JP2015523661A - 電子メール用のデーター検出および保護ポリシー - Google Patents

電子メール用のデーター検出および保護ポリシー Download PDF

Info

Publication number
JP2015523661A
JP2015523661A JP2015521762A JP2015521762A JP2015523661A JP 2015523661 A JP2015523661 A JP 2015523661A JP 2015521762 A JP2015521762 A JP 2015521762A JP 2015521762 A JP2015521762 A JP 2015521762A JP 2015523661 A JP2015523661 A JP 2015523661A
Authority
JP
Japan
Prior art keywords
policy
dlp
loss prevention
data loss
template
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015521762A
Other languages
English (en)
Inventor
エアーズ,リン
カバト,ジャック
カクマニ,ヴィクラム
リブマン,マシュリ
スタル,ベンジャミン
コレツキー,アナトリー
シュア,アンドレイ
シュルマン,ジョセフ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2015523661A publication Critical patent/JP2015523661A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/234Monitoring or handling of messages for tracking messages
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/21Monitoring or handling of messages
    • H04L51/212Monitoring or handling of messages using filtering or selective blocking
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L51/00User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
    • H04L51/06Message adaptation to terminal or network requirements
    • H04L51/063Content adaptation, e.g. replacement of unsuitable content

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

規制ポリシーによって直接または間接的に規定される通りに、要求、制御目標および指令、および/または機密データー・タイプの定義をカプセル化することができるデーター損失防止(DLP)ポリシー定義を展開し実施するためのシステムおよび/または方法について開示する。一実施形態では、組織によって、1組の電子ファイル・システム(例えば、電子メール・システム、ファイル・システム、ウェブ・サーバー等)の上で実行するためのデーター損失防止(DLP)ポリシーを特定することができる。組織およびそのアドミニストレーターは、データー損失防止(DLP)ポリシー・テンプレートから導出される1組のデーター損失防止(DLP)ポリシー・インスタンスを実施することができる。データー損失防止(DLP)ポリシー・テンプレートは、構造および意味の双方を含むことができ、パラメーター化表現を所望のパラメーター値と交換することによって、所与のデーター損失防止(DLP)ポリシーを取得することができる。他の実施形態では、データー損失防止(DLP)ポリシー・インスタンスの状態が、ポリシー・インスタンス展開のライフサイクルに応じて変化することができる。【選択図】図2

