UTM:FortigateのDLPセンサーとフィルタ設定概要

セキュリティ

UTM:Fortigateのデータ漏えい防止機能(DLP)のなかで、DLPセンサーとDLPフィルタについて最新Ver:FortiOS5.2の画面キャプチャをもとに紹介していきます。

FortigateのDLPセンサー&フィルタ目次

前回はマニュアルと元にざっくりした内容でしたが、今回はFortigateのセキュリティプロファイル:データ漏えい防止(DLP)の画面キャプチャをとり少し踏み込んで下記の流れで説明いたします。

  1. DLPセンサーの標準設定フォーマット
  2. DLPフィルタの設定項目
  3. DLP Watermark(Tools)を使用したウォーターマーク組み込み
  4. DLP機能のテスト




DLPセンサー標準設定フォーマット

DLPセンサーではデフォルトでいくつかのセンサー設定の雛形があります。マイナンバーセキュリティ対策でいうとSSN(社会保障番号)のところが参考になります。

DLPセンサー:雛形一覧
001 DLPセンサー雛形一覧

DLPセンサー:クレジットカード

002 DLPセンサークレジットカード
003 DLPセンサークレジットカード内容1
004 DLPセンサークレジットカード内容2

DLPセンサー:ラージファイル

005 DLPセンサーラージファイル
006 DLPセンサーラージファイル内容

DLPセンサー:社会保障番号

007 DLPセンサー社会保障番号
008 DLPセンサー社会保障番号内容1
009 DLPセンサー社会保障番号内容2
010 DLPセンサー社会保障番号内容3

[amazonjs asin=”B00UYS90XG” locale=”JP” title=”フォーティネット FortiGate-30D (※バンドル無し) ※初年度保守付き FG-30D-U”]

DLPフィルタ設定項目

DLPフィルタではメッセージとファイルに分けられ、それぞれ選択出来る設定項目が違います。マイナンバー絡みではファイルフィルタの設定が重要になるかと思います。

DLPフィルタ:クレジットカード

011 DLPフィルタメッセージクレジットカード
012 DLPフィルタファイルクレジットカード

DLPフィルタ:マイナンバー

013 DLPフィルタメッセージマイナンバー
014 DLPフィルタファイルマイナンバー

DLPフィルタ:メッセージ正規表現

015 DLPフィルタメッセージ正規表現

DLPフィルタ:ファイルサイズ

016 DLPフィルタファイルファイルサイズ

DLPフィルタ:ファイルタイプ

avi,mp3,wav,bmp…
017 DLPフィルタファイルファイルタイプ1
exe,gif,html,jpeg,javascript,msoffice,pdf,png…
018 DLPフィルタファイルファイルタイプ2
tiff,torrent,unknown,mov,mpeg,bzip…
019 DLPフィルタファイルファイルタイプ3
gzip,lzh,rar,tar,zip…
020 DLPフィルタファイルファイルタイプ4

DLPフィルタ:ファイル名パターン

021 DLPフィルタファイルファイル名パターン

DLPフィルタ:Watermark感度

Critical,Private,Warning
022 DLPフィルタファイルWatermark感度

DLPフィルタ:コーポレート識別子

023 DLPフィルタファイルコーポレート識別子

DLPフィルタ:ファイル正規表現

024 DLPフィルタファイル正規表現

DLPフィルタ:暗号化

暗号化されたファイルを対象
025 DLPフィルタファイル暗号化

DLP Watermark(Tools)

DLPのファイルフィルタの設定項目である「watermark感度」「コーポーレート識別子」は、ソフト「FortiExplorer」が関連します。
FortiExplorerでファイルに電子透かしを組み込みます。
FortiExplorerのToolsメニューの中に「DLP Watermark」があり、ここでまずファイル単体がディレクトリ全体か選択し、対象のファイル等を選択、感度レベルの選択と識別子を入力、出力先を指定して「Apply Watermark」クリックするとコマンドがはしりウォーターマークが組み込まれたファイルが生成されます。
026 DLPWatermark
生成されたファイルは、前回なぞったマニュアルどおり約100バイト増加されるようです。元のファイルから容量が増えていないようであればうまく生成されていないのかもしれません。ここでサポートされるファイルの種類は、テキスト/PDF/ワード/エクセル/パワーポイント(.txt/.pdf/.doc/.docx/.xls/.xlsx/.ppt/.pptx)です。

DLP機能テスト

ひととおりのDLP(データ漏えい防止)設定が終わり、実際想定されるユーザ側の操作でDLP機能が働くかどうかを試験していきます。

ホームページ等の管理でも使用するFTPSソフトでは対象ファイルをアップロードしようとするとエラーになりOK。ここでの注意点としてはDLPのプロトコル選択では「FTP」しか選択することが出来ず、ポリシーでSSLインスペクションを組合せなければ「FTPS」で動作しません。
030 DLP機能テストFTPSソフト

メールは、WindowsLiveメールを使用し、メールを送信しようとしたところエラーになりOK。テストは、メジャーなGMOレンタルサーバのメルアドを使い、サブミッションポート(ポート587)で送信です。
031 DLP機能テストメール送信

WEBフォームやホームページへの文字入力では、対象となる数字列を入力し「送信」するがエラーになりOK。WordPress:コンタクトフォーム7で作成したお問い合わせフォームでテストです。送信ボタンを押しても画面は遷移しません。
032 DLP機能テストWEBフォーム

[amazonjs asin=”B00UYS90XG” locale=”JP” title=”フォーティネット FortiGate-30D (※バンドル無し) ※初年度保守付き FG-30D-U”]

参考価格

価格については基本版、導入費用については要件により変動しますので最低価格を提示しています。

機種型番ネット調べ
Fortigate-30DFG-30D-US54,000円
Fortigate-60DFG-60D-US82,000円
Fortigate-90DFG-90D-US135,000円
Fortigate-100DFG-100D-US270,000円

導入費用

No.品名数量単価ネット注文価格
1UTM:Fortigate設計設定費125,00025,000円
2UTM:Fortigate設置構築費125,00025,000円
小計50,000円

関連記事

最近の記事

バックアップ

QNAP-NASの片方向バックアップ方法 – QNAPtoSynology:HybridBackupSync
カメラ

QNAP-NASのUSB-WEBカメラ接続使用方法
バックアップ

CentOS7-DDバックアップ方法
パソコン

Office製品比較とシーン別価格重視での購入方法:2017年9月度
バックアップ

QNAP-NASの双方向データ同期方法 – QNAPtoQNAP:RTRRデータフォルダ同期
バックアップ

QNAP-NASのデータ復元方法 – QNAPtoQNAP:RTRRバックアップからの復元

コメント

この記事へのコメントはありません。

TOP