JP2021525418A - 小さいフットプリントのエンドポイント・データ損失防止(dlp) - Google Patents
小さいフットプリントのエンドポイント・データ損失防止(dlp) Download PDFInfo
- Publication number
- JP2021525418A JP2021525418A JP2020565464A JP2020565464A JP2021525418A JP 2021525418 A JP2021525418 A JP 2021525418A JP 2020565464 A JP2020565464 A JP 2020565464A JP 2020565464 A JP2020565464 A JP 2020565464A JP 2021525418 A JP2021525418 A JP 2021525418A
- Authority
- JP
- Japan
- Prior art keywords
- document
- endpoint
- confidentiality
- metadata
- cloud
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002265 prevention Effects 0.000 title claims abstract description 62
- 230000015654 memory Effects 0.000 claims abstract description 19
- 238000000034 method Methods 0.000 claims description 82
- 238000007689 inspection Methods 0.000 claims description 64
- VEMKTZHHVJILDY-UHFFFAOYSA-N resmethrin Chemical compound CC1(C)C(C=C(C)C)C1C(=O)OCC1=COC(CC=2C=CC=CC=2)=C1 VEMKTZHHVJILDY-UHFFFAOYSA-N 0.000 claims description 59
- 238000012544 monitoring process Methods 0.000 claims description 38
- 230000004044 response Effects 0.000 claims description 36
- 238000003860 storage Methods 0.000 claims description 36
- 230000009471 action Effects 0.000 claims description 28
- 238000012986 modification Methods 0.000 claims description 16
- 230000004048 modification Effects 0.000 claims description 16
- 238000001514 detection method Methods 0.000 claims description 13
- 230000003993 interaction Effects 0.000 claims description 10
- 230000001360 synchronised effect Effects 0.000 claims description 10
- 230000000903 blocking effect Effects 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 4
- 238000001914 filtration Methods 0.000 claims description 2
- 230000003213 activating effect Effects 0.000 claims 3
- 230000002459 sustained effect Effects 0.000 claims 3
- 238000005516 engineering process Methods 0.000 abstract description 27
- 238000010586 diagram Methods 0.000 abstract description 5
- 239000003795 chemical substances by application Substances 0.000 description 12
- 238000004458 analytical method Methods 0.000 description 11
- 239000000463 material Substances 0.000 description 10
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000036541 health Effects 0.000 description 6
- 238000013459 approach Methods 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000008520 organization Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000035945 sensitivity Effects 0.000 description 4
- 238000000605 extraction Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000036961 partial effect Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 238000011960 computer-aided design Methods 0.000 description 2
- 230000009193 crawling Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000011045 prefiltration Methods 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 230000002829 reductive effect Effects 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 239000013543 active substance Substances 0.000 description 1
