データコントロールの機能

データコントロールは、主に人為的ミスなどで生じる機密情報の流出事故を検知する機能です。たとえば、Web ベースのメール機能で、機密情報が含まれるファイルを自宅に送信する行為などが対象になります。

データコントロール機能で、コンピュータから、ストレージデバイスやインターネットに接続するアプリケーションへのファイルの転送を監視・制御することができます。

  • ストレージデバイス: データコントロール機能は、Windows エクスプローラを使って監視対象ストレージデバイスにコピーされるすべてのファイルをブロックします (Windows のデスクトップでファイルをコピーした場合も同様です)。ただし、Microsoft Word など、アプリケーションから直接ファイルを保存した場合や、コマンドプロンプトでファイルを転送した場合は、ブロックされません。

    管理対象ストレージデバイスへのファイル転送を、すべて Windows エクスプローラを使って実行させるようにするには、「ユーザーの同意で転送を許可し、イベントをログに記録する」アクション、または「転送をブロックし、イベントをログに記録する」アクションを利用します。どちらの場合でも、アプリケーションから直接ファイルを保存しようとしたり、コマンドプロンプトでファイルを転送しようとすると、データコントロール機能でブロックされます。そして、Windows エクスプローラを使ってファイル転送を行うよう、デスクトップ警告が表示されます。

    データコントロール ポリシーで、「ファイル転送を許可し、イベントをログに記録する」アクションに関するルールのみが設定されている場合は、アプリケーションで直接ファイルを保存しようとしたり、コマンドプロンプトからファイルを転送しようとしても、ファイルはブロックされません。この設定では、ユーザーが制限なしでストレージデバイスを使うことができます。しかし、Windows エクスプローラを使ってファイル転送を行ったときは、データコントロールのイベントが記録されます。

    注: アプリケーションの監視はこの制限の対象ではありません。

  • アプリケーション: ユーザーが実行するファイルのアップロードだけを監視するため、一部のシステムファイルの保存先は、データコントロールによる監視の対象から除外されています。これによって、ユーザーがファイルをアップロードしたときではなく、アプリケーションが環境設定ファイルを開いたときに、データコントロールのイベントが生成される可能性が大幅に削減されます。

    重要: アプリケーションによって環境設定ファイルが開かれるために誤ったイベントが生成される場合は、通常、除外するパスを追加したり、データコントロールのルールを緩和することで問題は解決します。詳細はソフォスのサポートデータベースの文章 113024 を参照してください。
    注: オンアクセス検索の除外は、常にデータコントロールに適用されません。

オンアクセス検索の除外設定がデータコントロールに適用される条件とは?

ウイルス対策および HIPS ポリシーで設定したオンサクセス検索の除外は、どのようにファイルがコピー/移動されたか、あるいはどの場所へコピー/移動されたかに応じて、データコントロールに適用されます。

たとえば、メールクライアント、Web ブラウザ、IM (インスタントメッセージング) など、監視対象のアプリケーションを使用してファイルがアップロードされたときや、添付されたときに、オンアクセス検索の除外設定がデータコントロールに適用されます。オンアクセス検索の対象から項目を除外する方法の詳細は、オンアクセス検索の対象から項目を除外するを参照してください。

重要: オンアクセス検索の対象からリモートファイルを除外した場合、ネットワーク上のファイルを監視対象アプリケーション (メールクライアントや Web ブラウザなど) にアップロードしたり、添付したりした際、それらのファイルに対してデータコントロールで検索が実行されません。詳細は、アップロードされたファイルや添付ファイルが、データコントロールで検索されないも参照してください。

Windows エクスプローラを使用してファイルをコピー/移動した場合、オンアクセス検索の除外設定はデータコントロールに適用されません。結果として、たとえば、USB などのストレージデバイスにファイルをコピーした場合や、ネットワーク上にファイルをコピー/移動した場合、これらのファイルに対して検索が実行されます。オンアクセス検索の対象からリモートファイルを除外していたとしても、すべてのファイルに対して検索が実行されます。

注: 圧縮ファイルをネットワークにコピー/移動する際、処理に時間がかかることがあります。ネットワークの接続状況にもよりますが、100MB のデータを処理するのに 1分以上かかることもあります。これは、圧縮ファイルの検索は、通常のファイルの検索に比べ、時間がかかるためです。

データコントロール ポリシー

データコントロール機能でファイルの転送を監視・制御するには、データコントロール ポリシーで対象となるファイルを定義し、ネットワーク上の各コンピュータのグループに適用します。

重要: データコントロール機能は、Windows 2008 の Server Core には対応していないため、この OS を実行しているコンピュータでは無効に設定する必要があります。Windows 2008 の Server Core を実行するコンピュータをデータコントロールの対象から除外するには、データコントロールを無効に設定したデータコントロール ポリシーが適用されているグループに配置してください。詳細は、データコントロールを有効/無効にするを参照してください。

データコントロール ポリシーには、1つ以上のルールが含まれており、データコントロールの対象や、ルールが一致したときに実行するアクションなどを設定します。1つのデータコントロールのルールは、複数のポリシーに追加できます。

複数のルールを含むデータコントロール ポリシーの場合、ポリシー内のルールのどれか 1つにでも一致したファイルは、ポリシーに準拠していないと判定されます。

データコントロールのルールの条件

データコントロールのルールの条件には、転送先、ファイル名、ファイル拡張子、ファイルタイプ、またはファイルコンテンツなどがあります。

転送先には、デバイス (例: USB フラッシュメモリなどのリムーバブル ストレージ デバイス) や、アプリケーション (例: インターネットブラウザおよびメールクライアント) があります。

ファイルコンテンツの一致条件は、コンテンツ コントロール リストで定義されています。このリストは、データを XML 形式のデータ構造としてまとめたものです。SophosLabs (ソフォスラボ) は、データコントロールのルールに利用できる豊富な内容の各種コンテンツ コントロール リストを提供しています。

ファイルに適用するデータコントロールのルールと条件について、詳細はデータコントロールのルールについてを参照してください。

ファイルコンテンツを定義するコンテンツ コントロール リスト (CCL) について、詳細はコンテンツ コントロール リストについてを参照してください。

データコントロール


データコントロール処理の流れ

データコントロールのルールのアクション

データコントロールで、ルールで設定されている条件すべてが検出されると、ルールで指定されているアクションが実行され、イベントがログに記録されます。次のいずれかのアクションを指定できます。

  • ファイル転送を許可し、イベントをログに記録する
  • ユーザーの同意で転送を許可し、イベントをログに記録する
  • 転送をブロックし、イベントをログに記録する

あるファイルが 2つのデータコントロールのルールに一致し、それぞれのルールで異なるアクションが設定されている場合は、より制限の厳しいアクションを含むルール適用されます。ユーザーの同意で転送を許可するルールよりも、転送をブロックするルールの方が優先されます。ファイル転送を許可するルールよりも、ユーザーの同意で転送を許可するルールの方が優先されます。

デフォルトで、ルールに一致しファイル転送がブロックされた場合や、ファイル転送にユーザーの同意が必要な場合は、エンドポイントコンピュータのデスクトップにメッセージが表示されます。メッセージには、適用されたルールが表示されます。ファイル転送の際や、転送をブロックした際に表示する確認メッセージには、オリジナルのメッセージを付け加えることもできます。詳細は、データコントロールの警告やメッセージを設定するを参照してください。