JP7402183B2 - 小さいフットプリントのエンドポイント・データ損失防止(dlp) - Google Patents

小さいフットプリントのエンドポイント・データ損失防止(dlp) Download PDF

Info

Publication number
JP7402183B2
JP7402183B2 JP2020565464A JP2020565464A JP7402183B2 JP 7402183 B2 JP7402183 B2 JP 7402183B2 JP 2020565464 A JP2020565464 A JP 2020565464A JP 2020565464 A JP2020565464 A JP 2020565464A JP 7402183 B2 JP7402183 B2 JP 7402183B2
Authority
JP
Japan
Prior art keywords
document
endpoint
metadata
sensitivity
cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2020565464A
Other languages
English (en)
Other versions
JP2021525418A (ja
Inventor
クリシュナ ナラヤナスワミー,
アジェイ アグラワル,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Netskope Inc
Original Assignee
Netskope Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US16/000,132 external-priority patent/US10291657B2/en
Priority claimed from US16/408,215 external-priority patent/US11425169B2/en
Application filed by Netskope Inc filed Critical Netskope Inc
Publication of JP2021525418A publication Critical patent/JP2021525418A/ja
Application granted granted Critical
Publication of JP7402183B2 publication Critical patent/JP7402183B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

優先権主張
本出願は2019年5月9日出願の「小さいフットプリントのエンドポイント・データ損失防止(DLP)」と題した米国一部継続出願第16/408,215号(代理人事件整理番号:NSKO1019-2)の利益及び優先権を主張する。当該米国一部継続出願は、2016年3月11日出願の「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにマルチパートポリシを適用するシステムと方法」と題する米国仮特許出願第62/307,305号(代理人事件整理番号:NSKO1003-1)の利益を主張する2016年12月2日出願の「クラウド・コンピューティング・サービスのデータ欠陥トランザクションにマルチパートポリシを適用するシステムと方法」と題する米国特許出願第15/368,240号(代理人事件整理番号:NSKO1003-2)の継続出願である、2018年6月5日出願「クラウド・ストレージのためのメタデータ・ベースのデータ損失防止(DLP)」と題する米国特許出願第16/000,132号(代理人事件整理番号:NSKO1003-5)(現在は2019年5月14日発行の米国特許第10,291,657号)の一部継続出願である。これらのリストされた全ての出願はここに完全に参照により組み込まれる
本願はまた、2018年5月23日出願の「小さいフットプリントのエンドポイント・データ喪失防止(DLP)」と題する米国仮特許出願第62/675,692号(代理人事件整理番号:NSKO1019-1)の利益を主張する。当該米国仮特許出願はここに完全に参照により組み込まれる。
合体資料
以下の資料は、ここに完全に記載されているかの如く、参照により組み込まれる。
2014年3月5日出願の「ネットワーク配信サービス用セキュリティ」と題する米国特許出願第14/198,499号(代理人事件整理番号:NSKO 1000-2)(現在は2016年7月19日発行の米国特許第9,398,102号)。
2015年8月25日出願の「クラウド・コンピューティング・サービス(CCS)に格納された企業情報を監視及び制御するシステム及び方法」と題する米国特許出願第14/835,640号(代理人事件整理番号:NSKO 1001-2)(現在は2018年3月27日発行の米国特許第9,928,377号)。
2018年3月2日出願の「クラウドベースのコラボレーション環境における、マルウェア拡散のシミュレーション及び視覚化」と題する米国特許出願第15/911,034(代理人事件整理番号:NSKO 1012-2)。
2018年5月22日出願の「カテゴリ指向パーサを用いたデータ損失防止」と題する米国特許出願第15/986,732号(代理人事件整理番号:NSKO 1011-1)。
2017年4月21日出願の「ネットワーク・セキュリティ・システム(NSS)による、セキュリティ施行の待ち時間とエラーの削減」と題する米国仮特許出願第62/488,703(代理人事件整理番号:NSKO1007-1)。
「Data Loss Prevention and Monitoring in the Cloud」、ネットスコープ、インク(netScope、Inc)発行。
「The 5 Steps to Cloud Confidence」、ネットスコープ、インク(netScope、Inc)発行。
「Netskope Active Cloud DLP」、ネットスコープ、インク(netSkope、Inc)発行。
「Repave the Cloud-Data Breach Collision Course」、ネットスコープ、インク(netSkope、Inc)発行。
「NETSKOPE CLOUD CONFIDENCE INDEXTM」、ネットスコープ、インク(netSkope、Inc)発行。
開示される技術は、本明細書において「小さいフットプリントのエンドポイントDLP(sf-EDLP)」と呼ばれる改善されたエンドポイント・データ損失防止(DLP)ソリューションを提示する。このソリューションは、エンドポイントにおいてコンテンツ機密性スキャンを実行することによってではなく、以前に生成された機密性メタデータに依存することによってエンドポイントにおいてセキュリティ・ポリシを実施する。コンテンツ機密性スキャンは、計算集約的で時間がかかるので、sf-EDLPは極めて単純な実施態様、削減された実行時間の計算、及びより小さいメモリ・フットプリントをもたらし、最新のモバイル・デバイスなどの計算上制約された環境に適したものにする。
本セクションで議論される主題は本セクションにおけるその言及の結果、単に従来技術であると仮定すべきではない。同様に、本セクションで述べた問題または背景技術として提供された主題に関連する問題は従来技術内で既に認識されたものと仮定すべきではない。本セクションの主題は単に様々なアプローチを示しているに過ぎず、また、それ自体または自発的に、請求項に記載の技術の実施に対応し得る
企業組織は、ビジネスおよび産業に応じて、財務または患者情報、知的財産(IP)および他の情報などの機密データを記憶するビジネス上の必要性を有する。たとえば、個人を特定可能な情報(PII)は、個人の名前、社会保障番号、バイオメトリック記録など、個人の身元を区別または追跡するために、単独で、または、生年月日や母親の旧氏名など、特定の個人にリンクまたはリンク可能な他の個人または識別情報と組み合わせた場合に使用できる情報を指す。保護された健康情報(PHI)は、個人の過去、現在または将来の身体または精神の健康または状態、個人へのヘルスケアの提供、個人へのヘルスケアの提供に対する過去、現在または将来の支払い、個人の身元、または個人を識別するために使用され得ると信じる合理的な根拠がある個人の身元、を含む、個人を特定可能な健康情報を指す。個人を特定可能な健康情報は、名前、住所、生年月日、及び社会保障番号のような多くの共通の識別子を含む。財務情報には、クレジットカード・データおよびビジネス会計記録が含まれる。
企業内の機密データが失われる一般的な経路は、エンドポイントである。ユーザは、リムーバブル・メディアなどの不正な場所に機密データをコピーしようとする可能性がある。一例では、ユーザが勤務中のシステムから、フラッシュ・ドライブとも呼ばれるユニバーサル・シリアル・バス(USB)ストレージ・デバイスなどのリムーバブルな周辺コンポーネント・インターコネクト(PCI)デバイスに、機密従業員情報を含むファイルをコピーしようとすることができる。機密データの不正なメディアへのコピーを予防することは、ファイルからのコピーまたは派生した機密データが後で配布される可能性があるため、非常に重要である。また、ユーザが不正な場所に機密データを印刷しようとする場合もある。
経路の急増は、新たなデータ損失防止(DLP)問題を引き起こす。これらの問題には、潜在的な機密性、誤検知に対する誤った警告がある。複数の制御インタフェースや、ポリシを設定するための複雑なGUIも問題である。
クラウドアプリで機密データを保護するためのDLP サービスが成功した場合、企業データのセキュリティ管理者は、エンドポイントに対するDLP サービスをカバーするために同じサービスを要求するであろう。
エンドポイントにおける計算集約的なコンテンツ機密性スキャンを実行する必要性を排除する、改善されたエンドポイントDLPソリューションの開発のための機会が生じる。改善されたDLPを用いると、エンドポイントにおける改善されたユーザ・エクスペリエンス、低減されたランタイム計算、およびメモリ消費がもたらされ得る。
図面において、同様の参照符号は一般的に異なる図を通して同様の部品を指す。また、図面は必ずしも一定の縮尺ではなく、代わりに、開示された技術の原理を図解することに一般的に重点が置かれている。以下の説明では、開示された技術の様々な実施態様が以下の図面を参照して説明される
クラウドベースの環境で動作する開示された技術の一実施態様を示す。
機密性メタデータの一例と、ローカル・メタデータ・ストアとクラウドベース・メタデータ・ストアとの間の機密性メタデータの同期を示す。
エンドポイントにおいてコンテンツ機密性スキャンを実行する必要なしに、図1に示された環境におけるエンドポイントにおいてデータ損失防止(DLP)ポリシを実施するためのエンドポイントのための第1の例示的なメッセージ・フローを示す。
エンドポイント・ポリシ・エンフォーサがクラウドベース・メタデータ・ストアと定期的に同期されるローカル・メタデータ・ストアへのアクセスを有する場合に、エンドポイントでDLPポリシを実施するための第2のエクスフィルトレーション制御例を示す。
ユーザがエンドポイントでデータ取出要求を行い、文書に利用可能な機密性メタデータがないシナリオについて、エンドポイントでDLPポリシを実施するための第3のエクスフィルトレーション制御例を示す。
エンドポイントまたはサーバ側でコンテンツ機密性スキャンの実施を必要としない、ネットワーク・トラフィック・モニタリングとファイル・システム・モニタリングの組合せを使用する新規な機密性メタデータ生成の一実施態様を示す。
ダウンロード後、エンドポイントでダウンロードされた文書の修正またはコピーを検出することに応答して、機密性データが更新される場合のDLPポリシ実施を例示する。
オンプレミス環境で動作する開示された技術の一実施態様を示す。
開示された技術を実施するために使用することができるコンピュータ・システムの簡略化されたブロック図である。
以下の説明は、当業者が開示された技術を製作し使用することを可能にするために提示され、特定の用途及びその要件に即して提供される。開示された実施態様に対する様々な修正は、当業者には容易に明らかであり、本明細書で定義される一般原則は、開示される技術の精神及び範囲から逸脱することなく、他の実施態様及び用途に適用され得る。従って、開示された技術は、示された実施態様に限定されることを意図するものではなく、本明細書に開示された原理及び特徴と一致する最も広い範囲が与えられるべきである。
議論は以下のように編成される。まず、エンドポイント・データ損失防止(DLP)の技術的限界の幾つかを記述する概要を示し、次に様々な実施態様によって提供される技術的改良の概観を示す。次に、クラウドベースの実施態様の高レベル記述をアーキテクチャ・レベルで論じ、後にオンプレミスの実施態様によって補完する。次に、改善されたエンドポイントDLPを提供するために幾つかの実施態様によって使用されるアルゴリズムを、メッセージ・フローチャートを使用して説明する。最後に、システムを実装するためのより詳細なアーキテクチャを、ファイル・システム・モニタリングと共にネットワーク・トラフィック・モニタリングと共に論じた。
[序論]
多くの企業では、ビジネスにとって機密で重要な文書が、データ回復とビジネス継続の目的のためにバックアップ及び保護することができるように、集中化された場所に格納される。これらの集中化されたリポジトリは、典型的には、ネットワークにマウントされたファイル・サーバである。ネットワークにマウントされたファイル・サーバからクラウド・ストレージ・サービスへの機密データの移行が行われており、手頃で、使い易く、エンドポイントを介してリモートアクセス可能である、BOX(商標)、GOGLE DRIVE(商標)、及び、SALESFORCE.COM(商標)のようなクラウドベース・サービスの急速な普及および導入に伴い、益々機密データがクラウドに移動している。
データ損失防止(DLP)ソリューションは、クラウドアプリ内の機密データを分類し、一般に、文書内の機密データを検出し、機密データの不正なアクセス、保存、または共有を防止する機能を提供する。既存のDLPソリューションの主な欠点は、インシデント・応答アナリストの注意を必要とする誤検知の発生量である。
企業のセキュリティ・チームは、データ保護と誤検知の削減のために、DLPのホーニングに多大な時間を費やす。クラウドは企業内のデータ損失の唯一のベクトルではないため、データ・セキュリティ管理者は、データが侵害される可能性がある様々なチャネルにわたって共通のポリシを持つことを望む。データ・セキュリティを管理するための重要な目標は、WINDOWS(登録商標)、MAC OS(商標)、及び、IOS(商標)及びANDROID(登録商標)を利用するモバイル・デバイスを含む様々なエンドポイントのためのクラウド・セキュリティ及びエンドポイント・セキュリティの両方に一般的なDLPルール及びプロファイルを利用することである。
DLPは非常にリソース集中的なプロセスであり、文字列の評価は計算コストがかかり、大規模なメモリ・リソースとCPUリソースを消費する。一例では、ユーザが作業している間に、ウイルス対策ソフトウェアが、ランダムに始動し、ワープロ、スプレッドシート、グラフィックスのアプリケーションがCPUリソースの争奪のために遅くなったりクラッシュすることが、しばしば起こる。斯かるデバイスの使用ケースに対処する既存のソリューションは、リソース集中的である。一部のユーザは作業中の時間を節約するために、既存のDLPパッケージをオフにすることさえある。
エンドポイントDLPは、クラウドベース・サービスに格納されている機密データであるが、その機密データへのアクセスを提供するエンドポイントでは「使用中」となっている機密データのエクスフィルトレーション等の、より新しいセキュリティ問題に対処する可能性がある。
使用中のデータの保護は、エンドポイントに電力供給するオペレーティング・システム(OS) の拡張として実装されるセキュリティ機能によって実現される。使用中のデータ保護では、OS内、OSとアプリケーション間、及び、アプリケーション間のデータ移動を常時モニタリングする必要がある。例えば、機密データをアプリケーション間で共有することを禁止してもよく、その場合、該データに対してコピー・アンド・ペースト機能を無効にしてもよい。
