コンテンツスキャン

MOVEit Transfer コンテンツスキャンを行うと、サードパーティ製のウイルススキャナー、サードパーティ製 DLP (情報漏えい対策) パターンおよび式エンジン、またはこれら両方を使用して、大規模なコンテンツスクリーニングを実施できます。コンテンツスキャンは、受信または送信ファイル転送を検査、分析、追跡、ブロックするための追加のコントロールレイヤーとして使用できます。

MOVEit Transfer との間でのデータの共有や追加は、ユーザー/ユーザーグループと以下の項目に基づいて制御できます。

ウイルス対策 (AV) エンジンのスキャン結果。
データを分類して特定のユーザーまたはユーザーグループとの関連性を示すために組み合わせる、テキストパターン (ビジネスへの影響や情報セキュリティ分類マーキングなど)、署名 (完全な MD5 Sum など)、その他のルールの形態の DLP インジケータ。

最大データサイズ (パフォーマンスの向上と、"下流" アプリケーションがこのしきい値より大きなファイルを処理する場合)。

コンテンツスキャンは通常、MOVEit Transfer の転送がファイアウォールをまたがって行われる場合に最も必要になります。MOVEit Transfer はデータのトランザクションを完了する前に、Internet Content Adaptation Protocol (ICAP) を使用してデータを適切なスキャナー (AV または DLP) に転送します。MOVEit では、スキャン結果に基づいてこの転送を許可またはブロックします。

転送方向

スキャンの種類

メモ

送信 (MOVEit Transfer と Ad Hoc Transfer から共有)

情報漏えい対策

DLP コンプライアンス。DLP ルールで識別されたコンテンツ (特権データやビジネスの機密データなど) の共有をログに記録するか、ブロックします。

受信 (MOVEit Transfer に追加)

ウイルス対策、情報漏えい対策

AV 保護スキャン。

ルールセットに基づいた MOVEit Transfer ユーザーアクセスの DLP ルール評価、タグ付け、および判断。

サードパーティ製の AV インスタンスや DLP インスタンスは MOVEit Transfer とは別に管理および展開されます。スキャンを実行するサーバーの種類によって機能やパフォーマンスが異なる場合があります。サーバーは AV、DLP、または両方を実行するように設定できます。複数の異なる AV サーバーおよび DLP サーバーと通信するように MOVEit を設定できます。システムレベルでスキャンを有効にできますが、有効にできるのは一度に 1 つの AV サーバーと 1 つの DLP サーバーだけです。特定の AV プロセスまたは DLP プロセスを組織レベルで無効にすることができます。

互換性のあるウイルス対策および情報漏えい対策スキャンエンジン

次の主要な AV および DLP エンジンは MOVEit Transfer と互換性があります。ICAP プリミティブをサポートしている他のスキャンおよびコンプライアンスエンジンも使用できます。

ウイルス対策エンジン

ウイルス対策スキャナー	テスト済み最新バージョン
McAfee VirusScan Enterprise for Storage	バージョン 1.3 で最終テスト
McAfee VirusScan Enterprise	バージョン 8.8 で最終テスト
McAfee Web Gateway	バージョン 7.8.2.8.0 で最終テスト
Sophos Anti-Virus Dynamic Interface (SAVDI) スキャナー
Sophos for Network Storage	バージョン 10.8.2 VE3.74.1 で最終テスト
Symantec Protection Engine	バージョン 7.8.0.141 で最終テスト。
Trend Micro InterScan Web Security Virtual Appliance (IWSVA) *	バージョン 6.5 で最終テスト。

情報漏えい対策エンジン

情報漏えい対策スキャナー	テスト済み最新バージョン
McAfee Web Gateway*	バージョン 7.8.2.8.0 で最終テスト
Symantec DLP Suite	バージョン 15.x* で最終テスト

*DLP Blocked 応答には、McAfee や Symantec などの一部のスキャンエンジンに対する追加設定が必要です。

注: これらのリストに新たに追加された項目や特定のバージョン要件については、MOVEit Transfer リリースノートを参照してください。

ウイルス対策

ウイルス対策スキャン ([SETTINGS (設定)] > [System (システム)] > [Content Scanning (コンテンツスキャン)] > [Anti-Virus (ウイルス対策)]) では、リモートウイルス対策サーバーを使用して受信ファイルをスキャンできます。MOVEit Transfer は、ICAP プロトコルを使用して受信ファイルをウイルス対策サーバーに送信します。ウイルスに感染していないファイルは MOVEit Transfer ファイルシステムに渡されます。

