本出願は2019年5月9日出願の「小さいフットプリントのエンドポイント・データ損失防止(DLP)」と題した米国一部継続出願第16/408,215号(代理人事件整理番号:NSKO1019-2)の利益及び優先権を主張する。当該米国一部継続出願は、2016年3月11日出願の「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにマルチパートポリシを適用するシステムと方法」と題する米国仮特許出願第62/307,305号(代理人事件整理番号:NSKO1003-1)の利益を主張する2016年12月2日出願の「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにマルチパートポリシを適用するシステムと方法」と題する米国特許出願第15/368,240号(代理人事件整理番号:NSKO1003-2)の継続出願である、2018年6月5日出願「クラウド・ストレージのためのメタデータ・ベースのデータ損失防止(DLP)」と題する米国特許出願第16/000,132号(代理人事件整理番号:NSKO1003-5)(現在は2019年5月14日発行の米国特許第10,291,657号)の一部継続出願である。これらのリストされた全ての出願はここに完全に参照により組み込まれる
本願はまた、2018年5月23日出願の「小さいフットプリントのエンドポイント・データ喪失防止(DLP)」と題する米国仮特許出願第62/675,692号(代理人事件整理番号:NSKO1019-1)の利益を主張する。当該米国仮特許出願はここに完全に参照により組み込まれる。
2014年3月5日出願の「ネットワーク配信サービス用セキュリティ」と題する米国特許出願第14/198,499号(代理人事件整理番号:NSKO 1000-2)(現在は2016年7月19日発行の米国特許第9,398,102号)。
2015年8月25日出願の「クラウド・コンピューティング・サービス(CCS)に格納された企業情報を監視及び制御するシステム及び方法」と題する米国特許出願第14/835,640号(代理人事件整理番号:NSKO 1001-2)(現在は2018年3月27日発行の米国特許第9,928,377号)。
2018年3月2日出願の「クラウドベースのコラボレーション環境における、マルウェア拡散のシミュレーション及び視覚化」と題する米国特許出願第15/911,034(代理人事件整理番号:NSKO 1012-2)。
2018年5月22日出願の「カテゴリ指向パーサを用いたデータ損失防止」と題する米国特許出願第15/986,732号(代理人事件整理番号:NSKO 1011-1)。
2017年4月21日出願の「ネットワーク・セキュリティ・システム(NSS)による、セキュリティ施行の待ち時間とエラーの削減」と題する米国仮特許出願第62/488,703(代理人事件整理番号:NSKO1007-1)。
「Data Loss Prevention and Monitoring in the Cloud」、ネットスコープ、インク(netScope、Inc)発行。
以下の説明は、当業者が開示された技術を製作し使用することを可能にするために提示され、特定の用途及びその要件に即して提供される。開示された実施態様に対する様々な修正は、当業者には容易に明らかであり、本明細書で定義される一般原則は、開示される技術の精神及び範囲から逸脱することなく、他の実施態様及び用途に適用され得る。従って、開示された技術は、示された実施態様に限定されることを意図するものではなく、本明細書に開示された原理及び特徴と一致する最も広い範囲が与えられるべきである。
議論は以下のように編成される。まず、エンドポイント・データ損失防止(DLP)の技術的限界の幾つかを記述する概要を示し、次に様々な実施態様によって提供される技術的改良の概観を示す。次に、クラウドベースの実施態様の高レベル記述をアーキテクチャ・レベルで論じ、後にオンプレミスの実施態様によって補完する。次に、改善されたエンドポイントDLPを提供するために幾つかの実施態様によって使用されるアルゴリズムを、メッセージ・フローチャートを使用して説明する。最後に、システムを実装するためのより詳細なアーキテクチャを、ファイル・システム・モニタリングと共にネットワーク・トラフィック・モニタリングと共に論じた。
[序論]
多くの企業では、ビジネスにとって機密で重要な文書が、データ回復とビジネス継続の目的のためにバックアップ及び保護することができるように、集中化された場所に格納される。これらの集中化されたリポジトリは、典型的には、ネットワークにマウントされたファイル・サーバである。ネットワークにマウントされたファイル・サーバからクラウド・ストレージ・サービスへの機密データの移行が行われており、手頃で、使い易く、エンドポイントを介してリモートアクセス可能である、BOX(商標)、GOGLE DRIVE(商標)、及び、SALESFORCE.COM(商標)のようなクラウドベース・サービスの急速な普及および導入に伴い、益々機密データがクラウドに移動している。
データ損失防止(DLP)ソリューションは、クラウドアプリ内の機密データを分類し、一般に、文書内の機密データを検出し、機密データの不正なアクセス、保存、または共有を防止する機能を提供する。既存のDLPソリューションの主な欠点は、インシデント・応答アナリストの注意を必要とする誤検知の発生量である。
企業のセキュリティ・チームは、データ保護と誤検知の削減のために、DLPのホーニングに多大な時間を費やす。クラウドは企業内のデータ損失の唯一のベクトルではないため、データ・セキュリティ管理者は、データが侵害される可能性がある様々なチャネルにわたって共通のポリシを持つことを望む。データ・セキュリティを管理するための重要な目標は、WINDOWS(登録商標)、MAC OS(商標)、及び、IOS(商標)及びANDROID(登録商標)を利用するモバイル・デバイスを含む様々なエンドポイントのためのクラウド・セキュリティ及びエンドポイント・セキュリティの両方に一般的なDLPルール及びプロファイルを利用することである。
DLPは非常にリソース集中的なプロセスであり、文字列の評価は計算コストがかかり、大規模なメモリ・リソースとCPUリソースを消費する。一例では、ユーザが作業している間に、ウイルス対策ソフトウェアが、ランダムに始動し、ワープロ、スプレッドシート、グラフィックスのアプリケーションがCPUリソースの争奪のために遅くなったりクラッシュすることが、しばしば起こる。斯かるデバイスの使用ケースに対処する既存のソリューションは、リソース集中的である。一部のユーザは作業中の時間を節約するために、既存のDLPパッケージをオフにすることさえある。
エンドポイントDLPは、クラウドベース・サービスに格納されている機密データであるが、その機密データへのアクセスを提供するエンドポイントでは「使用中」となっている機密データのエクスフィルトレーション等の、より新しいセキュリティ問題に対処する可能性がある。
使用中のデータの保護は、エンドポイントに電力供給するオペレーティング・システム(OS) の拡張として実装されるセキュリティ機能によって実現される。使用中のデータ保護では、OS内、OSとアプリケーション間、及び、アプリケーション間のデータ移動を常時モニタリングする必要がある。例えば、機密データをアプリケーション間で共有することを禁止してもよく、その場合、該データに対してコピー・アンド・ペースト機能を無効にしてもよい。
作業者間のコラボレーションの多くはクラウドに移行し、大多数の文書がクラウドに格納されている。DLPは、ファイルを分類するという重い負荷を達成するために、クラウドの多大なCPUリソース及びメモリ・リソースを利用することができる。ネットワークにマウントされたファイル・サーバとクラウド・ストレージ・サービスの両方を使用する場合、ユーザはネットワーク・ファイル・サーバをエンドポイントにマウントするか、同期アプリケーションを使用してクラウドに保存された文書にアクセスする。これら何れの場合も、保存されたファイルの集中化された分類をスキャンして利用し、関連するメタデータ・ストアを維持することが理にかなっている。
データ取出とは、データが、エンドポイントから非統制場所(組織のセキュリティ装置の管轄外の場所)に向けて組織のネットワークを離れることを指す。非統制場所へのデータ取出の例としては、USB、CD/DVD、外部ハード・ドライブ等のリムーバブル・メディアへのファイルのコピー、ローカル・プリンタへのファイルの印刷、スクリーン・キャプチャの取得とクリップボードへの貼り付け、未承認のクラウドベース・サービスへのファイルのアップロード等がある。データ取出はネットワーク・アクティビティの通常の役目であるが、機密データが密かに取り出されると脅威になる。
エンドポイント・データ損失防止(DLP)は、ワーク・ステーション、ラップトップ、電話、及びタブレット等のエンドポイントを介するデータ取出に関連するリスクに対処する。エンドポイントDLPの主な目的は、機密データのエンドポイントからのエクスフィルトレーションを保護することである。エンドポイントDLP ソリューションは、データがアプリケーションによってアクセスされるときに常時検証を実行するアクティブ・エージェントとして、エンドポイントにインストールされる。更に、エンドポイントDLPソリューションは、ポリシ・エンフォーサとして機能し、保護されたデータがUSBドライブにコピーされないようにする等して、機密データがシステムから離れるのを防ぐ。
この目的のために、エンドポイントDLPソリューションによって取られる第1のアクションは、保護、即ち、機密性分類のために主要なポリシによって義務付けられる機密データを識別することである。機密データを識別することは、保護されたコンテンツを検出するためにエンドポイント上のハードディスク・ドライブをスキャンすることを必要とし、これは一般に「コンテンツ機密性スキャン」と呼ばれる処理である。使用中データを識別することは、機密素材を求めてエンドポイント・システム・メモリをスキャンすることを意味する。データが存在し得る場所にかかわらず、コンテンツ機密性スキャンは、保護された素材を効果的に識別するコンテンツ解析技術を要求する。コンテンツ解析技術の例としては、パターン・ベースのマッチング・アルゴリズム(社会保障番号またはクレジットカード番号を識別するため等)、完全マッチングのためにファイル全体のフィンガープリントを生成すること、或いは、部分マッチングのためにファイルの特定の部分に対してハッシュを作成すること等がある。
コンテンツ・ベースの分析は計算集約的であり、時間がかかる。全てのエンドポイントがコンテンツ解析を実行するためのコンピューティング能力やリソースを持っているわけではなく、ユーザ・エクスペリエンスにも影響を与える。良い例は、エンドポイント・アンチウィルス・ソフトウェアは常にアクティブであるが、そのスキャン・アクティビティがシステム・パフォーマンスに著しく影響するため、常にウィルス・スキャンを実行しないことである。
開示される技術は、本明細書において「小さいフットプリントのエンドポイントDLP(sf-EDLP)」と呼ばれる、改善されたエンドポイント・データ損失防止(DLP)ソリューションを提示し、このソリューションは、エンドポイントで計算集約的で時間のかかるコンテンツ機密性スキャンを実行することによってではなく、予め生成された機密性メタデータに基づいて、エンドポイントでセキュリティ・ポリシを実施する。本出願の一部では、sf-EDLPを「エンドポイント・ポリシ・エンフォーサ」と呼ぶ