作業者間のコラボレーションの多くはクラウドに移行し、大多数の文書がクラウドに格納されている。DLPは、ファイルを分類するという重い負荷を達成するために、クラウドの多大なCPUリソース及びメモリ・リソースを利用することができる。ネットワークにマウントされたファイル・サーバとクラウド・ストレージ・サービスの両方を使用する場合、ユーザはネットワーク・ファイル・サーバをエンドポイントにマウントするか、同期アプリケーションを使用してクラウドに保存された文書にアクセスする。これら何れの場合も、保存されたファイルの集中化された分類をスキャンして利用し、関連するメタデータ・ストアを維持することが理にかなっている。
データ取出とは、データが、エンドポイントから非統制場所(組織のセキュリティ装置の管轄外の場所)に向けて組織のネットワークを離れることを指す。非統制場所へのデータ取出の例としては、USB、CD/DVD、外部ハード・ドライブ等のリムーバブル・メディアへのファイルのコピー、ローカル・プリンタへのファイルの印刷、スクリーン・キャプチャの取得とクリップボードへの貼り付け、未承認のクラウドベース・サービスへのファイルのアップロード等がある。データ取出はネットワーク・アクティビティの通常の役目であるが、機密データが密かに取り出されると脅威になる。
エンドポイント・データ損失防止(DLP)は、ワーク・ステーション、ラップトップ、電話、及びタブレット等のエンドポイントを介するデータ取出に関連するリスクに対処する。エンドポイントDLPの主な目的は、機密データのエンドポイントからのエクスフィルトレーションを保護することである。エンドポイントDLP ソリューションは、データがアプリケーションによってアクセスされるときに常時検証を実行するアクティブ・エージェントとして、エンドポイントにインストールされる。更に、エンドポイントDLPソリューションは、ポリシ・エンフォーサとして機能し、保護されたデータがUSBドライブにコピーされないようにする等して、機密データがシステムから離れるのを防ぐ。
この目的のために、エンドポイントDLPソリューションによって取られる第1のアクションは、保護、即ち、機密性分類のために主要なポリシによって義務付けられる機密データを識別することである。機密データを識別することは、保護されたコンテンツを検出するためにエンドポイント上のハードディスク・ドライブをスキャンすることを必要とし、これは一般に「コンテンツ機密性スキャン」と呼ばれる処理である。使用中データを識別することは、機密素材を求めてエンドポイント・システム・メモリをスキャンすることを意味する。データが存在し得る場所にかかわらず、コンテンツ機密性スキャンは、保護された素材を効果的に識別するコンテンツ解析技術を要求する。コンテンツ解析技術の例としては、パターン・ベースのマッチング・アルゴリズム(社会保障番号またはクレジットカード番号を識別するため等)、完全マッチングのためにファイル全体のフィンガープリントを生成すること、或いは、部分マッチングのためにファイルの特定の部分に対してハッシュを作成すること等がある。
コンテンツ・ベースの分析は計算集約的であり、時間がかかる。全てのエンドポイントがコンテンツ解析を実行するためのコンピューティング能力やリソースを持っているわけではなく、ユーザ・エクスペリエンスにも影響を与える。良い例は、エンドポイント・アンチウィルス・ソフトウェアは常にアクティブであるが、そのスキャン・アクティビティがシステム・パフォーマンスに著しく影響するため、常にウィルス・スキャンを実行しないことである。
開示される技術は、本明細書において「小さいフットプリントのエンドポイントDLP(sf-EDLP)」と呼ばれる、改善されたエンドポイント・データ損失防止(DLP)ソリューションを提示し、このソリューションは、エンドポイントで計算集約的で時間のかかるコンテンツ機密性スキャンを実行することによってではなく、予め生成された機密性メタデータに基づいて、エンドポイントでセキュリティ・ポリシを実施する。本出願の一部では、sf-EDLPを「エンドポイント・ポリシ・エンフォーサ」と呼ぶ
文書のデータ取出要求を受信すると、sf‐EDLPは文書を機密または非機密として分類する機密性メタデータを分析することにより、文書が機密データを含むかどうかを決定する。機密性メタデータは、データ取出要求に先立って発生し、サーバ側コンテンツ機密性スキャナによって実行された、文書のディープ・インスペクションの結果として、予め生成されたものである。ディープ・インスペクションは、言語を意識したデータ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、言語を意識しない2バイト文字検査等のコンテンツ解析技術を文書に適用することにより、機密性分類を生成する。機密性分類は、機密性メタデータとして記憶され、機密性メタデータによって識別される。
本明細書で使用されるように、「予め生成された」、「先見的に生成された」、「~に先立って生成された」、および「~より以前に生成された」などの句は、データ取出要求に応答する際のその使用を見越して、事前に生成される機密性メタデータを指す。例えば、機密性メタデータは、文書が(i)最初に大容量記憶媒体に記憶されているとき(静止データとして知られる)、(ii)最初にネットワークを介して送信されているとき(動いているデータとして知られる)、または(iii)最初にエンドポイント上でユーザによって作成されているとき(使用中データとして知られる)に、生成することができる。
機密性メタデータは、検査サービスによって入力されたクラウドベース・メタデータ・ストア、またはクラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントのローカル・メタデータ・ストア、またはオンプレミス・メタデータ・ストアから取得できる。クラウドベース・メタデータ・ストアは、AMAZON ELASTICACHE(商標)のような分散メモリ内キャッシュとすることができ、I/O集約型データベース・クエリの結果または計算集約型計算の結果をキャッシュすることにより、低レイテンシ・アクセスを提供する。
文書が機密であると判定されると、sf-EDLPは、エンドポイントにおいて1または複数のセキュリティ・ポリシ(またはDLPポリシ)を実施して、文書のエクスフィルトレーションを防止する。これには、データ取出要求のブロック、ユーザの正当性の確認、文書の暗号化、文書の隔離、セキュリティ・ポリシに関するユーザへの警告等のセキュリティ・アクションの実行が含まれる。sf-EDLP が実施できるセキュリティ・ポリシと、それが実行できるセキュリティ・アクションに関する追加の詳細は、合体資料に記載されている。
ローカル・メタデータ・ストアまたはクラウドベース・メタデータ・ストアの何れかで文書の機密性メタデータが使用できない場合、sf-EDLP はエンドポイントで設定されたローカル・アンカー・パターン・スキャナを起動する。解析的にも計算的にも集約的なディープ・インスペクションの代わりに、ローカル・アンカー・パターン・スキャナは、社会保障番号、クレジットカード番号、銀行口座番号、誕生日、パスワード、ソースコード、及び、知的財産要素のような共通機密性識別子に対するアンカー・パターン・チェックを含む文書の最低限のコンテンツ検査を実行する。文書がアンカー・パターン・チェックで陽性とスコア付けされた場合、それは、ディープ・インスペクションのためにコンテンツ機密性スキャナに送られる。ローカル・メタデータ・ストアとクラウドベース・メタデータ・ストアは、ディープ・インスペクションの結果で更新される。
開示された技術が、エンドポイントまたはサーバ側でコンテンツ機密性スキャンの実施を必要とせずに、機密性メタデータを生成する新規な方法は、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書を追跡し、将来のDLPポリシ実施のために斯かる文書に機密とラベル付けを行うことである。文書のラベルは機密性メタデータとして保存され、前述のようにデータ取出要求への応答に使用される。ラベルは、文書の修正版またはコピー版に伝達される。ラベルは文書に埋め込むこともできる。
追跡は、(i)文書ダウンロードにつながる機密事項を扱うクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、(ii)エンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせることによって達成される。開示された技術は、ディープ・アプリケーション・プログラミング・インタフェース・インスペクション(DAPII)を使用してアプリケーション層トラフィックを分析することによって、機密事項を扱うクラウドベース・サービスへのユーザの訪問を検出し、更に、エンドポイントのファイル・システムをモニタリングすることによって、訪問の結果として文書がエンドポイントに保存されたことを検出する。
開示された技術は、エンドポイントで計算集約的なコンテンツ機密性スキャンを実行する必要をなくし、エンドポイント上のローカル・リソースの最低限のCPU及びメモリ消費で、デバイス上で作業を実行するユーザに影響を与えないようにする、改良されたエンドポイントDLPソリューションを提供する。詳細な実施態様が続く。
[クラウドベースの環境]
著者らは、所謂小さいフットプリントのエンドポイントDLP(sf‐EDLP)ソリューションを用いてエンドポイント・セキュリティを提供するためのシステムと様々な実施態様を説明する。システム及び処理は、図1を参照して説明される。図1はアーキテクチャ図であるので、説明をより明確にするために、特定の細部は意図的に省略される。図1の説明は、以下のように編成される。最初に、図の要素を説明し、次にそれらの相互接続を説明する。次に、要素の使用についてより詳細に説明する。
図1は、クラウドベース環境100で動作する開示された技術の一実施態様を示す。環境100は、エンドポイント102A-Z、クラウドベースのネットワーク・セキュリティ・システム(NSS)、及び、クラウドベース・サービス128A-Zを含む。
エンドポイント102A-Zは、クラウドベースのNSS135を介してクラウドベース・サービス128A-Zに保存されている文書にアクセスする。エンドポイント102A-Zはそれぞれ、ローカル・アンカー・パターン・スキャナ112A-Z、ファイル・システム・モニタ122A-Z、エンドポイント・ポリシ・エンフォーサ132A-Z、エンドポイント・トラフィック・モニタ142A-Z、ローカル・メタデータ・ストア134A-Z、機密性リスト144A-Zが含まれる。
クラウドベースのNSS135は、クラウドベース・メタデータ・ストア145と、検査サービス145と、クラウドベース・コンテンツ機密性スキャナ165と、構成サービス175と、イベント・サービス145とを含む。
エンドポイント102A-Z とクラウドベースのNSS135のモジュールは、ハードウェアまたはソフトウェアで実装可能であり、図1 に示すように正確に同じブロックで分割する必要はない。モジュールの幾つかは、異なるプロセッサまたはコンピュータ上に実装されてもよく、または多数の異なるプロセッサまたはコンピュータに分散されてもよい。更に、幾つかのモジュールは、達成される機能に影響を及ぼすことなく、組み合わせるか、並列に動作させるか、または、図1に示されるものと異なる順序で動作させることができることが理解されるのであろう。また、本明細書で使用されるように、用語「モジュール」は、それ自体がモジュールを構成すると考えることができる「サブモジュール」を含むことができる。例えば、ローカル・アンカー・パターン・スキャナ112A、ファイル・システム・モニタ122A、エンドポイント・ポリシ・エンフォーサ132A、エンドポイント・トラフィック・モニタ142A、ローカル・メタデータ・ストア134A、及び/または、機密性リスト144Aは、エンドポイント・セキュリティ・モジュールのサブモジュールと見做すことができる(不図示)。エンドポイント102A~Z及びクラウドベースのNSS135内のブロックは、モジュールとして指定され、方法におけるフローチャートのステップと考えることもできる。また、モジュールは必ずしも全てのコードをメモリ内に隣接して配置する必要はなく、コードの一部は、他のモジュールまたは他の機能からのコードを間に配置して、該コードの他の部分から分離することができる。
次に、環境100の要素の相互接続について説明する。公衆ネットワーク115はエンドポイント102A-Z、クラウドベースのNSS135、及びクラウドベース・サービス128A-Zを結合し、全てが相互に通信している(両矢印の実線によって示される)。実際の通信経路は、公衆及び/またはプライベート・ネットワーク上のポイント・ツー・ポイントであり得る。エンドポイント・ポリシ・エンフォーサ132A-Zのような幾つかの項目は、例えば、アプリケーション・ストア(不図示)経由で間接的に配信されることがある。通信は、プライベート・ネットワーク、VPN、MPLS回線、またはインターネット等の様々なネットワークを介して行われ、適切なアプリケーション・プログラミング・インタフェース(API)、及び、データ交換フォーマット、例えば、リプレゼンテーショナル・ステート・トランスファ(REST)、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、Javaメッセージ・サービス(JMS)、及び/または、Javaプラットフォーム・モジュール・システムを使用することができる。全ての通信を暗号化することができる。通信は一般に、LAN(ローカル・エリア・ネットワーク)、WAN(ワイド・エリア・ネットワーク)、電話網(公衆交換電話網)、セッション開始プロトコル(SIP)、ワイヤレス・ネットワーク、ポイント・ツー・ポイント・ネットワーク、星型ネットワーク、トークン・リング型ネットワーク,ハブ型ネットワーク、及び、EDGE、3G、4G LTE、Wi-Fi、WiMAX等のプロトコルを介したモバイル・インターネットを含むインターネット等のネットワークを介して行われる。更に、ユーザ名/パスワード、オープン認証(OAuth)、Kerberos、SecureID、デジタル証明書等の様々な承認及び認証技術を使用して、通信を保護することができる。
エンドポイント102A-Z には、デスクトップ・コンピュータ、ノート・パソコン、タブレット・コンピュータ、携帯電話、または他の種類のコンピューティング・デバイスがある。クラウドベースのNSS135等の環境100のエンジンまたはシステム・コンポーネントは、様々なタイプのコンピューティング・デバイス上で実行されるソフトウェアによって実装される。デバイスの例としては、ワーク・ステーション、サーバ、コンピューティング・クラスタ、ブレード・サーバ、サーバ・ファーム等がある。
図1の要素及びそれらの相互接続を紹介したが、ここで、図の要素をより詳細に説明する。
図1では、3つのクラウドベース・サービスが示されているが、環境100は、任意の数のクラウドベース・サービスを含むことができると理解される。クラウドベース・サービス128A-Zは文書等のデータを記憶し、従って、クラウドベースのデータ・ストアまたはクラウドベースの文書ストアと呼ぶこともできるので、クラウドベース・サービス128A-Zは、クラウド内に実装され、例えば、ログイン、文書の編集、バルク・データのダウンロード、顧客の連絡先情報の読み込み、支払勘定の入力、及び、文書の削除等の、DLPポリシの対象である機能を、ユーザに提供する。それらは、ネットワーク・サービスまたはアプリケーションであったり、ウェブ・ベース(URL経由でアクセスされる等)であったり、同期クライアント等のネイティブであったりすることができる。例として、ソフトウェア・アズ・ア・サービス(SaaS)の提供、プラットフォーム・アズ・ア・サービス(PaaS)の提供、及び、インフラストラクチャ・アズ・ア・サービス(IaaS)の提供、並びに、URLを介して公開される内部企業アプリケーションが含まれる。今日の一般的なクラウドベース・サービスの例には、BOX(商標)、GOGLE DRIVE(商標)、SALESFORCE.COM(商標)、DROPBOX(商標)、AMAZON AWS(商標)、MICROSOFT ONEDRIVE 365(商標)、APPLE LOUD DRIVE(商標)、ORACLE on DEMAND(商標)、SUGARSYNC(商標)、IDRIVE(商標)、及び、SPIDEROAK ONE(商標)が含まれる。