- GJJYZOBRHIMORS-GQOAHPRESA-K aloglutamol Chemical compound OCC(N)(CO)CO.OC[C@@H](O)[C@@H](O)[C@H](O)[C@@H](O)C(=O)O[Al](O)O GJJYZOBRHIMORS-GQOAHPRESA-K 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010367 cloning Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000011143 downstream manufacturing Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000007717 exclusion Effects 0.000 description 1
- 238000001125 extrusion Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000003550 marker Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000004630 mental health Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000008521 reorganization Effects 0.000 description 1
- 230000000717 retained effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
Description
[序論]
[クラウドベースの環境]
[先見的な機密性メタデータの生成]
[小さいフットプリントのエンドポイント・データ損失防止(sf−EDLP)]
[データ取出要求検出]
[機密性メタデータ・ベースのエンドポイント・ポリシの実施]
[新規な機密性メタデータの生成]
[オンプレミス環境]
[コンピュータ・システム]
[特定の実施態様]
[小さいフットプリントのエンドポイント・データ損失防止(sf−EDLP)]
[新規な機密性メタデータの生成]
Claims (56)
- エンドポイントでのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータで実施する方法であって、
前記エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、前記エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、
前記エンドポイント・ポリシ・エンフォーサが、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類するために、前記要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすること、
文書に対するデータ取出要求を受信することに応答して、前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアから前記文書に対する前記機密性メタデータを取得することによって、前記文書の機密性を判定すること、及び、
前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントにおいて前記文書のコンテンツ機密性スキャンを実行せずに、取得された前記機密性メタデータに基づいて、前記エンドポイントでデータ損失防止ポリシを実施することを、含む方法。 - 取得された前記機密性メタデータが前記文書を機密として識別すると判定し、前記データ取出要求を阻止することを更に含む請求項1に記載のコンピュータで実施する方法。
- 取得された前記機密性メタデータが前記文書を機密でないと識別すると判定し、前記データ取出要求の実現を許可することを更に含む請求項1または2に記載のコンピュータで実施する方法。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアに常駐している間に前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1〜3の何れか1項に記載のコンピュータで実施する方法。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1〜4の何れか1項に記載のコンピュータで実施する方法。
- 前記機密性メタデータが、マウントされたファイル・システムに前記文書が常駐している間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項1〜5の何れか1項に記載のコンピュータで実施する方法。
- 前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアと定期的に同期される前記エンドポイントにおける前記機密性メタデータのローカル・メタデータ・ストアにアクセスできることを更に含む請求項1〜6の何れか1項に記載のコンピュータで実施する方法。
- 前記エンドポイント・ポリシ・エンフォーサが、まず、前記ローカル・メタデータ・ストアから前記文書の前記機密性メタデータを取得し、前記ローカル・メタデータ・ストアで前記文書の前記機密性メタデータが使用可能でない場合は、前記クラウドベース・メタデータ・ストアから前記機密性メタデータを取得する請求項1〜7の何れか1項に記載のコンピュータで実施する方法。
- 前記文書に対し機密性メタデータが利用可能でない場合、前記エンドポイント・ポリシ・エンフォーサが、
前記エンドポイント上で動作するローカル・アンカー・パターン・スキャナであって、
アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類し、
前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、且つ、
前記確証的な機密性分類を識別する機密性メタデータを受信する前記ローカル・アンカー・パターン・スキャナを、起動することを更に含む請求項1〜8の何れか1項に記載のコンピュータで実施する方法。 - 前記ローカル・アンカー・パターン・スキャナが、前記アンカー・パターン・チェックに基づいて、前記文書を機密でないものとして予め分類した場合、前記データ取出要求の実現を許可することを更に含む請求項1〜9の何れか1項に記載のコンピュータで実施する方法。
- 前記エンドポイントでの更なるデータ損失防止ポリシの実施のための前記確証的な機密性分類を識別する前記機密性メタデータを含むように、前記ローカル・メタデータ・ストアを更新することを更に含む請求項1〜10の何れか1項に記載のコンピュータで実施する方法。
