Storage zones controller

データ損失防止

ShareFile のデータ漏えい防止 (DLP) 機能を使用すると、ファイル内のコンテンツに基づいてアクセスと共有を制限できます。

インラインコンテンツスキャン用の標準ネットワークプロトコルである ICAP をサポートするサードパーティの DLP セキュリティスイートを使用して、ストレージゾーンにアップロードされたドキュメントをスキャンできます。次に、DLP スキャンの結果と、アクセスを厳密に制御する設定に基づいて、共有とアクセス権を調整します。

サポートされている DLP システム

Storage Zones Controllerは、ICAP プロトコルを使用してサードパーティの DLP ソリューションと通信します。ShareFile を既存の DLP ソリューションで使用する場合、既存のポリシーまたはサーバーを変更する必要がありません。ただし、負荷が大きいと予想される場合は、ShareFile データを処理するために ICAP サーバー専用にすることもできます。

一般的な ICAP 準拠の DLP ソリューションは次のとおりです。

  • Symantec Data Loss Prevention
  • マカフィー DLP プリベント
  • Websense TRITON AP-DATA

ShareFileは既存のDLPセキュリティスイートを使用するため、データ検査とセキュリティアラートのための単一のポリシー管理ポイントを維持できます。送信メールの添付ファイルまたはWebトラフィックをスキャンして機密データをスキャンするために前述のソリューションをすでに使用している場合は、ShareFileStorage Zones Controllerを同じサーバーに指定できます。これらの既存の DLP システムでは、基盤となる DLP システム自体が ICAP をサポートしている場合は、セキュリティで保護された ICAP (ICAPS) もサポートします。

DLP を有効にする

ShareFileとStorage Zones ControllerのDLPを有効にするには、次の3つのアクションを実行します。

  1. ShareFile アカウントで DLP 機能を有効にします。
  2. Storage Zones Controllerサーバーで DLP を有効にします。
  3. ファイル分類ごとに許可されるアクションを設定します。

これらのアクションについては、以降のセクションで詳しく説明します。

ShareFile アカウントで DLP 機能を有効にする

ShareFileサブドメインがDLPに対応していることをリクエストまたは確認するには、Citrix サポートにリクエストを送信してください。

一部のアカウントでは、DLP を有効にするために ShareFile Web サイトの新しいユーザーエクスペリエンスを有効にする必要もあります。アカウントで DLP を有効にしたら、Storage Zone Controller サーバーで DLP を有効にできます。

Storage Zones Controllerサーバーで DLP を有効にする

以下の手順に従って、Storage Zone Controller 展開で DLP 設定を構成します。

  1. Storage Zones Controller5.3以降をインストールするか、アップグレードします。
  2. Storage Zone Controllerコンソールhttp://*localhost*/configservice/login.aspxで、[ShareFile Data] タブをクリックします。ゾーンが存在する場合は、[ 修正 ] をクリックします。
  3. [ DLP 統合を有効にする ] チェックボックスをオンにし、[ICAP REQMOD URL] フィールドに DLP サーバーの ICAP アドレスを入力します。アドレスの形式は次のとおりです。

    icap://<*name or IP address of your DLP server*>:<*port*>/reqmod
    
    OR
    
    *icaps://\<name or IP address of your DLP server\>:\<port\>/reqmod*
    
    The default ICAP port is 1344 (non-secure DLP) and the default ICAPS port is 11344 (secure DLP).
    
    For example, if your DLP server is dlp-server.example.com, type the following into the ICAP REQMOD URL field:
    
    icap://*dlp-server.example.com*:1344/reqmod
    
    OR
    
    *icaps://dlp-server.example.com:11344/reqmod*
    <!--NeedCopy-->
    
  4. [ 保存 ] または [ 登録] をクリックします。

DLP を有効にした後で、[ Monitoring ] タブの [DLP ICAP サーバーステータス] エントリをチェックして、DLP サーバに到達できることを確認します

DLP スキャン結果に基づいてアクセスを制御する

アカウントとStorage Zones Controller で DLP を有効にすると、DLP が有効なストレージゾーンにアップロードされたすべてのファイルのすべてのバージョンがスキャンされ、機密コンテンツがないかスキャンされます。スキャンの結果は、データ分類としてShareFileデータベースに保存されます。

DLP 設定は、DLP 分類に基づいて、ファイルで使用できる通常のアクセス許可と共有コントロールを制限します。ドキュメントを共有する場合、DLP 設定で匿名で共有できる場合でも、ユーザーは匿名アクセスをブロックすることができます。しかし、ユーザーが DLP 設定に違反するような方法でファイルを共有しようとすると、ShareFile は共有できないようにします。

データの分類は次のとおりです。

  • スキャン済み: OK — DLP システムによってスキャンされ、OK に合格したファイル。
  • スキャン済み:拒否 — DLP システムによってスキャンされ、機密データが含まれていることが判明したファイル。
  • Unscanned — スキャンされていないファイル。