クラウドベース・サービス128A-Z は、第三者がそれらと通信し、それらの基礎となるデータを利用できるように、それらのアプリケーション・プログラミング・インタフェース(API)を公表している。APIとは、そのインタフェース・タイプを含む一連のクラスに属するコード・ライブラリ、ルーチン、プロトコル・方法、及び、フィールドのパッケージ化された集合を指す。APIは、関連するクラスをインポートし、クラスをインスタンス化し、それらのメソッド及びフィールドを呼び出すステートメントを書くだけで、開発者及びプログラマが、彼ら自身のソフトウェア開発のためにクラスを使用することができる方法を規定する。API は、ソフトウェア・コンポーネントが互いに通信するためのインタフェースとして使用することを目的としたソース・コード・ベースのアプリケーションである。API には、ルーチン、データ構造、オブジェクト・クラス、及び、変数に対してアプリケーションを組み込むことができる。基本的に、API は、開発者やプログラマがクラウドベース・サービスの基礎データ、プラットフォーム機能、および機能にアクセスするためのインタフェースを提供する。開示された技術の実施態様は、SOAP、WSDL、Bulk、XML-RPC、及びJSON-RPC等のHTTPまたはHTTPsベースのAPI、及び、REST API(例えば、FLICKR(商標)、GOGLE STATIC MAPS(商標)、GOGLE GEOLOCATION(商標))等のウェブ・サービスAPI、ウェブ・ソケットAPI、JavaScript及びTWAIN(例えば、GOGLE MAPS(商標)JavaScript API、DROPBOX(商標) JavaScript Data store API、TWILIO(商標) API、Oracle Call Interface(OCI))、Java API及びAndroid API(例えば、GOGLE MAPS(商標)Android API、MSDN Class Library for .NET Framework、Java及びC#向けのTWILIO(商標)API)等のクラス・ベースのAPI、ファイル・システムへのアクセスやユーザ・インタフェースへのアクセス等のOSの機能やルーチン、CORBA、及び.NET Remoting等のオブジェクト・リモーティングAPI、及び、ビデオ・アクセラレーション、ハードディスク・ドライブ、PCIバス等のハードウェアAPI、等の様々なタイプのAPIを使用する。開示された技術が使用するAPIの他の例は、AMAZON EC2 API(商標)、BOX CONTENT API(商標)、BOX EVENTS API(商標)、MICROSOFT GRAPH(商標)、DROPBOX API(商標)、DROPBOX API v2(商標)、DROPBOX CORE API(商標)、DROPBOX CORE API v2(商標)、FACEBOOK GRAPH API(商標)、FOURESQUARE API(商標)、GEONAMES API(商標)、FORCE.COM API(商標)、FORCE.COM METADATA API(商標)、APEX API(商標)、VISUALFORCE API(商標)、FORCE.COM ENTERPRISE WSDL(商標)、SALESFORCE.COM STREAMING API(商標)、SALESFORCE.COM TOOLING API(商標)、GOGLE DRIVE API(商標)、DRIVE REST API(商標)、ACCUWEATHER API(商標)、及び、CLOUDRAIL(商標) API等の集約され単一化したAPIを含む。
クラウドベース・サービス128A~Z及びそれらのAPIについて説明したが、ここで、クラウドベースのネットワーク・セキュリティ・システム(NSS)135について説明する。
[先見的な機密性メタデータの生成]
クラウドベースNSS135は、幾つかのセキュリティ関連機能を提供するために、エンドポイント102A-Zとクラウドベース・サービス128A-Zとの間に挿入され、それらの中の鍵は、先見的に機密性メタデータを生成し、それをクラウドベース・メタデータ・ストア145に格納する。クラウドベースNSS135についてのさらなる詳細は、合体資料中に見出すことができる。
クラウドベースNSS135は、検査サービス155とクラウドベース・コンテンツ機密性スキャナ165との組合せを使用して、機密性メタデータを先見的に生成する。検査サービス155は、文書とそのオーディット・トレール、すなわち、そのライフサイクル全体にわたる文書に付随するパスを記述する機密性メタデータのこれらの部分(または分野)を生成する。検査サービス155は、クラウドベース・サービス128A-Zへの、または、から途上の文書を積極的に分析するインライン・プロキシとして機能し、更に、クラウドベース・サービス128A-Zに既に蓄積された文書を遡及的に分析するイントロスペクタとして機能することによって、これを実現する。両方のモードにおいて、検査サービス155は、メタデータ生成のためにAPIコネクタ及びディープAPI検査(DAPII)を使用する。検査サービス155についての更なる詳細は、合体資料中に見出すことができる。
クラウドベース・コンテンツ機密性スキャナ165は、必要とされるリソースの規模のために、エンドポイントにおいて計算上実行不可能なディープ・インスペクション技術をサポートする、文書を機密または非機密として分類するための最高権威として機能する。分類のためにスキャナ165によって使用されるディープ・インスペクション技術の幾つかの例は、言語認識データ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接性検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、及び、言語非依存2バイト文字検査である。機密性は、1または複数の・セキュリティ・ポリシ(またはDLPポリシ)によって定義される。言い換えれば、スキャナ165は、支払いカード情報(PCI)、個人識別可能情報(PII)、および電子個人健康情報(ePHI)を含むことができるDLPポリシによって、機密性があると見なされるデータについて文書を評価する。異なるDLPポリシ及びそれらが保護する機密データについての更なる詳細は、合体資料中に見出すことができる。
クラウドベース・コンテンツ機密性スキャナ165は、クラウドベース・サービス128A-Zとの間を移動中に、文書が検査サービス155によって傍受されたときに、リアルタイムで機密性分類を実行することができる。また、クラウドベース・サービス128A~Z内で休止している間に、検査サービス155によって文書がクロールまたは登録されるときに、機密性分類を実行することもできる。それは、例えば、「機密」または「非機密」フラグ(またはラベル)を機密性メタデータの分類フィールドに割り当てることによって、機密性メタデータにおける機密性分類の結果を符号化する。機密性スキャンの結果は、クラウドベース・メタデータ・ストア145に格納される(578)。スキャナ165についての更なる詳細は、合体資料中に見出すことができる。
検査サービス155及びクラウドベース・コンテンツ機密性スキャナ165によって生成される機密性メタデータの幾つかの例は、固有文書識別子、MD5等の文書インテグリティ・チェックサム、ラビン・フィンガープリント等の文書フィンガープリント、ポータブル・ドキュメント・フォーマット(PDF)等の文書の正確なファイル形式、文書が格納されているクラウドベース・サービスの名前、文書の機密性(または非機密性)、PCI、PII、ePHI等の機密性のタイプ、及び、文書が作成されたソースの名前及び機密性(または非機密性)、(例えば、ソース・クラウドベース・サービス、ソース・ウェブサイト、ソース・サーバ、ソース・データベース、ソース・パーティション、ソース・ユーザ、ソース・ユーザ・グループ、ソース・フォルダ、ソース・デバイス)、オリジナルのワープロ・アプリケーションから作成されたPDFファイル等の継承情報、及び、作成、修正、バージョニング、クローン作成、削除、共有、クラウドベースとの間の送信等の文書に対して実行されたアクティビティのログである。機密性メタデータの更なる例は、合体資料中に見出すことができる。
一旦生成されると、機密性メタデータは、クラウドベース・メタデータ・ストア145に格納される。これは、AMAZON ELASTICACHE(商標)のようなイン・メモリ・キャッシュ、MICROSOFT AZURE(商標)のようなSQLデータベース、または、APACHE CASSANDRA(商標)のようなNoSQLデータベースとすることができる。従って、クラウドベース・メタデータ・ストア145は、エンドポイントを介して組織のユーザによってアクセスされるクラウド文書の機密性分類のための事実の集中化ソースである。
クラウドベースのNSS135による機密性メタデータの先見的な生成について説明したが、次に、機密性メタデータを使用して、小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)を提供する方法について考察する。
[小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)]
エンドポイント102A-Zは、エンドポイント・セキュリティ・モジュール(不図示)により構成され、更に、ローカル・アンカー・パターン・スキャナ112A-Z、ファイル・システム・モニタ122A-Z、エンドポイント・ポリシ・エンフォーサ132A-Z、エンドポイント・トラフィック・モニタ142A-Z、ローカル・メタデータ・ストア134A-Z、及び/または機密性リスト144A-Zを備えるこることができる。コンフィギュレーション・サービス175は、電子メールを介してダウンロード可能な、または、CONFIGMGR(商標)、ALTRIS(商標)、及び、JAMF(商標)のような大量配備ツールを使用して静かにインストールされた、エージェントとしてエンドポイント・セキュリティ・モジュールを配備することができる。また、それは、エンドポイント・ポリシ・エンフォーサ132A-Zによってエンドポイント102A-Zで実行されるDLPポリシを規定するための管理プレーンを含む。イベント・サービス185は、ログと機械学習型の分析のために、エンドポイント・ポリシ・エンフォーサ132A-Zによって生成されたあらゆるセキュリティ・イベントを受信し記録する。セキュリティ・イベントの例としては、エンドポイント102A-Z でのDLPポリシ実行の一部として行われたセキュリティ・アクションの通知と追跡記録が挙げられる。
[データ取出要求検出]
エンドポイント102A でのセキュリティの実行は、ファイル・システム・モニタ122Aがデータ取出要求を検出することから始まる。エンドポイント102Aには、エンドポイント102Aで使用中の文書を保存するメモリ・モジュール(不図示)がある。メモリ・モジュールは、データ取出要求を満たすために文書を如何に保存及び取得するかを制御するファイル・システムを有する。更に、オペレーティング・システム(OS)の一部として、エンドポイント102Aは、ファイル・システムの構造を解釈し、データ取出要求を行うアプリケーションに論理階層ビューを提示するファイル・システム・ドライバを備えている。データ取出要求は、ファイル・システム・ドライバを介してアプリケーションとファイル・システム間で交換されるファイル・システム呼び出しとして定式化される。例えば、アプリケーションはファイル書き込みシステム呼び出しをファイル・システム・ドライバに送信して、エンドポイント102AからUSBドライブに文書をコピーすることができ、ファイル・システム・ドライバは、ファイル・システムと通信して、文書をUSBドライブにコピーすることができる。データ取出要求に関連するファイル・システム呼び出しの他の例には、ウェブ・ブラウザからの文書のダウンロード、文書を開く、閉じる、保存、編集、修正、バージョニング、コピー、または削除すること、読み取り及び書き込み操作、印刷操作、画面キャプチャ操作、コピー、切り取り、貼り付け操作が含まれる。
ファイル・システム・モニタ122Aは、ファイル・システム・ドライバになされたファイル・システムの通話を傍受することにより、データ取出要求を検出する。次に、エンドポイント・ポリシ・エンフォーサ132Aにデータ取出要求を通知し、次に、それをポリシ実行の対象とする。エンドポイント・ポリシ・エンフォーサ132Aは、データ取出要求が機密データのエクスフィルトレーションを伴う場合に、どのようなセキュリティ・アクションを取るかを指定した1または複数のセキュリティ・ポリシ(またはDLPポリシ)を含む。セキュリティ・アクションの幾つかの例は、データ取出要求をブロックすること、ユーザの正当性を求めること、文書暗号化、文書検疫、及びコーチングである。例えば、USBドライブのようなリムーバブル・メディアへの機密性データのコピーを禁止するDLPポリシがあっても良い。このような場合、ファイル・システム・モニタ122Aはアプリケーションからファイル・システム・ドライバに送信されるファイル書込みシステム呼び出しを傍受することができ、エンドポイント・ポリシ・エンフォーサ132Aはファイル・システム・ドライバがファイル・システムと通信することを防止することができ、その結果、機密文書のUSBドライブへのコピーが放置されない。
どのようにデータ取出要求が傍受され、ポリシ実施のためにエンドポイント・ポリシ・エンフォーサ132A~Zに利用可能にされるかについて説明したが、次に、エンドポイント・ポリシ・エンフォーサ132A~Zが、エンドポイント102A~Zにおいて計算集約的で時間のかかるコンテンツ機密性スキャンを実行する必要なしに、エンドポイント102A~ZにおいてDLPポリシをどのように実行するかについて説明する。
[機密性メタデータ・ベースのエンドポイント・ポリシの実施]
データ取出要求を受信することに応答して、エンドポイント・ポリシ・エンフォーサ132Aは、機密性メタデータを取得し、取得した機密性メタデータに基づき、エンドポイントでのデータ損失防止ポリシを実行し、エンドポイントでの文書のコンテンツ機密性スキャンは実施しない。エンドポイント・ポリシ・エンフォーサ132Aによって実施される共通ルールは、ファイルが機密と見做されると、文書の存続期間中、機密のままであるというルールを含む。コラボレーション中に、チーム間で共通の文書の使用を伴うが、全てのファイルが毎回分類されるわけではない。文書が機密として初めて分類されると、その文書の編集者に対して文書IDとチェックサムが維持される。
図1の説明を続ける。ローカル・メタデータ・ストア134Aは、複数のカテゴリにおけるローカル・ファイル及びそれらに関連するメタデータのリストを含む。1つのカテゴリには、システム・ファイル等の除外されたファイル、及びDLPに関連しないオーディオやビデオ等のファイル・タイプが含まれる。幾つかの実施態様では、インターネットからダウンロードしたファイルも除外できる。第2のカテゴリには、クラウド・メタデータ・ストアに機密性メタデータがある既知のファイルが含まれる。第3のカテゴリには、メタデータがローカル・メタデータ・ストア134Aで更新される必要のある未知のファイルが含まれる。
図2は、公衆ネットワーク115を介して、機密性メタデータがローカル・メタデータ・ストア134Aとクラウドベース・メタデータ・ストア145との間で定期的に同期されるブロック図200を示している。ファイルの機密性メタデータには、文書ID 224、作成者234、チェックサム244、フィンガープリント254、分類264、及び、起点274 を含めることができる。
ローカル・アンカー・パターン・スキャナ112Aは、クラウドベース・コンテンツ機密性スキャナ165によって文書を更に検査する必要があるかどうかを判定するためのプレフィルタを動作させる必要最低限度のDLPエンジンである。スキャナ112Aは、文書内のある共通の機密性識別子を探すアンカー・パターン・チェックを実行する。そのような識別子またはパターンの例として、社会保障番号、クレジットカード番号、銀行口座番号、生年月日、パスワード、ソースコード、及び、知的財産要素がある。文書がアンカー・パターン・チェックで陽性と記録された場合、文書は、ディープ・インスペクションのためにクラウドベース・コンテンツ機密性スキャナ165に送られる。ローカル・メタデータ・ストア134A及びクラウドベース・メタデータ・ストア145は、ディープ・インスペクションの結果で更新される。
