敏感データのスキャン

ノート

Cloudflare CASBおよびCloudflare DLPが必要です。

Cloudflare Data Loss Prevention (DLP)を使用して、SaaSアプリケーションに保存されているファイルに敏感データが含まれているかどうかを確認できます。 SaaSアプリでDLPスキャンを実行するには、まず検出したいデータパターンを含むDLPプロファイルを構成し、その後CASB統合でそれらのプロファイルを有効にします。

サポートされている統合

• Google Drive
• Microsoft OneDrive
• Microsoft SharePoint

DLPプロファイルの構成

Cloudflareが事前定義したDLPプロファイルを使用するか、正規表現、事前定義された検出エントリ、およびDLPデータセットに基づいて独自のカスタムプロファイルを作成できます。

事前定義されたプロファイルの構成

1. In Zero Trust ↗, go to DLP > DLP Profiles.
2. Choose a predefined profile and select Configure.
3. Enable one or more Detection entries according to your preferences. The DLP Profile matches using the OR logical operator — if multiple entries are enabled, your data needs to match only one of the entries.
4. Select Save profile.

DLPプロファイルは、CASBで使用する準備が整いました。

カスタムプロファイルの作成

1. In Zero Trust ↗, go to DLP > DLP Profiles.

2. Select Create profile.

3. Enter a name and optional description for the profile.

4. Add custom or existing detection entries.

   Add a custom entry

   1. Select Add custom entry and give it a name.

   2. In Value, enter a regular expression (or regex) that defines the text pattern you want to detect. For example, test\d\d will detect the word test followed by two digits.

      • Regular expressions are written in Rust. We recommend validating your regex with Rustexp ↗.
      • DLP detects UTF-8 characters, which can be up to 4 bytes each. Custom text pattern detections are limited to 1024 bytes in length.
      • DLP does not support regular expressions with + or * operators because they are prone to exceeding the length limit. For example, the regex pattern a+ can detect an infinite number of a characters. We recommend using a{min,max} instead, such as a{1,1024}.

   3. To save the detection entry, select Done.

   Add existing entries

   Existing entries include predefined detection entries and DLP datasets.

   1. Select Add existing entries.
   2. Choose which entries you want to add, then select Confirm.
   3. To save the detection entry, select Done.

5. (Optional) Configure Advanced settings for the profile.

6. Select Save profile.

DLPプロファイルは、CASBで使用する準備が整いました。

詳細については、DLPプロファイルの構成を参照してください。

CASBでのDLPスキャンの有効化

新しい統合の追加

1. Zero Trust ↗に移動し、CASB > Integrationsを選択します。
2. Add integrationを選択し、サポートされている統合を選択します。
3. セットアッププロセス中に、統合のためのDLPプロファイルを選択するように求められます。
4. Save integrationを選択します。

CASBは、統合内のすべての公開アクセス可能なファイルをDLPプロファイルに一致するテキストのためにスキャンします。初回のスキャンには数時間かかる場合があります。

既存の統合の変更

1. Zero Trust ↗に移動し、CASB > Integrationsを選択します。
2. サポートされている統合を選択し、Configureを選択します。
3. DLP profilesの下で、統合がスキャンするプロファイルを選択します。
4. Save integrationを選択します。

Manage integrationsページからDLPプロファイルを有効にすると、CASBはDLPプロファイルが有効になってから変更イベントがあった公開アクセス可能なファイルのみをスキャンします。変更イベントには、以下の属性の変更が含まれます：

• ファイルの内容
• ファイルの名前
• ファイルの可視性（公開アクセス可能に変更された場合のみ）
• ファイルの所有者
• ファイルの場所（例えば、別のフォルダーに移動された場合）

過去のデータをスキャンするには、統合セットアップフロー中にDLPプロファイルを有効にする必要があります。

制限事項

DLPは以下のみをスキャンします：

• テキストベースのファイル（文書、スプレッドシート、PDFなど）。画像はサポートされていません。
• ファイルサイズ ≤ 100 MB。