文書のデータ取出要求を受信すると、sf‐EDLPは文書を機密または非機密として分類する機密性メタデータを分析することにより、文書が機密データを含むかどうかを決定する。機密性メタデータは、データ取出要求に先立って発生し、サーバ側コンテンツ機密性スキャナによって実行された、文書のディープ・インスペクションの結果として、予め生成されたものである。ディープ・インスペクションは、言語を意識したデータ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、言語を意識しない2バイト文字検査等のコンテンツ解析技術を文書に適用することにより、機密性分類を生成する。機密性分類は、機密性メタデータとして記憶され、機密性メタデータによって識別される。
本明細書で使用されるように、「予め生成された」、「先見的に生成された」、「~に先立って生成された」、および「~より以前に生成された」などの句は、データ取出要求に応答する際のその使用を見越して、事前に生成される機密性メタデータを指す。例えば、機密性メタデータは、文書が(i)最初に大容量記憶媒体に記憶されているとき(静止データとして知られる)、(ii)最初にネットワークを介して送信されているとき(動いているデータとして知られる)、または(iii)最初にエンドポイント上でユーザによって作成されているとき(使用中データとして知られる)に、生成することができる。
機密性メタデータは、検査サービスによって入力されたクラウドベース・メタデータ・ストア、またはクラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントのローカル・メタデータ・ストア、またはオンプレミス・メタデータ・ストアから取得できる。クラウドベース・メタデータ・ストアは、AMAZON ELASTICACHE(商標)のような分散メモリ内キャッシュとすることができ、I/O集約型データベース・クエリの結果または計算集約型計算の結果をキャッシュすることにより、低レイテンシ・アクセスを提供する。
文書が機密であると判定されると、sf-EDLPは、エンドポイントにおいて1または複数のセキュリティ・ポリシ(またはDLPポリシ)を実施して、文書のエクスフィルトレーションを防止する。これには、データ取出要求のブロック、ユーザの正当性の確認、文書の暗号化、文書の隔離、セキュリティ・ポリシに関するユーザへの警告等のセキュリティ・アクションの実行が含まれる。sf-EDLP が実施できるセキュリティ・ポリシと、それが実行できるセキュリティ・アクションに関する追加の詳細は、合体資料に記載されている。
ローカル・メタデータ・ストアまたはクラウドベース・メタデータ・ストアの何れかで文書の機密性メタデータが使用できない場合、sf-EDLP はエンドポイントで設定されたローカル・アンカー・パターン・スキャナを起動する。解析的にも計算的にも集約的なディープ・インスペクションの代わりに、ローカル・アンカー・パターン・スキャナは、社会保障番号、クレジットカード番号、銀行口座番号、誕生日、パスワード、ソースコード、及び、知的財産要素のような共通機密性識別子に対するアンカー・パターン・チェックを含む文書の最低限のコンテンツ検査を実行する。文書がアンカー・パターン・チェックで陽性とスコア付けされた場合、それは、ディープ・インスペクションのためにコンテンツ機密性スキャナに送られる。ローカル・メタデータ・ストアとクラウドベース・メタデータ・ストアは、ディープ・インスペクションの結果で更新される。
開示された技術が、エンドポイントまたはサーバ側でコンテンツ機密性スキャンの実施を必要とせずに、機密性メタデータを生成する新規な方法は、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書を追跡し、将来のDLPポリシ実施のために斯かる文書に機密とラベル付けを行うことである。文書のラベルは機密性メタデータとして保存され、前述のようにデータ取出要求への応答に使用される。ラベルは、文書の修正版またはコピー版に伝達される。ラベルは文書に埋め込むこともできる。
追跡は、(i)文書ダウンロードにつながる機密事項を扱うクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、(ii)エンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせることによって達成される。開示された技術は、ディープ・アプリケーション・プログラミング・インタフェース・インスペクション(DAPII)を使用してアプリケーション層トラフィックを分析することによって、機密事項を扱うクラウドベース・サービスへのユーザの訪問を検出し、更に、エンドポイントのファイル・システムをモニタリングすることによって、訪問の結果として文書がエンドポイントに保存されたことを検出する。
開示された技術は、エンドポイントで計算集約的なコンテンツ機密性スキャンを実行する必要をなくし、エンドポイント上のローカル・リソースの最低限のCPU及びメモリ消費で、デバイス上で作業を実行するユーザに影響を与えないようにする、改良されたエンドポイントDLPソリューションを提供する。詳細な実施態様が続く。
[クラウドベースの環境]
著者らは、所謂小さいフットプリントのエンドポイントDLP(sf‐EDLP)ソリューションを用いてエンドポイント・セキュリティを提供するためのシステムと様々な実施態様を説明する。システム及び処理は、図1を参照して説明される。図1はアーキテクチャ図であるので、説明をより明確にするために、特定の細部は意図的に省略される。図1の説明は、以下のように編成される。最初に、図の要素を説明し、次にそれらの相互接続を説明する。次に、要素の使用についてより詳細に説明する。
図1は、クラウドベース環境100で動作する開示された技術の一実施態様を示す。環境100は、エンドポイント102A-Z、クラウドベースのネットワーク・セキュリティ・システム(NSS)、及び、クラウドベース・サービス128A-Zを含む。
エンドポイント102A-Zは、クラウドベースのNSS135を介してクラウドベース・サービス128A-Zに保存されている文書にアクセスする。エンドポイント102A-Zはそれぞれ、ローカル・アンカー・パターン・スキャナ112A-Z、ファイル・システム・モニタ122A-Z、エンドポイント・ポリシ・エンフォーサ132A-Z、エンドポイント・トラフィック・モニタ142A-Z、ローカル・メタデータ・ストア134A-Z、機密性リスト144A-Zが含まれる。
クラウドベースのNSS135は、クラウドベース・メタデータ・ストア145と、検査サービス145と、クラウドベース・コンテンツ機密性スキャナ165と、構成サービス175と、イベント・サービス145とを含む。
エンドポイント102A-Z とクラウドベースのNSS135のモジュールは、ハードウェアまたはソフトウェアで実装可能であり、図1 に示すように正確に同じブロックで分割する必要はない。モジュールの幾つかは、異なるプロセッサまたはコンピュータ上に実装されてもよく、または多数の異なるプロセッサまたはコンピュータに分散されてもよい。更に、幾つかのモジュールは、達成される機能に影響を及ぼすことなく、組み合わせるか、並列に動作させるか、または、図1に示されるものと異なる順序で動作させることができることが理解されるのであろう。また、本明細書で使用されるように、用語「モジュール」は、それ自体がモジュールを構成すると考えることができる「サブモジュール」を含むことができる。例えば、ローカル・アンカー・パターン・スキャナ112A、ファイル・システム・モニタ122A、エンドポイント・ポリシ・エンフォーサ132A、エンドポイント・トラフィック・モニタ142A、ローカル・メタデータ・ストア134A、及び/または、機密性リスト144Aは、エンドポイント・セキュリティ・モジュールのサブモジュールと見做すことができる(不図示)。エンドポイント102A~Z及びクラウドベースのNSS135内のブロックは、モジュールとして指定され、方法におけるフローチャートのステップと考えることもできる。また、モジュールは必ずしも全てのコードをメモリ内に隣接して配置する必要はなく、コードの一部は、他のモジュールまたは他の機能からのコードを間に配置して、該コードの他の部分から分離することができる。
次に、環境100の要素の相互接続について説明する。公衆ネットワーク115はエンドポイント102A-Z、クラウドベースのNSS135、及びクラウドベース・サービス128A-Zを結合し、全てが相互に通信している(両矢印の実線によって示される)。実際の通信経路は、公衆及び/またはプライベート・ネットワーク上のポイント・ツー・ポイントであり得る。エンドポイント・ポリシ・エンフォーサ132A-Zのような幾つかの項目は、例えば、アプリケーション・ストア(不図示)経由で間接的に配信されることがある。通信は、プライベート・ネットワーク、VPN、MPLS回線、またはインターネット等の様々なネットワークを介して行われ、適切なアプリケーション・プログラミング・インタフェース(API)、及び、データ交換フォーマット、例えば、リプレゼンテーショナル・ステート・トランスファ(REST)、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、Javaメッセージ・サービス(JMS)、及び/または、Javaプラットフォーム・モジュール・システムを使用することができる。全ての通信を暗号化することができる。通信は一般に、LAN(ローカル・エリア・ネットワーク)、WAN(ワイド・エリア・ネットワーク)、電話網(公衆交換電話網)、セッション開始プロトコル(SIP)、ワイヤレス・ネットワーク、ポイント・ツー・ポイント・ネットワーク、星型ネットワーク、トークン・リング型ネットワーク,ハブ型ネットワーク、及び、EDGE、3G、4G LTE、Wi-Fi、WiMAX等のプロトコルを介したモバイル・インターネットを含むインターネット等のネットワークを介して行われる。更に、ユーザ名/パスワード、オープン認証(OAuth)、Kerberos、SecureID、デジタル証明書等の様々な承認及び認証技術を使用して、通信を保護することができる。
エンドポイント102A-Z には、デスクトップ・コンピュータ、ノート・パソコン、タブレット・コンピュータ、携帯電話、または他の種類のコンピューティング・デバイスがある。クラウドベースのNSS135等の環境100のエンジンまたはシステム・コンポーネントは、様々なタイプのコンピューティング・デバイス上で実行されるソフトウェアによって実装される。デバイスの例としては、ワーク・ステーション、サーバ、コンピューティング・クラスタ、ブレード・サーバ、サーバ・ファーム等がある。
図1の要素及びそれらの相互接続を紹介したが、ここで、図の要素をより詳細に説明する。