ローカル・アンカー・パターンスキャナ112Aは、必要最低限のDLPエンジンであるので、大きな計算リソースを必要とせず、従って、エンドポイント性能に影響を与えない。実施態様では、機密性メタデータがローカル・メタデータ・ストア134A及び/またはクラウドベース・メタデータ・ストア145で利用できない状況においてのみ、ローカル・アンカー・パターンスキャナ112Aが選択的に起動される。
エクスフィルトレーションは、コンピュータ・システムまたはネットワーク内からのデータの無許可の放出を含むデータ盗難である。開示された技術は、エンドポイントから非統制場所に文書内のデータをプッシュするエンドポイントでのデータ取出イベントの検出に応答して、エンドポイントを介した文書内のデータのエクスフィルトレーションを制御する。1つのケースでは、図3に関連して次に説明するように、エクスフィルトレーション制御は、クラウドベース・メタデータ・ストアにアクセスすること、データ取出イベントに先立って予め生成された機密性メタデータを取得して、文書のディープ・インスペクションに基づいて文書を機密または非機密として分類すること、及び、取得された機密性メタデータに基づいてエンドポイントでデータ損失防止ポリシを実施することを含み、機密性についてエンドポイントで文書をスキャンすることは行わない。第2のケースでは、エクスフィルトレーション制御は、図4に関連して後述するように、クラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントにおけるローカル・メタデータ・ストアにアクセスすることを含む。第3のケースでは、エクスフィルトレーション制御は、図5に関連して説明するように、機密性データが既に存在しないエンドポイントで要求されたファイルの機密性データを生成することを含む。
図3は、環境100内のエンドポイントにおいてデータ損失防止ポリシを実施するためのエンドポイントのための第1実施例のメッセージ・フロー300を示す。新しいファイルが開いているか修正されている場合、エンドポイント・ポリシ・エンフォーサ132A、132Z に、ファイルのコピーを阻止するためのDLPポリシが整備されているかどうかを確認するプロセスが始まる。これらの要求には、ファイルの読み出し及び書き込み、USBドライブへのファイルのコピー、文書の印刷、文書内のコンテンツの切り取り/ペースト操作の呼び出しが含まれるが、これらに限定されない。開示された技術は、コンテンツ機密性スキャンを実行することなく、エンドポイントにおける文書が機密である場合を判定し、文書が機密であると判定された場合、該要求を許可しないようにするために利用される。
クラウドベース・コンテンツ機密性スキャナ165は、新たに発見されたファイルの機密性メタデータを更新する(305)。検査サービス155は、クラウドベース・サービス128A-Z内の文書をスキャナ165に送信し、ユーザがデータ取出要求を行う前であっても、先見的な分類(機密か非機密か)を行う。
エンドポイント・ポリシ・エンフォーサ132A、132Zが、エンドポイントから非統制場所にデータをプッシュするデータ取出要求332を受信すると、エンドポイント・ポリシ・エンフォーサ132A、132Zは、文書のディープ・インスペクションに基づき、文書を機密または非機密として分類する要求の前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストア145にアクセスする(355)。ディープ・インスペクションは、言語を意識したデータ識別子検査、文書フィンガープリント、ファイル・タイプ検出、キーワード検索、パターン・マッチング、近接検索、正規表現検索、厳密データ・マッチング、メタデータ抽出、言語を意識しない2バイト文字検査等のコンテンツ解析技術を、文書に適用することにより、機密性分類を生成する。文書に対するデータ取出要求332を受信することに応答して、エンドポイント・ポリシ・エンフォーサ132A、132Zは、クラウドベース・メタデータ・ストア145から文書の機密性データを取得することによって文書の機密性を判定し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、エンドポイントにおける文書の機密性スキャンを実行せず、取得された機密性メタデータに基づいてエンドポイントにおけるデータ損失防止ポリシを実施する。エンドポイント・ポリシ・エンフォーサ132A、132Zは、データ取出要求に対してDLPポリシを実施する(362)。幾つかの実施態様では、取得された機密性メタデータが文書を機密として識別すると判定された場合に、該要求を阻止することが含まれる。他の実施態様は、検疫、暗号化、正当化、及び、指導を含むが、これらに限定されない、追加の対応セキュリティ・アクションを含む。エンドポイント・ポリシ・エンフォーサ132A、132Zは、取得された機密性メタデータが文書を機密でないと識別すると判定した場合に、データ取出要求の実現を許可する。
図4は、エンドポイント・ポリシ・エンフォーサ132A、132Zがクラウドベース・メタデータ・ストア145と定期的に同期される(または、クラウドベース・メタデータ・ストア145から定期的に更新される)ローカル・メタデータ・ストア134A、134Zへのアクセスを有する場合に、エンドポイントにおいてDLPポリシを実施するためのエクスフィルトレーション制御の第2実施例400を示す。エンドポイント・ポリシ・エンフォーサ132A、132Z は、エンドポイントで、クラウドベース・メタデータ・ストア145と定期的に同期される機密性メタデータを含むローカル・メタデータ・ストア134A、134Z にアクセスすることができる。クラウドベース・メタデータ・ストア145から機密性メタデータのローカル・メタデータ・ストア134A、134Zへの定期的な更新406により、文書の機密性情報を必要とするエンドポイント・ポリシ・エンフォーサ132A、132Zが、文書チェックサムに基づいてローカル・メタデータ・ストア134A、134Z内のファイルを検索できること、及び、文書に対するDLP機密性分類をやり直さずに関連メタデータを受信できることが保証される。エンドポイント・ポリシ・エンフォーサ132A、132Zは、まず、データ取出要求422に応答して、ローカル・メタデータ・ストア134A、134Zから要求されたファイルの機密性メタデータを取得する(435)。ローカル機密性メタデータが利用可能であれば、エンドポイント・ポリシ・エンフォーサ132A,132Zはデータ取出要求に対してDLPポリシを実施する(432)。幾つかの実施態様では、取得された機密性メタデータが文書を機密として識別すると判定された場合に、該要求を阻止することが含まれる。他の実施態様は、検疫、暗号化、正当化、及び指導を含むが、これらに限定されない、追加の応答セキュリティ・アクションを含む。エンドポイント・ポリシ・エンフォーサ132A、132Z は、取得された機密性メタデータが文書を機密でないと識別すると判定した場合に、データ取出要求の実現を許可する。ローカル・メタデータ・ストア134A、134Z から文書に対する機密性メタデータが利用できない場合、エンドポイント・ポリシ・エンフォーサ132A、132Z は、クラウドベース・メタデータ・ストア145から機密性メタデータを取得する(456)。クラウドベースの機密性メタデータが利用可能であれば、エンドポイント・ポリシ・エンフォーサ132A,132Zはデータ取出要求に対してDLPポリシを実施する(462)。
図5は、ユーザがエンドポイントでデータ取出要求502を行い、ローカル515またはクラウド526で文書に利用可能な機密性メタデータがない状況に対して、環境100内のエンドポイントでデータ損失防止ポリシを実施するためのエクスフィルトレーション制御の第3実施例500を示す。このケースにおいて、エンドポイント・ポリシ・エンフォーサ132A、132Zは、エンドポイントに追加された未検査文書の機密性分類のためにローカル・アンカー・パターン・スキャナ112A、112Zを起動し、エンドポイントで更なるデータ損失防止ポリシを実施するために未検査文書の機密性分類を識別するためにローカル・メタデータ・ストアを更新する。1つの実施例では、作業者が自分のUSBドライブにファイルをコピーしようとすると、データ取出要求が発生する。文書が潜在的に機密であると判定された場合、ローカル・アンカー・パターン・スキャナ112A,112Zは、当該ファイルを、分類のためにクラウドベース・コンテンツ機密性スキャナ165に送出する。コピー・アクションは、機密性メタデータがスキャナ165から返され、エンドポイント・ポリシ・エンフォーサ132A、132Zが、精査されるファイルに対してコピー・アクションが許されると判断するまで阻止される。
図5に示すワークフローの説明を続ける。エンドポイント・ポリシ・エンフォーサ132A、132Zは、機密性スキャナを含み、エンドポイント上で動作し、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類するローカル・アンカー・パターン・スキャナ112A、112Zを起動する(538)。一実施例において、ローカル・アンカー・パターン・スキャナ112A、112Zは、12または16桁の文字列として存在するクレジットカード・データ等の容易に認識可能なデータを探査するプレフィルタを適用する。ローカル・アンカー・パターン・スキャナ112A、112Zがアンカー・パターン・チェックに基づいて文書を機密でないものとして予め分類した場合、エンドポイント・ポリシ・エンフォーサ132A、132Zは、データ取出要求の実現を許可する(552)。
図5の説明を更に続ける。アンカー・パターン・スキャンに基づいて文書が潜在的に機密であると判定された場合、ローカル・アンカー・パターン・スキャナ112A、112Zは、文書を機密として予め分類し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的分類(機密または非機密)のためにクラウドベース・コンテンツ機密性スキャナ165を起動する568。エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的な機密性分類が受信されるまで、データ取出要求を保留にする(562)。スキャナ165は、アンカー・パターン・チェックで陽性と記録された文書を、より正確であるが計算集約的なディープ・インスペクションに基づいて、機密または非機密として確証的に分類し、エンドポイント・ポリシ・エンフォーサ132A、132Zは、結果として得られた確証的な機密性分類を識別する機密性メタデータを受信する。エンドポイント・ポリシ・エンフォーサ132A、132Zは、確証的な機密性分類(機密または非機密)を有する機密性メタデータを含むようにローカル・メタデータ・ストア134A、134Zを更新し574、エンドポイントにおけるそのファイルの将来のデータ損失防止ポリシの実施582を可能にする。
小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)の実施態様について説明したが、次に、新規な機密性メタデータの生成を用いたsf-EDLPの更なる最適化に話を移す。
[新規な機密性メタデータの生成]
図6は、ネットワーク・トラフィック・モニタリングとファイル・システム・モニタリングの組合せを用いて、エンドポイントまたはサーバ側でコンテンツ機密性スキャンを実行する必要なく、新規な機密性メタデータの生成600の一実施態様を示す。
上述した実施態様は、ディープ・インスペクションのような計算集約的な技術を用いてサーバ側のクラウドベース・ネットワーク・セキュリティ・システム135上に機密性メタデータを先見的に生成し、引き続いて、データ取出要求に応答するためにエンドポイント102Aでそれを使用することに焦点を当てた。開示された技術は、エンドポイントまたはサーバ側の何れかでコンテンツ・ベースの分析を実行する必要なしに、機密性メタデータを生成することによって、エンドポイントDLPに別レベルの計算能力を追加する。詳細は以下の通りである。
クラウドベース・サービスは、それが提供する機密性及びそれが格納するデータの機密性に基づいて、「機密クラウドベース・サービス」としてラベル付けまたは識別することができる。例えば、SALESFORCE.COM(商標)、WORKDAY(商標)、SERVICENOW(商標)、及び、ORACLE ON DEMAND(商標)等のクラウドベース・サービスは、適切な信用証明書を持つ企業ユーザが人事(HR)データ、顧客関係管理(CRM)データ、財務データ等の機密情報を含む文書をホストし、生成することを可能にするため、機密と判断され得る。このような機密事項を扱うクラウドベース・サービスは、機密リスト144AーZにおいて、それぞれのユニファイド・リソース・ロケータ(URL)に基づいて、独自に識別される。機密性リスト144A-Z は、エンドポイント102A-Z に維持され、これらの機密事項を扱うクラウドベース・サービスに向けられたネットワーク・トラフィックをモニタリングするためにエンドポイント・トラフィック・モニタ142A-Z に利用可能になっている。
企業ユーザは、これらの機密事項を扱うクラウドベース・サービスから、それぞれのエンドポイントに文書をダウンロードすることもできる。エンドポイントからダウンロードされた文書のエクスフィルトレーションを防止するために、第1のアプローチは、文書のコンテンツを検討し、文書が機密情報を含むかどうかを判定するためにDLPポリシを適用することであり得る。しかしながら、このアプローチは相当量の処理を必要とし、待ち時間を引き起こし、ユーザ・エクスペリエンスを低下させる。これらの問題を回避するために、開示された技術は、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書の機密性分類のための効率的なアプローチを使用する。
開示された技術は、機密事項を扱うと識別されたクラウドベース・サービスに対するユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントへの文書ダウンロードのファイル・システム・モニタリングを組み合わせる。ネットワーク・トラフィック・モニタリングとファイル・システム・モニタリングの当該組み合わせが、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書に機密であるとラベル付けする機密性メタデータを生成し、該機密性メタデータをエンドポイントのローカル・メタデータ・ストアに保持する。
エンドポイント・トラフィック・モニタ142Aは、ネットワーク・トラフィック・モニタリングを実行する。デバイスのタイプに応じて、エンドポイント・トラフィック・モニタ142Aは、証明書ベースの認証を使用するVPNオンデマンドまたはアプリ毎のVPNのような仮想プライベート・ネットワーク(VPN)とすることができる。例えば、IOS(商標)デバイスに対しては、それは、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。ANDROID(商標) デバイスに対しては、それは、クラウド・ディレクタ・モバイル・アプリであり得る。WINDOWS(商標) デバイスに対しては、アプリ毎のVPNであり得、または、ドメイン・ベースのVPNプロファイルのセットであり得る。
ネットワーク・トラフィック・モニタリングは、クラウドベース・サービス(例えば、WORKDAY(商標)のURL618(例えば、https://www.workday.com)に対するユーザ602による要求(例えば、ウェブ・ブラウザのHTTP・GET要求)が受信されることから始まる。エンドポイント・トラフィック・モニタ142Aは、URL618を解析して、それが、機密リスト144Aにおいて機密事項を扱うと識別されたクラウドベース・サービスのうちの1つに属するかどうかを判定する。ブラウザ・アドオン・コンテキストでは、URLは直接受信され、分析の対象となる。これは、例えば、“www.domain.tld”とは別に、“subdomain.domain.tld”を扱うという、微妙な差別化を可能にするかも知れない。対照的に、安全なトンネル・エージェントの場合、機密性リスト144AのURLのDNS解決に一致するIPアドレス宛てのネットワーク・パッケットが識別される。従って、“subdomain.domain.tld”と“www.domain.tld”が同じネットワーク・アドレスを共有するならば、機密性リスト144Aが一方を識別し、他方を識別しなくても、両者は機密と見做されるのであろう。