Description

[0001] 最近の組織は、電子メールにおけるPII、財務データー、知的所有権、および健康データーのような機密情報(例えば、電子形態とした)を発見し、監視し、保護することが望ましいと認めた。これを行うために、組織は、保護すべきデーター、およびこのデーターに適用すべきポリシーの双方をモデル化しようとする。電子メールについては、アドミニストレーターが、送信元識別情報(identity)、受信側識別情報、およびその他というような、彼らのポリシーに対して異なる範囲策定メカニズムを選択しようとする。
[0002] 加えて、アドミニストレーターは、監査、暗号化、TLS送信の要求等というようなアクションを選択し適用しようとする。また、アドミニストレーターは、規制対象のような1つの目的に関係するポリシーを定めようとし、これらのポリシーが異なる規則を含む可能性があっても、これらを1つのパッケージとして管理し、1つのアクションでポリシーをイネーブル/ディスエーブルおよび検査しようとする場合がある。
[0003] 本明細書において説明する一部の態様の基本的な理解を得るために、本発明の簡略化した摘要を紹介する。この摘要は、特許請求する主題の広範な全体像ではない。これは、特許請求する主題の主要なまたは肝要なエレメントを特定することを意図するのではなく、主題の革新(innovation)の範囲を明確に定めることを意図するのでもない。その唯一の目的は、特許請求する主題の一部の概念を、以下で提示する更に詳細な説明の序説として、簡略化した形態で提示することである。
[0004] ポリシー・オブジェクト・モデルからデーター損失防止(DLP)ポリシー・インスタンスを展開および実施するシステムおよび/または方法について開示する。一実施形態では、1組の電子ファイル・システム(例えば、電子メール・システム、ファイル・システム、ウェブ・サーバー等)上で運用するために、組織によってデーター損失防止(DLP)ポリシーを特定することができる。組織およびそのアドミニストレーターは、データー損失防止(DLP)ポリシー・テンプレートのパラメーター化によって、1組のデーター損失防止(DLP)ポリシー・インスタンスを実施することができる。データー損失防止(DLP)ポリシー・テンプレートは、構造および意味の双方を含むことができ、更にパラメーター化表現の所望のパラメーター値との交換(replacement)によるポリシー作成のときに、包括的ポリシー構成の展開特定環境構成との置換(substitution)によって影響を受ける可能性がある。他の実施形態では、データー損失防止(DLP)ポリシー・インスタンスの状態が、ポリシー・インスタンス展開のライフサイクル(lifecycle)にしたがって変化することもできる。
[0005] 一実施形態では、1組のポリシー・テンプレートからデーター損失防止(DLP)ポリシーをインスタンス化する方法を開示する。この方法は、所望のデーター損失防止(DLP)ポリシーを作用させようとする電子ファイル・システムを特定するステップと、所望のデーター損失防止(DLP)ポリシーに適した1組のデーター損失防止(DLP)ポリシー・テンプレートを特定するステップと、所望のデーター損失防止(DLP)ポリシー特定データーによってデーター損失防止(DLP)ポリシー・テンプレートをパラメーター化するステップと、パラメーター化したDPLポリシー・インスタンスを電子ファイル・システムに流通する(disseminate)ステップとを含む。
[0006] 他の実施形態では、1組の電子ファイル・システムに対して少なくとも1つのデーター損失防止(DLP)ポリシー・インスタンスを作成するシステムについて開示する。このシステムは、1組のデーター損失防止(DLP)ポリシー・テンプレートであって、各々1組のコンポーネント・フィールドを含む、データー損失防止(DLP)ポリシー・テンプレートと、データー損失防止(DLP)ポリシー・テンプレート・パラメーター化モジュールであって、コンポーネント・フィールドを所望のポリシー・データーと置き換えることができる、テンプレート・パラメーター化モジュールと、1組のデーター損失防止(DLP)ポリシーパラメーターから、1組の電子ファイル・システムにデーター損失防止(DLP)ポリシー・インスタンスを作成することができるデーター損失防止(DLP)主ポリシー・モジュールとを含む。
[0007] 以下、本願において提示される図面と関連付けて詳細な説明を読むことにより、本システムの他の特徴および態様が提示される。
[0008] 図面の図を参照して、実施形態例を示す。本明細書において開示する実施形態および図は、限定ではなく例示と見なされることを意図している。
図1は、本願の原理にしたがって、ポリシー・システムに作用するシステムの一実施形態を示す。 図1は、本願の原理にしたがって、ポリシー・システムに作用するシステムの一実施形態を示す。 図1は、本願の原理にしたがって、ポリシー・システムに作用するシステムの一実施形態を示す。 図2は、本願の原理にしたがって、電子メールのコンテキストにおけるポリシー・システムの実施および動作の一実施形態を示す。 図3は、電子メールのコンテキストにおいて、ポリシー・システムとインターフェースすることができる、システム・メール・サーバー処理サブシステムの一実施形態を示す。 図4は、推定顧客電子メール・システム用に表したときのデーター損失防止(DLP)ポリシー・テンプレートの一例の一実施形態である。
[00013] 本明細書において利用する場合、「コンポーネント」、「システム」、「インターフェース」等の用語は、ハードウェア、ソフトウェア(例えば、実行中)、および/またはファームウェアのいずれかの、コンピューター関係エンティティを指すことを意図している。例えば、コンポーネントとは、プロセッサー上で実行中のプロセス、プロセッサー、オブジェクト、実行可能ファイル、プログラム、および/またはコンピューターであることができる。例示として、サーバー上で実行するアプリケーションおよびこのサーバーの双方がコンポーネントであることができる。1つ以上のコンポーネントが1つのプロセス内に存在することができ、1つのコンポーネントが1つのコンピューター上に局在されること、および/または2つ以上のコンピューター間で分散されることも可能である。
[00014] 特許請求する主題について、図面を参照しながら説明する。図面全体において同様のエレメントを指すために、同様の参照番号を使用する。以下の説明では、説明の目的に限って、主題の革新について完全な理解が得られるようにするために、多数の具体的な詳細を明記する。しかしながら、特許請求する主題は、これら具体的な詳細がなくても実施できることは明白であろう。他方では、周知の構造およびデバイスは、主題の革新を説明し易くするために、ブロック図形態で示すこととする。
序説
[00015] 本願の様々な実施形態は、電子ファイル・サブシステム(単なる一例を挙げると、電子メール)のためにポリシーを作成し、これらを1組の関係オブジェクトとしてモデル化し、1つの動作における同じ時点においてこれらのオブジェクトをインストールすること、除去すること、状態を変化させること、および報告することができるシステム、方法、およびメカニズムについて開示する。本実施形態は、電子メール・システムの例に偏る(more drawn)が、本明細書において説明するシステム、方法、および/または技法は、広範におよぶ種々の電子ファイル・システム、例えば、ファイル・システム、情報保護および協働(例えば、Microsoft Sharepoint(登録商標)システム)、ウェブ・サーバー、アプリケーション・サーバー等に広い意味で適用可能であることは認められてしかるべきである。
[00016] 以下で更に詳細に論ずるが、多くの実施形態において、複雑な業界規制または会社の情報統治(governance)をポリシーとしてモデル化するためにフレームワークを採用することは望ましいであろう。概括的に、これらのポリシー、ならびにそれらに関連するシステムおよび方法は、一般にデーター損失防止(DLP)の分野において説明される。この分野におけるアプリケーションは、(1)ポリシー・ライフサイクルの管理、(2)ポリシー施行時点におけるポリシーの施行および評価、(3)報告の作成および検査、ならびに(4)付随事物(incident)に対する違反の管理に適用するときに、ポリシー処理に取り組む(address)全部または一部のコンポーネントを実装する(implement)ことができる。
一実施形態
