電子メールデータ保護ポリシーが期待通りに動作しない。
search cancel

電子メールデータ保護ポリシーが期待通りに動作しない。

book

Article ID: 256762

calendar_today

Updated On:

Products

Email Security.cloud

Issue/Introduction

Email Security.cloudでデータ保護ポリシーを作成しても、特定の電子メールに対して期待されるルールがトリガされない。

Cause

多くの場合はルール内の条件にある問題に起因して発生します。しかし、特にテスト時はデータ自体が要因となることがあります。

Resolution

データ保護の非検知

データ保護で検知されない原因として、以下のようなケースが考えられます。

 

変更の伝搬時間

変更が伝搬するまでに1時間程度を要します。サンプルメールの送信日時とデータ保護ルールの最終更新の日時を比較してください。

グローバルルール

もしルールがグローバルレベルで設定されている場合、ドメインがグローバルとカスタムのどちらになっているか確認してください。

管理者アドレス

  • データ保護の管理者アドレスは電子メール偽装制御を含むすべてのルールから除外されます。
  • これには設定内のデフォルト管理者アドレスやあらゆるデータ保護ポリシーでのカスタム管理者アドレスも含まれます。

添付ファイルの条件と電子メールの条件

  • MIMEタイプを利用するとき、通常は電子メールのMIMEタイプではなく添付ファイルのMIMEタイプを使用します。
  • 電子メールサイズはすべての添付ファイルを含んだ電子メールがMIMEエンコードされているため、サイズが大きくなります。
    8MBの添付ファイルのある電子メールは、10MBより大きい電子メールサイズという条件にてトリガーされることがあります。
  • 添付ファイルのサイズはそれぞれの添付ファイルごとにチェックされます。
    10MBより大きい添付ファイルという条件は、2MBの添付ファイルが10個あった場合にはトリガされません。

テンプレート内の数字の羅列

  • テンプレート内に数字の羅列を含んでいる場合、クレジットカード番号と判定されることがあります。
  • クレジットカード番号は Luhnアルゴリズム (様々な識別番号の認証に使われるチェックサム方式) を通る必要があります。
  • 番号が通るかの確認には Creditcardity.com を使います。

無効なSSN(社会保障番号)

  • (3,2,4) の数字のグループのいずれかがすべてゼロになっている。
    例.  000 XX XXXX, XXX 00 XXXX, XXX XX 0000
  • 666 または 900-999 で始まるあらゆる番号になっている。
    例. 666 XX XXXX, 9XX XX XXXX

特殊文字使用時における不完全なキーワード検索

  • 英数字のみのコンテンツに対して特殊文字をデリミタとして使用している。
    例. confidential というキーワード検索は (confidential) に対してトリガーされます。
  • キーワードが特殊文字を使用していると、特殊文字はデリミタとしては機能しなくなります。
    例. IPアドレスや電子メールアドレスを電子メールヘッダ内で検索しようとするときに問題になります。
  • ヘッダー内の *@example.com という文字に対するキーワード検索ではトリガーされません。ヘッダー内のIPアドレスや電子メールアドレスはカッコや引用符に囲まれます。この場合のキーワード検索では、最後の文字として一つまたは複数のワイルドカードを使う必要があります。
    • *192.0.2.1* または ?192.0.2.1?
    • *@example.com? または *@example.com*

PDFの非検知

  • もしPDF内のコンテンツに対して非検知が報告された場合、そのドキュメントはスキャナーにより作成した可能性があり、そのスキャナーはイメージ限定のバージョンで作成した可能性があります。これをテストするには Ctrl+A を押してすべてを選択し Ctrl+Cでコピーします。次に、CTRL+Vでテキストエディタ―に貼りつけ合致しないものを見つけます。 Foxit PDF Reader を使っている場合は、View タブの下の Text Viewerを選択できます。

データ保護の誤検知

誤検知により期待しないメールに対してトリガされます。一般的には意図していないもので、コンテンツに正しくマッチしてしまうことがあります。例えば、以下のような場合です。

  • X-MICROSOFT-CDO-OWNERAPPTID:205043913 これは OUTLOOK会議のインビテーションですが、SSN(社会保障番号)にマッチします。
  • https://www.example.com/MANDATORY/photos/a.251564004947905.47255.205523986218574/371449635398431/?type=1 これは電子メール内のURLですが、クレジットカードとマッチします。

これらのようにシステムとしては正しくマッチしている場合は、発生を防ぐことは難しいです。誤検知の防止を助ける方法として、ルールに2つ目の条件として関連するキーワードの一致も加えることがあります。

  • SSN Keywords  これらについては、SSN, Social Security, SS#を2つ目の条件とします。
  • Credit Card Keywords これらについては、CC, Visa, MC, Amex, Credit Card を2つ目の条件とします。

PDFの誤検知

  • もしPDFのコンテンツで誤検知が報告された場合、スキャナーを使用した OCR(Optical Character Recognition) により作成されたドキュメントであった可能性があります。この場合、文字化けしたテキストが生成されることがあり、PDFリーダーで開かれたドキュメントから読み取られたテキストがキーワードリストにマッチしてしまうことがあります。これをテストするには、Ctrl+A ですべてを選択、Ctrl+C でコピーし、Ctrl+V でテキストエディターに貼り付け、該当するテキストをサーチすることができます。 Foxit PDF Readerを使用する場合、View Tab より Text Viewer を選択することでも参照できます。

 

Powered by Wolken Software