図1では、3つのクラウドベース・サービスが示されているが、環境100は、任意の数のクラウドベース・サービスを含むことができると理解される。クラウドベース・サービス128A-Zは文書等のデータを記憶し、従って、クラウドベースのデータ・ストアまたはクラウドベースの文書ストアと呼ぶこともできるので、クラウドベース・サービス128A-Zは、クラウド内に実装され、例えば、ログイン、文書の編集、バルク・データのダウンロード、顧客の連絡先情報の読み込み、支払勘定の入力、及び、文書の削除等の、DLPポリシの対象である機能を、ユーザに提供する。それらは、ネットワーク・サービスまたはアプリケーションであったり、ウェブ・ベース(URL経由でアクセスされる等)であったり、同期クライアント等のネイティブであったりすることができる。例として、ソフトウェア・アズ・ア・サービス(SaaS)の提供、プラットフォーム・アズ・ア・サービス(PaaS)の提供、及び、インフラストラクチャ・アズ・ア・サービス(IaaS)の提供、並びに、URLを介して公開される内部企業アプリケーションが含まれる。今日の一般的なクラウドベース・サービスの例には、BOX(商標)、GOGLE DRIVE(商標)、SALESFORCE.COM(商標)、DROPBOX(商標)、AMAZON AWS(商標)、MICROSOFT ONEDRIVE 365(商標)、APPLE LOUD DRIVE(商標)、ORACLE on DEMAND(商標)、SUGARSYNC(商標)、IDRIVE(商標)、及び、SPIDEROAK ONE(商標)が含まれる。
クラウドベース・サービス128A-Z は、第三者がそれらと通信し、それらの基礎となるデータを利用できるように、それらのアプリケーション・プログラミング・インタフェース(API)を公表している。APIとは、そのインタフェース・タイプを含む一連のクラスに属するコード・ライブラリ、ルーチン、プロトコル・方法、及び、フィールドのパッケージ化された集合を指す。APIは、関連するクラスをインポートし、クラスをインスタンス化し、それらのメソッド及びフィールドを呼び出すステートメントを書くだけで、開発者及びプログラマが、彼ら自身のソフトウェア開発のためにクラスを使用することができる方法を規定する。API は、ソフトウェア・コンポーネントが互いに通信するためのインタフェースとして使用することを目的としたソース・コード・ベースのアプリケーションである。API には、ルーチン、データ構造、オブジェクト・クラス、及び、変数に対してアプリケーションを組み込むことができる。基本的に、API は、開発者やプログラマがクラウドベース・サービスの基礎データ、プラットフォーム機能、および機能にアクセスするためのインタフェースを提供する。開示された技術の実施態様は、SOAP、WSDL、Bulk、XML-RPC、及びJSON-RPC等のHTTPまたはHTTPsベースのAPI、及び、REST API(例えば、FLICKR(商標)、GOGLE STATIC MAPS(商標)、GOGLE GEOLOCATION(商標))等のウェブ・サービスAPI、ウェブ・ソケットAPI、JavaScript及びTWAIN(例えば、GOGLE MAPS(商標)JavaScript API、DROPBOX(商標) JavaScript Data store API、TWILIO(商標) API、Oracle Call Interface(OCI))、Java API及びAndroid API(例えば、GOGLE MAPS(商標)Android API、MSDN Class Library for .NET Framework、Java及びC#向けのTWILIO(商標)API)等のクラス・ベースのAPI、ファイル・システムへのアクセスやユーザ・インタフェースへのアクセス等のOSの機能やルーチン、CORBA、及び.NET Remoting等のオブジェクト・リモーティングAPI、及び、ビデオ・アクセラレーション、ハードディスク・ドライブ、PCIバス等のハードウェアAPI、等の様々なタイプのAPIを使用する。開示された技術が使用するAPIの他の例は、AMAZON EC2 API(商標)、BOX CONTENT API(商標)、BOX EVENTS API(商標)、MICROSOFT GRAPH(商標)、DROPBOX API(商標)、DROPBOX API v2(商標)、DROPBOX CORE API(商標)、DROPBOX CORE API v2(商標)、FACEBOOK GRAPH API(商標)、FOURESQUARE API(商標)、GEONAMES API(商標)、FORCE.COM API(商標)、FORCE.COM METADATA API(商標)、APEX API(商標)、VISUALFORCE API(商標)、FORCE.COM ENTERPRISE WSDL(商標)、SALESFORCE.COM STREAMING API(商標)、SALESFORCE.COM TOOLING API(商標)、GOGLE DRIVE API(商標)、DRIVE REST API(商標)、ACCUWEATHER API(商標)、及び、CLOUDRAIL(商標) API等の集約され単一化したAPIを含む。
クラウドベース・サービス128A~Z及びそれらのAPIについて説明したが、ここで、クラウドベースのネットワーク・セキュリティ・システム(NSS)135について説明する。
[先見的な機密性メタデータの生成]
クラウドベースNSS135は、幾つかのセキュリティ関連機能を提供するために、エンドポイント102A-Zとクラウドベース・サービス128A-Zとの間に挿入され、それらの中の鍵は、先見的に機密性メタデータを生成し、それをクラウドベース・メタデータ・ストア145に格納する。クラウドベースNSS135についてのさらなる詳細は、合体資料中に見出すことができる。
クラウドベースNSS135は、検査サービス155とクラウドベース・コンテンツ機密性スキャナ165との組合せを使用して、機密性メタデータを先見的に生成する。検査サービス155は、文書とそのオーディット・トレール、すなわち、そのライフサイクル全体にわたる文書に付随するパスを記述する機密性メタデータのこれらの部分(または分野)を生成する。検査サービス155は、クラウドベース・サービス128A-Zへの、または、から途上の文書を積極的に分析するインライン・プロキシとして機能し、更に、クラウドベース・サービス128A-Zに既に蓄積された文書を遡及的に分析するイントロスペクタとして機能することによって、これを実現する。両方のモードにおいて、検査サービス155は、メタデータ生成のためにAPIコネクタ及びディープAPI検査(DAPII)を使用する。検査サービス155についての更なる詳細は、合体資料中に見出すことができる。
クラウドベース・コンテンツ機密性スキャナ165は、必要とされるリソースの規模のために、エンドポイントにおいて計算上実行不可能なディープ・インスペクション技術をサポートする、文書を機密または非機密として分類するための最高権威として機能する。分類のためにスキャナ165によって使用されるディープ・インスペクション技術の幾つかの例は、言語認識データ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接性検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、及び、言語非依存2バイト文字検査である。機密性は、1または複数の・セキュリティ・ポリシ(またはDLPポリシ)によって定義される。言い換えれば、スキャナ165は、支払いカード情報(PCI)、個人識別可能情報(PII)、および電子個人健康情報(ePHI)を含むことができるDLPポリシによって、機密性があると見なされるデータについて文書を評価する。異なるDLPポリシ及びそれらが保護する機密データについての更なる詳細は、合体資料中に見出すことができる。
クラウドベース・コンテンツ機密性スキャナ165は、クラウドベース・サービス128A-Zとの間を移動中に、文書が検査サービス155によって傍受されたときに、リアルタイムで機密性分類を実行することができる。また、クラウドベース・サービス128A~Z内で休止している間に、検査サービス155によって文書がクロールまたは登録されるときに、機密性分類を実行することもできる。それは、例えば、「機密」または「非機密」フラグ(またはラベル)を機密性メタデータの分類フィールドに割り当てることによって、機密性メタデータにおける機密性分類の結果を符号化する。機密性スキャンの結果は、クラウドベース・メタデータ・ストア145に格納される(578)。スキャナ165についての更なる詳細は、合体資料中に見出すことができる。
検査サービス155及びクラウドベース・コンテンツ機密性スキャナ165によって生成される機密性メタデータの幾つかの例は、固有文書識別子、MD5等の文書インテグリティ・チェックサム、ラビン・フィンガープリント等の文書フィンガープリント、ポータブル・ドキュメント・フォーマット(PDF)等の文書の正確なファイル形式、文書が格納されているクラウドベース・サービスの名前、文書の機密性(または非機密性)、PCI、PII、ePHI等の機密性のタイプ、及び、文書が作成されたソースの名前及び機密性(または非機密性)、(例えば、ソース・クラウドベース・サービス、ソース・ウェブサイト、ソース・サーバ、ソース・データベース、ソース・パーティション、ソース・ユーザ、ソース・ユーザ・グループ、ソース・フォルダ、ソース・デバイス)、オリジナルのワープロ・アプリケーションから作成されたPDFファイル等の継承情報、及び、作成、修正、バージョニング、クローン作成、削除、共有、クラウドベースとの間の送信等の文書に対して実行されたアクティビティのログである。機密性メタデータの更なる例は、合体資料中に見出すことができる。
一旦生成されると、機密性メタデータは、クラウドベース・メタデータ・ストア145に格納される。これは、AMAZON ELASTICACHE(商標)のようなイン・メモリ・キャッシュ、MICROSOFT AZURE(商標)のようなSQLデータベース、または、APACHE CASSANDRA(商標)のようなNoSQLデータベースとすることができる。従って、クラウドベース・メタデータ・ストア145は、エンドポイントを介して組織のユーザによってアクセスされるクラウド文書の機密性分類のための事実の集中化ソースである。
クラウドベースのNSS135による機密性メタデータの先見的な生成について説明したが、次に、機密性メタデータを使用して、小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)を提供する方法について考察する。
[小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)]