[00017] 図1は、本願の原理にしたがって作られたポリシー・システムの模式図である。この実施形態において見ることができるように、所与の組織にわたって設定され得る種々の電子ストレージおよび/またはサーバーと共に動作することができる様々な汎用ポリシー・モジュールがあるのでもよい。概括的に、それぞれ、ポリシー管理システム、多数のポリシー施行ポイント、およびポリシーの設定および検査のための監査システムがあってもよい。
[00018] 図1において見ることができるように、ポリシー管理システム100は、ポリシー・オーサリング・システム102、ポリシー・ストア104、ポリシー流通システム106を含むことができる。本明細書において更に詳しく論ずるが、これらのポリシー・モジュールは、組織のためのポリシーを設定し流通するために採用されるのでよい。ポリシーは、種々のポリシー変換/マッピング・システム108によって影響されてもよい。ポリシー変換/マッピング・システム108は、包括的ポリシー指令を理解し、これらをポリシー施行ポイントによってコンテキスト的に理解されるフォーマットに変形する(transform)。ポリシー施行ポイントは、種々の電子データー・サブシステム、例えば、メール配信システム110、Microsoft Outlook(登録商標)システム112のようなメール・クライアント・システム、Microsoft Sharepoint(登録商標)システム114のような情報管理システム、ファイル・システム116、ウェブ・システム118、またはポリシー施行および適用が可能な他の適した電子データー・サブシステムとインターフェースすることができる。
[00019] これらのポリシー施行サブシステム内において、当該サブシステム内部において効果的にポリシーを実施するモジュールがその中にあってもよい。例えば、このようなモジュールは、ポリシー消費(policy consumption)、ローカル・コンテキスト処理であってもよく、ローカル・コンテキスト処理は、更に、コンテキスト・ポリシー評価、コンテキスト・ポリシー施行、およびコンテキスト・ポリシー提示を含んでもよい。
[00020] これらのサブシステムの一部として、コンテキスト監査データー生成器を有することが望ましい場合もある。これらの監査データー生成器は、監査集計システム122および監査提示システム124と通信できるとよい。
[00021] 尚、組織のソフトウェア・スイート、例えば、電子メール、ファイル・サーバー、ウェブ・インターフェース等とインターフェースすることができるポリシー・システムを実施するには、多くの他のアーキテクチャも可能であることは認められてしかるべきである。加えて、ある種のポリシー・モジュール(例えば、ポリシー・オーサリングおよびストア、ならびに監査機能)は、組織とは離れてホストされ別の方法で供給される(例えば、サーバー/クライアント関係、クラウド・ベース・サービス等)ことが可能である場合もある(そして望ましい場合もある)。
[00022] 一旦ポリシー・システムが組織のために実施されると、言い換えると、構成されると、このようなポリシー・システムは実行時ダイナミック(runtime dynamic)を引き受ける。図2は、一例の電子メール・フローポリシーアプリケーションに適用されたときの、実行時ダイナミック200の一実施形態を示す。組織は、通例、ポリシー・システムの実施に先立って、その電子メール・システムおよび/またはサーバー202を有し、ポリシー・システムはこの電子メール・システム上で、またそうでなければこの電子メール・システムと協働して動作する。
[00023] ポリシー・システムは、多数のソースからのポリシー・コンテンツを消費することができる。このようなソースの1つは、製品の一部として入手可能なポリシー・テンプレートのアウト・オブ・ボックス(OOB)集合の形態でシステム自体と共に供給され、テナント・システム・アドミニストレーターおよび/または他の適したユーザー206によって取得およびインストールすることができる。他のソースは、独立ソフトウェア販売業者(ISV)および製作パートナー(product partner)、ならびに目標の組織による消費のために個別のポリシー・コンテンツを提供するコンサルタントからでもよい。204は、組織に個別のデーター損失防止(DLP)ポリシーを供給することができる。いずれの場合でも、アドミニストレーター206はデーター損失防止(DLP)ポリシー・システムの特定の構成(configuration)を実行することができ、この場合、組織の電子メール・システムと共に動作することである。ポリシーのインストール/作成に加えて、実施中のポリシーの保守および調整(tuning)が、組織内の人員、あるいは テナントのアドミニストレーターのような、外部の請負人または販売業者、あるいはISV、パートナー、および/またはコンサルタントによって実行されるのでもよい。これらは、206および204のような多数の動作によって表すことができる。
[00024] 動作において、ポリシー指令は、Outlook210aまたは包括的電子メール・クライアント210bのような情報作業者が対話処理するコンテキストにおける動作を含むことができ、これらの動作の結果、組織のユーザーに対するポリシーの積極的な教育(active education)および/または通知が行われるとよい。ポリシー指令は、どのコンテンツが機密であると見なされるか判断し、組織内においてその使用/扱いを統治する(govern)規則を定める。機密コンテンツであるものおよびその使用を統治する規則の双方は、ポリシー指令の一部として(例えば、患者の情報、取引の秘密情報等がある電子メール)最終ユーザーに流通することができる。ポリシー指令は、この情報を無制限にユーザーに送らせ、通信が機密情報を含むことの明示的な承認を要求することができ、ユーザーはその開示、または共有の防止に対して徹底的に責任を負う。
[00025] 一旦受信したなら、電子メール・サーバーは、ポリシーの検討、遵守(compliance)、および/または処理のために、同じポリシー定義にしたがって電子メールを直接処理することができる(または、ポリシー・システムは、サーバー/クライアント関係等において電子メール・サーバーとは離れて動作していてもよい)。一旦機密コンテンツを求めるために電子メールが走査されたなら、電子メール・サーバー、組織等の外部に送る前に、電子メールを保持するというような、追加のアクションを実行することもできる。ポリシーを遵守しない場合はいずれも(または総合的に遵守する電子メール・トラフィックの期間レポートは)、追求のために監査役(auditor)に送ることができる。このような追求は、影響を受ける従業員を再訓練するためであってもよく、またはポリシー・システムのダイナミック・フローおよび/または動作において何らかの誤りを検出することもできる。ポリシー処理の誤りはいずれも、訂正のために、システム・アドミニストレーターまたはISVのいずれかに照会することができる。メール処理サーバーは、オーサリング体験(authoring experience)の一部としてどのクライアントが使用されたかには関係なく、ポリシーが均一に適用されたことを追求(enforce)する。ポリシーが送信元の承認を要求する場合、これらは提示のために強制されてもよく、そうしないとメールは拒絶されて送信元に戻される。
[00026] 図3は、ポリシーアプリケーションの詳細を処理する電子メール・サーバー、例えば、交換サーバー(図2におけるボックス202)である。図3は、ポリシー・システムとインターフェースするときの、システム・メール処理サブシステム300の可能な一実施形態を示す。電子メール・サーバーのポリシー処理は、メール処理の種々の段階においてアクティブ化されるエージェントによって実行されてもよい。このようなエージェントの1つは、コンテンツ分析述語318についての方式と併せてコンテンツ分析述語(predicate)302aの処理を使用することができる交換移送規則エージェント302とすることもできる。移送規則は、316に格納することができ、アドミニストレーター/ユーザーはモジュール314bを用いて、UI314を介してコンテンツ分析述語を編集することができる。
