Endpoint Data Discovery ルールの紹介
Endpoint Data Discovery Endpoint Data Discovery ポリシーは、管理中の Windows および Mac デバイスのハードドライブをスキャンして、個人の健康情報、クレジットカード情報、SSN などのファイルの機密情報を調べます。スキャン結果は EDD レポートで報告され、リスクのあるデバイスの特定に役立ちます。 (EDD) ポリシーには、デバイスのハードディスクに保存された機密情報およびリスクファイルのコンテンツを検出するためのルールが含まれます。
EDD ルールエリアを使用すると、お客様の組織に固有で、特に関係が深いリスクのあるファイルコンテンツを特定するカスタムルールを作成することができます。ルールの作成とテストが終了したら、ポリシーエリアで発行することで EDD スキャンに含めることができます。
EDD ルールとは、カスタム Endpoint Data Discovery ルールを作成し、組織に固有のポリシーのニーズに対応するために管理者が使用する高度な機能です。EDD ルールは分かりやすい構文を使用します。ただし、この機能を使用する前に、このトピックの説明をよく読んで理解し、構文ガイドラインを学習しておくことがベストプラクティスです。
ルール機能の使い方に関するご質問やサポートのご依頼については、Absolute テクニカルサポートにお問い合わせください。
式セットおよび式ついて
式セットは、EDD ルールの最大の構成要素です。各ルールに少なくとも 1 つの式セットを含める必要があります。各式セットには、特定のコンテンツのタイプを定義する 1 つ以上の式が含まれます。式は「アカウント番号」などの単独の単語またはフレーズとすることも、単語、変数、演算子、特殊文字の組み合わせを含むこともできます。式を式セットに追加する場合、正しい構文を使用する必要があります。
式セットのテンプレート
EDD ルールエリアには、独自のカスタム EDD ルールの作成を開始するための多数の式セットのテンプレートが含まれます。各テンプレートには、特定のタイプのコンテンツを検出する式が含まれます。
-
| テンプレート | 説明 |
|---|---|
| 社会保障番号 (米国) |
米国社会保障番号を検出するための式が含まれます。 このテンプレートの式は、@Mask_After 演算子を使用してコンテンツの一部を黒塗りします。 |
| 社会保険番号 (カナダ) |
カナダの社会保険番号を検出するための式が含まれます。 このテンプレートの式は、@Mask_After 演算子を使用してコンテンツの一部を黒塗りします。 |
| マイナンバー (日本) |
有効な日本のマイナンバー (個人番号とも呼ばれる) を検出するための式が含まれます。 テンプレートの式では、@JPIDnumber 演算子を使用して有効な番号のみが検出されるようにしています。また、コンテンツの一部を編集するために@Mask_After 演算子も使用します。 |
| 一般的な ID サンプル |
以下の種類のコンテンツを検出するためのサンプル式が含まれます。
このテンプレートは、お客様の組織に固有の識別子をマッチさせる出発点として使用できます。また、コンテンツの一部を編集するために@Mask_After 演算子を使用します。 ルールにこの式セットのテンプレートを使用する場合、関連性のない式を削除して、ニーズに合わせて残りの式を編集する必要があるでしょう。 |
| GDPR 個人データ |
テンプレートは、特に 一般データ保護規則 (GDPR) 一般データ保護規則 (GDPR) は、欧州経済領域 (EEA) に住む個人に関連するデータを処理するすべての組織に適用される、一連のデータ保護規則を定めます。 に準拠するように設計されています。また、コンテンツの一部を編集するために@Mask_After 演算子を使用します。 このテンプレートでは以下の 40 種類の個人識別情報が検出されます。
|
| クレジットカードのサンプル |
このテンプレートでは以下のクレジットカードのタイプが含まれます。
テンプレートの式では、@Luhn 演算子を使用して有効な番号のみが検出されるようにしています。また、コンテンツの一部を編集するために@Mask_After 演算子も使用します。 |