エンドポイント102A-Zは、エンドポイント・セキュリティ・モジュール(不図示)により構成され、更に、ローカル・アンカー・パターン・スキャナ112A-Z、ファイル・システム・モニタ122A-Z、エンドポイント・ポリシ・エンフォーサ132A-Z、エンドポイント・トラフィック・モニタ142A-Z、ローカル・メタデータ・ストア134A-Z、及び/または機密性リスト144A-Zを備えるこることができる。コンフィギュレーション・サービス175は、電子メールを介してダウンロード可能な、または、CONFIGMGR(商標)、ALTRIS(商標)、及び、JAMF(商標)のような大量配備ツールを使用して静かにインストールされた、エージェントとしてエンドポイント・セキュリティ・モジュールを配備することができる。また、それは、エンドポイント・ポリシ・エンフォーサ132A-Zによってエンドポイント102A-Zで実行されるDLPポリシを規定するための管理プレーンを含む。イベント・サービス185は、ログと機械学習型の分析のために、エンドポイント・ポリシ・エンフォーサ132A-Zによって生成されたあらゆるセキュリティ・イベントを受信し記録する。セキュリティ・イベントの例としては、エンドポイント102A-Z でのDLPポリシ実行の一部として行われたセキュリティ・アクションの通知と追跡記録が挙げられる。
[データ取出要求検出]
エンドポイント102A でのセキュリティの実行は、ファイル・システム・モニタ122Aがデータ取出要求を検出することから始まる。エンドポイント102Aには、エンドポイント102Aで使用中の文書を保存するメモリ・モジュール(不図示)がある。メモリ・モジュールは、データ取出要求を満たすために文書を如何に保存及び取得するかを制御するファイル・システムを有する。更に、オペレーティング・システム(OS)の一部として、エンドポイント102Aは、ファイル・システムの構造を解釈し、データ取出要求を行うアプリケーションに論理階層ビューを提示するファイル・システム・ドライバを備えている。データ取出要求は、ファイル・システム・ドライバを介してアプリケーションとファイル・システム間で交換されるファイル・システム呼び出しとして定式化される。例えば、アプリケーションはファイル書き込みシステム呼び出しをファイル・システム・ドライバに送信して、エンドポイント102AからUSBドライブに文書をコピーすることができ、ファイル・システム・ドライバは、ファイル・システムと通信して、文書をUSBドライブにコピーすることができる。データ取出要求に関連するファイル・システム呼び出しの他の例には、ウェブ・ブラウザからの文書のダウンロード、文書を開く、閉じる、保存、編集、修正、バージョニング、コピー、または削除すること、読み取り及び書き込み操作、印刷操作、画面キャプチャ操作、コピー、切り取り、貼り付け操作が含まれる。
ファイル・システム・モニタ122Aは、ファイル・システム・ドライバになされたファイル・システムの通話を傍受することにより、データ取出要求を検出する。次に、エンドポイント・ポリシ・エンフォーサ132Aにデータ取出要求を通知し、次に、それをポリシ実行の対象とする。エンドポイント・ポリシ・エンフォーサ132Aは、データ取出要求が機密データのエクスフィルトレーションを伴う場合に、どのようなセキュリティ・アクションを取るかを指定した1または複数のセキュリティ・ポリシ(またはDLPポリシ)を含む。セキュリティ・アクションの幾つかの例は、データ取出要求をブロックすること、ユーザの正当性を求めること、文書暗号化、文書検疫、及びコーチングである。例えば、USBドライブのようなリムーバブル・メディアへの機密性データのコピーを禁止するDLPポリシがあっても良い。このような場合、ファイル・システム・モニタ122Aはアプリケーションからファイル・システム・ドライバに送信されるファイル書込みシステム呼び出しを傍受することができ、エンドポイント・ポリシ・エンフォーサ132Aはファイル・システム・ドライバがファイル・システムと通信することを防止することができ、その結果、機密文書のUSBドライブへのコピーが放置されない。
どのようにデータ取出要求が傍受され、ポリシ実施のためにエンドポイント・ポリシ・エンフォーサ132A~Zに利用可能にされるかについて説明したが、次に、エンドポイント・ポリシ・エンフォーサ132A~Zが、エンドポイント102A~Zにおいて計算集約的で時間のかかるコンテンツ機密性スキャンを実行する必要なしに、エンドポイント102A~ZにおいてDLPポリシをどのように実行するかについて説明する。
[機密性メタデータ・ベースのエンドポイント・ポリシの実施]
データ取出要求を受信することに応答して、エンドポイント・ポリシ・エンフォーサ132Aは、機密性メタデータを取得し、取得した機密性メタデータに基づき、エンドポイントでのデータ損失防止ポリシを実行し、エンドポイントでの文書のコンテンツ機密性スキャンは実施しない。エンドポイント・ポリシ・エンフォーサ132Aによって実施される共通ルールは、ファイルが機密と見做されると、文書の存続期間中、機密のままであるというルールを含む。コラボレーション中に、チーム間で共通の文書の使用を伴うが、全てのファイルが毎回分類されるわけではない。文書が機密として初めて分類されると、その文書の編集者に対して文書IDとチェックサムが維持される。
図1の説明を続ける。ローカル・メタデータ・ストア134Aは、複数のカテゴリにおけるローカル・ファイル及びそれらに関連するメタデータのリストを含む。1つのカテゴリには、システム・ファイル等の除外されたファイル、及びDLPに関連しないオーディオやビデオ等のファイル・タイプが含まれる。幾つかの実施態様では、インターネットからダウンロードしたファイルも除外できる。第2のカテゴリには、クラウド・メタデータ・ストアに機密性メタデータがある既知のファイルが含まれる。第3のカテゴリには、メタデータがローカル・メタデータ・ストア134Aで更新される必要のある未知のファイルが含まれる。
図2は、公衆ネットワーク115を介して、機密性メタデータがローカル・メタデータ・ストア134Aとクラウドベース・メタデータ・ストア145との間で定期的に同期されるブロック図200を示している。ファイルの機密性メタデータには、文書ID 224、作成者234、チェックサム244、フィンガープリント254、分類264、及び、起点274 を含めることができる。
ローカル・アンカー・パターン・スキャナ112Aは、クラウドベース・コンテンツ機密性スキャナ165によって文書を更に検査する必要があるかどうかを判定するためのプレフィルタを動作させる必要最低限度のDLPエンジンである。スキャナ112Aは、文書内のある共通の機密性識別子を探すアンカー・パターン・チェックを実行する。そのような識別子またはパターンの例として、社会保障番号、クレジットカード番号、銀行口座番号、生年月日、パスワード、ソースコード、及び、知的財産要素がある。文書がアンカー・パターン・チェックで陽性と記録された場合、文書は、ディープ・インスペクションのためにクラウドベース・コンテンツ機密性スキャナ165に送られる。ローカル・メタデータ・ストア134A及びクラウドベース・メタデータ・ストア145は、ディープ・インスペクションの結果で更新される。
ローカル・アンカー・パターンスキャナ112Aは、必要最低限のDLPエンジンであるので、大きな計算リソースを必要とせず、従って、エンドポイント性能に影響を与えない。実施態様では、機密性メタデータがローカル・メタデータ・ストア134A及び/またはクラウドベース・メタデータ・ストア145で利用できない状況においてのみ、ローカル・アンカー・パターンスキャナ112Aが選択的に起動される。
エクスフィルトレーションは、コンピュータ・システムまたはネットワーク内からのデータの無許可の放出を含むデータ盗難である。開示された技術は、エンドポイントから非統制場所に文書内のデータをプッシュするエンドポイントでのデータ取出イベントの検出に応答して、エンドポイントを介した文書内のデータのエクスフィルトレーションを制御する。1つのケースでは、図3に関連して次に説明するように、エクスフィルトレーション制御は、クラウドベース・メタデータ・ストアにアクセスすること、データ取出イベントに先立って予め生成された機密性メタデータを取得して、文書のディープ・インスペクションに基づいて文書を機密または非機密として分類すること、及び、取得された機密性メタデータに基づいてエンドポイントでデータ損失防止ポリシを実施することを含み、機密性についてエンドポイントで文書をスキャンすることは行わない。第2のケースでは、エクスフィルトレーション制御は、図4に関連して後述するように、クラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントにおけるローカル・メタデータ・ストアにアクセスすることを含む。第3のケースでは、エクスフィルトレーション制御は、図5に関連して説明するように、機密性データが既に存在しないエンドポイントで要求されたファイルの機密性データを生成することを含む。
図3は、環境100内のエンドポイントにおいてデータ損失防止ポリシを実施するためのエンドポイントのための第1実施例のメッセージ・フロー300を示す。新しいファイルが開いているか修正されている場合、エンドポイント・ポリシ・エンフォーサ132A、132Z に、ファイルのコピーを阻止するためのDLPポリシが整備されているかどうかを確認するプロセスが始まる。これらの要求には、ファイルの読み出し及び書き込み、USBドライブへのファイルのコピー、文書の印刷、文書内のコンテンツの切り取り/ペースト操作の呼び出しが含まれるが、これらに限定されない。開示された技術は、コンテンツ機密性スキャンを実行することなく、エンドポイントにおける文書が機密である場合を判定し、文書が機密であると判定された場合、該要求を許可しないようにするために利用される。
クラウドベース・コンテンツ機密性スキャナ165は、新たに発見されたファイルの機密性メタデータを更新する(305)。検査サービス155は、クラウドベース・サービス128A-Z内の文書をスキャナ165に送信し、ユーザがデータ取出要求を行う前であっても、先見的な分類(機密か非機密か)を行う。
エンドポイント・ポリシ・エンフォーサ132A、132Zが、エンドポイントから非統制場所にデータをプッシュするデータ取出要求332を受信すると、エンドポイント・ポリシ・エンフォーサ132A、132Zは、文書のディープ・インスペクションに基づき、文書を機密または非機密として分類する要求の前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストア145にアクセスする(355)。ディープ・インスペクションは、言語を意識したデータ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、言語を意識しない2バイト文字検査等のコンテンツ解析技術を、文書に適用することにより、機密性分類を生成する。文書に対するデータ取出要求332を受信することに応答して、エンドポイント・ポリシ・エンフォーサ132A、132Zは、クラウドベース・メタデータ・ストア145から文書の機密性データを取得することによって文書の機密性を判定し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、エンドポイントにおける文書の機密性スキャンを実行せず、取得された機密性メタデータに基づいてエンドポイントにおけるデータ損失防止ポリシを実施する。エンドポイント・ポリシ・エンフォーサ132A、132Zは、データ取出要求に対してDLPポリシを実施する(362)。幾つかの実施態様では、取得された機密性メタデータが文書を機密として識別すると判定された場合に、該要求を阻止することが含まれる。他の実施態様は、検疫、暗号化、正当化、及び、指導を含むが、これらに限定されない、追加の対応セキュリティ・アクションを含む。エンドポイント・ポリシ・エンフォーサ132A、132Zは、取得された機密性メタデータが文書を機密でないと識別すると判定した場合に、データ取出要求の実現を許可する。