[00027] エージェントは、機密コンテンツを求めて走査するために、メッセージ・コンテンツおよび添付テキスト抽出モジュール(ここでは「FIPS」と呼ぶ)306ならびにコンテンツ分析モジュールとインターフェースすることができる。FIPSは、コンテンツ抽出およびテキストへの変換(例えば、メール・メッセージおよび添付ファイル双方)を行うコンポーネントとして影響を受ける可能性があり、ポリシー指令によって定められる通りにあらゆる機密コンテンツを分析するために、抽出したコンテンツを分類エンジンに渡すことができる。FIPSは、テキスト抽出エンジン306bと、テキスト抽出エンジン306aおよびコンテンツ分析エンジン306cを有する通信モジュールとを含むことができる。FIPSは、データー損失防止(DLP)ポリシー評価モジュールと同じでもよい。例えば、データー損失防止(DLP)ポリシー評価を構成するサブコンポーネントとして組み立ててもよい。即ち、テキスト抽出を行い、次いで、データー損失防止(DLP)ポリシーによって定められる通りにあらゆる機密情報を分析するために、分類エンジンに供給する。
[00028] テキスト抽出モジュールは、コンテンツ分析/走査エンジン/モジュール310と(恐らくは通信プロトコル308によって)インターフェースすることができる。コンテンツ分析/走査エンジン/モジュール310は、電子メール本文および添付ファイルを用いて識別されたテキストについてテキスト分析を実行することができる。テキスト分析エンジンは、ADのようなコンテンツ規則ストア312に格納されているポリシー情報に基づいて、機密コンテンツを特定することができる。このような規則は、アドミニストレーター/ユーザーによって、モジュール314aおよびUI314を介して編集することができる。
データー検出および防止ポリシー・オブジェクト・モデルの実施形態
[00029] 本システム、方法、および/またはメカニズムは、オブジェクト・モデル手法によって実現することができる。このような実施形態の1つでは、規制ポリシーの複雑さを、ポリシー・テンプレート概念によって表すことができる。このポリシー・テンプレート概念は、ポリシー指令をカプセル化し、そのライフサイクル管理のための方法を制御し提供する。実施の容易性を見込むことができるオブジェクト・モデルによって定義された、および/またはこれらと関連付けられた以下のオブジェクトを有することが望ましい場合もある。(1)ポリシーおよび全ての関連するオブジェクトのインストールを可能にするポリシー・テンプレート・オブジェクト。(2)共有メタデーターおよび状態を追跡する主ポリシー・オブジェクト。(3)ポリシー・オブジェクトにマッピングする1組のポリシー規則オブジェクト。これらはポリシー指令を、ポリシー毎に、一致(match)条件およびアクションとして定義する。(4)ポリシーおよび規制指定(regulatory specification)が機密データー定義として指定する機密データーの構造を定めるデーター分類規則オブジェクト。
[00030] これら種々のオブジェクトに対して、これらのオブジェクトに作用する動作を定め実施することが望ましい場合もある。例えば、一例のポリシー・テンプレート・オブジェクトについては、動作は(1)インストール、(2)インスタンス化、および(3)除去を含むとよいであろう。主ポリシー・オブジェクトに対する動作は、(1)テンプレートから新たなポリシー・オブジェクトを作成すること、(2)新たな状態変化を生じさせ、編集し、削除し、そのライフサイクルにわたって状態変化を管理することを含むとよいであろう。場合によっては、これらの動作の各々が、ポリシーと関連する多数のオブジェクトに対して影響を及ぼすかもしれず、これらの動作自体が、該当するポリシー施行ポイントのいずれにおいても、適宜ポリシー指令を実施する。電子メール用ポリシー・システムの場合、多数のポリシー施行ポイントに跨がって、ポリシーの対象となり得る、電子メールに対する実行時挙動があり得る。多数のポリシー施行ポイントは、(1)電子メール・クライアント、(2)電子メール・サーバー、(3)電子メール記憶システム、(4)電子メール処理ゲートウェイ等を含むことができる。ポリシー施行ポイントの各々は、ポリシーの状態に応じて、ポリシーを解釈して適用する。何故なら、これは、(1)ポリシーの監査のみの評価、(2)ポリシーの監査および通知の評価、ならびに(3)ポリシー指令の完全な施行を含むこともあるポリシー展開ライフサイクルに関係するからである。
データー損失防止(DLP)ポリシー・テンプレートの実施形態
[00031] 一実施形態では、データー損失防止(DLP)ポリシー・テンプレートは、ポリシーの特性を識別し、コンポーネント、即ち、コンポーネントの構成を使用してそれをどのように実現するか特定するコンポーネント記述(component description)である。これは、環境特定でなくてもよく、例えば、展開特定バージョンを作成するために使用されるステンシルでもよい。加えて、これは、単なる定義であるので、全く状態を有さなくてもよい。加えて、これは、インポート、エクスポート、削除、および問い合わせというような、非常に単純な1組の動作を提供するのでもよい。可能な一実施形態では、テンプレートは、XML文書を使用して作成するのでもよい。XML文書は、図4に示すように、実施独立フォーマットで規制ポリシーの構造(construct)全体を表現するために使用することができる。
[00032] この実施形態では、インポート動作は、定義のインポートを考慮する(allow for)ことができる。インポート動作は、システムに内蔵される「アウト・オブ・ボックス」(OOB「箱から出してすぐ使える」)ポリシー定義のために設けられてもよい。加えて、インポートは、OOBポリシー・テンプレートに、ポリシー・テンプレートの更新バージョンを提供するために使用することもできる。更に、インポートは、個別規制目的または組織的必要性を満たすために規定されるシステム追加ポリシー定義に組み込むために使用されてもよい。これらの追加ポリシー定義は、内蔵ポリシー定義を拡張すること、または新規のポリシー定義を作成することもできる。
[00033] エクスポート動作は、ポリシー定義の保存、バックアップ、およびオフライン更新を考慮することができる。エクスポートは、テンプレートのシリアライズドされたバージョンへのアクセスを与えることができ、テンプレートを環境間で移動させるために使用することもできる。
[00034] 削除動作は、ポリシー定義を展開環境から除去する。一実施形態では、削除がOOB定義のためにサポートされることは望ましくない場合もある。問い合わせ動作は、OOBポリシー、およびシステムに追加されたあらゆる追加ポリシーの双方に対する定義の発見を考慮することができる。
データー損失防止(DLP)ポリシー・テンプレート・パラメーター化の一例
[00035] 単なる一例として、図4は、恐らくは特定の規制に基づく、一例の顧客電子メール・フロー遵守を実現するために実装され得る、推定上の1組のデーター損失防止(DLP)ポリシー・テンプレート・コンポーネント400を示す。見てわかるように、データー損失防止(DLP)ポリシーは、1組のコンポーネント(関連する構造402および意味404を有する)、例えば、発行元(406、408)、バージョン(410、412)、ポリシー名称(414、416)、記述(418、420)、メタデーター(422、424)、1組のポリシー構造(426、428)、および1組のデーター分類パッケージ(430、432)を含む。尚、1組の意味がこれらのコンポーネントと関連付けられてもよいことを注記しておく。この例では、データー損失防止(DLP)ポリシー・テンプレート・オブジェクトを管理するインターフェースは、PowerShellまたは任意の適したウェブ・インターフェースであればよい。
[00036] 一実施形態では、テンプレート定義が、データー損失防止(DLP)ポリシー・インスタンスを作成するためにテンプレートが使用される時点で、展開値にマッピングすることができるプロパティを定義するのを可能にすることが望ましい場合がある。例えば、この能力を利用する2つの主要プロパティを定義することができる。(1)データー損失防止(DLP)展開内においてプロビジョニングされたデフォルトDLにマッピングすることができる例外分散リスト(DL:Distribution List)、および(2)あらゆるポリシー違反検出の通知に対する宛先として使用されるデーター損失防止(DLP)報告メールボックス。
データー損失防止(DLP)ポリシー・テンプレートのパラメーター化