- 前記確証的な機密性分類が受信されるまで、前記データ取出要求を保留にすることを更に含む請求項1〜11の何れか1項に記載のコンピュータで実施する方法。
- 前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントに追加された未検査文書の機密性分類のために、前記ローカル・アンカー・パターン・スキャナを起動し、前記エンドポイントでの更なるデータ損失防止ポリシ実施のための前記未検査文書の前記機密性分類を識別するために、前記ローカル・メタデータ・ストアを更新することを更に含む請求項1〜12の何れか1項に記載のコンピュータで実施する方法。
- エンドポイントを介して文書内のデータのエクスフィルトレーションを制御するコンピュータで実施する方法であって、
前記エンドポイントにおいて、前記エンドポイントから非統制場所に前記文書内の前記データをプッシュするであろうデータ取出イベントを検出することに応答して、
クラウドベース・メタデータ・ストアにアクセスし、前記データ取出イベントに先立って予め生成された機密性メタデータを取得して、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類することと、
取得された前記機密性メタデータに基づいて、前記エンドポイントにおいて機密性について前記文書をスキャンすることなく、前記エンドポイントにおいてデータ損失防止ポリシを実施することとを含むコンピュータで実施する方法。 - エンドポイントでデータ損失防止ポリシを実施するデバイスであって、
前記エンドポイントで保持され、文書を機密または非機密として前記文書のディープ・インスペクションに基づいて分類するために、予め生成された機密性メタデータをクラウドベース・メタデータ・ストアから定期的に受信するように構成されたローカル・メタデータ・ストアと、
前記エンドポイント上で動作し、アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類するように構成され、前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、前記確証的な機密性分類を識別する機密性メタデータを受信するローカル・アンカー・パターン・スキャナと、
前記エンドポイントで動作し、
前記ローカル・メタデータ・ストアの検索によって、
引き続き、前記ローカル・メタデータ・ストアの前記検索では識別されない文書に対して前記クラウドベース・メタデータ・ストアの検索によって、
引き続き、前記ローカル・メタデータ・ストア及び前記クラウドベース・メタデータ・ストアの前記検索では識別されない文書の前記ローカル・アンカー・パターン・スキャナによる事前の機密性分類によって、及び、
引き続き、前記アンカー・パターン・チェックで陽性と記録された文書の前記クラウドベース・コンテンツ機密性スキャナによる確証的な機密性分類によって、判定された前記文書の機密性に基づいて、前記エンドポイントから非統制場所へ前記文書内のデータをプッシュするデータ取出要求に応答するように構成されたエンドポイント・ポリシ・エンフォーサと、
を備えるデバイス。 - エンドポイントまたはサーバ側でのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータで実施する方法であって、
機密事項を扱うとして識別されたクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせること、
前記ネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントにダウンロードされた文書を機密であるとしてラベル付けする機密性メタデータを生成し、前記機密性メタデータを前記エンドポイントのローカル・メタデータ・ストアで持続化させる前記ファイル・システム・モニタリングとの前記組み合わせと、
前記エンドポイントから非統制場所に文書内のデータをプッシュするであろう前記エンドポイントでのデータ取出イベントの検出に応答して、
前記エンドポイントにおいて機密性について前記文書をスキャンせずに、前記ローカル・メタデータ・ストア内の前記文書の前記機密性メタデータの検索に基づいて、前記文書を機密であると判定し、
前記判定に基づいて前記エンドポイントにおいてデータ損失防止ポリシを実施することを含む方法。 - 前記機密性メタデータは、前記機密事項を扱うクラウドベース・サービスを、前記エンドポイントでダウンロードされた前記文書のソースとして更にラベル付けし、
前記ダウンロード後にダウンロードされた文書の修正またはコピーを検出することに応答して、前記機密事項を扱うクラウドベース・サービスを前記ソースとして識別する機密性メタデータ・ラベルを添付することと、前記ローカル・メタデータ・ストアを添付物と共に更新することとを含んで、前記機密性メタデータ・ラベルをダウンロードされた前記文書から修正またはコピーされた前記文書に添付することを更に含む請求項16に記載のコンピュータで実施する方法。 - 前記ダウンロード後のダウンロードされた文書の修正またはコピーの検出に応答して、修正またはコピーされた前記文書の機密性を再評価し、修正またはコピーされた前記文書を機密であるとラベル付けする機密性メタデータを生成し、修正またはコピーされた前記文書に対して生成された前記機密性メタデータで前記ローカル・メタデータ・ストアを更新することを更に含む請求項16または17に記載のコンピュータで実施する方法。
- ダウンロードされた前記文書に前記機密性メタデータを埋め込むことを更に含む請求項16〜18の何れか1項に記載のコンピュータで実施する方法。
- エンドポイントでのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するデバイスであって、
前記エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信し、
前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類する前記要求に先立って予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアへアクセスし、
前記クラウドベース・メタデータ・ストア内の前記文書に対する前記機密性メタデータを検索することに基づいて、前記エンドポイントにおいて前記文書のコンテンツ機密性スキャンを実行することなく、前記文書の機密性を判定することにより、前記文書に対するデータ取出要求に応答し、更に、
前記判定に基づいて、前記エンドポイントにおいてデータ損失防止ポリシを実施する前記エンドポイント上で動作するエンドポイント・ポリシ・エンフォーサを含むデバイス。 - エンドポイントでのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータ・プログラム命令を記憶した非一時的コンピュータ可読記憶媒体であって、前記命令がプロセッサ上で実行されると実施される方法が、