幾つかの実施態様では、クラウドベース・ネットワーク・セキュリティ・システム135が、アプリケーション・シグネチャ生成を実行して、企業がクラウドベース・サービスを容易に記述する機密性リストを生成するのを支援する。シグネチャの生成には、クラウドベース・サービスのドメインの所定のリストを定期的にクロールすることが含まれる。クラウドベース・サービス毎に、アカウントやログインを必要としないクロールされたページによって参照されるURLが識別される。これは、一般に機密事項を扱うとは見做されないクラウドベース・サービスに使用されるURLの「ホワイトリスト」であり得る。同様に、所与のクラウドベース・サービスに対応するドメインと関連するURL形式のリストが提供され得る。これはURLの「ブラックリスト」になる。1つの実施態様では、ブラックリストは手動で維持される。従って、クラウドベース・サービスとの間のネットワーク・トラフィックをモニタリングするかどうかの決定は、以下のように、そのURL及び/または機密性リスト144A中にある署名に基づいてなされる。
第一に、HTTP要求からドメイン名とURLを抽出する。第二に、ドメイン名またはURLが機密性リスト144Aに記載されているか、または、企業識別子のバリエーションが含まれている場合(例えば、企業識別子が“netskope”または“exampleco”の場合、“hostedservice.com/netskope”または“exampleco.hostedservice.com”を探す。)、要求を機密事項を扱うクラウドベース・サービスに対する要求として扱う。幾つかの実施態様では、企業の管理者が管理インタフェースを介して、各クラウドベース・サービスで使用される企業固有のIDを識別できる。同様に、ドメイン名またはURLがホワイトリストに存在する場合は、要求をバイパスできる。
このアプローチは、関連するURLへのDLPポリシの適用を制限するためにサーバ側で使用することもできる。更に、幾つかの実施態様では、クローリング処理が、様々なクラウドベース・サービスのログイン・イベントに対応するURLのリストを識別する。このリストは、クラウド・ログイン・イベントの識別に役立つ。他の実施態様では、クラウドベース・サービスのオペレータが、機密性リスト144Aの規定及びホワイトリスト/ブラックリストの識別を支援するために、ネットワーク・セキュリティ・システム(NSS)135のオペレータに情報を提供することができる。
URL618が、(例えば、文字列パターン・マッチングに基づいて)機密性リスト144A内に見つかり、従って、機密事項を扱うクラウドベース・サービスWORKDAY(商標)608に属すると推測されたと考える。次に、URL618は、ネットワーク・セキュリティ・システム135に選択的にルーティングされる。機密性リスト144A中に見つからないURLに対しては、通常のホスト・オペレーティング・ルーティング・システムが適用される。
エンドポイント102Aと機密事項を扱うクラウドベース・サービス608との間に挿入されると、ネットワーク・セキュリティ・システム135は、ディープAPI検査(DAPII)を使用して、機密事項を扱うクラウドベース・サービス608とのユーザ・インタラクション605を追跡する。追跡されるユーザ・インタラクションの例としては、ログイン、文書の生成、文書の編集、文書のダウンロード、文書の共有、文書のアップロード、ログアウト等がある。特に、文書のダウンロードを伴うユーザ・インタラクションは、文書のダウンロードを開始するアプリケーション層トラフィックの解析によって追跡される。1つの実施態様では、アプリケーション層トラフィックが、アプリケーション・プログラミング・インタフェース(API)パラメータ文字列と、JavaScriptオブジェクト表記(JSON)、拡張マークアップ言語(XML)、シンプル・オブジェクト・アクセス・プロトコル(SOAP)、及びリプレゼンテーショナル・ステート・トランスファ(REST)等のデータ交換フォーマットを含むトランザクション・データでエンコードされる。トランザクション・データにより、ネットワーク・セキュリティ・システム135は、ユーザが機密事項を扱うクラウドベース・サービス608で実行しているアクションを、そのまま解釈することができる。従って、例えば、ネットワーク・セキュリティ・システム135は、カリフォルニア州サンフランシスコの午前10時に、営業部のユーザAが「全営業担当者の四半期販売目標」報告書のダウンロードを要求した組織を検出することができる。幾つかの実施態様では、ネットワーク・トラフィック・モニタリングのDAPII部分が、エンドポイント102Aにおいてクライアント側で実行される。
ネットワーク・トラフィック・モニタリングは、ファイル・システム・モニタ122Aによって実行されるファイル・システム・モニタリングによって補完される。文書628が機密事項を扱うクラウドベース・サービス608からエンドポイント102Aにダウンロードされると、ファイル・システム・ドライバ622Aは、ダウンロードされた文書638をエンドポイント102Aのメモリ・モジュール612Aに書き込むファイル書き込みシステム呼び出し625を発行し、新たに追加された文書(図6にグレー・ノードによって示される)を反映するためにファイル・システム614Aを更新する。ファイル・システム614Aの例は、ポータブル・オペレーティング・システム・インタフェース(POSIX)、ファイル配分表(FAT)システム、新技術ファイル・システム(NTFS)、ext2、ext3、ext4、ネットワーク・ファイル・システム(NFS)、サーバ・メッセージ・ブロック(SMB)、ISO 9660である。ファイル・システム・モニタ122Aは、ファイル書込みシステム呼び出し625を傍受し、ファイル・システム614Aに対するファイル・システム変更635を検出し、エンドポイント102Aに文書がダウンロードされたと推測する。
次に、文書分類器652Aは、(i)機密事項を扱うクラウドベース・サービス608から発信された文書628である(従って、機密データを含む可能性が高い)というネットワーク・トラフィック・モニタリングからの推測と、(ii)文書628がエンドポイント102Aにダウンロードされたというファイル・システム・モニタリングからの推測の組合せに基づいて、文書628を「機密」とラベル付けする。ローカル・メタデータ・ストア134Aは、文書628の固有チェックサム、フィンガープリント、及び/または、IDを機密性メタデータ・ラベル(例えば、原産地274:「機密」)に関連付けることにより、文書628の機密性を示すように更新される。これは、エンドポイント102Aまたはネットワーク・セキュリティ・システム135の何れにおいても、文書628がコンテンツに基づく分析なしに機密であると分類されるため、新規な機密性メタデータ生成と呼ばれる。
文書のラベルは機密性メタデータとして保存され、上述したように、機密性についてエンドポイント102Aの文書628をスキャンせずに、将来においてデータ取出要求及びエンドポイントDLPポリシの実施に対応するために使用される。
また、文書分類器652Aは、文書628にマーカーとして文書628に割り当てられた機密性メタデータ・ラベルを埋め込むことができる。これにより、下流のプロセスは、埋め込まれた機密性メタデータ・ラベルを見ることによって、文書628の機密性分類を簡単に識別することができる。ラベルは、文書の修正版またはコピー版に伝達される。
図7は、ダウンロード後に、エンドポイントにおいてダウンロードされた文書の修正またはコピーを検出することに応答して、機密性データが更新される場合700のDLPポリシの実施を例示する。ファイル・システム・モニタ122Aは、(例えば、ファイル編集システム呼び出し、ファイル修正システム呼び出し、ファイル・コピー・システム呼び出しを傍受することによって)ファイル・システム614Aへの変更に基づいてダウンロード後のダウンロードされた文書の修正またはコピーを検出し(702)、文書分類器652Aは、機密事項を扱うクラウドベース・サービス608を機密データのソースとして識別するラベルを添付することを含み、ダウンロードされた文書からの機密性メタデータ・ラベルを、修正またはコピーされた文書に添付し(712)、添付されたラベルでローカル・メタデータ・ストア134Aを更新する(715)。1つの実施例では、開示された技術には、ネットワーク上のアクティビティとアプリケーション・レベルのアクティビティとの関連付けが含まれる。ネットワーク・レベルのデータ・ストアは、人事(HR)アプリケーションとの関連性があること、また、文書ソースが人事アプリケーションであるため、文書の修正またはコピーには機密データが含まれ得ることを知っている。
図7の説明を続ける。エンドポイント・ポリシ・エンフォーサ132Aは、ダウンロード後に、ダウンロードされた文書の修正またはコピーを検出すること、修正またはコピーされた文書が機密であるとする機密性メタデータを生成すること、及び、修正またはコピーされた文書に対して生成された機密性メタデータによりローカル・メタデータ及び文書データ・ストア134Aを更新することに応答して、修正またはコピーされた文書の機密性を再評価する。即ち、エンドポイント・ポリシ・エンフォーサ132Aは、修正またはコピーされた文書の確証的分類のために、DLPサービスを起動し(768)、確証的な機密性分類を有する機密性メタデータ774を含むようにローカル・メタデータ・ストア134Aを更新する。機密ファイルのDLPメタデータは、将来のDLPポリシ実施782のために、クラウドベース・メタデータ・ストア185に格納される(778)。
クラウドベースの実施態様について説明したので、次に、オンプレミスの実施態様について説明する。
[オンプレミス環境]
図8は、オンプレミス環境800で動作する開示された技術の一実施態様を示す。図1ー7を使用してクラウドベース環境100に関して上述した実施態様は、幾つかの違いはあるが、オンプレミス環境800に対しても、同様に適用される。それらの内の主要なものとして、文書が、クラウドベース・サービス128ではなく、オンプレミス文書リポジトリ828(例えば、ネットワークにマウントされたファイル・サーバ)に格納されること、エンドポイント802A~Zが、パブリック・ネットワーク115を介して遠隔操作することができるのではなく、オンプレミス・ネットワーク815の範囲内でオンプレミス805であること、エンドポイント802A~Zとオンプレミス文書リポジトリ828との間の通信が、クラウドベース・ネットワーク・セキュリティ・システム135によってではなく、オンプレミス・ネットワーク・セキュリティ・システム835によって変調されること、機密性メタデータが、クラウドベース・メタデータ・ストア145ではなく、オンプレミス・メタデータ・ストア845に先見的に格納されること、検査サービス855が、ネットワーク・ファイル・システム・スキャナを使用してオンプレミス文書リポジトリ828をインタフェース及びクロールすること、及び、機密性スキャンが、オンプレミス・コンテンツ機密性スキャナ865によって実行されることが挙げられる。
実行可能な限りにおいて、エンドポイント802A~Z、ローカル・アンカー・パターン・スキャナ812A~Z、ファイル・システム・モニタ822A~Z、エンドポイント・ポリシ・エンフォーサ832A~Z、エンドポイント・トラフィック・モニタ842A~Z、ローカル・メタデータ・ストア834A~Z、機密性リスト844A~Z、検査サービス855、オンプレミス・コンテンツ機密性スキャナ865、構成サービス875、及び、イベント・サービス885等の、図8の特定の要素は、図1-7の対応する要素と同様または類似の機能を示す。
[コンピュータ・システム]
図9は、開示された技術を実施するために使用できるコンピュータ・システム900の簡略ブロック図である。コンピュータ・システム900がバス・サブシステム955を介して幾つかの周辺装置と通信する少なくとも1つの中央演算処理装置(CPU)972を含む。これらの周辺装置が例えば、メモリ装置及びファイル・ストレージ・サブシステム936を含むストレージ・サブシステム910、ユーザ・インタフェース入力装置938、ユーザ・インタフェース出力装置976、及びネットワーク・インタフェース・サブシステム974を含むことができる。入力及び出力装置は、コンピュータ・システム900とのユーザ・インタラクションを可能にする。ネットワーク・インタフェース・サブシステム974が他のコンピュータ・システム内の対応するインタフェース装置へのインタフェースを含む、外部ネットワークへのインタフェースを提供する。
一実施態様では、図1のクラウドベース・ネットワーク・セキュリティ・システム(NSS)135、または、図8のオンプレミス・ネットワーク・セキュリティ・システム(NSS)835が、記憶サブシステム910及びユーザ・インタフェース入力デバイス938に通信可能にリンクされる。
ユーザ・インタフェース入力装置938はキーボード、マウス、トラックボール、タッチパッド、または、グラフィックス・タブレット等のポインティング・デバイス、スキャナ、ディスプレイに組み込まれたタッチ・スクリーン、音声認識システム及びマイクロフォン等のオーディオ入力装置、並びに他のタイプの入力装置を含むことができる。一般に、「入力装置」という用語の使用は、コンピュータ・システム900に情報を入力するための全ての可能なタイプの装置及び方法を含むことが意図される
ユーザ・インタフェース出力装置976は、ディスプレイ・サブシステム、プリンタ、ファックスマシン、または、オーディオ出力装置等の非視覚ディスプレイを含むことができる。ディスプレイ・サブシステムはLEDディスプレイ、陰極線管(CRT)、液晶ディスプレイ(LCD)等のフラットパネル装置、投影装置、または、可視画像を生成するための他の何らかのメカニズムを含むことができる。ディスプレイ・サブシステムはまた、オーディオ出力装置等の非視覚ディスプレイを提供することができる。一般に、「出力装置」という用語の使用はコンピュータ・システム900からユーザに、または別の機械もしくはコンピュータ・システムに情報を出力するための全ての可能なタイプの装置及び方法を含むことが意図される
ストレージ・サブシステム910は、本明細書で説明するモジュール及び方法の一部または全部の機能を提供するプログラミング及びデータ構造を記憶する。サブシステム978がグラフィックス処理装置(GPU)またはプログラマブル・ゲートアレイ(FPGA)とすることができる
ストレージ・サブシステム910で使用されるメモリ・サブシステム922は、プログラム実行中に命令及びデータを格納するためのメイン・ランダムアクセス・メモリ(RAM)932と、固定命令が格納される読み出し専用メモリ(ROM)934とを含む、幾つかのメモリを含むことができる。ファイル・ストレージ・サブシステム936は、プログラム及びデータファイルのための永続的ストレージを提供することができ、ハードディスク・ドライブ、関連するリムーバブル・メディアと共にフロッピー(商標)ディスク・ドライブ、CD-ROMドライブ、光ドライブ、または、リムーバブル・メディア・カートリッジを含むことができる。特定の実施態様の機能を実施するモジュールは、ストレージ・サブシステム910内のファイル・ストレージ・サブシステム936によって、またはプロセッサによってアクセス可能な他のマシン内に格納することができる
バス・サブシステム955は、コンピュータ・システム900の様々なコンポーネント及びサブシステムに、意図されたように互いに通信させるためのメカニズムを提供する。バス・サブシステム955は単一のバスとして概略的に示されているが、バス・サブシステムの他に採り得る実施態様は多数のバスを使用することができる
コンピュータ・システム900はパーソナル・コンピュータ、ポータブル・コンピュータ、ワーク・ステーション、コンピュータ端末、ネットワーク・コンピュータ、テレビ、サーバ、メインフレーム、広範囲に分散した一連の疎結合コンピュータ、または、任意の他のデータ処理システムもしくはユーザ・デバイスを含む様々なタイプのものとすることができる。コンピュータ及びネットワークの絶えず変化する性質のために、図9に示されるコンピュータ・システム900の説明は、本発明の好ましい実施形態を例示する目的のための特定の実施例としてのみ意図される。コンピュータ・システム900の多くの他の構成が図9に示されたコンピュータ・システムよりも多いまたは少ないコンポーネントを有することが可能である