[00037] 一実施形態では、単純なプロパティ交換メカニズムが、テンプレートにおけるフィールドのパラメーター化を遂行するために使用されてもよい。この交換メカニズムには、以下のことが望ましいと考えられる。(1)データー損失防止(DLP)テンプレートにおけるデーター損失防止(DLP)ポリシー構造エレメントに対して、パラメーター化表現を指定する能力。(2)データー損失防止(DLP)テンプレート・インスタンス化の一部としてパラメーター値を渡す能力。(3)OOB データー損失防止(DLP)ポリシー・テンプレートおよびISVによって作成されたテンプレート双方においてパラメーター化表現を使用する能力。(4)データー損失防止(DLP)ポリシー・テンプレート定義における、そして置換キャラクター入力としてのユニコード文字列に対するサポート。(4)どのプロパティがテンプレートにおいてパラメーター化されているかAPIが発見する能力。(5)テンプレートにおけるパラメーター化プロパティを強くタイプする(strong type)する能力。
[00038] このメカニズムは、テンプレートにおける名称値対の単純な発見および交換によって実施することができる。テンプレートのデーター損失防止(DLP)ポリシー構造は、交換値を提供することができるサブステーション鍵(substation key)の指定を可能にする。例えば、サブステーション鍵は、%%keyName%%という形態とすればよく、ここで、KeyNameは識別子である。このインターフェースは、各KeyNameの値へのマッピングを規定する(provide)名称値対の引き渡しを可能にすることができる。
[00039] 単なる一例として、以下の抜粋は、図4に示すような、PCI−DSS データー損失防止(DLP)ポリシー・テンプレートにおけるポリシー定義から得ることができる。
[表1]
<?xml version="1.0" encoding="utf-8" standalone="yes" ?>
<dlpPolicyTemplates>
<dlpPolicyTemplate version="15.0.3.0" state="Enabled" mode="Audit">
<contentVersion>l</contentVersion>
<publisherName>Microsoft (Beta)</publisherName>
<name>
<localizedString lang="en-us">PII</localizedString>
<localizedString lang="fr-fr">PII</localizedString>
</name>
<description>
<localizedString lang="en-us">Detects the presence of information considered to be Pll in the U.S. This includes the presence of data like SSN and Driver's License in email. After completing your testing, configure the rules in this program such that the transmission of information complies with your organization's policies. Examples include configuring TLS with known business partners, or adding more restrictive transport rule actions such as rights protection. </localizedString>
<localizedString lang="fr-fr">
Detecte la presence de I'information consideree comme Pll aux Etats-Unis. Cela comprend la presence de donnees SSN et permis de conduire dans le courriel. Apres avoir complete votre test, configurez les regies dans ce programme tel que la transmission de I'information conforme aux politiques de votre organisation. Configuration de TLS avec les partenaires commerciaux connus, ou ajouter des actions de regie de transport plus restrictives telles que la protection des droits des exemples.</localizedString>
</description>
<keywords>
<keyword>KeyWord1</keyword>
<keyword>KeyWord2</keyword>
</keywords>
<ruleParameters>
<ruleParameter type="string" required="True"
token="%%ReportSeverity-l%%">
<description>
<localizedString lang="en-us">Parameter Description -reportseveritylevel#l</localizedString>
<localizedString lang="pl">parametr opis -reportseveritylevel#l</localizedString>
</description>
</ruleParameter>
<ruleParameter type="string" required="False"
token="%%ReportSeverity-2%%">
<description>
<localizedString lang="en-us">Parameter Description -reportseveritylevel #2</localizedString>
<localizedString lang="pl">parametr opis -reportseveritylevel#2</localizedString>
</description>
</ruleParameter>
</ruleParameters>
<policyCommands>
<commandBlock>
<![CDATA[New-TransportRule -name "Pll-outside" -comment "Monitors for Pll content sent to outside the organization" -DlpPolicy "%%DlpPolicyName%%" -SentToScope NotlnOrganization -MessageContainsDataClassifications @{Name="US Social Security Number (SSN)"},@{Name="Passport Number (U.S / U.K)"} -ReportSeverityLevel %%ReportSeverity-l%%]]>
</commandBlock>
<commandBlock>
<![CDATA[New-TransportRule -name "Pll-within" -comment "Monitors for Pll content sent inside the organization" -DlpPolicy "%%DlpPolicyName%%" -SentToScope InOrganization -MessageContainsDataClassifications @{Name="US Individual Taxpayer Identification Number (US ITIN)"},@{Name="US Social Security Number (SSN)"},@{Name="Passport Number (U.S/U.K)"} -ReportSeverityLevel %%ReportSeverity-2%%]]>
</commandBlock>
</policyCommands>
</dlpPolicyTemplate>
</dlpPolicyTemplates>