前記エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、前記エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、
前記エンドポイント・ポリシ・エンフォーサが、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類するために、前記要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすること、
文書に対するデータ取出要求を受信することに応答して、前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアから前記文書に対する前記機密性メタデータを取得することによって、前記文書の機密性を判定すること、及び、
前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントにおいて前記文書のコンテンツ機密性スキャンを実行せずに、取得された前記機密性メタデータに基づいて、前記エンドポイントでデータ損失防止ポリシを実施することを、含む非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、取得された前記機密性メタデータが前記文書を機密として識別すると判定し、前記データ取出要求を阻止することを、更に含む請求項21に記載の非一時的コンピュータ可読記憶媒体。
- 前記方法の実施が、取得された前記機密性メタデータが前記文書を機密でないと識別すると判定し、前記データ取出要求の実現を許可することを、更に含む請求項21または22に記載の非一時的コンピュータ可読記憶媒体。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアに常駐している間に前記文書を検査した検査サービスによって生成されたデータを、更に含む請求項21〜23の何れか1項に記載の非一時的コンピュータ可読記憶媒体。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項21〜24の何れか1項に記載の非一時的コンピュータ可読記憶媒体。
- 前記機密性メタデータが、マウントされたファイル・システムに前記文書が常駐している間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項21〜25の何れか1項に記載の非一時的コンピュータ可読記憶媒体。
- 前記方法の実施が、
前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアと定期的に同期される前記エンドポイントにおける前記機密性メタデータのローカル・メタデータ・ストアにアクセスできることを、更に含む請求項21〜26の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - 前記エンドポイント・ポリシ・エンフォーサが、まず、前記ローカル・メタデータ・ストアから前記文書の前記機密性メタデータを取得し、前記ローカル・メタデータ・ストアで前記文書の前記機密性メタデータが使用可能でない場合は、前記クラウドベース・メタデータ・ストアから前記機密性メタデータを取得する請求項21〜27の何れか1項に記載の非一時的コンピュータ可読記憶媒体。
- 前記方法の実施が、
前記文書に対し機密性メタデータが利用可能でない場合、前記エンドポイント・ポリシ・エンフォーサが、
前記エンドポイント上で動作するローカル・アンカー・パターン・スキャナであって、
アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類し、
前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、且つ、
前記確証的な機密性分類を識別する機密性メタデータを受信する前記ローカル・アンカー・パターン・スキャナを、起動することを、更に含む請求項21〜28の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、
前記ローカル・アンカー・パターン・スキャナが、前記アンカー・パターン・チェックに基づいて、前記文書を機密でないものとして予め分類した場合、前記データ取出要求の実現を許可することを、更に含む請求項21〜29の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、
前記エンドポイントでの更なるデータ損失防止ポリシの実施のための前記確証的な機密性分類を識別する前記機密性メタデータを含むように、前記ローカル・メタデータ・ストアを更新することを、更に含む請求項21〜30の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、
前記確証的な機密性分類が受信されるまで、前記データ取出要求を保留にすることを、更に含む請求項21〜31の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、
前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントに追加された未検査文書の機密性分類のために、前記ローカル・アンカー・パターン・スキャナを起動し、前記エンドポイントでの更なるデータ損失防止ポリシ実施のための前記未検査文書の前記機密性分類を識別するために、前記ローカル・メタデータ・ストアを更新することを、更に含む請求項21〜32の何れか1項に記載の非一時的コンピュータ可読記憶媒体。 - エンドポイントを介して文書内のデータのエクスフィルトレーションを制御するコンピュータ・プログラム命令を記憶した非一時的コンピュータ可読記憶媒体であって、前記命令がプロセッサ上で実行されると実施される方法が、
前記エンドポイントにおいて、前記エンドポイントから非統制場所に前記文書内の前記データをプッシュするであろうデータ取出イベントを検出することに応答して、
クラウドベース・メタデータ・ストアにアクセスし、前記データ取出イベントに先立って予め生成された機密性メタデータを取得して、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類することと、
取得された前記機密性メタデータに基づいて、前記エンドポイントにおいて機密性について前記文書をスキャンすることなく、前記エンドポイントにおいてデータ損失防止ポリシを実施することとを含む非一時的コンピュータ可読記憶媒体。 - エンドポイントまたはサーバ側でのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータ・プログラム命令を記憶した非一時的コンピュータ可読記憶媒体であって、前記命令がプロセッサ上で実行されると実施される方法が、