AV コンテンツスキャンが有効になっている場合の動作

アップロードされたファイルが MOVEit Transfer によって以下のようにスキャンされます。

ファイルはアップロード時にスキャンされ、ファイルが感染していないという通知がコンテンツスキャナーから返されるまで、MOVEit Transfer ファイルシステムに登録されません。
ファイルにウイルスが含まれていた場合、そのファイルは拒否され、エラーメッセージが表示されます。
ICAP サーバーに接続できない場合や、接続制限を超えた場合、あるいは何らかの理由でファイルをチェックできなかった場合は、アップロードが拒否され、エラーメッセージが表示されます。
最大ファイルサイズが設定されている場合は、設定されているサイズに達するまでファイルがスキャンされます。最大サイズを指定しないこともできます。

始める前に

ウイルススキャンを有効にするには、以下が必要です。

ICAP を経由して MOVEit Transfer がアクセスできるホスト上で実行されているサードパーティ製ウイルススキャンエンジン。
スキャンエンジンは、MOVEit Transfer とのインターフェイスに必要な ICAP プロトコル (詳細は、RFC3507 を参照) をサポートしている必要があります (同じベンダーが提供している通常の「デスクトップ」ウイルススキャナーは、MOVEit Transfer が必要とするスケールをサポートしていません)。
注: ファイルの送信に AS2 モジュールを使用している場合、AS2 送信にはコンテンツスキャンが適用されないことに注意してください。AS2 送信のウイルススキャンには MOVEit Automation を使用してください。

MOVEit Transfer ホストのウイルススキャンの設定

ウイルス対策サーバーを設定したら、MOVEit Transfer 組織のコンテンツスキャンを設定します。ウイルス対策設定は、システム上のすべての MOVEit Transfer 組織に適用されます。

注: 詳細については、「コンテンツスキャン」のトピックを参照してください。

情報漏えい対策 (DLP)

情報漏えい対策スキャン ([SETTINGS (設定)] > [System (システム)] > [Content Scanning (コンテンツスキャン)] > [DLP]) は、MOVEit Transfer が以下を実行できるように、ファイル送信とアドホック送信から受信したデータ (件名、メモ/本文、添付ファイルを含む) を外部の DLP サーバーに送信します。

DLP ルールセットを使用して機密情報や重要なコンテンツ、関連付けられているユーザー/ユーザーロールアクセスレベルを識別する (受信パッケージの場合)。
現在のユーザーロールと DLP ポリシー要件に基づいて、パッケージを共有できるかどうかを判断する (送信パッケージの場合)。
MOVEit Transfer は ICAP プロトコルを使用して受信データを DLP サーバーに送信します。DLP サーバーはデータをスキャンし、設定されたデータ保護ポリシーを適用します。DLP サーバーが応答を返すと、MOVEit の設定によってその送信をブロックするか、検疫するか、または許可するかが決定されます。MOVEit は、DLP サーバーから返されたすべての DLP ポリシー違反をログに記録します。

注: ファイルの送信に AS2 モジュールを使用している場合、AS2 送信にはコンテンツスキャンが適用されないことに注意してください。

MOVEit Transfer ホストの DLP スキャンの設定

MOVEit Transfer で情報漏えい対策 (DLP) スキャンを実施するには、以下の手順を行う必要があります。

外部 DLP サーバー (通常はリモート) をインストールして設定する。
MOVEit システムの DLP サーバーを設定する。有効にできるのは一度に 1 つの DLP サーバーだけです。
MOVEit 組織ごとにユーザークラスまたはユーザーの DLP ルールセットを設定する。

DLP コンテンツスキャンが有効になっている場合の動作

ダウンロードされたファイルが MOVEit Transfer によって以下のようにスキャンされます。

ファイルは設定されている最大サイズに基づいてスキャンされます。詳細については、「コンテンツスキャン」を参照してください。
ファイルはアップロード時にスキャンされ、ファイルのアップロード元のユーザーに、ファイルがブロックされなかったという通知がコンテンツスキャナーから返されるまで、MOVEit Transfer ファイルシステムに登録されません。
ファイルが DLP ポリシーに違反している場合、そのファイルは MOVEit ポリシーおよびルールセットに従って処理され、アップロード元のユーザーにエラーメッセージが表示されます。同時に行われるウイルススキャンでウイルスが検出された場合は、そのファイルのアップロードが自動的にブロックされます。
ICAP サーバーに接続できなかったか、または接続制限を超えた場合、あるいは何らかの理由でファイルをスキャンできなかった場合は、アップロードが拒否され、エラーメッセージが表示されます。
ファイルの再スキャンまたはダウンロード時のスキャンはサポートされていません。ファイルのダウンロード機能は、ファイルがアップロードされたときのスキャン結果と、ダウンロードするユーザーの権限に基づいています。特殊な状況の下では、検疫されたファイルのダウンロードが許可される場合があります。
重要: システムで有効にできるのは、常に 1 つの DLP スキャナーだけです。