[00040] 以上の例は、以下の単純なシンタックスを使用した、このテンプレートからのデーター損失防止(DLP)ポリシー作成の一部としての、2つのキーワード、"%%ReportSeverity-l%%"および"%%ReportSeverity-2%l%"(先に示した通り)のサブステーション(substation)によって影響を受ける可能性がある。
[PS] C:\>new-DLPPolicy-Template Pll-State Audit-Parameters @{
"ReportSeverity-l"= "High"; "ReportSeverity-2"="Low" }

[00041] この結果、 最終的なポリシー指令が作成され、恐らくは交換移送規則(ETR:Exchange Transport Rules)によって実施され、「パラメーター」引数からの指定値によって、パラメーター化鍵が置き換えられる。尚、このメカニズムはデーター損失防止(DLP)OOBテンプレート、ならびにISVおよびその他からの個別テンプレートの双方に利用可能であることは、認められてしかるべきである。いずれかのパラメーター化プロパティが、パラメーター・オプションによって受け入れられた対応値を有さない場合、誤りを発生させることが望ましいこともあり得る。
データー損失防止(DLP)ポリシー・テンプレート・プロパティ
[00042] 以下の表は、データー損失防止(DLP)ポリシー・テンプレート・オブジェクトのいくつかの例、およびそれらに関連する説明を示す。尚、他のテンプレート・コンポーネントも同様に提示できることは認められよう。
Figure 2015523661
Figure 2015523661
データー損失防止(DLP)ポリシー・テンプレートの動作
[00043] 以下の表は、データー損失防止(DLP)ポリシー・テンプレート動作のいくつかの例、およびそれらに関連する説明を示す。尚、他のテンプレート動作も同様に提示できることは認められよう。
Figure 2015523661
データー損失防止(DLP)ポリシー・インスタンス
[00044] データー損失防止(DLP)ポリシー・インスタンスは、展開環境においてテンプレートからデーター損失防止(DLP)ポリシー・オブジェクトを作成した結果である。これは、テンプレートにおいてポリシー定義を実施するために採用された1組のインスタンス化コンポーネント・オブジェクト(例えば、ETR、データー、分類規則等)を表す。インスタンスは、展開に特定であり、即ち、顧客環境に特定的なコンポーネントおよびエレメントを参照する定義を含むことが多く、したがって展開を跨いで移植可能でないことが多い。
[00045] テンプレートとは異なり、データー損失防止(DLP)ポリシー・インスタンスは、顧客の展開内におけるライフサイクル状態を表す状態(例えば、監査またはイネーブルされた)を有する。データー損失防止(DLP)ポリシー状態は、ポリシーを構成するコンポーネントの状態を制御するために使用することもできる。データー損失防止(DLP)ポリシー・インスタンス状態の変化は、データー損失防止(DLP)ポリシーによって制御されるポリシー・オブジェクト内に対応する変化を加える。ポリシーには、顧客のポリシー実施を実現するときの顧客の進展を表す3つの基本状態が存在する。以下の表は、データー損失防止(DLP)ポリシー・インスタンスの状態表の一実施形態を示す。
Figure 2015523661
[00046] 一実施形態では、状態間の移動に関して制約がないことが望ましい場合がある。顧客は、ポリシーのいずれかを飛ばすこと、またはいずれの1つの状態からも他の状態に移動することを選択することができる。ポリシー展開状態を制御することに加えて、ポリシーをディスエーブルしてもよく、その結果、ポリシー施行ポイントにおいてそのポリシーが無視されることになる。
[00047] データー損失防止(DLP)ポリシーはサブコンポーネントの状態を制御するために使用されるが、個々のポリシー指令(例えば、ETR)を表すサブコンポーネントが、データー損失防止(DLP)ポリシーとは異なる状態を有することが可能である。これによって、例えば、新たな指令をポリシーに追加するとき、またはポリシーの指令のトラブルシューティングを行うときに、ユーザーがポリシーの個々のポリシー指令を、異なる状態になるように変更することができる。各ポリシー指令は、また、その状態の対応する表現を維持することもでき、その表現はデーター損失防止(DLP)ポリシー状態の値にマッピングする。また、これらの状態は、指令レベルにおいて独立して制御されてもよい。例えば、指令についての監査状態は、その指令をディスエーブル状態に設定することによって、オフに切り替えることができる。同様に、通知状態も、特定の指令に対してオフに切り替えることができる。
データー損失防止(DLP)ポリシープロパティ
[00048] 一実施形態では、データー損失防止(DLP)ポリシーがアプリケーション・エリア、例えば、Microsoft Exchange(登録商標)システムを構成する他のコンポーネントにわたって露出される1組の共通のプロパティに従うこともでき、そして以下のプロパティを含むことができる。
Figure 2015523661
データー損失防止(DLP)ポリシー・オブジェクトの動作
[00049] 一実施形態では、データー損失防止(DLP)ポリシーがアプリケーション・エリア、例えば、Microsoft Exchange(登録商標)システムを構成する他のコンポーネントにわたって露出される1組の共通の動作に従うこともでき、そして以下の動作を含むことができる。
Figure 2015523661
[00050] 一実施形態では、1つのデーター損失防止(DLP)ポリシー・インスタンスが、その挙動を実施する0〜N個の指令を有することができる。これは、例えば、Microsoft Exchange(登録商標)移送規則によって配信されるとよい。移送規則は、0または1つのデーター損失防止(DLP)ポリシー・インスタンスの一部とすることができる。例えば、サーバー側メール・フロー処理指令および電子メール・クライアント処理指令の双方に対して、1つのポリシー指令が、任意の数のポリシー施行ポイントに定義が跨がることを可能にしてもよい。
[00051] 加えて、1つのデーター損失防止(DLP)ポリシー・インスタンスが、それに結び付けられた0〜N個のデーター分類オブジェクトを有することもできる。データー分類指定は、ポリシーの範囲内において機密コンテンツと見なされるものを定め、更にどのようにしてこのコンテンツを電子メール・コンテンツによって識別すべきかについて定める。データー損失防止(DLP)ポリシー・インスタンス・オブジェクトを管理するインターフェースは、PowerShellウェブ・インターフェースまたは他のものとするとよい。データー損失防止(DLP)ポリシーは、以上で示した、データー損失防止(DLP)ポリシー動作について開示したのと同じまたは同様の動詞を含むことができる。
[00052] 以上で説明したことは、主題の革新の例を含む。勿論、特許請求する主題を説明する目的のために、コンポーネントまたは方法(methodologies)の着想可能なあらゆる組み合わせを記載することは不可能であるが、主題の革新には、多くの更に他の組み合わせおよび置換が可能であることを、当業者は認めることができよう。したがって、特許請求する主題は、添付する請求項の主旨および範囲に該当する、このような変形(alteration)、変更(modification)、および変種(variation)を全て包含することを意図している。
[00053] 特に、そして以上で説明したコンポーネント、デバイス、回路、システム等によって実行される種々の機能に関して、このようなコンポーネントを記述するために使用された用語(「手段」に対する引用を含む)は、別段示されなければ、説明したコンポーネントの指定された機能(例えば、機能的同等物)を実行するあらゆるコンポーネントであって、開示された構造に構造的に同等でなくても、本明細書において例示した、特許請求する主題の態様例においてその機能を実行するコンポーネントに対応することを意図している。これに関して、本革新は、システムだけでなく、特許請求する主題の種々の方法のアクトおよび/またはイベントを実行するためのコンピューター実行可能命令を有するコンピューター読み取り可能媒体も含むことも認められよう。
[00054] 加えて、主題の革新の特定的な特徴を、様々な実施態様の内1つのみに関して開示したが、このような特徴は、任意の所与のまたは特定の用途に望まれるようにそして有利であるように、他の実施態様の1つ以上の他の特徴と組み合わせることもできる。更に、「含む」(includes)および「含んでいる」(including)という用語ならびにその変形が詳細な説明または特許請求の範囲において使用される限りにおいて、これらの用語は、「備える」(comprising)という用語と同様に、包含的であることを意図している。

