データフローポリシーの更新

社内または社内部署の業務プロセスが大幅に変更された場合、アップデートされたビジネスプロセスの機密データフローにおける変更点と一貫性を保つために、DLPポリシーを更新する必要があります。従業員の役職が変更された場合も、ポリシーの更新が必要です。この場合、従業員のワークロードを保護するために使用される部署ポリシーの一部も更新する必要があります。

高度なDLPポリシー管理ワークフローにより、管理者は、社内全体、部署、ユーザー、または部署内の一部ユーザーのポリシー更新を自動化できます。

社内または部署のポリシーを更新する

観察モードのすべてのオプションを使用して、社内または部署全体のポリシー、および部署内のユーザー(1人または複数)の部署ポリシーの一部を更新できます。

社内または部署のポリシーを更新するには

更新プロセスは、次の手順で構成されます。これらの手順は、社内管理者または社内のワークロードを管理するパートナーが実行する必要があります。

  1. 適用されたポリシーのデフォルト以外のルールをすべて削除します。
  2. 更新を開始するには、社内または部署に適用されたAdvanced DLPを使用する保護計画を、この特定の企業または部署に最適な観察モードオプションのいずれかに切り替え、社内または部署のすべてのワークロードに計画を適用します。
  3. 更新期間が終了したら、クライアントを交えて新しい社内または部署ポリシーを確認し、必要に応じて調整して、クライアントの承認を得るようにします。
  4. 社内または部署のワークロードに適用される保護計画を適切な実行モードオプション(部署のワークロードからのデータ漏洩を防ぐ上で、クライアントが最適であると考えるオプション)に切り替えます。

社内または部署のユーザー(1人または複数)のポリシーを更新する

ユーザーレベルのポリシーは、監視モードの任意のオプションと「適応して実行」モードを使用して更新できます。

ユーザーポリシーを更新するための監視モードの使用

社内(または部署)のユーザー(1人または複数)のポリシーを更新するために観察モードを使用する場合、更新処理中に発生するユーザーのデータ転送に対しては、社内全体(または部署全体)に適用されるデータフローポリシーが適用されません。その結果、更新中にユーザーによって新しい個別ルールが作成される可能性があります。ここで作成されたルールと、社内(または部署)に適用されるポリシーの既存のグループルールは、矛盾する場合または一致する場合があります。更新が完了し、ユーザーのデータ転送に対してポリシーが再適用された後、ユーザー用に作成されたこれらの新しい個別のルールが、実際にユーザーのデータ転送に適用されるかどうかは、該当のデータ転送に適用されるポリシー内の他のルールと新しい個別ルールの優先順位に依存します。

観察モードでユーザーのポリシーを更新するには

更新プロセスは、次の手順で構成されます。これらの手順は、社内管理者または社内のワークロードを管理するパートナーが実行する必要があります。

  1. 単一の送信者であるユーザーが所属する企業(または部署)に適用されるポリシーについて、デフォルト以外のすべてのルールを削除します。
  2. 適用されたポリシー内にあるすべての非デフォルトデータフロールールの送信者リストから、ユーザーを削除します。
  3. 観察モードのAdvanced DLPを使用して新しい保護計画を作成し、それをユーザーのワークロードに適用して、更新(観察)期間を開始します。

    更新期間は、ユーザーによるワークロードからの機密データ転送に関わる、通常の全業務アクティビティ(またはアクティビティの90~95%)に必要な時間によって変化します。

  4. 更新期間が終了したら、実行されたポリシーに追加された該当ユーザーに関連する新しいルールを確認し、必要に応じて調整して、クライアントの承認を受けます。
  5. ユーザーのワークロードからのデータ漏洩を防ぐ上で、クライアントが最適であると考えるオプションに応じ、ユーザーのワークロードに適用される保護計画を厳格に実行モードまたは適応して実行モードに切り替えます。

    また、社内(または部署)に適用された保護計画をユーザーのワークロードに再適用することもできます。

ユーザーポリシー更新における「適応して実行」モードの使用

単一ユーザーのポリシー更新、また社内(または部署)全ユーザーの一部に対するポリシー更新は、ユーザーのワークロードにAdvanced DLPを適用した保護計画の「適応して実行」モードを使用して実行できます。

このポリシー更新方法では、更新中に該当ユーザーからのデータ転送が発生する場合、このユーザーがメンバーとして属する送信者グループ(例: Any internal)に対して適用される社内(部署)ポリシールールが、更新中のデータ転送にも適用されます。つまり、更新処理中に、送信者グループの既存のポリシールールと矛盾または一致する、新しいユーザールールが個別に作成されることはありません。特定クライアントのユーザーポリシーの更新にこれら2つの方法のどちらがより効果的かは、個別のITセキュリティ要件によって異なります

「適応して実行」モードを使用してユーザーのポリシーを更新するには

更新プロセスは、次の手順で構成されます。これらの手順は、社内管理者または社内のワークロードを管理するパートナーが実行する必要があります。

  1. 単一の送信者であるユーザーが所属する企業(部署)に適用されるポリシーについて、デフォルト以外のすべてのルールを削除します。
  2. 適用されたポリシー内にあるすべての非デフォルトデータフロールールの送信者リストから、ユーザーを削除します。
  3. 社内(または部署)に適用されるポリシーのすべてのデフォルトルールについて、それらのアクセス許可を [例外] に設定し、[操作] フィールドで [ログに書き込む] 操作を選択します。
  4. ユーザーのワークロードに現在適用されている保護計画が厳格に実行モードに設定されている場合は、Advanced DLPを使用して新しい保護計画を作成し、それを適応して実行モードでユーザーのワークロードに適用して更新期間を開始します。

    更新期間は、ユーザーによるワークロードからの機密データ転送に関わる、通常の全業務アクティビティ(またはアクティビティの90~95%)に必要な時間によって変化します。

  5. 更新期間が終了したら、実行されたポリシーに追加された該当ユーザーに関連する新しいルールを確認し、必要に応じて調整して、クライアントの承認を受けます。
  6. ユーザーのワークロードからのデータ漏洩を防ぐ上で、クライアントが最適であると考えるオプションに応じて、ユーザーのワークロードに適用される保護計画を厳格に実行モードに切り替えるか、または適応して実行モードのままにします。

    また、社内(または部署)に適用された保護計画をユーザーのワークロードに再適用することもできます。