図4は、エンドポイント・ポリシ・エンフォーサ132A、132Zがクラウドベース・メタデータ・ストア145と定期的に同期される(または、クラウドベース・メタデータ・ストア145から定期的に更新される)ローカル・メタデータ・ストア134A、134Zへのアクセスを有する場合に、エンドポイントにおいてDLPポリシを実施するためのエクスフィルトレーション制御の第2実施例400を示す。エンドポイント・ポリシ・エンフォーサ132A、132Z は、エンドポイントで、クラウドベース・メタデータ・ストア145と定期的に同期される機密性メタデータを含むローカル・メタデータ・ストア134A、134Z にアクセスすることができる。クラウドベース・メタデータ・ストア145から機密性メタデータのローカル・メタデータ・ストア134A、134Zへの定期的な更新406により、文書の機密性情報を必要とするエンドポイント・ポリシ・エンフォーサ132A、132Zが、文書チェックサムに基づいてローカル・メタデータ・ストア134A、134Z内のファイルを検索できること、及び、文書に対するDLP機密性分類をやり直さずに関連メタデータを受信できることが保証される。エンドポイント・ポリシ・エンフォーサ132A、132Zは、まず、データ取出要求422に応答して、ローカル・メタデータ・ストア134A、134Zから要求されたファイルの機密性メタデータを取得する(435)。ローカル機密性メタデータが利用可能であれば、エンドポイント・ポリシ・エンフォーサ132A,132Zはデータ取出要求に対してDLPポリシを実施する(432)。幾つかの実施態様では、取得された機密性メタデータが文書を機密として識別すると判定された場合に、該要求を阻止することが含まれる。他の実施態様は、検疫、暗号化、正当化、及び指導を含むが、これらに限定されない、追加の応答セキュリティ・アクションを含む。エンドポイント・ポリシ・エンフォーサ132A、132Z は、取得された機密性メタデータが文書を機密でないと識別すると判定した場合に、データ取出要求の実現を許可する。ローカル・メタデータ・ストア134A、134Z から文書に対する機密性メタデータが利用できない場合、エンドポイント・ポリシ・エンフォーサ132A、132Z は、クラウドベース・メタデータ・ストア145から機密性メタデータを取得する(456)。クラウドベースの機密性メタデータが利用可能であれば、エンドポイント・ポリシ・エンフォーサ132A,132Zはデータ取出要求に対してDLPポリシを実施する(462)。
図5は、ユーザがエンドポイントでデータ取出要求502を行い、ローカル515またはクラウド526で文書に利用可能な機密性メタデータがない状況に対して、環境100内のエンドポイントでデータ損失防止ポリシを実施するためのエクスフィルトレーション制御の第3実施例500を示す。このケースにおいて、エンドポイント・ポリシ・エンフォーサ132A、132Zは、エンドポイントに追加された未検査文書の機密性分類のためにローカル・アンカー・パターン・スキャナ112A、112Zを起動し、エンドポイントで更なるデータ損失防止ポリシを実施するために未検査文書の機密性分類を識別するためにローカル・メタデータ・ストアを更新する。1つの実施例では、作業者が自分のUSBドライブにファイルをコピーしようとすると、データ取出要求が発生する。文書が潜在的に機密であると判定された場合、ローカル・アンカー・パターン・スキャナ112A,112Zは、当該ファイルを、分類のためにクラウドベース・コンテンツ機密性スキャナ165に送出する。コピー・アクションは、機密性メタデータがスキャナ165から返され、エンドポイント・ポリシ・エンフォーサ132A、132Zが、精査されるファイルに対してコピー・アクションが許されると判断するまで阻止される。
図5に示すワークフローの説明を続ける。エンドポイント・ポリシ・エンフォーサ132A、132Zは、機密性スキャナを含み、エンドポイント上で動作し、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類するローカル・アンカー・パターン・スキャナ112A、112Zを起動する(538)。一実施例において、ローカル・アンカー・パターン・スキャナ112A、112Zは、12または16桁の文字列として存在するクレジットカード・データ等の容易に認識可能なデータを探査するプレフィルタを適用する。ローカル・アンカー・パターン・スキャナ112A、112Zがアンカー・パターン・チェックに基づいて文書を機密でないものとして予め分類した場合、エンドポイント・ポリシ・エンフォーサ132A、132Zは、データ取出要求の実現を許可する(552)。
図5の説明を更に続ける。アンカー・パターン・スキャンに基づいて文書が潜在的に機密であると判定された場合、ローカル・アンカー・パターン・スキャナ112A、112Zは、文書を機密として予め分類し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的分類(機密または非機密)のためにクラウドベース・コンテンツ機密性スキャナ165を起動する568。エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的な機密性分類が受信されるまで、データ取出要求を保留にする(562)。スキャナ165は、アンカー・パターン・チェックで陽性と記録された文書を、より正確であるが計算集約的なディープ・インスペクションに基づいて、機密または非機密として確証的に分類し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、結果として得られた確証的な機密性分類を識別する機密性メタデータを受信する。エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的な機密性分類(機密または非機密)を有する機密性メタデータを含むようにローカル・メタデータ・ストア134A、134Zを更新し574、エンドポイントにおけるそのファイルの将来のデータ損失防止ポリシの実施582を可能にする。
小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)の実施態様について説明したが、次に、新規な機密性メタデータの生成を用いたsf-EDLPの更なる最適化に話を移す。
[新規な機密性メタデータの生成]
図6は、ネットワーク・トラフィック・モニタリングとファイル・システム・モニタリングの組合せを用いて、エンドポイントまたはサーバ側でコンテンツ機密性スキャンを実行する必要なく、新規な機密性メタデータの生成600の一実施態様を示す。
上述した実施態様は、ディープ・インスペクションのような計算集約的な技術を用いてサーバ側のクラウドベース・ネットワーク・セキュリティ・システム135上に機密性メタデータを先見的に生成し、引き続いて、データ取出要求に応答するためにエンドポイント102Aでそれを使用することに焦点を当てた。開示された技術は、エンドポイントまたはサーバ側の何れかでコンテンツ・ベースの分析を実行する必要なしに、機密性メタデータを生成することによって、エンドポイントDLPに別レベルの計算能力を追加する。詳細は以下の通りである。
クラウドベース・サービスは、それが提供する機密性及びそれが格納するデータの機密性に基づいて、「機密クラウドベース・サービス」としてラベル付けまたは識別することができる。例えば、SALESFORCE.COM(商標)、WORKDAY(商標)、SERVICENOW(商標)、及び、ORACLE ON DEMAND(商標)等のクラウドベース・サービスは、適切な信用証明書を持つ企業ユーザが人事(HR)データ、顧客関係管理(CRM)データ、財務データ等の機密情報を含む文書をホストし、生成することを可能にするため、機密と判断され得る。このような機密事項を扱うクラウドベース・サービスは、機密リスト144AーZにおいて、それぞれのユニファイド・リソース・ロケータ(URL)に基づいて、独自に識別される。機密性リスト144A-Z は、エンドポイント102A-Z に維持され、これらの機密事項を扱うクラウドベース・サービスに向けられたネットワーク・トラフィックをモニタリングするためにエンドポイント・トラフィック・モニタ142A-Z に利用可能になっている。
企業ユーザは、これらの機密事項を扱うクラウドベース・サービスから、それぞれのエンドポイントに文書をダウンロードすることもできる。エンドポイントからダウンロードされた文書のエクスフィルトレーションを防止するために、第1のアプローチは、文書のコンテンツを検討し、文書が機密情報を含むかどうかを判定するためにDLPポリシを適用することであり得る。しかしながら、このアプローチは相当量の処理を必要とし、待ち時間を引き起こし、ユーザ・エクスペリエンスを低下させる。これらの問題を回避するために、開示された技術は、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書の機密性分類のための効率的なアプローチを使用する。
開示された技術は、機密事項を扱うと識別されたクラウドベース・サービスに対するユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントへの文書ダウンロードのファイル・システム・モニタリングを組み合わせる。ネットワーク・トラフィック・モニタリングとファイル・システム・モニタリングの当該組み合わせが、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書に機密であるとラベル付けする機密性メタデータを生成し、該機密性メタデータをエンドポイントのローカル・メタデータ・ストアに保持する。
エンドポイント・トラフィック・モニタ142Aは、ネットワーク・トラフィック・モニタリングを実行する。デバイスのタイプに応じて、エンドポイント・トラフィック・モニタ142Aは、証明書ベースの認証を使用するVPNオンデマンドまたはアプリ毎のVPNのような仮想プライベート・ネットワーク(VPN)とすることができる。例えば、IOS(商標)デバイスに対しては、それは、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。ANDROID(商標) デバイスに対しては、それは、クラウド・ディレクタ・モバイル・アプリであり得る。WINDOWS(商標) デバイスに対しては、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。
