2.10.4 持ち込みチェックと持ち出しチェックの条件
エージェントを導入しているコンピュータに持ち込まれたファイルを検知した場合、そのファイルを不審操作検知の監視対象とするかどうか持ち込みチェックをします。また、ファイルが持ち出された(コピー、送信など)と検知した場合、そのファイルを不審操作検知の監視対象とするかどうか持ち出しチェックをします。持ち込みチェック、持ち出しチェックの条件をそれぞれ次の表に示します。
持ち込みチェック条件
|
操作ログ取得項目 |
持ち込みチェック |
|---|---|
|
ファイルコピー |
△※1 |
|
ファイル移動 |
△※1 |
|
ファイル名称変更 |
△※1 |
|
ファイル作成 |
○ |
|
ファイル削除 |
△※1 |
|
ファイルアップロード |
△※1※2 |
|
ファイルダウンロード |
△※3 |
|
ファイル送信 |
△※1 |
|
ファイル受信 |
△※3 |
|
メール送信(添付ファイル付き) |
△※1 |
|
メール受信(添付ファイル付き) |
△※3 |
|
添付ファイル保存 |
△※1 |
|
印刷 |
× |
(凡例)○:持ち込みと見なす △:条件によっては持ち込みと見なす ×:持ち込みと見なさない
注※1 ローカルドライブ、リモートドライブ、RAMドライブ、またドライブ情報が取得できない場合、持ち込みと見なします。また、リムーバブルドライブ、CD-ROMドライブの場合、持ち込みと見なしません。
注※2 Internet Explorer 10、11からアップロードされたファイルは持ち込みと見なしません。
注※3 監視対象に合致する、またはすべての条件に合致しない場合、持ち込みと見なします。
持ち出しチェック条件
|
操作ログ取得項目 |
持ち出しチェック |
|---|---|
|
ファイルコピー |
△※1 |
|
ファイル移動 |
△※1 |
|
ファイル名称変更 |
× |
|
ファイル作成 |
△※2 |
|
ファイル削除 |
× |
|
ファイルアップロード |
△※3、※4、※5 |
|
ファイルダウンロード |
△※6 |
|
ファイル送信 |
△※3 |
|
ファイル受信 |
△※6 |
|
メール送信(添付ファイル付き) |
△※3 |
|
メール受信(添付ファイル付き) |
× |
|
添付ファイル保存 |
△※6 |
|
印刷 |
× |
(凡例)△:条件によっては持ち出しと見なす ×:持ち出しと見なさない
注※1 条件については、以降の「ファイルコピー、移動の持ち出しチェック条件」の表を参照してください。
注※2 条件については、以降の「ファイル作成操作の持ち出しチェック条件」の表を参照してください。
注※3 監視対象のアドレスに合致する、またはすべての条件に合致しない場合、持ち出しと見なします。
注※4 Internet Explorer 10、11 の場合は、すべてのファイルを持ち出しと見なします。
注※5 Internet Explorer 10、11の場合は、ファイルのアップロードを開始した時点で持ち出しチェックを実行します。そのため、通信エラーなどでアップロードが中断されても、不審操作として検知できます。条件については、以降の「受信操作の持ち出しチェック条件」の表を参照してください。
注※6 条件については、以降の「受信操作の持ち出しチェック条件」の表を参照してください。
- ファイルコピー、移動の持ち出しチェック条件
-
操作元
操作先
ローカルドライブ
リモートドライブ
リムーバブルドライブ
CD-ROMドライブ
RAMドライブ
ドライブ情報取得不可
ローカルドライブ
×
×
△※
△※
×
△※
リモートドライブ
×
×
△※
△※
×
△※
リムーバブルドライブ
×
×
×
×
×
×
CD-ROMドライブ
×
×
×
×
×
×
RAMドライブ
×
×
△※
△※
×
△※
ドライブ情報取得不可
×
×
△※
△※
×
△※
(凡例)△:条件によっては持ち出しと見なす ×:持ち出しと見なさない
注 Citrix XenApp、Microsoft RDSサーバの場合、接続元の機器に存在するドライブは接続先のセッションでドライブ種別が「その他」のドライブとして表示されます。そのようなドライブへのファイルのコピー、移動は持ち出しと判定されません。
注※ セキュリティポリシーで、[外部メディア(リムーバブルディスク)へのファイルコピーと移動]がチェックされている場合に持ち出しと判定します。
- 受信操作の持ち出しチェック条件
-
操作元
操作先
ローカルドライブ
リモートドライブ
リムーバブルドライブ
CD-ROMドライブ
RAMドライブ
ドライブ情報取得不可
任意の操作元
×
×
△※
△※
×
△※
(凡例)△:条件によっては持ち出しと見なす ×:持ち出しと見なさない
注※ セキュリティポリシーで、[外部メディア(リムーバブルディスク)へのファイルコピーと移動]がチェックされている場合に持ち出しと判定します。
- ファイル作成操作の持ち出しチェック条件
-
操作元
操作先
ローカルドライブ
リモートドライブ
リムーバブルドライブ
CD-ROMドライブ
RAMドライブ
ドライブ情報取得不可
作成元なし
×
×
△※
△※
×
△※
(凡例)△:条件によっては持ち出しと見なす ×:持ち出しと見なさない
注※ セキュリティポリシーで、[外部メディア(リムーバブルディスク)へのファイルコピーと移動]がチェックされている場合に持ち出しと判定します。
関連リンク