてマークするには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"