はじめに
皆さん こんにちは!
プログデンスでZscalerの機能検証を担当しています。
今回は、ZscalerのEndpoint DLP機能について検証を行いました。その結果を本記事でご紹介します。
対象読者
- 情報漏洩対策としてZscalerの導入を検討している方
- DLP(Data Loss Prevention)機能の選定に悩んでいる方
記事の構成
記事の構成は以下の通りです。
- Zscaler Endpoint DLPについて
- Endpoint DLP設定手順
- Endpoint DLP検証内容/結果
- 所感
クラウド活用やリモートワークの拡大により、組織内外を問わず「情報漏洩リスク」が高まっています。
東京商工リサーチ「2024年上場企業の個人情報漏えい・紛失事故調査」上場企業の個人情報漏えい・紛失事故」調査では、上場企業で189件の個人情報漏えい・紛失事故が発生しました。[1]
189件のうち「不正持ち出し・盗難」が14件です。[1:1]
持ち運びしやすいUSBメモリなどの可搬型記憶媒体による情報漏洩は、以下の事例の通り報告されています。
■事例:USBメモリを介した情報漏洩
・ 札幌市立小学校(時期:2024年8月頃)
・ソフトバンク(業務委託)(時期:2024年12月頃)
・ 兵庫県立淡路医療センター(時期:2025年4月頃)
東京商工リサーチ 漏えい・紛失事故 年次推移
東京商工リサーチ 情報漏えい・紛失 原因別
IPA独立行政法人 情報処理推進機構は、エンドポイントでの不正な挙動を防ぐために、ファイルの暗号化やDLPの導入が必要であると警鐘を鳴らしています。[2]
サイバー攻撃の入口になりやすく、情報漏洩のリスクが高い エンドポイントの制御・監視としてEndpoint DLPが役立ちます。今回は、ZscalerのEndpoint DLP機能について掘り下げていきたいと思います。
Zscaler Endpoint DLPについて
エンドユーザーが利用するリムーバブルストレージデバイス・ネットワーク共有・個人クラウドストレージへの機密データの保存やアップロード、機密情報の印刷の動きを監視・制御します。
現状、Endpoint DLPは、Windows、macOSのPC端末での操作に対してのみ制御可能です。
システム要件に関してはヘルプページをご参照ください。
ZscalerのインラインDLPとEndpoint DLPの違い
インラインDLPではweb通信のファイル・テキストを分析し、外部への情報漏洩を防止します。
一方、Endpoint DLPではローカル上でEndpoint DLPルールがキャッシュされるため、
オフラインでのファイル転送も検知することが可能です。
Endpoint DLPを実行するには、ZCCがエンドポイント端末上にインストールされていることが必須となります。ZCCのインストール手順はヘルプページよりご参照ください。
| インラインDLP | Endpoint DLP |
|---|---|
| Web経由の情報漏洩 制御 | エンドポイント端末上の情報漏洩制御 |
| オンライン上で検知 | オフラインでも検知可能 |
| SSLインスペクションを併用する | SSLインスペクション設定不要 |
Endpoint DLPがデータ転送を検知・制御できる転送先・接続方式
- リムーバブルストレージデバイス
- プリンタ
- 個人クラウドストレージ
- ネットワーク共有
| 種類 | 内容 |
|---|---|
| リムーバブルストレージデバイス | 検出可能なもの:USBメモリ,SDカード,ドライバーとして表示されるスマートフォン |
| クラウドストレージ | Box,Drop box, Google Drive, iCloud,One Drive ※ |
| 接続方式 | USBポート,Bluetooth,Wi-Fiなど |
| アクション | 許可,ブロック,確認,保護(保護はリムーバブルストレージデバイスのみ) |
Endpoint DLP設定手順
基本的な設定の流れは、インラインDLPと同じ手順となります。
詳細な設定手順は以下のヘルプページをご参照ください。
Endpoint DLP検証内容/結果
DLP辞書に設定した「社外秘」「Confidential」「しゃがいひ」のいずれかが含まれたテストファイルが外部接続機器へ転送された際に、検知できるか検証しました。
テストファイルは、テキストファイルを使用しました。(日本語の文字コードはShift-JISです)