機密事項を扱うとして識別されたクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせること、
前記ネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントにダウンロードされた文書を機密であるとしてラベル付けする機密性メタデータを生成し、前記機密性メタデータを前記エンドポイントのローカル・メタデータ・ストアで持続化させる前記ファイル・システム・モニタリングとの前記組み合わせと、
前記エンドポイントから非統制場所に文書内のデータをプッシュするであろう前記エンドポイントでのデータ取出イベントの検出に応答して、
前記エンドポイントにおいて機密性について前記文書をスキャンせずに、前記ローカル・メタデータ・ストア内の前記文書の前記機密性メタデータの検索に基づいて、前記文書を機密であると判定し、
前記判定に基づいて前記エンドポイントにおいてデータ損失防止ポリシを実施することを含む非一時的コンピュータ可読記憶媒体。 - 前記機密性メタデータは、前記機密事項を扱うクラウドベース・サービスを、前記エンドポイントでダウンロードされた前記文書のソースとして更にラベル付けし、
前記ダウンロード後にダウンロードされた文書の修正またはコピーを検出することに応答して、前記機密事項を扱うクラウドベース・サービスを前記ソースとして識別する機密性メタデータ・ラベルを添付することと、前記ローカル・メタデータ・ストアを添付物と共に更新することとを含んで、前記機密性メタデータ・ラベルをダウンロードされた前記文書から修正またはコピーされた前記文書に添付することを更に含む請求項35に記載のコンピュータで実施する非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、
前記ダウンロード後のダウンロードされた文書の修正またはコピーの検出に応答して、修正またはコピーされた前記文書の機密性を再評価し、修正またはコピーされた前記文書を機密であるとラベル付けする機密性メタデータを生成し、修正またはコピーされた前記文書に対して生成された前記機密性メタデータで前記ローカル・メタデータ・ストアを更新することを、更に含む請求項35または36に記載のコンピュータで実施する非一時的コンピュータ可読記憶媒体。 - 前記方法の実施が、ダウンロードされた前記文書に前記機密性メタデータを埋め込むことを、更に含む請求項35〜37の何れか1項に記載の非一時的コンピュータ可読記憶媒体。
- エンドポイントでのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータ命令を備えたメモリに結合された1以上のプロセッサを含むシステムであって、前記命令が前記プロセッサ上で実行されると実施されるアクションが、
前記エンドポイントで動作するエンドポイント・ポリシ・エンフォーサで、前記エンドポイントから非統制場所に文書内のデータをプッシュするためのデータ取出要求を受信すること、
前記エンドポイント・ポリシ・エンフォーサが、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類するために、前記要求より前に予め生成された機密性メタデータを含むクラウドベース・メタデータ・ストアにアクセスすること、
文書に対するデータ取出要求を受信することに応答して、前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアから前記文書に対する前記機密性メタデータを取得することによって、前記文書の機密性を判定すること、及び、
前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントにおいて前記文書のコンテンツ機密性スキャンを実行せずに、取得された前記機密性メタデータに基づいて、前記エンドポイントでデータ損失防止ポリシを実施することを、含むシステム。 - 前記アクションの実施が、取得された前記機密性メタデータが前記文書を機密として識別すると判定し、前記データ取出要求を阻止することを、更に含む請求項39に記載のシステム。
- 前記アクションの実施が、取得された前記機密性メタデータが前記文書を機密でないと識別すると判定し、前記データ取出要求の実現を許可することを、更に含む請求項39または40に記載のシステム。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアに常駐している間に前記文書を検査した検査サービスによって生成されたデータを、更に含む請求項39〜41の何れか1項に記載のシステム。
- 前記機密性メタデータが、前記文書がクラウドベース文書ストアへ、またはクラウドベース文書ストアから移送されている間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項39〜42の何れか1項に記載のシステム。
- 前記機密性メタデータが、マウントされたファイル・システムに前記文書が常駐している間に、前記文書を検査した検査サービスによって生成されたデータを更に含む請求項39〜43の何れか1項に記載のシステム。
- 前記アクションの実施が、
前記エンドポイント・ポリシ・エンフォーサが、前記クラウドベース・メタデータ・ストアと定期的に同期される前記エンドポイントにおける前記機密性メタデータのローカル・メタデータ・ストアにアクセスできることを、更に含む請求項39〜44の何れか1項に記載のシステム。 - 前記エンドポイント・ポリシ・エンフォーサが、まず、前記ローカル・メタデータ・ストアから前記文書の前記機密性メタデータを取得し、前記ローカル・メタデータ・ストアで前記文書の前記機密性メタデータが使用可能でない場合は、前記クラウドベース・メタデータ・ストアから前記機密性メタデータを取得する請求項39〜45の何れか1項に記載のシステム。
- 前記アクションの実施が、
前記文書に対し機密性メタデータが利用可能でない場合、前記エンドポイント・ポリシ・エンフォーサが、
前記エンドポイント上で動作するローカル・アンカー・パターン・スキャナであって、
アンカー・パターン・チェックに基づいて前記文書を機密または非機密として予め分類し、
前記アンカー・パターン・チェックで陽性と記録された前記文書を、ディープ・インスペクションに基づいて前記文書を機密または非機密として確証的に分類するクラウドベース・コンテンツ機密性スキャナに送信し、且つ、
前記確証的な機密性分類を識別する機密性メタデータを受信する前記ローカル・アンカー・パターン・スキャナを、起動することを、更に含む請求項39〜46の何れか1項に記載のシステム。 - 前記アクションの実施が、