| 医療用語 | 5,500 を超える健康状態、診断、医薬品のリストが含まれ、これらが約 500 の式の中に入っています。医療用語は、定義済みの個人健康情報ルールによって、リスクファイルのコンテンツを検出するために使用されるものと同じです。この式セットのテンプレートは、組織の特定のニーズを満たすように編集できます。 |
| 金融用語 | 金融情報に関連する 130 の用語リストを含みます。これらは、定義済みの個人金融情報ルールによって、リスクファイルのコンテンツを検出するために使用されます。この式セットのテンプレートは、組織の特定のニーズを満たすように編集できます。 |
式セットのテンプレートをルールに追加すると、式を編集・削除したり、新しい式を式セットに追加したりできます。
対象となるコンテンツのすべてのインスタンスを検出するため、式セットの編集が必要だと感じられる場面もありかもしれません。
たとえば、米国社会保障番号のテンプレートには「###-##-####」形式の番号を検出する式はありますが、「#########」(ハイフンなし) 形式の式はありません。この番号形式を検出するための式を追加する場合は、 誤検知 EDD 関連のレポートまたはページの結果で、ファイルに一致が検出されたが、詳細な調査のうえで一致したコンテンツがリスクのあるデータであるとは考えられない場合。の数が許容できないほど多くなる可能性があることに注意してください。
ファイルのコンテンツの検出に単独の式セットを使用する
ルールに単独の式セットが含まれる場合、式セットの式のいずれか 1 つがファイル内のコンテンツに一致した場合に、マッチが生成されます。ルールの定義を式として記述すると、式セット内の式は OR 演算子によって結合されます。
|
ある組織のエンジニアリングチームが、Phoenix と名付けられた新しいプロジェクトに取り組んでいます。プロジェクトの目的は、SuperWidget と UltraWidget を設計することです。このプロジェクトに関連するファイルをエンジニアリングチーム以外に渡すことはできません。 この組織は、エンジニアリングチーム以外が所有するデバイスに保管されているプロジェクト関連ファイルを検出したいと考えました。そこで、以下の式を含む単独の式セットを用いた EDD ルールを作成しました。 Phoenix プロジェクトの式セット
これらの用語がデバイス上のファイルのコンテンツで検出されると、マッチが生成されます。1 つのファイル内に 4 つすべての用語が検出されると、4 つのマッチが生成されます。 |
ファイルコンテンツを検出するために式セットを結合する
ルールに複数の式セットが含まれる場合、マッチが生成されるのは、あらゆる式セット内の式が、ファイル内のコンテンツに一致する場合のみであることにご注意ください。ルールの定義を式として記述すると、式セットは AND 演算子によって結合され、各式セット内の式は OR 演算子によって結合されます。
|
一般的な病院は、患者個人の医療情報 (PHI) を含むファイルを扱います。これらのファイルは、許可を受けていない従業員に配布してはなりません。病院は、無許可のデバイスに保存されている PHI を含むファイルを検出したいと考えました。PHI として認定するには、EDD ルールは患者 ID などの患者の識別子、および診断の両方が存在するインスタンスのみを探す必要があります。ファイル内に「喘息」などの単語が 1 つだけ見つかった場合、コンテンツは無視されるべきです。これは、「喘息」という単語自体には情報漏えいのおそれがないためです。 患者識別子および診断の両方を備えたファイルを探すルールを作成するには、2 つの式セットをルールに追加する必要があります。 患者識別子の式セット
医療用語の式セット
患者識別子の式と医療用語の式が同じ式セットに追加されると、これらの式のうち 1 つだけが一致した場合でも、ルールにマッチしたものと判断されます。 |
変更を保存する
EDD ルールエリアを操作していると、変更が自動的に保存されます。最後の自動保存の日時は、EDD ルールページ上部にある保存の隣に表示されます自動保存時間は、ブラウザで設定されているタイムゾーンに対応します。
既存ルールを編集していて、変更を元に戻したい場合、最後に発行したバージョンに戻すことができます。
ルールをテストする
式セットと式をルールに追加した後で、ルールの定義を検証して、関心のあるファイルコンテンツが検出されることを確認できます。ルールのルールをテストセクションにサンプルテキストを入力し、その後、予想されるマッチが見つかるかを確認します。