スキャンされていない分類は 、Citrix で管理されるストレージゾーン、または DLP が有効になっていないその他のストレージゾーンに格納されているすべてのドキュメントに適用されます。この分類は、DLP が構成される前にアップロードされた DLP 対応のストレージゾーン内のファイルにも適用されます。この分類は、外部 DLP システムが使用できないか、応答が遅いため、スキャンを待機しているファイルにも適用されます。

各項目の分類は、ICAP サーバーの応答規則によって決定されます。DLP ICAP サーバーがコンテンツをブロックまたは削除する必要があるというメッセージで応答した場合、ファイルは「 スキャン済み:拒否」としてマークされます。それ以外の場合は、ファイルは「 スキャン済み:OK」とマークされます

データ分類ごとに、異なるアクセス制限と共有制限を設定できます。3つのカテゴリのそれぞれについて、ShareFile管理者は許可するアクションを選択します。

  • 従業員はファイルをダウンロードまたは共有できます。
  • サードパーティクライアントユーザーは、ファイルをダウンロードまたは共有できます。クライアント共有はデフォルトでは無効になっていますが、[ 管理] > [詳細設定] > [クライアントにファイル共有を許可する] で有効にできます。
  • 匿名ユーザーはファイルをダウンロードできます

ユーザーがファイルを共有すると、ダウンロード権限を持つユーザーのみがファイルを受信できます。したがって、データ分類の共有アクセス許可を有効にする場合は、少なくとも 1 つのクラスのユーザーダウンロードアクセス許可を付与する必要があります。

ShareFile で DLP 設定を構成するには

  1. ShareFile Web インターフェイスで、[ 管理] > [情報漏えい防止] の順にクリックします。
  2. [ コンテンツに基づいてファイルへのアクセスを制限する ] のオプションを [はい]に変更します。
  3. データ分類ごとに許可されるアクションを設定します。

重要:

ShareFile On-Demand Sync ツールでは、通常の操作ではダウンロード権限が必要です。展開環境に ShareFile On-Demand Sync が含まれている場合は、すべてのコンテンツ分類で従業員のダウンロードを有効にします。

Storage Zones Controller が DLP システムにファイルを送信すると、ファイルの所有者を示すメタデータが含まれます。このファイルには、ShareFile 内のファイルが存在するフォルダパスも含まれます。DLP サーバー管理者は、この情報を使用して、機密コンテンツを含むファイルに関する ShareFile に固有の詳細を表示できます。

DLP の詳細設定

DLP スキャンプロセスを調整するには、 wwwroot\Citrix\StorageCenter\SCDLPScanSvc\appSettings.configにあるStorage Zones Controllerにある設定ファイルを編集します。次の表では、DLP に関連する各設定について説明します。

設定 説明 デフォルト値
スキャン間隔 DLP サービスが DLP キューをチェックして新しいファイルを処理するために DLP ICAP サーバーに送信する頻度。 30秒
ICAP 応答タイムアウト Storage Zones Controllerが ICAP 応答を待ってから ICAP サーバーを使用不可とマークするまでの時間。 30秒
ICAP エクスクルードエクステンション DLP スキャンから除外する拡張機能のコンマ区切りのリスト。DLP サーバーは、これらの拡張子の 1 つで終わる名前のファイルを処理しませんが、ファイルを Scanned: OK としてマークします。例値:「exe, jpg, bin, mov」 なし
ICAP 最大ファイルサイズバイト数 DLP サーバーに送信して処理するファイルの最大サイズ (バイト単位)。値 0 は、最大値が存在せず、すべてのファイルサイズが送信されることを意味します。ゼロ以外の値で構成すると、DLP サーバーは構成されたサイズより大きいファイルを処理しませんが、スキャン済み:OK としてマークされます。 31457280 (30 メガバイト)
処理対象の X キューアイテム スキャン間隔ごとにスキャンするキューアイテムの最大数。StorageZone に多数のファイルが追加された場合に DLP サーバへの影響を軽減するには、この値を小さくします。 512
最大キュー処理スレッド数 DLP スキャンキューの排出に使用する同時プロセッサスレッドの最大数。この値は、ICAP サーバーに許可される同時接続の最大数に基づいて設定します。同じ ICAP サーバーを使用する他のネットワークサービスがブロックされないようにするには、妥当な制限内にする必要があります。 4
ICAP-ReqMod-HTTP リクエスト動詞 デフォルトでは、ネットワーク呼び出しは PUT 動詞で行われます。必要に応じて、この設定を POST に変更することもできます。 PUT

DLP 既存ファイルツール

ShareFileStorage Zones Controllerは、ICAPを通じてストレージセンターをデータ損失防止(DLP)プロバイダーと統合するオプションを提供します。

ただし、ICAP サービスは、新しく作成されたファイルによってのみ入力されるキューを介して動作します。つまり、ICAP が有効になる前にゾーンに存在するファイルは、サービスによってスキャンされません。このツールは、スキャンのためにそれらのファイルをキューに入れるのに役立ちます。また、再スキャンのためにスキャンされたファイルをキューに入れることもできます。