[特定の実施態様]
開示された技術は、エンドポイントにおいてコンテンツ機密性スキャンを実行する必要なしに、エンドポイントにおいてデータ損失防止ポリシを実施することに関する。以下では、幾つかの特定の実施態様と特徴について説明する。
[小さいフットプリントのエンドポイント・データ損失防止(sf-EDLP)]
一実施態様では、エンドポイントでの機密性スキャンの実施を必要とせずに、エンドポイントでデータ損失防止ポリシを実施する開示されたコンピュータで実施する方法は、エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、及び、該エンドポイント・ポリシ・エンフォーサが、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類するために、該要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすることを含む。開示された方法は、また、文書に対するデータ取出要求を受信することに応答して、エンドポイント・ポリシ・エンフォーサが、クラウドベース・メタデータ・ストアから文書に対する機密性メタデータを取得することによって、文書の機密性を判定すること、及び、エンドポイント・ポリシ・エンフォーサが、エンドポイントにおいて文書の機密性スキャンを実行せずに、取得された機密性メタデータに基づいて、エンドポイントでデータ損失防止ポリシを実施することを含む。
開示された技術のこの方法及び他の実施態様は、以下の特徴及び/または開示された追加の方法に関連して説明された特徴の1または複数を含むことができる。簡潔にするために、本出願で開示される特徴の組み合わせは、個々に列挙されておらず、特徴の各基本セットとともに繰り返されていない。
幾つかの実施態様において、開示されたコンピュータで実施する方法は、取得された機密性メタデータが文書を機密として識別すると判定し、データ取出要求を阻止することを更に含む。他の実施態様では、別のセキュリティ・アクションが、データ取出要求を行う正当性をユーザに尋ねることを含む。
開示されたコンピュータで実施する方法の幾つかの実施態様は、取得された機密性メタデータが、文書を機密でないと識別すると判定し、データ取出要求の実現を許可することを更に含む。
開示されたコンピュータで実施する方法の一実施態様では、機密性メタデータが、文書がクラウドベース文書ストアに常駐している間に文書を検査した検査サービスによって生成されたデータを更に含む。
開示された方法の別の実施態様では、機密性メタデータが、文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、文書を検査した検査サービスによって生成されたデータを更に含む。
開示された方法の更に別の実施態様では、機密性メタデータが、マウントされたファイル・システムに文書が常駐している間に、文書を検査した検査サービスによって生成されたデータを含む。幾つかの開示された実施態様では、エンドポイント・ポリシ・エンフォーサがまず、ローカル・メタデータ・ストアから文書の機密性メタデータを取得し、ローカル・メタデータ・ストアで文書の機密性メタデータが使用可能でない場合は、クラウドベース・メタデータ・ストアから機密性メタデータを取得する。開示された方法は、文書に対し機密性メタデータが利用可能でない場合、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類し、アンカー・パターン・チェックで陽性と記録された文書を、ディープ・インスペクションに基づいて文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、且つ、確証的な機密性分類を識別する機密性メタデータを受信するエンドポイント上で動作するローカル・アンカー・パターン・スキャナを、エンドポイント・ポリシ・エンフォーサが起動することを更に含むことができる。ローカル・アンカー・パターン・スキャナが、アンカー・パターン・チェックに基づいて、文書を機密でないものとして予め分類すると、エンドポイント・ポリシ・エンフォーサはデータ取出要求の実現を許可する。開示された方法は、エンドポイントでの更なるデータ損失防止ポリシの実施のための確証的な機密性分類を識別する機密性メタデータを含むように、ローカル・メタデータ・ストアを更新することを更に含む。開示された方法の幾つかの実施態様は、また、確証的な機密性分類が受信されるまで、データ取出要求を保留にすることを含む。幾つかの実施態様には、エンドポイント・ポリシ・エンフォーサが、エンドポイントに追加された未検査文書の機密性分類のために、ローカル・アンカー・パターン・スキャナを起動し、エンドポイントでの更なるデータ損失防止ポリシ実施のための未検査文書の機密性分類を識別するために、ローカル・メタデータ・ストアを更新することが含まれる。
開示された方法の幾つかの実施態様は、エンドポイント・ポリシ・エンフォーサが、クラウドベース・メタデータ・ストアと定期的に同期されるエンドポイントにおける機密性メタデータのローカル・メタデータ・ストアにアクセスできることを含む。オンプレミス・ローカル・システムがオフラインであり、エンドポイントから非統制場所への文書内のデータをプッシュするためのデータ取出要求が受信された場合、エンドポイント・ポリシ・エンフォーサは、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類するために、該要求の前に予め生成された機密性メタデータを含むローカル・メタデータ・ストアにアクセスできる。この場合、文書のデータ取出要求を受信すると、エンドポイント・ポリシ・エンフォーサは、ローカル・メタデータ・ストアから文書の機密性メタデータを取得することによって文書の機密性を判定する。エンドポイント・ポリシ・エンフォーサが、取得した機密性メタデータに基づいて、エンドポイントで文書の機密性スキャンを実行せずに、エンドポイントでデータ損失防止ポリシを実施する。別のケースでは、エンドポイント・ポリシ・エンフォーサは、データ取出しを常にブロックまたは常に許可するために、設定可能な例外データ損失防止ポリシを適用する。更に別のケースでは、システムがオフラインのときにエンドポイント・アクションが要求されると、エンドポイント・ポリシ・エンフォーサは機密データの暗号化を実施する。更なるケースでは、機密性データが利用可能でないとき、オンプレミスシステムがオフラインであるときにエンドポイント・アクションが要求された場合に、機密データに情報権利管理(IRM)を適用することができる。
エンドポイントを介して文書内のデータのエクスフィルトレーションを制御する開示されたコンピュータで実施する方法の一実施態様は、エンドポイントにおいて、エンドポイントから非統制場所に文書内のデータをプッシュするであろうデータ取出イベントを検出することに応答して、クラウドベース・メタデータ・ストアにアクセスし、データ取出イベントに先立って予め生成された機密性メタデータを取得して、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類することと、取得された機密性メタデータに基づいて、エンドポイントにおいて機密性について文書をスキャンすることなく、エンドポイントにおいてデータ損失防止ポリシを実施することとを含む。
一実施態様では、エンドポイントでデータ損失防止ポリシを実施するための開示されたデバイスが、エンドポイントで保持され、文書のディープ・インスペクションに基づいて文書を機密または非機密として分類するために、予め生成された機密性メタデータをクラウドベース・メタデータ・ストアから定期的に受信するように構成されたローカル・メタデータ・ストアと、エンドポイント上で動作し、アンカー・パターン・チェックに基づいて文書を機密または非機密として予め分類するように構成され、アンカー・パターン・チェックで陽性と記録された文書を、ディープ・インスペクションに基づいて文書を機密または非機密として確証的に分類するクラウドベース機密性スキャナに送信し、確証的な機密性分類を識別する機密性メタデータを受信するローカル・アンカー・パターン・スキャナと、エンドポイントで動作し、ローカル・メタデータ・ストアの検索によって、引き続き、ローカル・メタデータ・ストアの検索では識別されない文書に対してはクラウドベース・メタデータ・ストアの検索によって、引き続き、ローカル・メタデータ・ストア及びクラウドベース・メタデータ・ストアの検索では識別されない文書のローカル・アンカー・パターン・スキャナによる事前の機密性分類によって、及び、引き続き、前記アンカー・パターン・チェックで陽性と記録された文書の前記クラウドベース機密性スキャナによる確証的な機密性分類によって、判定された文書の機密性に基づいて、前記エンドポイントから非統制場所へ文書のデータをプッシュするデータ取出要求に応答するように構成されたエンドポイント・ポリシ・エンフォーサと、を備える。
[新規な機密性メタデータの生成]
別の実施態様では、エンドポイントまたはサーバ側で機密性スキャンを実行する必要なく、データ損失防止ポリシをエンドポイントで実施する開示されたコンピュータで実施する方法は、機密事項を扱うとして識別されたクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせることを含む。該方法は、ネットワーク・トラフィック・モニタリングと、機密事項を扱うクラウドベース・サービスからエンドポイントにダウンロードされた文書を機密であるとしてラベル付けする機密性メタデータを生成し、該機密性メタデータをエンドポイントのローカル・メタデータ・ストアで持続化させるファイル・システム・モニタリングとの組み合わせも含む。更に、該方法は、エンドポイントから非統制場所に文書内のデータをプッシュするであろうエンドポイントでのデータ取出イベントの検出に応答して、エンドポイントにおいて機密性について該文書をスキャンせずに、ローカル・メタデータ・ストア内の該文書の機密性メタデータの検索に基づいて、該文書を機密であると判定し、その判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することを含む。幾つかのケースでは、機密性メタデータは、機密事項を扱うクラウドベース・サービスを、エンドポイントでダウンロードされた文書のソースとして更にラベル付けする。開示された方法は、ダウンロード後にダウンロードされた文書の修正またはコピーを検出することに応答して、機密事項を扱うクラウドベース・サービスをソースとして識別する機密性メタデータ・ラベルを添付することと、ローカル・メタデータ・ストアを添付物と共に更新することとを含んで、機密性メタデータ・ラベルをダウンロードされた文書から修正またはコピーされた文書に添付することを更に含む。1つのケースでは、修正された文書は、コンピュータ支援設計(CAD)ファイルからPDFに変更された文書、または、PDFとして保存されたスプレッドシート、或いは、元の機密文書から生成された他の文書であり得る。
開示された方法の一実施態様は、ダウンロード後のダウンロードされた文書の修正またはコピーの検出に応答して、修正またはコピーされた文書の機密性を再評価し、修正またはコピーされた文書を機密であるとラベル付けする機密性メタデータを生成し、修正またはコピーされた文書に対して生成された機密性メタデータでローカル・メタデータ・ストアを更新することを更に含む。開示された方法は、エンドポイントにおいて、エンドポイントから非統制場所に修正またはコピーされた文書内のデータをプッシュするであろうデータ取出イベントを検出することに応答して、ローカル・メタデータ・ストア内の修正またはコピーされた文書の機密性メタデータを検索することに基づいて、且つ、エンドポイントにおいて機密性について修正またはコピーされた文書をスキャンすることなく、修正またはコピーされた文書が機密であると判定することと、該判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することとを、更に含むことができる。幾つかのケースでは、開示された方法は、ダウンロードされた文書に機密性メタデータを埋め込むことを更に含む。
開示されたコンピュータで実施する方法の別の実施態様はエンドポイントにおいて、文書内のデータを非統制場所にプッシュするデータ取出イベントを検出することに応答して、文書内に埋め込まれた機密性メタデータに基づいて、且つ、エンドポイントにおいて機密性について文書をスキャンせずに、文書が機密であると判定し、その判定に基づいてエンドポイントにおいてデータ損失防止ポリシを実施することを含む。
他の実施態様では、エンドポイント・トラフィック・モニタとファイル・システム・モニタの組合せは、SMB、NFS、FTP、HTTP、及び、HTTPS等のファイル転送に使用される一般的なプロトコルで発行されたファイル・システム呼び出しを解釈できる。それらは、ネットワーク上のマウントされたドライブ(NFS、SMB等)、ファイル・システム上のマウント・ポイント、または、サーバのドメイン名等、ファイルが書き込まれた元を識別して保存できる。一実施態様で、それらは、ファイルのオリジナルのファイル・タイプまたはフォーマットを継承メタデータとして識別して保存できる。親ファイルとは異なるファイル・タイプまたは形式で保存された子ファイルは、継承メタデータの形式で親ファイルのメタデータのサブセットを継承する。一緒にすると、該由来によって、データ・ソース、親ファイル、ユーザ、またはユーザ・グループの情報を識別できる。更に別の実施態様では、ファイルまたは文書がエンドポイントで局所的に作成されると、斯かるファイルに対してDLPスキャンを実行するかどうかは、ファイルの起点と、起点が機密であるかどうかによって決め得る。
エンドポイントにおいて機密性スキャンを実行する必要なくエンドポイントにおいてデータ損失防止ポリシを実施するためのデバイスの開示された実施態様は、エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信し、文書のディープ・インスペクションに基づいて、文書を機密または非機密として分類する要求に先立って予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアへアクセスし、クラウドベース・メタデータ・ストア内の文書に対する機密性メタデータを検索することに基づいて、エンドポイントにおいて文書の機密性スキャンを実行することなく、文書の機密性を判定することにより、文書に対するデータ取出要求に応答し、該判定に基づいて、エンドポイントにおいてデータ損失防止ポリシを実施するエンドポイント上で動作するエンドポイント・ポリシ・エンフォーサを含む。
別の実施態様では、開示されたシステムが、メモリに結合された1以上のプロセッサを含み、該メモリはコンピュータ命令を備え、該命令はプロセッサ上で実行されると、上述の開示された方法のアクションを実施する。
更に別の実施態様では、プロセッサ上で実行されると、上述の開示された方法を実施するコンピュータ・プログラム命令を記憶した、有形の非一時的コンピュータ可読記憶媒体が、開示される。
開示される技術は、システム、方法、デバイス、または製品として実施することができる。実施態様の1以上の特徴は、基本実施態様と組み合わせることができる。相互に排他的でない実施態様は、組み合わせ可能であると教示される。実施態様の1以上の特徴は、他の実施態様と組み合わせることができる。本開示は、これらのオプションをユーザに定期的に想起させる。これらのオプションを繰り返す記述の幾つかの実施態様からの省略は、これまでのセクションで教示された組み合わせを限定するものとして解釈されるべきではない。これらの記載は、以下の実施態様のそれぞれに参考として援用される
開示された技術は、上記で詳述された好ましい実施形態及び実施例を参照することによって開示されるが、これらの実施例は、限定的な意味ではなく、例示的な意味で意図されていると理解されるべきである。当業者であれば、開示された技術の改変及び組み合わせが容易に想起され、これらの改変及び組み合わせは、本発明の精神及び以下の特許請求の範囲の範囲内にあると考えられる。