スキャナーの可用性

[Content Scanning (コンテンツスキャン)] が有効になっている場合、MOVEit Transfer は有効な AV スキャナーや DLP スキャナーが使用可能かどうかを数分ごとにチェックします。これは SysCheck ルーチン (「詳細トピック - システム内部 - スケジュールタスク」を参照) の一部であり、組み込み通知を生成できます。最初に AV スキャナーがチェックされ、次に DLP スキャナーがチェックされます。いずれかのスキャナーが使用できない場合は、[Send Errors To (エラー送信先)] の E メールアドレスに E メールメッセージが送信され、この状況に対処するまで MOVEit Transfer サーバーがファイルを送信できないことが警告されます。スキャナーが再び使用可能になると、スキャンが機能するようになったことを知らせる E メールが送信されます。

注: システム管理者は、コンテンツスキャナーの設定時に接続をテストする必要があります。必要に応じて MOVEit Transfer Check を実行することもできます。

ログ記録

ファイルをスキャンすると、ファイルの詳細ページにウイルス対策 (AV) サーバーまたは情報漏えい対策 (DLP) サーバーの情報が表示されます。

次の例では、[Content Scanning (コンテンツスキャン)] の 1 行目が AV サーバーの情報であり、2 行目が DLP サーバーの情報です。

FileInfo

ファイルのスキャンに失敗すると、ファイルをアップロードしたユーザーのホームページにエラーメッセージが表示されます。

ログファイルのエントリには、ステータス、ユーザー、ファイル属性のほか、ポリシー違反 (該当する場合) が含まれます。

Logs

エラーコード番号 (6100 ～ 6103) は、AV エラーの報告に使用されます。これは、ログをフィルターする際に便利です。コンテンツスキャンが原因でアップロードに失敗した場合、対応するログテーブルレコードに AV サーバー名とウイルス名 (可能な場合) が含まれます。

エラーコード番号 0 と 6150 は、DLP ポリシー違反の報告に以下のように使用されます。

エラー番号 0 は、許可または検疫された違反を示します。
エラー番号 6150 は、ブロックされた違反を示します。

通知

コンテンツスキャンの通知マクロを有効にすると、ウイルス対策 (AV) と情報漏えい対策 (DLP) の両方のスキャン結果が報告されます。

以下の通知には、AV および DLP のいずれかまたは両方の情報が含まれる場合があります。

[New File Upload Notification (新着ファイルアップロード通知)]
[File Upload Confirmation (ファイルのアップロードの確認)]
[New Package (新着パッケージ)]
[New Package Secure Attach (新着パッケージの安全な添付ファイル)]
[New Temp User Package (with password) (新着一時ユーザーパッケージ (パスワード付き))]
[New Temp User Package (with password) Secure Attach (新着一時ユーザーパッケージ (パスワード付き) の安全な添付ファイル)]
[New Temp User Package (with password link) (新着一時ユーザーパッケージ (パスワードリンク付き))]
[New Temp User Package (with password link) Secure Attach (新着一時ユーザーパッケージ (パスワードリンク付き) の安全な添付ファイル)]
[New Guest Package (新着ゲストパッケージ)]
[New Guest Package Secure Attach (新着ゲストパッケージの安全な添付ファイル)]
[File Non-Delivery Receipt (ファイルの未配信確認メッセージ)]
[File Upload List Notification (ファイルアップロードリスト通知)]
[File Upload List Confirmation (ファイルアップロードリスト確認)]
[File Not Downloaded List (ダウンロードされていないファイルのリスト)]
[File Delivery Receipt (ファイルの配信確認メッセージ)]
[Package Delivery Receipt (パッケージ配信確認メッセージ)]
[Package Download Receipt (パッケージのダウンロード確認メッセージ)]
[Package Deleted By User (ユーザーによるパッケージの削除)]
[Package User Was Deleted (ユーザーが削除されたパッケージ)]
これらの通知の標準テンプレートには、コンテンツスキャンの結果は含まれません。カスタム通知テンプレートを作成して、スキャン結果を報告するマクロを追加できます。カスタム通知は、[Settings (設定)] | [Appearance (外観)] | [Notification (通知)] | [Custom (カスタム)] を使用して組織に設定できます。

レポート

これらのレポートには、さまざまな種類のコンテンツスキャンアクティビティが記載されます。2 つのレポートにブロックされた違反と DLP 違反 (許可およびブロック) のスキャン結果に関する特定の情報が記載されます。残りのレポートは保守用レポートで、累計数が示されます。

組織の管理者としてログインしている場合、レポートには組織のスキャン結果が表示されます。システム管理者としてログインしている場合は、レポートに複数の組織が表示される場合があります。

注: 通常は、古いデータをアーカイブするための、スケジュールされたクリーンアップタスクの実行方法に応じて、レポートには 30 日分のオンライン監査レコードと 30 日分のオンラインパフォーマンス統計が含まれています。