名前のとおり、ツールは DLP ICAP サービスに対してのみ機能します。

要件

このツールは PowerShell スクリプトであるため、PowerShell を実行する必要があります。ネットワーク共有の場所にアクセスするには、スクリプトをネットワークサービスとして実行する必要があるため、PsExec または同様のツールも必要です。

位置情報

インストールされているStorage Zones Controllerについては、ツールが<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1にあります。Storage Zones Controllerのインストール場所はデフォルトでC:\inetpub\wwwroot\Citrix\StorageCenterですす。

ツールを実行前の考慮事項

次の条件に応じて、ツールを 1 回の操作で複数回実行する必要がある場合があります。

  • キューサイズの制限について提供される制限。
  • 指定された条件に対する項目の数。キューサイズの制限が 0 以下に設定されていない限り、この考慮事項は真です。この場合、ツールはキューディレクトリ内の項目の最大サイズを 200,000 と仮定します。

たとえば、スキャンされていないアイテムをキューに入れるためにツールが使用されている場合、キューサイズの制限は 500 項目に設定されます。500 個を超えるスキャンされていない項目がある場合、500 項目がキューに満杯になった後、ツールは停止します。ツールは停止した場所を追跡するために、最後に取得したアイテムの作成日を格納します。このツールは、日付を <storage zones controller installation location>\SC にあるテンポラリファイルに dlpExistingFiles-EndDate.temp という名前で保存します。

各実行前に、ツールはこのファイルを検索します。ファイルが存在する場合、ツールはそのファイルの次のバッチのマーカーとして作成日を使用します。ツールは、特定の操作の完了時に一時ファイルを削除しません。代わりに、ゾーン管理者は、特定の操作のすべてのバッチが完了すると、ファイルを削除できます。このような状況では、完全な操作が完了すると、別の操作を実行する前に、一時ファイル (存在する場合) を手動で削除する必要があります。

PSExec でツールを実行する

コマンドウィンドウを開き、次のコマンドを使用して PSExec を実行します。

PsExec.exe -i -u "nt authority\network service"

"C:\WINDOWS\SysWOW64\WindowsPowerShell\v1.0\powershell.exe"
<!--NeedCopy-->

これにより、ネットワークサービスとして実行される PowerShell が開きます。ネットワークサービスとして実際に実行されていることを確認するには、 whoami を実行し、結果を確認します。

PowerShell が開いたら、そこでツールを直接実行し、必要なタスクを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 <options>
<!--NeedCopy-->

コマンド・ライン・オプション

ツールの実行には、次のオプションを使用できます。

  • -runscan (必須): このオプションは、スキャンのためにキューに入れるファイルの種類を指定するために使用されます。サブオプション:
    • Unscanned: スキャンされていないファイル。たとえば、スキャンされなかった以前のDLP時代のファイルなどです。
    • ScannedOK: クリーンとマークされたスキャン済みファイル。
    • ScannerdRejected: クリーンではないとマークされたスキャン済みファイル。
    • Scanned: すべてのスキャンされたファイル。
  • -queueLimit (オプション): このオプションは、ツールが停止する前にキューで許可される項目の数を指定するために使用されます。
  • -date (オプション): スキャンのためにキューに入れられるアイテムの最大作成日。たとえば、日付が「2017/10/30 午前 11:30」と指定されている場合、この日付/時刻より前に作成されたファイルだけがスキャンのためにキューに入れられます。

例:

すべての例については、 PSExec を通じてネットワークサービスとして PowerShellを開きます。手順については、この記事の前の手順を参照してください。

ゾーン内のスキャンされていないアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Unscanned
<!--NeedCopy-->

キュー制限が 100 のゾーン内でスキャンされたすべてのアイテムをキューに入れるには、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan Scanned -queueLimit 100
<!--NeedCopy-->

2017 年 10 月 30 日午前 11 時 30 分以前に作成されたすべてのスキャン済みアイテムを次の特性でキューに入れるには、キュー制限が 200 のゾーンで、クリーンとしてマークされ、次のコマンドを実行します。

<storage zones controller installation location>\Tools\DLPExistingFiles\DLPExistingFiles.ps1 -runscan ScannedOK -queueLimit 200 -date "10/30/2017 11:30 AM"
<!--NeedCopy-->

DLP を無効にする

ShareFile とStorageZoneコントローラーのDLPを無効にするには、次の操作を実行します:

DLP を無効にする

  1. Sharefile アカウントにログインし、[ 設定] をクリックします。
  2. 開いたドロップダウンリストから、[ 管理者設定] を選択します。
  3. 開いたメニューから [ セキュリティ] をクリックします。
  4. [セキュリティ] メニューから、[ データ損失防止 ] オプションを選択します。
  5. DLP 画面から、「 コンテンツに基づいてファイルへのアクセスを制限する 」セクションに移動し、「 いいえ」をクリックします。
  6. [Save] を選択します。