Claims (13)

  1. エンドポイントでのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータで実施する方法であって、
    前記エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、前記エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、
    前記エンドポイント・ポリシ・エンフォーサが、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類するために、前記要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすること、
    前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアと定期的に同期される前記エンドポイントにおける前記機密性メタデータのローカル・メタデータ・ストアにアクセスできること、
    文書に対するデータ取出要求を受信することに応答して、前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアから前記文書に対する前記機密性メタデータを取得することによって、前記文書の機密性を判定すること、及び、
    前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントにおいて前記文書のコンテンツ機密性スキャンを実行せずに、取得された前記機密性メタデータに基づいて、前記エンドポイントでデータ損失防止ポリシを実施することを、含む方法。
  2. 取得された前記機密性メタデータが前記文書を機密として識別すると判定し、前記データ取出要求を阻止することを更に含む請求項1に記載のコンピュータで実施する方法。
  3. 取得された前記機密性メタデータが前記文書を機密でないと識別すると判定し、前記データ取出要求の実現を許可することを更に含む請求項1または2に記載のコンピュータで実施する方法。
  4. 前記機密性メタデータが、前記文書がクラウドベース文書ストアに常駐している間に前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1~3の何れか1項に記載のコンピュータで実施する方法。
  5. 前記機密性メタデータが、前記文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1~4の何れか1項に記載のコンピュータで実施する方法。
  6. 前記機密性メタデータが、マウントされたファイル・システムに前記文書が常駐している間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1~5の何れか1項に記載のコンピュータで実施する方法。
  7. 前記エンドポイント・ポリシ・エンフォーサが、まず、前記ローカル・メタデータ・ストアから前記文書の前記機密性メタデータを取得し、前記ローカル・メタデータ・ストアで前記文書の前記機密性メタデータが使用可能でない場合は、前記クラウドベース・メタデータ・ストアから前記機密性メタデータを取得する請求項1~の何れか1項に記載のコンピュータで実施する方法。
  8. 前記文書に対し機密性メタデータが利用可能でない場合、前記エンドポイント・ポリシ・エンフォーサが、
    前記エンドポイント上で動作するローカル・アンカー・パターン・スキャナであって、
    アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類し、且つ、前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信する前記ローカル・アンカー・パターン・スキャナを、起動し、
    前記エンドポイント・ポリシ・エンフォーサが、前記確証的な機密性分類を識別する機密性メタデータを受信することを更に含む請求項1~の何れか1項に記載のコンピュータで実施する方法。
  9. 前記ローカル・アンカー・パターン・スキャナが、前記アンカー・パターン・チェックに基づいて、前記文書を機密でないものとして予め分類した場合、前記データ取出要求の実現を許可することを更に含む請求項に記載のコンピュータで実施する方法。
  10. 前記エンドポイントでの更なるデータ損失防止ポリシの実施のための前記確証的な機密性分類を識別する前記機密性メタデータを含むように、前記ローカル・メタデータ・ストアを更新することを更に含む請求項8または9に記載のコンピュータで実施する方法。
  11. 前記確証的な機密性分類が受信されるまで、前記データ取出要求を保留にすることを更に含む請求項~1の何れか1項に記載のコンピュータで実施する方法。
  12. 前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントに追加された未検査文書の機密性分類のために、前記ローカル・アンカー・パターン・スキャナを起動し、前記エンドポイントでの更なるデータ損失防止ポリシ実施のための前記未検査文書の前記機密性分類を識別するために、前記ローカル・メタデータ・ストアを更新することを更に含む請求項~1の何れか1項に記載のコンピュータで実施する方法。
  13. エンドポイントでデータ損失防止ポリシを実施するデバイスであって、
    前記エンドポイントで保持され、文書を機密または非機密として前記文書のディープ・インスペクションに基づいて分類するために、予め生成された機密性メタデータをクラウドベース・メタデータ・ストアから定期的に受信するように構成されたローカル・メタデータ・ストアと、
    前記エンドポイント上で動作し、アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類し、前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信するように構成されたローカル・アンカー・パターン・スキャナと、
    前記エンドポイントで動作し、
    前記ローカル・メタデータ・ストアの検索によって、
    引き続き、前記ローカル・メタデータ・ストアの前記検索では識別されない文書に対して前記クラウドベース・メタデータ・ストアの検索によって、
    引き続き、前記ローカル・メタデータ・ストア及び前記クラウドベース・メタデータ・ストアの前記検索では識別されない文書の前記ローカル・アンカー・パターン・スキャナによる事前の機密性分類によって、及び、
    引き続き、前記アンカー・パターン・チェックで陽性と記録された文書の前記クラウドベース・コンテンツ機密性スキャナによる確証的な機密性分類であって、前記クラウドベース・コンテンツ機密性スキャナから受信する機密性メタデータにより識別される前記確証的な機密性分類によって、判定された前記文書の機密性に基づいて、前記エンドポイントから非統制場所へ前記文書内のデータをプッシュするデータ取出要求に応答するように構成されたエンドポイント・ポリシ・エンフォーサと、
    を備えるデバイス。
JP2020565464A 2018-05-23 2019-05-10 小さいフットプリントのエンドポイント・データ損失防止(dlp) Active JP7402183B2 (ja)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201862675692P 2018-05-23 2018-05-23
US62/675,692 2018-05-23
US16/000,132 2018-06-05
US16/000,132 US10291657B2 (en) 2016-03-11 2018-06-05 Metadata-based data loss prevention (DLP) for cloud storage
US16/408,215 US11425169B2 (en) 2016-03-11 2019-05-09 Small-footprint endpoint data loss prevention (DLP)
US16/408,215 2019-05-09
PCT/US2019/031867 WO2019226363A1 (en) 2018-05-23 2019-05-10 Small-footprint endpoint data loss prevention (dlp)