前記ローカル・アンカー・パターン・スキャナが、前記アンカー・パターン・チェックに基づいて、前記文書を機密でないものとして予め分類した場合、前記データ取出要求の実現を許可することを、更に含む請求項39〜47の何れか1項に記載のシステム。 - 前記アクションの実施が、
前記エンドポイントでの更なるデータ損失防止ポリシの実施のための前記確証的な機密性分類を識別する前記機密性メタデータを含むように、前記ローカル・メタデータ・ストアを更新することを、更に含む請求項39〜48の何れか1項に記載のシステム。 - 前記アクションの実施が、
前記確証的な機密性分類が受信されるまで、前記データ取出要求を保留にすることを、更に含む請求項39〜49の何れか1項に記載のシステム。 - 前記アクションの実施が、
前記エンドポイント・ポリシ・エンフォーサが、前記エンドポイントに追加された未検査文書の機密性分類のために、前記ローカル・アンカー・パターン・スキャナを起動し、前記エンドポイントでの更なるデータ損失防止ポリシ実施のための前記未検査文書の前記機密性分類を識別するために、前記ローカル・メタデータ・ストアを更新することを、更に含む請求項39〜50の何れか1項に記載のシステム。 - エンドポイントを介して文書内のデータのエクスフィルトレーションを制御するコンピュータ命令を備えたメモリに結合された1以上のプロセッサを含むシステムであって、前記命令が前記プロセッサ上で実行されると実施されるアクションが、
前記エンドポイントにおいて、前記エンドポイントから非統制場所に前記文書内の前記データをプッシュするであろうデータ取出イベントを検出することに応答して、
クラウドベース・メタデータ・ストアにアクセスし、前記データ取出イベントに先立って予め生成された機密性メタデータを取得して、前記文書のディープ・インスペクションに基づいて、前記文書を機密または非機密として分類することと、
取得された前記機密性メタデータに基づいて、前記エンドポイントにおいて機密性について前記文書をスキャンすることなく、前記エンドポイントにおいてデータ損失防止ポリシを実施することとを含むシステム。 - エンドポイントまたはサーバ側でのコンテンツ機密性スキャンの実施を必要とせずに、前記エンドポイントでデータ損失防止ポリシを実施するコンピュータ命令を備えたメモリに結合された1以上のプロセッサを含むシステムであって、前記命令が前記プロセッサ上で実行されると実施されるアクションが、
機密事項を扱うとして識別されたクラウドベース・サービスとのユーザ・インタラクションのネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントへの文書ダウンロードのファイル・システム・モニタリングとを組み合わせること、
前記ネットワーク・トラフィック・モニタリングと、前記機密事項を扱うクラウドベース・サービスから前記エンドポイントにダウンロードされた文書を機密であるとしてラベル付けする機密性メタデータを生成し、前記機密性メタデータを前記エンドポイントのローカル・メタデータ・ストアで持続化させる前記ファイル・システム・モニタリングとの前記組み合わせと、
前記エンドポイントから非統制場所に文書内のデータをプッシュするであろう前記エンドポイントでのデータ取出イベントの検出に応答して、
前記エンドポイントにおいて機密性について前記文書をスキャンせずに、前記ローカル・メタデータ・ストア内の前記文書の前記機密性メタデータの検索に基づいて、前記文書を機密であると判定し、
前記判定に基づいて前記エンドポイントにおいてデータ損失防止ポリシを実施することを含むシステム。 - 前記機密性メタデータは、前記機密事項を扱うクラウドベース・サービスを、前記エンドポイントでダウンロードされた前記文書のソースとして更にラベル付けし、
前記ダウンロード後にダウンロードされた文書の修正またはコピーを検出することに応答して、前記機密事項を扱うクラウドベース・サービスを前記ソースとして識別する機密性メタデータ・ラベルを添付することと、前記ローカル・メタデータ・ストアを添付物と共に更新することとを含んで、前記機密性メタデータ・ラベルをダウンロードされた前記文書から修正またはコピーされた前記文書に添付することを更に含む請求項53に記載のシステム。 - 前記アクションの実施が、
前記ダウンロード後のダウンロードされた文書の修正またはコピーの検出に応答して、修正またはコピーされた前記文書の機密性を再評価し、修正またはコピーされた前記文書を機密であるとラベル付けする機密性メタデータを生成し、修正またはコピーされた前記文書に対して生成された前記機密性メタデータで前記ローカル・メタデータ・ストアを更新することを、更に含む請求項53または54に記載のシステム。 - 前記アクションの実施が、ダウンロードされた前記文書に前記機密性メタデータを埋め込むことを更に含む請求項53〜55の何れか1項に記載のシステム。
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201862675692P | 2018-05-23 | 2018-05-23 | |
US62/675,692 | 2018-05-23 | ||
US16/000,132 US10291657B2 (en) | 2016-03-11 | 2018-06-05 | Metadata-based data loss prevention (DLP) for cloud storage |
US16/000,132 | 2018-06-05 | ||
US16/408,215 US11425169B2 (en) | 2016-03-11 | 2019-05-09 | Small-footprint endpoint data loss prevention (DLP) |
US16/408,215 | 2019-05-09 | ||
PCT/US2019/031867 WO2019226363A1 (en) | 2018-05-23 | 2019-05-10 | Small-footprint endpoint data loss prevention (dlp) |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2021525418A true JP2021525418A (ja) | 2021-09-24 |
JP7402183B2 JP7402183B2 (ja) | 2023-12-20 |
Family
ID=66676910
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020565464A Active JP7402183B2 (ja) | 2018-05-23 | 2019-05-10 | 小さいフットプリントのエンドポイント・データ損失防止(dlp) |
Country Status (3)
