はじめに
このドキュメントでは、Cisco Eメールセキュリティアプライアンス(ESA)でフォーマット済みおよび未フォーマットの両方の社会保障番号(SSN)を検出するカスタムDLPポリシー(DLP)を設定する方法について説明します。
フォーマット済みおよび未フォーマットの社会保障番号を検出するカスタム DLP ポリシーの設定
設計上、DLPスキャンエンジンは、フォーマットされた社会保障番号のみを検出します。これは、さまざまな業界で使用されるデータに含まれる9桁の数字によって引き起こされる高レベルの誤検出が原因です。たとえば、銀行のABAルーティング番号は9桁で、フォーマットされていない社会保障番号をスキャンしたときにトリガーされます。したがって、組織で厳密に要求されない限り、未フォーマットの社会保障番号のスキャンを避けることをお勧めします。組織で未フォーマットの社会保障番号をスキャンする必要がある場合は、次のソリューションに記載されている手順に従ってカスタムDLPポリシーを作成できます。
AsyncOSには、RSAまたは組織が開発した分類子を使用して、独自のポリシーを最初から作成するオプションがあります。このオプションは高度なものと見なされるため、事前定義されたポリシーテンプレートがネットワーク環境の固有の要件を満たさない場合に限り使用してください。
カスタムポリシーの作成
- GUIを使用する場合:Mail Policies > DLP Policy Manager。
- Add DLP Policy...ボタンをクリックします。
- 画面下部のCustom Policyを選択し、Custom Policyの横にあるAddをクリックします。
- DLPポリシー名を入力します。 例:SSN Custom Policy。
分類子の作成
カスタム分類子を作成すると、DLPエンジンでスキャンした条件を柔軟に設定できます。これを利用して、フォーマット済みSSNと未フォーマットSSNの両方をスキャンします。
- [コンテンツ一致分類子]ドロップダウンリストから、[分類子を作成]を選択し、[追加]ボタンをクリックします。
- コンテンツ一致分類子名を入力します。 例:SSN All Formats
- Rulesセクションで、Words or PhrasesからのドロップダウンをEntityに設定します。
- エンティティ(US Social Security Number, Formatted)を選択します。
- [Add Rule] をクリックします。
- 再度Entityを選択します。
- エンティティ(US Social Security Number, Unformatted)を選択します。
- [Submit] をクリックします。
重大度の設定
次の設定は出発点としては適していますが、参考のための単なるガイドラインであり、組織のニーズに応じて調整や代替の設定が必要になる場合があります。
- 重大な重大度の設定
メッセージに適用されるアクション:隔離
Enable Encryption(チェックマークを入れる)
暗号化ルール:常にメッセージの暗号化を使用する
暗号化プロファイル(設定した暗号化プロファイルをドロップダウンから選択します)
暗号化されたメッセージの件名: $subject
- 重大度の高い設定
メッセージに適用されるアクション:配信
Enable Encryption(チェックマークを入れる)
暗号化ルール:常にメッセージの暗号化を使用する
暗号化プロファイル(設定した暗号化プロファイルをドロップダウンから選択します)
暗号化されたメッセージの件名: $subject
- 中程度の重大度の設定
メッセージに適用されるアクション: 提供
Enable Encryption(チェックマークを入れる)
暗号化規則: TLSが失敗した場合のみメッセージの暗号化を使用する
暗号化プロファイル(設定した暗号化プロファイルをドロップダウンから選択します)
暗号化されたメッセージの件名: $subject
- 低い重大度の設定
メッセージに適用されるアクション:配信
暗号化を有効にする(オフ)
重大度スケールの設定
繰り返しになりますが、次の設定は出発点としては適していますが、参考のための単なるガイドラインであり、組織のニーズに応じて調整または代替の設定が必要になる場合があります。
- 重大度スケール図の右側で、Edit Scaleをクリックします。
- 最初のハンドルをIGNORE = 0になるまでスライドします。
- 2番目のハンドルをLOW = 1 ~ 9になるまでスライドします。
- MEDIUM = 10 ~ 50になるまで3番目のハンドルをスライドします。
- 4番目のハンドルをHIGH = 60 ~ 89になるまでスライドします。
- これを正しく設定すると、CRITICALは自動的に90から100に設定されます。
- 終了したら、Doneをクリックします。
変更を送信して確定します。
このポリシーの作成を完了するには、Submitボタンをクリックします。GUIの右上隅にあるCommit Changesボタンをクリックします。「Uncommitted Changes」画面が表示されたら、「Commit Changes」をクリックします。成功した場合は、GUIの右上隅に「No changes pending」と表示されます。
最後の段階
次に、Mail Policies->Outgoing Mail Policiesの下の発信メールポリシーで、DLPポリシーを有効にする必要があります。本稼働環境以外でテストする場合は、送信者として指定されたカスタム発信ポリシーを作成し、このテストポリシーでDLPポリシーを有効にすることができます。
関連情報