データコントロール ポリシーを適用する

デフォルトで、データコントロールは無効になっています。また、ストレージデバイスやアプリケーションへのファイル転送を監視・制限するルールも指定されていません。データコントロールは、次の手順で導入することを推奨します。

  1. コンピュータにおけるデータコントロールの動作の説明を参照してください。

    • ストレージデバイス: データコントロール機能は、Windows エクスプローラを使って監視対象ストレージデバイスにコピーされるすべてのファイルをブロックします (Windows のデスクトップでファイルをコピーした場合も同様です)。ただし、Microsoft Word など、アプリケーションから直接ファイルを保存した場合や、コマンドプロンプトでファイルを転送した場合は、ブロックされません。

      管理対象ストレージデバイスへのファイル転送を、すべて Windows エクスプローラを使って実行させるようにするには、「ユーザーの同意で転送を許可し、イベントをログに記録する」アクション、または「転送をブロックし、イベントをログに記録する」アクションを利用します。どちらの場合でも、アプリケーションから直接ファイルを保存しようとしたり、コマンドプロンプトでファイルを転送しようとすると、データコントロール機能でブロックされます。そして、Windows エクスプローラを使ってファイル転送を行うよう、デスクトップ警告が表示されます。

      データコントロール ポリシーで、「ファイル転送を許可し、イベントをログに記録する」アクションに関するルールのみが設定されている場合は、アプリケーションで直接ファイルを保存しようとしたり、コマンドプロンプトからファイルを転送しようとしても、ファイルはブロックされません。この設定では、ユーザーが制限なしでストレージデバイスを使うことができます。しかし、Windows エクスプローラを使ってファイル転送を行ったときのみ、データコントロールのイベントが記録されます。

      アプリケーションの監視はこの制限の対象ではありません。

    • アプリケーション: データコントロール機能は、監視対象アプリケーションにアップロードされるファイルやドキュメントに対して割り込みを実行します。ユーザーが実行するファイルのアップロードだけを監視するため、一部のシステムファイルの保存先は、データコントロールによる監視の対象から除外されています。

      メールクライアントを監視している場合、データコントロール機能により、すべての添付ファイルに対して検索が実行されます。ただし、メールの内容は検索されません。メールの内容に対して検索を実行する必要がある場合は、Sophos Email Security and Data Protection 製品を使用してください。
  2. 検索する情報の種類を選択後、ルールを作成してください。あらかじめ用意されているサンプルルールを活用して、データコントロール ポリシーを構成してください。
    注意 コンテンツ検索には過大な負荷が伴うことがあるので、コンテンツルールを作成する際にはそのことを考慮してください。作成したコンテンツルールを多数のコンピュータに適用する前に、ネットワークへの影響をテストすることが重要です。
    はじめてポリシーを作成する場合は、個人を特定する情報が文書内に多数存在するか検索することを推奨します。この条件を満たすルールはあらかじめサンプルとして用意されています。
  3. データコントロールを有効に設定し、ルール内で「ファイル転送を許可し、イベントをログに記録する」アクションを指定して、管理対象データの検出のみを行い、ブロックは行わないようにします。
    注意 各コンピュータに適用する前に、すべてのルールでこのアクションを指定しておくことを推奨します。これによって、ユーザーの生産性に影響を与えることなく、各ルールの効果を評価することができます。
  4. 作成したデータコントロール ポリシーを数台のコンピュータに限って適用します。これによって、生成されるイベントの解析が容易になります。
  5. 「データコントロール - イベントビューア」を使用して、使用中のデータを表示したり、テスト設定に問題点がないか確認します (条件が絞り込まれていないため、予想以上のイベント数が生成されるなど)。イベントビューアを開くには、「イベント > データコントロールのイベント > 」をクリックします。
  6. ポリシーをテストした後は、適宜、設定を調整し、残りの社内コンピュータに適用します。この際、次の操作を行うこともできます。
    • 必要に応じ、一部のルールに対するアクションを「ユーザーの同意で転送を許可し、イベントをログに記録する」や「転送をブロックし、イベントをログに記録する」に変更する。
    • グループごとに異なるポリシーを作成します。たとえば、人事部のコンピュータには、個人を特定できる情報へのアクセスを許可し、それ以外の部署のコンピュータに対しては、アクセスを禁止するように設定できます。

データコントロールポリシーの設定について、詳細は Sophos Enterprise Console ヘルプを参照してください。