Country | Link |
---|---|
EP (1) | EP3797501A1 (ja) |
JP (1) | JP7402183B2 (ja) |
WO (1) | WO2019226363A1 (ja) |
Families Citing this family (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
US11019101B2 (en) | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
US11405423B2 (en) | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
US10270788B2 (en) | 2016-06-06 | 2019-04-23 | Netskope, Inc. | Machine learning based anomaly detection |
US11087179B2 (en) | 2018-12-19 | 2021-08-10 | Netskope, Inc. | Multi-label classification of text documents |
US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
KR102375145B1 (ko) | 2020-05-07 | 2022-03-16 | (주) 씨이랩 | 비디오 데이터 통합 분석 및 관리 시스템 |
US11568067B2 (en) * | 2020-09-21 | 2023-01-31 | Sap Se | Smart direct access |
US11316741B1 (en) | 2020-11-23 | 2022-04-26 | Netskope, Inc. | Multi-environment networking management system |
US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
US11271953B1 (en) | 2021-01-29 | 2022-03-08 | Netskope, Inc. | Dynamic power user identification and isolation for managing SLA guarantees |
US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
US12015619B2 (en) | 2021-01-30 | 2024-06-18 | Netskope, Inc. | Dynamic routing of access request streams in a unified policy enforcement system |
US11159576B1 (en) | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
US11444951B1 (en) | 2021-05-20 | 2022-09-13 | Netskope, Inc. | Reducing false detection of anomalous user behavior on a computer network |
US11481709B1 (en) | 2021-05-20 | 2022-10-25 | Netskope, Inc. | Calibrating user confidence in compliance with an organization's security policies |
US11310282B1 (en) | 2021-05-20 | 2022-04-19 | Netskope, Inc. | Scoring confidence in user compliance with an organization's security policies |
US11336689B1 (en) | 2021-09-14 | 2022-05-17 | Netskope, Inc. | Detecting phishing websites via a machine learning-based system using URL feature hashes, HTML encodings and embedded images of content pages |
US11444978B1 (en) | 2021-09-14 | 2022-09-13 | Netskope, Inc. | Machine learning-based system for detecting phishing websites using the URLS, word encodings and images of content pages |
US11438377B1 (en) | 2021-09-14 | 2022-09-06 | Netskope, Inc. | Machine learning-based systems and methods of using URLs and HTML encodings for detecting phishing websites |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007011521A (ja) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | 情報漏洩防止システム、情報漏洩防止サーバ、情報漏洩防止端末及び情報漏洩防止方法 |
JP2013120559A (ja) * | 2011-12-08 | 2013-06-17 | Canon Marketing Japan Inc | 情報処理システム、情報処理方法、プログラム |
JP2013131046A (ja) * | 2011-12-21 | 2013-07-04 | Sharp Corp | 認証システム |
US9069992B1 (en) * | 2009-07-31 | 2015-06-30 | Symantec Corporation | System and method for reducing data loss prevention scans |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8127365B1 (en) * | 2009-11-16 | 2012-02-28 | Trend Micro Incorporated | Origination-based content protection for computer systems |