ネットワーク・トラフィック・モニタリングは、クラウドベース・サービス(例えば、WORKDAY(商標)のURL618(例えば、https://www.workday.com)に対するユーザ602による要求(例えば、ウェブ・ブラウザのHTTP・GET要求)が受信されることから始まる。エンドポイント・トラフィック・モニタ142Aは、URL618を解析して、それが、機密リスト144Aにおいて機密事項を扱うと識別されたクラウドベース・サービスのうちの1つに属するかどうかを判定する。ブラウザ・アドオン・コンテキストでは、URLは直接受信され、分析の対象となる。これは、例えば、“www.domain.tld”とは別に、“subdomain.domain.tld”を扱うという、微妙な差別化を可能にするかも知れない。対照的に、安全なトンネル・エージェントの場合、機密性リスト144AのURLのDNS解決に一致するIPアドレス宛てのネットワーク・パッケットが識別される。従って、“subdomain.domain.tld”と“www.domain.tld”が同じネットワーク・アドレスを共有するならば、機密性リスト144Aが一方を識別し、他方を識別しなくても、両者は機密と見做されるのであろう。
幾つかの実施態様では、クラウドベース・ネットワーク・セキュリティ・システム135が、アプリケーション・シグネチャ生成を実行して、企業がクラウドベース・サービスを容易に記述する機密性リストを生成するのを支援する。シグネチャの生成には、クラウドベース・サービスのドメインの所定のリストを定期的にクロールすることが含まれる。クラウドベース・サービス毎に、アカウントやログインを必要としないクロールされたページによって参照されるURLが識別される。これは、一般に機密事項を扱うとは見做されないクラウドベース・サービスに使用されるURLの「ホワイトリスト」であり得る。同様に、所与のクラウドベース・サービスに対応するドメインと関連するURL形式のリストが提供され得る。これはURLの「ブラックリスト」になる。1つの実施態様では、ブラックリストは手動で維持される。従って、クラウドベース・サービスとの間のネットワーク・トラフィックをモニタリングするかどうかの決定は、以下のように、そのURL及び/または機密性リスト144A中にある署名に基づいてなされる。
第一に、HTTP要求からドメイン名とURLを抽出する。第二に、ドメイン名またはURLが機密性リスト144Aに記載されているか、または、企業識別子のバリエーションが含まれている場合(例えば、企業識別子が“netskope”または“exampleco”の場合、“hostedservice.com/netskope”または“exampleco.hostedservice.com”を探す。)、要求を機密事項を扱うクラウドベース・サービスに対する要求として扱う。幾つかの実施態様では、企業の管理者が管理インタフェースを介して、各クラウドベース・サービスで使用される企業固有のIDを識別できる。同様に、ドメイン名またはURLがホワイトリストに存在する場合は、要求をバイパスできる。
このアプローチは、関連するURLへのDLPポリシの適用を制限するためにサーバ側で使用することもできる。更に、幾つかの実施態様では、クローリング処理が、様々なクラウドベース・サービスのログイン・イベントに対応するURLのリストを識別する。このリストは、クラウド・ログイン・イベントの識別に役立つ。他の実施態様では、クラウドベース・サービスのオペレータが、機密性リスト144Aの規定及びホワイトリスト/ブラックリストの識別を支援するために、ネットワーク・セキュリティ・システム(NSS)135のオペレータに情報を提供することができる。
URL618が、(例えば、文字列パターン・マッチングに基づいて)機密性リスト144A内に見つかり、従って、機密事項を扱うクラウドベース・サービスWORKDAY(商標)608に属すると推測されたと考える。次に、URL618は、ネットワーク・セキュリティ・システム135に選択的にルーティングされる。機密性リスト144A中に見つからないURLに対しては、通常のホスト・オペレーティング・ルーティング・システムが適用される。
エンドポイント102Aと機密事項を扱うクラウドベース・サービス608との間に挿入されると、ネットワーク・セキュリティ・システム135は、ディープAPI検査(DAPII)を使用して、機密事項を扱うクラウドベース・サービス608とのユーザ・インタラクション605を追跡する。追跡されるユーザ・インタラクションの例としては、ログイン、文書の生成、文書の編集、文書のダウンロード、文書の共有、文書のアップロード、ログアウト等がある。特に、文書のダウンロードを伴うユーザ・インタラクションは、文書のダウンロードを開始するアプリケーション層トラフィックの解析によって追跡される。1つの実施態様では、アプリケーション層トラフィックが、アプリケーション・プログラミング・インタフェース(API)パラメータ文字列と、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、及びリプレゼンテーショナル・ステート・トランスファ(REST)等のデータ交換フォーマットを含むトランザクション・データでエンコードされる。トランザクション・データにより、ネットワーク・セキュリティ・システム135は、ユーザが機密事項を扱うクラウドベース・サービス608で実行しているアクションを、そのまま解釈することができる。従って、例えば、ネットワーク・セキュリティ・システム135は、カリフォルニア州サンフランシスコの午前10時に、営業部のユーザAが「全営業担当者の四半期販売目標」報告書のダウンロードを要求した組織を検出することができる。幾つかの実施態様では、ネットワーク・トラフィック・モニタリングのDAPII部分が、エンドポイント102Aにおいてクライアント側で実行される。
ネットワーク・トラフィック・モニタリングは、ファイル・システム・モニタ122Aによって実行されるファイル・システム・モニタリングによって補完される。文書628が機密事項を扱うクラウドベース・サービス608からエンドポイント102Aにダウンロードされると、ファイル・システム・ドライバ622Aは、ダウンロードされた文書638をエンドポイント102Aのメモリ・モジュール612Aに書き込むファイル書き込みシステム呼び出し625を発行し、新たに追加された文書(図6にグレー・ノードによって示される)を反映するためにファイル・システム614Aを更新する。ファイル・システム614Aの例は、ポータブル・オペレーティング・システム・インタフェース(POSIX)、ファイル配分表(FAT)システム、新技術ファイル・システム(NTFS)、ext2、ext3、ext4、ネットワーク・ファイル・システム(NFS)、サーバ・メッセージ・ブロック(SMB)、ISO 9660である。ファイル・システム・モニタ122Aは、ファイル書込みシステム呼び出し625を傍受し、ファイル・システム614Aに対するファイル・システム変更635を検出し、エンドポイント102Aに文書がダウンロードされたと推測する。
次に、文書分類器652Aは、(i)機密事項を扱うクラウドベース・サービス608から発信された文書628である(従って、機密データを含む可能性が高い)というネットワーク・トラフィック・モニタリングからの推測と、(ii)文書628がエンドポイント102Aにダウンロードされたというファイル・システム・モニタリングからの推測の組合せに基づいて、文書628を「機密」とラベル付けする。ローカル・メタデータ・ストア134Aは、文書628の固有チェックサム、フィンガープリント、及び/または、IDを機密性メタデータ・ラベル(例えば、原産地274:「機密」)に関連付けることにより、文書628の機密性を示すように更新される。これは、エンドポイント102Aまたはネットワーク・セキュリティ・システム135の何れにおいても、文書628がコンテンツに基づく分析なしに機密であると分類されるため、新規な機密性メタデータ生成と呼ばれる。
文書のラベルは機密性メタデータとして保存され、上述したように、機密性についてエンドポイント102Aの文書628をスキャンせずに、将来においてデータ取出要求及びエンドポイントDLPポリシの実施に対応するために使用される。
また、文書分類器652Aは、文書628にマーカーとして文書628に割り当てられた機密性メタデータ・ラベルを埋め込むことができる。これにより、下流のプロセスは、埋め込まれた機密性メタデータ・ラベルを見ることによって、文書628の機密性分類を簡単に識別することができる。ラベルは、文書の修正版またはコピー版に伝達される。
図7は、ダウンロード後に、エンドポイントにおいてダウンロードされた文書の修正またはコピーを検出することに応答して、機密性データが更新される場合700のDLPポリシの実施を例示する。ファイル・システム・モニタ122Aは、(例えば、ファイル編集システム呼び出し、ファイル修正システム呼び出し、ファイル・コピー・システム呼び出しを傍受することによって)ファイル・システム614Aへの変更に基づいてダウンロード後のダウンロードされた文書の修正またはコピーを検出し(702)、文書分類器652Aは、機密事項を扱うクラウドベース・サービス608を機密データのソースとして識別するラベルを添付することを含み、ダウンロードされた文書からの機密性メタデータ・ラベルを、修正またはコピーされた文書に添付し(712)、添付されたラベルでローカル・メタデータ・ストア134Aを更新する(715)。1つの実施例では、開示された技術には、ネットワーク上のアクティビティとアプリケーション・レベルのアクティビティとの関連付けが含まれる。ネットワーク・レベルのデータ・ストアは、人事(HR)アプリケーションとの関連性があること、また、文書ソースが人事アプリケーションであるため、文書の修正またはコピーには機密データが含まれ得ることを知っている。
図7の説明を続ける。エンドポイント・ポリシ・エンフォーサ132Aは、ダウンロード後に、ダウンロードされた文書の修正またはコピーを検出すること、修正またはコピーされた文書が機密であるとする機密性メタデータを生成すること、及び、修正またはコピーされた文書に対して生成された機密性メタデータによりローカル・メタデータ及び文書データ・ストア134Aを更新することに応答して、修正またはコピーされた文書の機密性を再評価する。即ち、エンドポイント・ポリシ・エンフォーサ132Aは、修正またはコピーされた文書の確証的分類のために、DLPサービスを起動し(768)、確証的な機密性分類を有する機密性メタデータ774を含むようにローカル・メタデータ・ストア134Aを更新する。機密ファイルのDLPメタデータは、将来のDLPポリシ実施782のために、クラウドベース・メタデータ・ストア185に格納される(778)。
クラウドベースの実施態様について説明したので、次に、オンプレミスの実施態様について説明する。
[オンプレミス環境]
図8は、オンプレミス環境800で動作する開示された技術の一実施態様を示す。図1ー7を使用してクラウドベース環境100に関して上述した実施態様は、幾つかの違いはあるが、オンプレミス環境800に対しても、同様に適用される。それらの内の主要なものとして、文書が、クラウドベース・サービス128ではなく、オンプレミス文書リポジトリ828(例えば、ネットワークにマウントされたファイル・サーバ)に格納されること、エンドポイント802A~Zが、パブリック・ネットワーク115を介して遠隔操作することができるのではなく、オンプレミス・ネットワーク815の範囲内でオンプレミス805であること、エンドポイント802A~Zとオンプレミス文書リポジトリ828との間の通信が、クラウドベース・ネットワーク・セキュリティ・システム135によってではなく、オンプレミス・ネットワーク・セキュリティ・システム835によって変調されること、機密性メタデータが、クラウドベース・メタデータ・ストア145ではなく、オンプレミス・メタデータ・ストア845に先見的に格納されること、検査サービス855が、ネットワーク・ファイル・システム・スキャナを使用してオンプレミス文書リポジトリ828をインタフェース及びクロールすること、及び、機密性スキャンが、オンプレミス・コンテンツ機密性スキャナ865によって実行されることが挙げられる。