Claims (10)

  1. データー損失防止(DLP)ポリシー・テンプレートに基づいてデーター損失防止(DLP)ポリシーを実施する方法であって、前記データー損失防止(DLP)ポリシー・インスタンスが、1組の電子ファイル・システムのために実施され、前記電子ファイル・システムが、1組のファイル・サーバーを含み、前記ファイル・サーバーが1組のクライアントと通信し、前記クライアントが、データーへのアクセスを要求し、データーを前記ファイル・サーバーにアップロードし、前記方法が、
    少なくとも1つの所望のデーター損失防止(DLP)ポリシーを実施するために、1組のポリシー・テンプレート・オブジェクトを特定するステップと、
    1組のデーター損失防止(DLP)ポリシー・テンプレート定義を作成するステップと、
    主データー損失防止(DLP)ポリシー・オブジェクトを作成するステップであって、前記主データー損失防止(DLP)ポリシー・オブジェクトが、前記1組のデーター損失防止(DLP)ポリシー・テンプレート定義から導出可能である、ステップと、
    1組のポリシー規則オブジェクトを作成するステップであって、前記1組のポリシー規則オブジェクトが、前記主データー損失防止(DLP)ポリシー・オブジェクトから導出可能な一致条件およびアクションを定める、ステップと、
    1組のデーター分類規則オブジェクトを作成するステップであって、前記データー分類規則オブジェクトが、前記ポリシー規則オブジェクトが適用される1組の電子データーを定める、ステップと、
    を含む、方法。
  2. 請求項1に記載の方法において、1組のポリシー・テンプレート・オブジェクトを作成する前記ステップが、更に、
    1組のポリシー・テンプレート動作を作成するステップであって、前記ポリシー・テンプレート動作が、前記ポリシー・テンプレート・オブジェクトに対して作用する、ステップを含む、方法。
  3. 請求項2に記載の方法において、1組のポリシー・テンプレート動作を作成する前記ステップであって、前記ポリシー・テンプレート動作が、前記ポリシー・テンプレート・オブジェクトに対して作用する、ステップが、更に、
    1組のポリシー・テンプレート動作を作成するステップであって、前記ポリシー・テンプレート動作が、インストール、除去、インポート、エクスポート、問い合わせ、および削除を含む一群の内1つを含む、ステップを含む、方法。
  4. 請求項1に記載の方法において、主データー損失防止(DLP)ポリシー・オブジェクトを作成する前記ステップであって、前記主データー損失防止(DLP)ポリシー・オブジェクトが、共有メタデーターおよび状態を追跡可能である、前記ステップが、更に、1組の主データー損失防止(DLP)ポリシー・オブジェクト動作を作成するステップであって、前記動作が前記主データー損失防止(DLP)ポリシー・オブジェクトに対して作用する、ステップを含む、方法。
  5. 請求項4に記載の方法において、1組の主データー損失防止(DLP)ポリシー・オブジェクト動作を作成する前記ステップであって、前記動作が前記主データー損失防止(DLP)ポリシー・オブジェクトに対して作用する、前記ステップが、更に、
    1組の主データー損失防止(DLP)ポリシー・オブジェクト動作を作成するステップを含み、前記データー損失防止(DLP)ポリシー動作が、(1)テンプレートから新たなポリシー・オブジェクトを作成すること、(2)新たな状態変化を生じさせ、編集し、削除することを含む1群の内1つを含む、方法。
  6. 1組のポリシー・テンプレートに基づいてデーター損失防止(DLP)ポリシーを実施する方法であって、
    所望のデーター損失防止(DLP)ポリシーの影響を受けることになる電子ファイル・システムを識別するステップと、
    前記所望のデーター損失防止(DLP)ポリシーに適した1組のデーター損失防止(DLP)ポリシー・テンプレートを特定するステップと、
    前記データー損失防止(DLP)ポリシー・テンプレートを、所望のデーター損失防止(DLP)ポリシー特定データーによってパラメーター化するステップと、
    前記パラメーター化したデーター損失防止(DLP)ポリシー・インスタンスを前記電子ファイル・システムに流通するステップと、
    を含む、方法。
  7. 請求項6に記載の方法において、前記データー損失防止(DLP)ポリシー・テンプレートをパラメーター化する前記ステップが、更に、
    前記テンプレート内部にあるパラメーター化表現を、所望のパラメーター値と置換するステップを含む、方法。
  8. 請求項7に記載の方法において、パラメーター化表現を置換するステップが、更に、
    包括ポリシー構成を展開特定オブジェクトに変換するステップを含む、方法。
  9. 1組の電子ファイル・システムに少なくとも1つのデーター損失防止(DLP)ポリシー・インスタンスを作成するシステムであって、前記電子ファイル・システムが、1組のファイル・サーバーを含み、前記ファイル・サーバーが1組のクライアントと通信し、前記クライアントがデーターに対するアクセスを要求してデーターを前記ファイル・サーバーにアップロードする 前記電子ファイル・ システムにおいて、
    1組のデーター損失防止(DLP)ポリシー・テンプレートであって、各々、1組のコンポーネント・フィールドを含む、データー損失防止(DLP)ポリシー・テンプレートと、
    データー損失防止(DLP)ポリシー・テンプレート・パラメーター化モジュールであって、前記コンポーネント・フィールドを所望のポリシー・データーと交換することができる、データー損失防止(DLP)ポリシー・テンプレート・パラメーター化モジュールと、
    前記1組の電子ファイル・システムのために、前記1組のデーター損失防止(DLP)ポリシー・テンプレートからデーター損失防止(DLP)ポリシー・インスタンスを作成することができる、データー損失防止(DLP)主ポリシー・モジュールと、
    を含む、システム。
  10. 請求項9に記載のシステムにおいて、少なくとも1つのデーター損失防止(DLP)ポリシー・インスタンスを作成する前記システムが、更に、
    監査モジュールを含み、前記監査モジュールが、データー損失防止(DLP)ポリシー・オブジェクトにしたがって、監査情報を生成する、システム。
JP2015521762A 2012-07-10 2013-07-09 電子メール用のデーター検出および保護ポリシー Pending JP2015523661A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/545,864 US9317696B2 (en) 2012-07-10 2012-07-10 Data detection and protection policies for e-mail
US13/545,864 2012-07-10
PCT/US2013/049815 WO2014011704A1 (en) 2012-07-10 2013-07-09 Data detection and protection policies for e-mail

Publications (1)

Publication Number Publication Date
JP2015523661A true JP2015523661A (ja) 2015-08-13

Family

ID=48856980

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015521762A Pending JP2015523661A (ja) 2012-07-10 2013-07-09 電子メール用のデーター検出および保護ポリシー

Country Status (6)