US9398102B2 (en) | 2013-03-06 | 2016-07-19 | Netskope, Inc. | Security for network delivered services |
US9928377B2 (en) | 2015-03-19 | 2018-03-27 | Netskope, Inc. | Systems and methods of monitoring and controlling enterprise information stored on a cloud computing service (CCS) |
US11019101B2 (en) | 2016-03-11 | 2021-05-25 | Netskope, Inc. | Middle ware security layer for cloud computing services |
-
2019
- 2019-05-10 JP JP2020565464A patent/JP7402183B2/ja active Active
- 2019-05-10 EP EP19727564.7A patent/EP3797501A1/en active Pending
- 2019-05-10 WO PCT/US2019/031867 patent/WO2019226363A1/en unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2007011521A (ja) * | 2005-06-29 | 2007-01-18 | Matsushita Electric Ind Co Ltd | 情報漏洩防止システム、情報漏洩防止サーバ、情報漏洩防止端末及び情報漏洩防止方法 |
US9069992B1 (en) * | 2009-07-31 | 2015-06-30 | Symantec Corporation | System and method for reducing data loss prevention scans |
JP2013120559A (ja) * | 2011-12-08 | 2013-06-17 | Canon Marketing Japan Inc | 情報処理システム、情報処理方法、プログラム |
JP2013131046A (ja) * | 2011-12-21 | 2013-07-04 | Sharp Corp | 認証システム |
Also Published As
Publication number | Publication date |
---|---|
EP3797501A1 (en) | 2021-03-31 |
WO2019226363A9 (en) | 2020-07-23 |
JP7402183B2 (ja) | 2023-12-20 |
WO2019226363A1 (en) | 2019-11-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11985170B2 (en) | Endpoint data loss prevention (DLP) | |
JP7402183B2 (ja) | 小さいフットプリントのエンドポイント・データ損失防止(dlp) | |
US10812531B2 (en) | Metadata-based cloud security | |
US10614233B2 (en) | Managing access to documents with a file monitor | |
US11907393B2 (en) | Enriched document-sensitivity metadata using contextual information | |
Awaysheh et al. | Next-generation big data federation access control: A reference model | |
RU2573760C2 (ru) | Служба репутации контента на основе декларации | |
US20210029089A1 (en) | Enforcing security policies on client-side generated content in cloud application communications | |
US11856022B2 (en) | Metadata-based detection and prevention of phishing attacks | |
US11416631B2 (en) | Dynamic monitoring of movement of data | |
RU2693330C2 (ru) | Способ и система для авторизации пользователя для выполнения действия в электронном сервисе | |
US20230205897A1 (en) | Application groups for enforcing data transfer controls | |
US12041090B2 (en) | Cloud security based on object metadata | |
WO2023129805A1 (en) | Application groups for enforcing data transfer controls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210122 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220413 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230428 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230509 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230718 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20231026 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231205 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231208 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 7402183 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |