データフローポリシールールの許可の調整

Advanced Data Loss Preventionは、データフローポリシールールにおいて3種類の許可をサポートしています。許可は、ポリシーの各ルールで個別に構成されます。

許可

(許容)

 ルールで定義された機密カテゴリ、送信者、受信者の組み合わせに一致するデータ転送が許可されます。
例外

(禁止)

ルールで定義された機密カテゴリ、送信者、および受信者の組み合わせに一致するデータ転送は許可されません。ただし、送信者は個別の転送を可能にするためルールに例外をリクエストできます。

該当の機密カテゴリに属する、この送信者と受信者の間に発生する後続のすべてのデータ転送は、例外がリクエストされてから5分間許可されます。
拒否

(禁止)

ルールで定義された機密カテゴリ、送信者、および受信者の組み合わせに一致するデータ転送は許可されておらず、送信者には例外をリクエストするオプションがありません。

さらに、ポリシー管理の柔軟性を高めるために、許可および例外許可に優先度のフラグを割り当てることができます。この設定により、ポリシー内の他のデータフロールールで特定のグループに設定されたアクセス許可を上書きできます。これを使用して、一部のメンバーにのみグループデータフロールールを適用できます。これを実現するには、グループルールから除外する特定のユーザーのデータフロールールを作成し、それらのユーザーが属するグループのルールで構成されているデータフロー制限よりも、ユーザーに付与されたアクセス許可を優先させる必要があります。ルールを組み合わせる際の許可の優先順位については、データフローポリシールールの組み合わせを参照してください。

社内または部署のポリシーを観察モードから実行モードに切り替える前に、各機密データカテゴリのデフォルトルールを許容状態から禁止状態に調整する必要があります。デフォルトのルールには、データフローポリシービューでアスタリスク(*)が付けられています。ポリシールールの種類の詳細については、『基本ガイド』を参照してください。

ポリシールールの許可を編集するには

  1. Cyber Protectコンソールに管理者としてログインします。
  2. [保護] > [データフローポリシー] に移動します。
  3. 編集するポリシールールを選択し、ルールリストの上にある [編集] をクリックします。
    [データフロールールの編集] ウィンドウが開きます。
  4. 許可セクションで、[許可][例外]、または [拒否] を選択します。
  5. (オプション)このルールの [許可] または [例外] 許可を他のルールの許可よりも優先するには、[優先] チェックボックスをオンにします。

    このチェックボックスを使用して、デフォルトの [任意] > [その他] ルールよりもデータフロールールを優先させる必要はありません。これらのルールでは、デフォルトでポリシーの優先度が最も低く設定されているためです。

    ルールを組み合わせる際の許可の優先順位については、データフローポリシールールの組み合わせを参照してください。

  6. (オプション)ルールがトリガーされたときに実行する操作を選択します。
  7. ポリシールールへの変更を保存します。