検証で使用した転送先は以下の3つです。
- リムーバブルストレージデバイス(USBメモリ)
- プリンタ
- 個人クラウドストレージ
検証環境(エンドポイント端末)
| 検証環境 | バージョン |
|---|---|
| OS | Windows11 24H2 |
| ZCC | 4.6.0.180 |
検証結果
エンドポイント端末から外部接続機器へのテストファイルの転送及び印刷の検証において、
概ね想定通りの結果となりました。
※仕様の問題により、プリンタに関しては日本語による検知が不可と判明しました。
(○…想定通りの結果/△…一部想定通りに検知できなかった/×…想定と異なる結果)
| 外部接続機器 | 想定している挙動 | 結果(英語[Confidential]) | 結果(日本語[社外秘/しゃがいひ]) |
|---|---|---|---|
| USBメモリ | エンドポイント端末から、USBメモリへテストファイルが転送された時、DLP検知できる | ○ | ○ |
| プリンタ | エンドポイント端末から、プリンタへテストファイルが印刷された時、DLP検知できる | ○ | ×(日本語非対応) |
| 個人クラウドストレージ | エンドポイント端末から、個人クラウドストレージへテストファイルが印刷された時、DLP検知できる | ○ | ○ |
| オフライン | エンドポイント端末から、外部接続機器へテストファイルが転送された時、オフラインでもDLP検知できる | ○ | ○ |
USBメモリ検証実施結果(一部)
リムーバブルストレージデバイス(USBメモリ)検証にて、試験を実施した際のスクリーンショットを一部ご紹介します。
検証 Endpoint DLPルール:アクション「ブロック(Block)」(USBメモリに機密情報を含むファイルを移動した際に、Endpoint DLPルールの「ブロック(Block)」アクションによりファイルがブロックされた時の結果)
Endpoint DLPルール リムーバブルストレージデバイスにて、社外秘を検知した場合「ブロック(Block)」されるルールを適用しています。
実施前
左:USBメモリ 右:ローカル環境
実施手順
- エンドポイント端末(ローカル環境)から、テストファイルをUSBメモリへコピー&ペーストで転送します。
- ブロック画面が表示されたことがわかります。
左:USBメモリ 右:ローカル環境
- ZCCの[Notifications]タブを確認し、ブロックされたことがわかります。
- ZIA管理ポータル Endpoint DLPログを確認します。
ZIA管理ポータル>「解析」タブ>「Endpoint DLP Insights」をクリック
「ログ」を選択します。
検証結果を確認し、[Action Taken]が[block]と出力されました。
検証 Endpoint DLPルール:アクション「確認(Confirm)」(USBメモリに機密情報を含むファイルを移動した際に、Endpoint DLPルールの「Confirm(確認)」アクションにてエンドユーザー通知を表示した時の結果)
Endpoint DLPルール リムーバブルストレージデバイスにて、社外秘を検知した場合「確認(Confirm)」表示されるルールを適用しています。
実施前
左:USBメモリ 右:ローカル環境
実施手順
- エンドポイント端末(ローカル環境)から、テストファイルをUSBメモリへコピー&ペーストで転送します。
- 確認画面が表示されたことがわかります。(今回は「データには機密情報は含まれていません」を選択)
左:USBメモリ 右:ローカル環境
- ZIA管理ポータル Endpoint DLPログを確認します。
ZIA管理ポータル>「解析」タブ>「Endpoint DLP Insights」をクリック
「ログ」を選択します。
検証結果を確認し、[Action Taken]が[Confirm Allow]と出力されました。
検証 Endpoint DLPルール:アクション「保護(Protect)」※リムーバブルストレージデバイスのみのアクション(USBメモリに機密情報を含むファイルを移動した際に、Endpoint DLPルールの「保護(Protect)」アクションによりファイルが暗号化された時の結果)
Endpoint DLPルール リムーバブルストレージデバイスにて、社外秘を検知した場合「保護(Protect)」されるルールを適用しています。