実行可能な限りにおいて、エンドポイント802A~Z、ローカル・アンカー・パターン・スキャナ812A~Z、ファイル・システム・モニタ822A~Z、エンドポイント・ポリシ・エンフォーサ832A~Z、エンドポイント・トラフィック・モニタ842A~Z、ローカル・メタデータ・ストア834A~Z、機密性リスト844A~Z、検査サービス855、オンプレミス・コンテンツ機密性スキャナ865、構成サービス875、及び、イベント・サービス885等の、図8の特定の要素は、図1-7の対応する要素と同様または類似の機能を示す。
[コンピュータ・システム]
図9は、開示された技術を実施するために使用できるコンピュータ・システム900の簡略ブロック図である。コンピュータ・システム900がバス・サブシステム955を介して幾つかの周辺装置と通信する少なくとも1つの中央演算処理装置(CPU)972を含む。これらの周辺装置が例えば、メモリ装置及びファイル・ストレージ・サブシステム936を含むストレージ・サブシステム910、ユーザ・インタフェース入力装置938、ユーザ・インタフェース出力装置976、及びネットワーク・インタフェース・サブシステム974を含むことができる。入力及び出力装置は、コンピュータ・システム900とのユーザ・インタラクションを可能にする。ネットワーク・インタフェース・サブシステム974が他のコンピュータ・システム内の対応するインタフェース装置へのインタフェースを含む、外部ネットワークへのインタフェースを提供する。
一実施態様では、図1のクラウドベース・ネットワーク・セキュリティ・システム(NSS)135、または、図8のオンプレミス・ネットワーク・セキュリティ・システム(NSS)835が、記憶サブシステム910及びユーザ・インタフェース入力デバイス938に通信可能にリンクされる。
ユーザ・インタフェース入力装置938はキーボード、マウス、トラックボール、タッチパッド、または、グラフィックス・タブレット等のポインティング・デバイス、スキャナ、ディスプレイに組み込まれたタッチ・スクリーン、音声認識システム及びマイクロフォン等のオーディオ入力装置、並びに他のタイプの入力装置を含むことができる。一般に、「入力装置」という用語の使用は、コンピュータ・システム900に情報を入力するための全ての可能なタイプの装置及び方法を含むことが意図される
ユーザ・インタフェース出力装置976は、ディスプレイ・サブシステム、プリンタ、ファックスマシン、または、オーディオ出力装置等の非視覚ディスプレイを含むことができる。ディスプレイ・サブシステムはLEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)等のフラットパネル装置、投影装置、または、可視画像を生成するための他の何らかのメカニズムを含むことができる。ディスプレイ・サブシステムはまた、オーディオ出力装置等の非視覚ディスプレイを提供することができる。一般に、「出力装置」という用語の使用はコンピュータ・システム900からユーザに、または別の機械もしくはコンピュータ・システムに情報を出力するための全ての可能なタイプの装置及び方法を含むことが意図される
ストレージ・サブシステム910は、本明細書で説明するモジュール及び方法の一部または全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム978がグラフィックス処理装置(GPU)またはプログラマブル・ゲートアレイ(FPGA)とすることができる
ストレージ・サブシステム910で使用されるメモリ・サブシステム922は、プログラム実行中に命令及びデータを格納するためのメイン・ランダムアクセス・メモリ(RAM)932と、固定命令が格納される読み出し専用メモリ(ROM)934とを含む、幾つかのメモリを含むことができる。ファイル・ストレージ・サブシステム936は、プログラム及びデータファイルのための永続的ストレージを提供することができ、ハードディスク・ドライブ、関連するリムーバブル・メディアと共にフロッピー(商標)ディスク・ドライブ、CD-ROMドライブ、光ドライブ、または、リムーバブル・メディア・カートリッジを含むことができる。特定の実施態様の機能を実施するモジュールは、ストレージ・サブシステム910内のファイル・ストレージ・サブシステム936によって、またはプロセッサによってアクセス可能な他のマシン内に格納することができる
バス・サブシステム955は、コンピュータ・システム900の様々なコンポーネント及びサブシステムに、意図されたように互いに通信させるためのメカニズムを提供する。バス・サブシステム955は単一のバスとして概略的に示されているが、バス・サブシステムの他に採り得る実施態様は多数のバスを使用することができる
コンピュータ・システム900はパーソナル・コンピュータ、ポータブル・コンピュータ、ワーク・ステーション、コンピュータ端末、ネットワーク・コンピュータ、テレビ、サーバ、メインフレーム、広範囲に分散した一連の疎結合コンピュータ、または、任意の他のデータ処理システムもしくはユーザ・デバイスを含む様々なタイプのものとすることができる。コンピュータ及びネットワークの絶えず変化する性質のために、図9に示されるコンピュータ・システム900の説明は、本発明の好ましい実施形態を例示する目的のための特定の実施例としてのみ意図される。コンピュータ・システム900の多くの他の構成が図9に示されたコンピュータ・システムよりも多いまたは少ないコンポーネントを有することが可能である
[特定の実施態様]
開示された技術は、エンドポイントにおいてコンテンツ機密性スキャンを実行する必要なしに、エンドポイントにおいてデータ損失防止ポリシを実施することに関する。以下では、幾つかの特定の実施態様と特徴について説明する。
[小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)]
一実施態様では、エンドポイントでの機密性スキャンの実施を必要とせずに、エンドポイントでデータ損失防止ポリシを実施する開示されたコンピュータで実施する方法は、エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、及び、該エンドポイント・ポリシ・エンフォーサが、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類するために、該要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすることを含む。開示された方法は、また、文書に対するデータ取出要求を受信することに応答して、エンドポイント・ポリシ・エンフォーサが、クラウドベース・メタデータ・ストアから文書に対する機密性メタデータを取得することによって、文書の機密性を判定すること、及び、エンドポイント・ポリシ・エンフォーサが、エンドポイントにおいて文書の機密性スキャンを実行せずに、取得された機密性メタデータに基づいて、エンドポイントでデータ損失防止ポリシを実施することを含む。
開示された技術のこの方法及び他の実施態様は、以下の特徴及び/または開示された追加の方法に関連して説明された特徴の1または複数を含むことができる。簡潔にするために、本出願で開示される特徴の組み合わせは、個々に列挙されておらず、特徴の各基本セットとともに繰り返されていない。
幾つかの実施態様において、開示されたコンピュータで実施する方法は、取得された機密性メタデータが文書を機密として識別すると判定し、データ取出要求を阻止することを更に含む。他の実施態様では、別のセキュリティ・アクションが、データ取出要求を行う正当性をユーザに尋ねることを含む。
開示されたコンピュータで実施する方法の幾つかの実施態様は、取得された機密性メタデータが、文書を機密でないと識別すると判定し、データ取出要求の実現を許可することを更に含む。
開示されたコンピュータで実施する方法の一実施態様では、機密性メタデータが、文書がクラウドベース文書ストアに常駐している間に文書を検査した検査サービスによって生成されたデータを更に含む。
開示された方法の別の実施態様では、機密性メタデータが、文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、文書を検査した検査サービスによって生成されたデータを更に含む。
開示された方法の更に別の実施態様では、機密性メタデータが、マウントされたファイル・システムに文書が常駐している間に、文書を検査した検査サービスによって生成されたデータを含む。幾つかの開示された実施態様では、エンドポイント・ポリシ・エンフォーサがまず、ローカル・メタデータ・ストアから文書の機密性メタデータを取得し、ローカル・メタデータ・ストアで文書の機密性メタデータが使用可能でない場合は、クラウドベース・メタデータ・ストアから機密性メタデータを取得する。開示された方法は、文書に対し機密性メタデータが利用可能でない場合、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類し、アンカー・パターン・チェックで陽性と記録された文書を、ディープ・インスペクションに基づいて文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、且つ、確証的な機密性分類を識別する機密性メタデータを受信するエンドポイント上で動作するローカル・アンカー・パターン・スキャナを、エンドポイント・ポリシ・エンフォーサが起動することを更に含むことができる。ローカル・アンカー・パターン・スキャナが、アンカー・パターン・チェックに基づいて、文書を機密でないものとして予め分類すると、エンドポイント・ポリシ・エンフォーサはデータ取出要求の実現を許可する。開示された方法は、エンドポイントでの更なるデータ損失防止ポリシの実施のための確証的な機密性分類を識別する機密性メタデータを含むように、ローカル・メタデータ・ストアを更新することを更に含む。開示された方法の幾つかの実施態様は、また、確証的な機密性分類が受信されるまで、データ取出要求を保留にすることを含む。幾つかの実施態様には、エンドポイント・ポリシ・エンフォーサが、エンドポイントに追加された未検査文書の機密性分類のために、ローカル・アンカー・パターン・スキャナを起動し、エンドポイントでの更なるデータ損失防止ポリシ実施のための未検査文書の機密性分類を識別するために、ローカル・メタデータ・ストアを更新することが含まれる。