Country Link
US (3) US9317696B2 (ja)
EP (1) EP2873203B1 (ja)
JP (1) JP2015523661A (ja)
KR (1) KR102056956B1 (ja)
CN (2) CN104471900B (ja)
WO (1) WO2014011704A1 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8898779B1 (en) * 2012-02-03 2014-11-25 Symantec Corporation Data loss prevention of information using structured document templates and forms
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
US9317696B2 (en) 2012-07-10 2016-04-19 Microsoft Technology Licensing, Llc Data detection and protection policies for e-mail
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
RU2013144681A (ru) 2013-10-03 2015-04-10 Общество С Ограниченной Ответственностью "Яндекс" Система обработки электронного сообщения для определения его классификации
US9432405B2 (en) 2014-03-03 2016-08-30 Microsoft Technology Licensing, Llc Communicating status regarding application of compliance policy updates
US9697349B2 (en) 2014-10-26 2017-07-04 Microsoft Technology Licensing, Llc Access blocking for data loss prevention in collaborative environments
US10606626B2 (en) 2014-12-29 2020-03-31 Nicira, Inc. Introspection method and apparatus for network access filtering
US10454933B2 (en) * 2015-01-21 2019-10-22 Sequitur Labs, Inc. System and methods for policy-based active data loss prevention
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US9842220B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10324746B2 (en) 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
CN105337993B (zh) * 2015-11-27 2018-09-07 厦门安胜网络科技有限公司 一种基于动静结合的邮件安全检测装置及方法
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US10805311B2 (en) * 2016-08-22 2020-10-13 Paubox Inc. Method for securely communicating email content between a sender and a recipient
US9762619B1 (en) * 2016-08-30 2017-09-12 Nicira, Inc. Multi-layer policy definition and enforcement framework for network virtualization
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
WO2018106612A1 (en) 2016-12-06 2018-06-14 Nicira, Inc. Performing context-rich attribute-based services on a host
US10503536B2 (en) 2016-12-22 2019-12-10 Nicira, Inc. Collecting and storing threat level indicators for service rule processing
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10812451B2 (en) 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
US11032246B2 (en) 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10803173B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
WO2018182885A1 (en) 2017-03-30 2018-10-04 Mcafee, Llc Secure software defined storage
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
CN108768820A (zh) * 2018-03-15 2018-11-06 北京明朝万达科技股份有限公司 一种邮件安全分级管理方法及系统
US11012309B2 (en) 2018-06-04 2021-05-18 Vmware, Inc. Deploying data-loss-prevention policies to user devices
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11455407B2 (en) * 2020-04-21 2022-09-27 Zscaler, Inc. Data loss prevention expression building for a DLP engine
CN111753675B (zh) * 2020-06-08 2024-03-26 北京天空卫士网络安全技术有限公司 一种图片型垃圾邮件的识别方法和装置
US11379153B2 (en) 2020-07-23 2022-07-05 Micron Technology, Inc. Storage traffic pattern detection in memory devices
US11314456B2 (en) 2020-07-23 2022-04-26 Micron Technology, Inc. Memory device performance based on storage traffic pattern detection
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11790103B2 (en) * 2020-09-29 2023-10-17 Citrix Systems, Inc. Adaptive data loss prevention
CN113284217B (zh) * 2021-07-26 2021-11-23 北京优锘科技有限公司 一种实现半自动化绘图的方法、装置、设备和存储介质
CN114969218B (zh) * 2022-06-01 2023-04-18 广东森克电子有限公司 一种工业计算机用数据防丢失系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086252A1 (en) * 2002-09-18 2005-04-21 Chris Jones Method and apparatus for creating an information security policy based on a pre-configured template
US20050283824A1 (en) * 2004-06-22 2005-12-22 International Business Machines Corporation Security policy generation

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
US7958213B1 (en) 2000-09-21 2011-06-07 Siemens Enterprise Communications, Inc. Processing electronic messages
US7159125B2 (en) * 2001-08-14 2007-01-02 Endforce, Inc. Policy engine for modular generation of policy for a flat, per-device database
US7484237B2 (en) 2004-05-13 2009-01-27 Hewlett-Packard Development Company, L.P. Method and apparatus for role-based security policy management
US20060048224A1 (en) * 2004-08-30 2006-03-02 Encryptx Corporation Method and apparatus for automatically detecting sensitive information, applying policies based on a structured taxonomy and dynamically enforcing and reporting on the protection of sensitive data through a software permission wrapper
US20100115581A1 (en) 2008-11-06 2010-05-06 Trust Digital System method and device for mediating connections between policy source servers, corporate respositories, and mobile devices
US8056114B2 (en) * 2005-08-23 2011-11-08 The Boeing Company Implementing access control policies across dissimilar access control platforms
US7752487B1 (en) 2006-08-08 2010-07-06 Open Invention Network, Llc System and method for managing group policy backup
CA2667172C (en) * 2006-10-20 2013-01-08 Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada Method and apparatus for software policy management
CN101589379A (zh) 2006-11-06 2009-11-25 戴尔营销美国公司 用于管理跨越多个环境的数据的系统和方法
US8024396B2 (en) 2007-04-26 2011-09-20 Microsoft Corporation Distributed behavior controlled execution of modeled applications
US8301741B2 (en) 2007-08-21 2012-10-30 Alcatel Lucent Cloning policy using templates and override cloned policy
US8141129B2 (en) 2008-05-29 2012-03-20 Microsoft Corporation Centrally accessible policy repository
US8613040B2 (en) * 2008-12-22 2013-12-17 Symantec Corporation Adaptive data loss prevention policies
CN101582883B (zh) * 2009-06-26 2012-05-09 西安电子科技大学 通用网络安全管理系统及其管理方法
US20120079275A1 (en) 2010-09-23 2012-03-29 Canon Kabushiki Kaisha Content filtering of secure e-mail
US9317696B2 (en) 2012-07-10 2016-04-19 Microsoft Technology Licensing, Llc Data detection and protection policies for e-mail

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050086252A1 (en) * 2002-09-18 2005-04-21 Chris Jones Method and apparatus for creating an information security policy based on a pre-configured template
US20050283824A1 (en) * 2004-06-22 2005-12-22 International Business Machines Corporation Security policy generation
JP2006011554A (ja) * 2004-06-22 2006-01-12 Internatl Business Mach Corp <Ibm> セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体

Also Published As

Publication number Publication date
US20190354691A1 (en) 2019-11-21
CN109150695A (zh) 2019-01-04
CN104471900A (zh) 2015-03-25
CN104471900B (zh) 2018-09-07
WO2014011704A1 (en) 2014-01-16
US9317696B2 (en) 2016-04-19
KR102056956B1 (ko) 2019-12-17
KR20150032861A (ko) 2015-03-30
EP2873203A1 (en) 2015-05-20
US10372916B2 (en) 2019-08-06
CN109150695B (zh) 2021-08-03
EP2873203B1 (en) 2019-09-18
US20140020045A1 (en) 2014-01-16
US20160203321A1 (en) 2016-07-14

Similar Documents

Publication Publication Date Title
US20190354691A1 (en) Data detection and protection policies for electronic file systems
US11627054B1 (en) Methods and systems to manage data objects in a cloud computing environment
US10348774B2 (en) Method and system for managing security policies
US10467426B1 (en) Methods and systems to manage data objects in a cloud computing environment
US10754932B2 (en) Centralized consent management
US8010991B2 (en) Policy resolution in an entitlement management system
EP2873202B1 (en) Uniform policy for security and information protection
US20210286890A1 (en) Systems and methods for dynamically applying information rights management policies to documents
US10891357B2 (en) Managing the display of hidden proprietary software code to authorized licensed users
EP1978464A1 (en) Federated role provisioning
US9191391B1 (en) Cross-domain object models for securely sharing information between network security domains
US9104884B2 (en) Implementing role based security in an enterprise content management system
US20120167200A1 (en) System and method for a business data provisioning for a pre-emptive security audit
US20240155003A1 (en) Governance and security control for services executing on cloud platforms
Tarkhanov Access Control Model for Collaborative Environments in ECM
de Leusse et al. Securing business operations in an SOA

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160617

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170629

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170712

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180215