実施前
左:USBメモリ 右:ローカル環境
実施手順
- エンドポイント端末(ローカル環境)から、テストファイルをUSBメモリへコピー&ペーストで転送します。
- ポップアップ画面が表示されたことがわかります。
左:USBメモリ 右:ローカル環境
- ZCCの[Notifications]タブを確認し、ファイルが暗号化されたことがわかります。
- 暗号化されたファイルをダブルクリックして開くと、
Unprotectedフォルダへ格納され以下の通りとなります。
- ZIA管理ポータル Endpoint DLPログを確認します。
ZIA管理ポータル>「解析」タブ>「Endpoint DLP Insights」をクリック
「ログ」を選択します。
検証結果を確認し、[Action Taken]が[Protect]と出力されました。
所感
| 項目 | 評価 | 内容 |
|---|---|---|
| 検証の総評 | ○ | 誤検知なく正確に検知。システム管理者へのメール通知もスムーズに行われることを確認できました。Endpoint DLP Insightsログへの反映についても、体感で1〜2分程度と迅速な反映が確認できています。※オフラインを除く。Endpoint DLPの日本語対応について検証しました。今回検証に使用したリムーバブルストレージデバイス、個人クラウドストレージは検知できたものの、プリンタについては検知できないことが分かりました。 |
| オフライン | ○ | オフライン時でもルール制御が有効に機能しました。エンドポイント端末がオンラインに復帰した後は、約15分程度でZIA管理ポータルEndpoint DLP Insightsログへの反映およびシステム管理者へのメール通知が届いたことを確認しました。 |
| 日本語対応 | △ | プリンタ以外の外部接続機器(今回検証したUSBメモリ、個人クラウドストレージ)については問題なく検知されました。プリンタの対応言語は、2025年5月時点で英語のみのサポート。日本語を含む多くの言語で未対応となっています。 |
補足:文字コードについて
Endpoint DLPでは、日本語を含むテキストファイルの場合 文字コードがShift-JISでないと検知できないことが検証した過程で判明しました。今後、UTF-8でも日本語が検知されることを期待したいと思います。
Endpoint Data Scanの機能紹介
Endpoint DLP機能の一つである「Endpoint Data Scan」についても確認しました。
Endpoint Data Scanの詳細については、ヘルプページをご参照ください。
Endpoint Data Scan「ユーザ調査」機能
「アクティビティとインシデント」にて、ユーザ・機密情報のファイル情報・デバイス情報がまとまって表示されるためUIが見やすく、誰がどの機密情報を持ち出したのか、セキュリティの重要度を可視化できます。
Endpoint Data Scanの「在庫」機能
検出されたプリンタやリムーバブルストレージデバイスの情報を一覧で確認でき、CSV形式でエクスポートすることが可能です。
「在庫」機能でエクスポートしたCSVを、ZIA管理ポータルのDLPリソースにCSV形式で簡単にインポートできるようになると、外部接続機器を登録する手間が省けるためより一層利便性が高まると感じています。今後のアップデートに期待したいです。
今回は、ZscalerのEndpoint DLPについて検証しましたが、他の機能についても検証を通じて知識を深めていきたいと思います。
最後までお付き合いいただきありがとうございます。
また次回の記事でお会いしましょう!
-
東京商工リサーチ(https://www.tsr-net.co.jp/data/detail/1200872_1527.html) ↩︎ ↩︎
-
IPA独立行政法人 情報処理推進機構 『情報セキュリティ白書2024年』p.27(https://www.ipa.go.jp/publish/wp-security/eid2eo0000007gv4-att/2024_ALL.pdf) ↩︎
株式会社プログデンス/BtoB向けのITソリューションを提供する企業です。 技術スタック: SASE / Prisma Access / Zscaler / Netskope / Cato Networks / Tanium / M365 / Cisco / Automation / Ansible