開示された方法の幾つかの実施態様は、エンドポイント・ポリシ・エンフォーサが、クラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントにおける機密性メタデータのローカル・メタデータ・ストアにアクセスできることを含む。オンプレミス・ローカル・システムがオフラインであり、エンドポイントから非統制場所への文書内のデータをプッシュするためのデータ取出要求が受信された場合、エンドポイント・ポリシ・エンフォーサは、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類するために、該要求の前に予め生成された機密性メタデータを含むローカル・メタデータ・ストアにアクセスできる。この場合、文書のデータ取出要求を受信すると、エンドポイント・ポリシ・エンフォーサは、ローカル・メタデータ・ストアから文書の機密性メタデータを取得することによって文書の機密性を判定する。エンドポイント・ポリシ・エンフォーサが、取得した機密性メタデータに基づいて、エンドポイントで文書の機密性スキャンを実行せずに、エンドポイントでデータ損失防止ポリシを実施する。別のケースでは、エンドポイント・ポリシ・エンフォーサは、データ取出しを常にブロックまたは常に許可するために、設定可能な例外データ損失防止ポリシを適用する。更に別のケースでは、システムがオフラインのときにエンドポイント・アクションが要求されると、エンドポイント・ポリシ・エンフォーサは機密データの暗号化を実施する。更なるケースでは、機密性データが利用可能でないとき、オンプレミスシステムがオフラインであるときにエンドポイント・アクションが要求された場合に、機密データに情報権利管理(IRM)を適用することができる。
エンドポイントを介して文書内のデータのエクスフィルトレーションを制御する開示されたコンピュータで実施する方法の一実施態様は、エンドポイントにおいて、エンドポイントから非統制場所に文書内のデータをプッシュするであろうデータ取出イベントを検出することに応答して、クラウドベース・メタデータ・ストアにアクセスし、データ取出イベントに先立って予め生成された機密性メタデータを取得して、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類することと、取得された機密性メタデータに基づいて、エンドポイントにおいて機密性について文書をスキャンすることなく、エンドポイントにおいてデータ損失防止ポリシを実施することとを含む。
一実施態様では、エンドポイントでデータ損失防止ポリシを実施するための開示されたデバイスが、エンドポイントで保持され、文書のディープ・インスペクションに基づいて文書を機密または非機密として分類するために、予め生成された機密性メタデータをクラウドベース・メタデータ・ストアから定期的に受信するように構成されたローカル・メタデータ・ストアと、エンドポイント上で動作し、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類するように構成され、アンカー・パターン・チェックで陽性と記録された文書を、ディープ・インスペクションに基づいて文書を機密または非機密として確証的に分類するクラウドベース機密性スキャナに送信し、確証的な機密性分類を識別する機密性メタデータを受信するローカル・アンカー・パターン・スキャナと、エンドポイントで動作し、ローカル・メタデータ・ストアの検索によって、引き続き、ローカル・メタデータ・ストアの検索では識別されない文書に対してはクラウドベース・メタデータ・ストアの検索によって、引き続き、ローカル・メタデータ・ストア及びクラウドベース・メタデータ・ストアの検索では識別されない文書のローカル・アンカー・パターン・スキャナによる事前の機密性分類によって、及び、引き続き、前記アンカー・パターン・チェックで陽性と記録された文書の前記クラウドベース機密性スキャナによる確証的な機密性分類によって、判定された文書の機密性に基づいて、前記エンドポイントから非統制場所へ文書のデータをプッシュするデータ取出要求に応答するように構成されたエンドポイント・ポリシ・エンフォーサと、を備える。
[新規な機密性メタデータの生成]
別の実施態様では、エンドポイントまたはサーバ側で機密性スキャンを実行する必要なく、データ損失防止ポリシをエンドポイントで実施する開示されたコンピュータで実施する方法は、機密事項を扱うとして識別されたクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせることを含む。該方法は、ネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書を機密であるとしてラベル付けする機密性メタデータを生成し、該機密性メタデータをエンドポイントのローカル・メタデータ・ストアで持続化させるファイル・システム・モニタリングとの組み合わせも含む。更に、該方法は、エンドポイントから非統制場所に文書内のデータをプッシュするであろうエンドポイントでのデータ取出イベントの検出に応答して、エンドポイントにおいて機密性について該文書をスキャンせずに、ローカル・メタデータ・ストア内の該文書の機密性メタデータの検索に基づいて、該文書を機密であると判定し、その判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することを含む。幾つかのケースでは、機密性メタデータは、機密事項を扱うクラウドベース・サービスを、エンドポイントでダウンロードされた文書のソースとして更にラベル付けする。開示された方法は、ダウンロード後にダウンロードされた文書の修正またはコピーを検出することに応答して、機密事項を扱うクラウドベース・サービスをソースとして識別する機密性メタデータ・ラベルを添付することと、ローカル・メタデータ・ストアを添付物と共に更新することとを含んで、機密性メタデータ・ラベルをダウンロードされた文書から修正またはコピーされた文書に添付することを更に含む。1つのケースでは、修正された文書は、コンピュータ支援設計(CAD)ファイルからPDFに変更された文書、または、PDFとして保存されたスプレッドシート、或いは、元の機密文書から生成された他の文書であり得る。
開示された方法の一実施態様は、ダウンロード後のダウンロードされた文書の修正またはコピーの検出に応答して、修正またはコピーされた文書の機密性を再評価し、修正またはコピーされた文書を機密であるとラベル付けする機密性メタデータを生成し、修正またはコピーされた文書に対して生成された機密性メタデータでローカル・メタデータ・ストアを更新することを更に含む。開示された方法は、エンドポイントにおいて、エンドポイントから非統制場所に修正またはコピーされた文書内のデータをプッシュするであろうデータ取出イベントを検出することに応答して、ローカル・メタデータ・ストア内の修正またはコピーされた文書の機密性メタデータを検索することに基づいて、且つ、エンドポイントにおいて機密性について修正またはコピーされた文書をスキャンすることなく、修正またはコピーされた文書が機密であると判定することと、該判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することとを、更に含むことができる。幾つかのケースでは、開示された方法は、ダウンロードされた文書に機密性メタデータを埋め込むことを更に含む。
開示されたコンピュータで実施する方法の別の実施態様はエンドポイントにおいて、文書内のデータを非統制場所にプッシュするデータ取出イベントを検出することに応答して、文書内に埋め込まれた機密性メタデータに基づいて、且つ、エンドポイントにおいて機密性について文書をスキャンせずに、文書が機密であると判定し、その判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することを含む。
他の実施態様では、エンドポイント・トラフィック・モニタとファイル・システム・モニタの組合せは、SMB、NFS、FTP、HTTP、及び、HTTPS等のファイル転送に使用される一般的なプロトコルで発行されたファイル・システム呼び出しを解釈できる。それらは、ネットワーク上のマウントされたドライブ(NFS、SMB等)、ファイル・システム上のマウント・ポイント、または、サーバのドメイン名等、ファイルが書き込まれた元を識別して保存できる。一実施態様で、それらは、ファイルのオリジナルのファイル・タイプまたはフォーマットを継承メタデータとして識別して保存できる。親ファイルとは異なるファイル・タイプまたは形式で保存された子ファイルは、継承メタデータの形式で親ファイルのメタデータのサブセットを継承する。一緒にすると、該由来によって、データ・ソース、親ファイル、ユーザ、またはユーザ・グループの情報を識別できる。更に別の実施態様では、ファイルまたは文書がエンドポイントで局所的に作成されると、斯かるファイルに対してDLPスキャンを実行するかどうかは、ファイルの起点と、起点が機密であるかどうかによって決め得る。
エンドポイントにおいて機密性スキャンを実行する必要なくエンドポイントにおいてデータ損失防止ポリシを実施するためのデバイスの開示された実施態様は、エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信し、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類する要求に先立って予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアへアクセスし、クラウドベース・メタデータ・ストア内の文書に対する機密性メタデータを検索することに基づいて、エンドポイントにおいて文書の機密性スキャンを実行することなく、文書の機密性を判定することにより、文書に対するデータ取出要求に応答し、該判定に基づいて、エンドポイントにおいてデータ損失防止ポリシを実施するエンドポイント上で動作するエンドポイント・ポリシ・エンフォーサを含む。
別の実施態様では、開示されたシステムが、メモリに結合された1以上のプロセッサを含み、該メモリはコンピュータ命令を備え、該命令はプロセッサ上で実行されると、上述の開示された方法のアクションを実施する。
更に別の実施態様では、プロセッサ上で実行されると、上述の開示された方法を実施するコンピュータ・プログラム命令を記憶した、有形の非一時的コンピュータ可読記憶媒体が、開示される。
開示される技術は、システム、方法、デバイス、または製品として実施することができる。実施態様の1以上の特徴は、基本実施態様と組み合わせることができる。相互に排他的でない実施態様は、組み合わせ可能であると教示される。実施態様の1以上の特徴は、他の実施態様と組み合わせることができる。本開示は、これらのオプションをユーザに定期的に想起させる。これらのオプションを繰り返す記述の幾つかの実施態様からの省略は、これまでのセクションで教示された組み合わせを限定するものとして解釈されるべきではない。これらの記載は、以下の実施態様のそれぞれに参考として援用される
開示された技術は、上記で詳述された好ましい実施形態及び実施例を参照することによって開示されるが、これらの実施例は、限定的な意味ではなく、例示的な意味で意図されていると理解されるべきである。当業者であれば、開示された技術の改変及び組み合わせが容易に想起され、これらの改変及び組み合わせは、本発明の精神及び以下の特許請求の範囲の範囲内にあると考えられる。