Publications (2)

Publication Number Publication Date
JP2021525418A JP2021525418A (ja) 2021-09-24
JP7402183B2 true JP7402183B2 (ja) 2023-12-20

Family

ID=66676910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2020565464A Active JP7402183B2 (ja) 2018-05-23 2019-05-10 小さいフットプリントのエンドポイント・データ損失防止(dlp)

Country Status (3)

Country Link
EP (1) EP3797501A1 (ja)
JP (1) JP7402183B2 (ja)
WO (1) WO2019226363A1 (ja)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10826940B2 (en) 2016-03-11 2020-11-03 Netskope, Inc. Systems and methods of enforcing multi-part policies on data-deficient transactions of cloud computing services
US11403418B2 (en) 2018-08-30 2022-08-02 Netskope, Inc. Enriching document metadata using contextual information
US11425169B2 (en) 2016-03-11 2022-08-23 Netskope, Inc. Small-footprint endpoint data loss prevention (DLP)
US11405423B2 (en) 2016-03-11 2022-08-02 Netskope, Inc. Metadata-based data loss prevention (DLP) for cloud resources
US10270788B2 (en) 2016-06-06 2019-04-23 Netskope, Inc. Machine learning based anomaly detection
US11087179B2 (en) 2018-12-19 2021-08-10 Netskope, Inc. Multi-label classification of text documents
US11416641B2 (en) 2019-01-24 2022-08-16 Netskope, Inc. Incident-driven introspection for data loss prevention
KR102375145B1 (ko) 2020-05-07 2022-03-16 (주) 씨이랩 비디오 데이터 통합 분석 및 관리 시스템
US11568067B2 (en) * 2020-09-21 2023-01-31 Sap Se Smart direct access
US11316741B1 (en) 2020-11-23 2022-04-26 Netskope, Inc. Multi-environment networking management system
US11463362B2 (en) 2021-01-29 2022-10-04 Netskope, Inc. Dynamic token bucket method adaptive to opaque server limits
US11271953B1 (en) 2021-01-29 2022-03-08 Netskope, Inc. Dynamic power user identification and isolation for managing SLA guarantees
US12015619B2 (en) 2021-01-30 2024-06-18 Netskope, Inc. Dynamic routing of access request streams in a unified policy enforcement system
US11159576B1 (en) 2021-01-30 2021-10-26 Netskope, Inc. Unified policy enforcement management in the cloud
US11848949B2 (en) 2021-01-30 2023-12-19 Netskope, Inc. Dynamic distribution of unified policies in a cloud-based policy enforcement system
US11777993B2 (en) 2021-01-30 2023-10-03 Netskope, Inc. Unified system for detecting policy enforcement issues in a cloud-based environment
US11310282B1 (en) 2021-05-20 2022-04-19 Netskope, Inc. Scoring confidence in user compliance with an organization's security policies
US11481709B1 (en) 2021-05-20 2022-10-25 Netskope, Inc. Calibrating user confidence in compliance with an organization's security policies
US11444951B1 (en) 2021-05-20 2022-09-13 Netskope, Inc. Reducing false detection of anomalous user behavior on a computer network
US11336689B1 (en) 2021-09-14 2022-05-17 Netskope, Inc. Detecting phishing websites via a machine learning-based system using URL feature hashes, HTML encodings and embedded images of content pages
US11438377B1 (en) 2021-09-14 2022-09-06 Netskope, Inc. Machine learning-based systems and methods of using URLs and HTML encodings for detecting phishing websites
US11444978B1 (en) 2021-09-14 2022-09-13 Netskope, Inc. Machine learning-based system for detecting phishing websites using the URLS, word encodings and images of content pages

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011521A (ja) 2005-06-29 2007-01-18 Matsushita Electric Ind Co Ltd 情報漏洩防止システム、情報漏洩防止サーバ、情報漏洩防止端末及び情報漏洩防止方法
JP2013120559A (ja) 2011-12-08 2013-06-17 Canon Marketing Japan Inc 情報処理システム、情報処理方法、プログラム
JP2013131046A (ja) 2011-12-21 2013-07-04 Sharp Corp 認証システム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9069992B1 (en) * 2009-07-31 2015-06-30 Symantec Corporation System and method for reducing data loss prevention scans
US8127365B1 (en) * 2009-11-16 2012-02-28 Trend Micro Incorporated Origination-based content protection for computer systems
US9398102B2 (en) 2013-03-06 2016-07-19 Netskope, Inc. Security for network delivered services
US10114966B2 (en) 2015-03-19 2018-10-30 Netskope, Inc. Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS)
US10826940B2 (en) * 2016-03-11 2020-11-03 Netskope, Inc. Systems and methods of enforcing multi-part policies on data-deficient transactions of cloud computing services

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007011521A (ja) 2005-06-29 2007-01-18 Matsushita Electric Ind Co Ltd 情報漏洩防止システム、情報漏洩防止サーバ、情報漏洩防止端末及び情報漏洩防止方法
JP2013120559A (ja) 2011-12-08 2013-06-17 Canon Marketing Japan Inc 情報処理システム、情報処理方法、プログラム
JP2013131046A (ja) 2011-12-21 2013-07-04 Sharp Corp 認証システム

Also Published As

Publication number Publication date
WO2019226363A9 (en) 2020-07-23
EP3797501A1 (en) 2021-03-31
JP2021525418A (ja) 2021-09-24
WO2019226363A1 (en) 2019-11-28

Similar Documents

Publication Publication Date Title
JP7402183B2 (ja) 小さいフットプリントのエンドポイント・データ損失防止(dlp)
US11985170B2 (en) Endpoint data loss prevention (DLP)
US10812531B2 (en) Metadata-based cloud security
US10614233B2 (en) Managing access to documents with a file monitor
US11178112B2 (en) Enforcing security policies on client-side generated content in cloud application communications
US9542563B2 (en) Accessing protected content for archiving
RU2573760C2 (ru) Служба репутации контента на основе декларации
US11856022B2 (en) Metadata-based detection and prevention of phishing attacks
US20230076870A1 (en) Protections for sensitive content items in a content management system
Begum et al. Sandbox security model for Hadoop file system
US11880482B2 (en) Secure smart containers for controlling access to data
US20230205897A1 (en) Application groups for enforcing data transfer controls
WO2023129805A1 (en) Application groups for enforcing data transfer controls
CN117917043A (zh) 凭证输入检测和威胁分析

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210122

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20220413

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20230428

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230509

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230718

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20231026

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20231205

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20231208

R150 Certificate of patent or registration of utility model

Ref document number: 7402183

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150