SymantecDLPの機能と検証内容メモ
Symantec DLP(エンドポイント DLP)機能概要
Symantec のエンドポイント DLP(Endpoint DLP)は、PC やノート PC などの「エンドポイント上」でのデータ利用や移動を包括的に監視・制御できる。エンドユーザーによるデータ漏えい(USB コピー、印刷、Web アップロードなど)を未然に防止できる。
主な機能
-
クラウドベースの一元管理
Endpoint DLP はクラウドサービスとして提供されており、新規オンプレミス環境の構築不要。Symantec Integrated Cyber Defense Manager を使ってポリシー作成、インシデント対応、リスクレポートの管理が可能。マルチテナンシーや RBAC(ロールベースアクセス制御)にも対応。
参考: Symantec Endpoint Data Loss Prevention(Broadcom TechDocs) -
統合エージェントによる展開と更新の簡略化
Endpoint DLP と Endpoint Security の機能を単一エージェントで提供。Live Update によりエージェントは自動更新され、常に最新状態を維持可能。
参考: Symantec Endpoint Data Loss Prevention(Broadcom TechDocs) -
エンドポイント全体に対する高精度な可視性
エンドポイント上のメール、クラウドアプリ、ネットワーク通信、リムーバブルメディア、印刷など、多様なチャネルでのデータ漏えいを高精度に検出・防止できる。
参考: Symantec Endpoint Data Loss Prevention(Broadcom TechDocs) -
Endpoint Discover と Endpoint Prevent のモジュール構成
単一の軽量エージェントでエンドポイント上の データ発見(Discover) および データ送出防止(Prevent) の両方を実現することが可能。
参考: Symantec DLP Product Brief(Broadcom) -
最新の OS/機能サポート
Windows 11 の HVCI(Hypervisor-protected Code Integrity)モードを有効化した環境も含め、エンドポイント上でのモニタリングが可能。
参考: Endpoint Features in Data Loss Prevention 16.0(TechDocs)
Symantec DLP(エンドポイント DLP)検証チェックリスト
| No | カテゴリ | 検証項目 | 期待結果 | 結果 |
|---|---|---|---|---|
| 1 | Tera Term | SCP/SFTPで秘密情報を含むファイル送信 | 転送時にDLPが検知/制御される | □ |
| クリップボード貼付けで秘密情報送信 | 転送時にDLPが検知される | □ | ||
| 2 | WinSCP | GUIで秘密情報をアップロード | 転送時に検知/制御される | □ |
| ドラッグ&ドロップでアップロード | 転送時に検知/制御される | □ | ||
| 3 | Python | APIキーをHTTP送信(requestsモジュール) | 転送時に検知される | □ |
| 4 | Pip | requirements.txtにAPIキー等を含む状態で外部送信 | 転送時に検知される | □ |
| 5 | WSL2 | scpで外部に送信 | 転送時に検知される | □ |
| 6 | Windows Terminal | シェル経由で外部サービスに秘密情報を送信 | 転送時に検知される | □ |
| 7 | コマンドプロンプト | ftp/tftpで外部送信 | 転送時に検知される | □ |
| 8 | PowerShell | Invoke-WebRequest/Invoke-RestMethodで秘密情報送信 | 転送時に検知される | □ |
| スクリプト(ps1)実行で外部送信 | 転送時に検知される | □ | ||
| 9 | クリップボード | AVDセッション⇔外部アプリ間で秘密情報をペースト | 転送時に検知される | □ |
Symantec DLPのUEBA 機能概要
Symantec DLP(Data Loss Prevention)では、UEBA 機能と組み合わせることで、ユーザーやエンティティの行動をベースにしてリスクを検出し、アラートの優先順位付けや対応を効率化できる。
主な特徴
リスクベースの対応
Symantec Information-Centric Analytics(ICA)は機械学習を活用し、ユーザーの通常行動を継続的にベースライン化。異常行動があればリスクスコアを付与し、優先的に対応すべき警告を絞り込むことが可能。
参考: Symantec DLP Core Solution Brief(TD SYNNEX)
参考: Broadcom TechDocs - Information Centric Analytics Simplifying DLP Policy Enforcement
参考: Security.com - Two Keys to Zero Trust
参考: Symantec DLP Core Solution Brief(TD SYNNEX)
参考: Broadcom TechDocs - Information Centric Analytics Simplifying DLP Policy Enforcement
参考: Security.com - Two Keys to Zero Trust
異常な行動の検知
誤検知(false positive)の削減
グループや役割に基づいた比較により、正当な業務行動との区別を支援し、誤検知を排除することが可能。
参考: Broadcom TechDocs
参考: Broadcom TechDocs
DLP 警告の優先度付け
多くのアラートから、より高リスクなものを優先的に通知・対応し、運用効率を向上させることができる。
参考: Broadcom TechDocs
参考: Broadcom TechDocs
Symantec DLP ・UEBA 検証チェックリスト
| No | 検証内容 | 実施操作 | 確認ポイント | 結果 |
|---|---|---|---|---|
| 1 | 正常行動(誤検知しないか) | 日中に業務用ファイルを数件コピー | リスクスコアが上がらず、アラート発生しないこと | □ |
| 2 | 異常行動(大量持ち出し検知) | USB に数百ファイルコピー | リスクスコアが急上昇し、アラートが「高」になっていること | □ |
| 3 | 深夜の異常行動 | 夜間にクラウド(例: SharePoint)へ大量アップロード | 「通常時間外」と判定され、リスクスコアが上がること | □ |
| 4 | 部署/役割の差異による判定 | 開発ユーザー vs 営業ユーザーで同じ大容量コピーを実施 | 開発部門=通常行動、営業部門=異常行動と差別化されること | □ |
| 5 | DLP アラート優先順位付け | 複数アラートを発生させる(小規模違反+大規模違反) | UEBAにより高リスクアラートが優先表示されること | □ |
| 6 | 誤検知削減 | 開発部門ユーザーが日常的に行う大量処理 | アラートが「正常行動」として抑制されていること | □ |
| 7 | 可視化・ダッシュボード確認 | ICA ダッシュボードでユーザー行動を表示 | リスクユーザーランキングや時系列表示が正しく出ていること | □ |