はじめに
機密データはどこに存在しますか?誰がそのデータにアクセスできるのでしょうか?そのデータが不適切に共有または漏えいした場合、知る方法はありますか?このような質問で、多くのIT管理者やセキュリティ管理者が夜も眠れません。データ損失防止(DLP)の目的は、管理者が機密データに対して望む可視性と制御を確保することです。
当社は2022年9月にDLPの一般提供を開始し、Cloudflare Oneのお客様に機密データの保護を強化しました。DLPを使用することで、お客様は企業のトラフィック内の機密データを特定し、データの意図された宛先を評価し、その後、プライバシー要件および主権の要件に基づいて許可された場合は詳細がログに記録され、それに応じてデータを許可またはブロックします。当社は、識別番号(例えば社会保障番号など)や財務情報(例えばクレジットカード番号など)に対する定義済みの検出をお客様に提供することから始めました。それ以来、ほぼすべてのお客様から次のような質問を受けました:
「いつ独自の検出を構築できるのでしょうか?」
ほとんどの組織では、クレジットカード番号に注意を払っていますが、クレジットカード番号は、簡単に検出可能な標準的なパターンを使用しています。しかし、知的財産や企業秘密のデータパターンは業種や企業によって大きく異なるため、お客様は独自のデータの損失を検知する手段が必要です。これには、内部のプロジェクト名、未発表の製品名、未発表のパートナー名などが含まれます。
本日をもって、お客様の組織は、Cloudflare Oneを使用して、これらの機密データを識別するためのカスタム検出を構築できます。その通りです。今日、当社のプラットフォーム全体のポリシー構築で使用されている正規表現アプローチと同じものを使用して、カスタムDLPプロファイルを構築できます。
使用方法
CloudflareのDLPは、当社の安全なWebゲートウェイ(SWG)製品であるCloudflare Gatewayに組み込まれており、企業トラフィックをCloudflare経由でルーティングし、高速で安全なインターネットブラウジングを実現します。トラフィックがCloudflareを通過すると、機密データに関してそのHTTPトラフィックを検査し、DLPポリシーを適用できます。
DLPカスタムプロファイルの構築は、Cloudflareに期待されている同じ直感的なアプローチに従います。
まず、Zero Trustダッシュボード内で、一度、Gatewayの下にあるDLP Profilesタブに移動します:
ここには、定義済みまたはカスタムのDLPプロファイルがあります:
新しいプロファイルを開始するには、[プロファイルの作成]を選択します。名前と説明を入力した後、[検出エントリの追加]を選択してカスタム正規表現を追加します。正規表現(regex)は、テキスト内の検索パターンを指定する文字列であり、管理者がポリシー構築に必要な柔軟性と粒度を実現するための標準的な方法です。
Cloudflare Gatewayは現在、Rust正規表現クレートを使用してHTTPポリシーで正規表現をサポートしています。一貫性を保つために、同じクレートを使用してカスタムDLP検出を提供しました。正規表現のサポートに関するドキュメンテーションについては、当社のドキュメンテーションを参照してください。
正規表現を使用して、メールアドレスなど、選択したカスタムPII(個人を特定できる情報)検出を構築したり、機密性の高い知的財産のキーワードを検出したりできます。
選択した名前と正規表現を入力します。DLPプロファイルの各エントリは、企業のトラフィック内でスキャンできる新しい検出対象です。当社のドキュメンテーションは、Rust正規表現を作成しテストするためのリソースを提供しています。
以下は、単純な電子メールアドレスを検出する正規表現の例です:
完了すると、お客様のプロファイルにエントリーが表示されます。テストをより簡単にするために、Statusフィールドでエントリーのオンとオフを切り替えることができます。
カスタムプロファイルは、定義済みプロファイルと同様に、HTTPポリシーを使用してトラフィックに適用できます。ここでは、定義済みプロファイルとカスタムプロファイルの両方が同じポリシーで使用され、dlptest.comへの機密性の高いトラフィックをブロックしています:
当社のDLPロードマップ
これはDLPの旅の始まりに過ぎず、今後数四半期で製品を飛躍的に成長させることを目指しています。第4四半期には、当社は以下を実現しました:
拡張され事前定義されたDLPプロファイル
カスタムDLPプロファイル
PDFスキャンのサポート
ファイル名ロギングのアップグレード
次の四半期にかけて、当社は以下を含む多くの機能を追加予定です:
Cloudflare CASBによる保存データのスキャン
最小DLP一致数
Microsoft Sensitivity Labelのサポート
Exact Data Match(EDM)
コンテキスト分析
光学式文字認識(OCR)
さらに多くの定義済みDLP検出
DLPアナリティクス
他にもたくさんあります!
これらの各機能は、新しいデータの可視化および制御ソリューションを提供し、当社はこれらの機能をまもなくお客様にお届けできることを嬉しく思います。
開始方法
DLPはCloudflare Oneの一部であり、Zero Trustサービスとしてのネットワークプラットフォームです。これにより、ユーザーは企業のリソースに接続できます。当社のGAブログのアナウンスでは、Cloudflare Oneを使用して、トラフィックをDLPにオンボードする方法について詳しく説明しています。
Cloudflare One経由でDLPにアクセスするには、コンサルテーションを受けるか、アカウントマネージャーにご連絡ください。