1. 問題概要
エンドポイントDLP(データ損失防止)ルールの設定項目である「デバイスでアクティビティを監査または制限する」について、各選択肢(オーバーライド、オフ、許可など)の具体的な動作や意味を確認したい。
2. 結論
設定値によって、ファイル操作の可否およびログ記録の有無が以下のように変わる。
| 設定値 | アップロード(操作)の動作 | ログ出力 |
|---|---|---|
| 禁止 | ブロック(実行不可) | あり |
| オーバーライド | 一時ブロックされるが、ユーザーが上書きして実行可能 | あり |
| 許可 | ブロックされない(実行可能) | あり |
| 監査のみ | ブロックされない(実行可能) | あり(アラート含む) |
| オフ | ブロックされない(実行可能) | なし |
3. 調査したこと
- 「オーバーライド」と「オフ」の動作の違い: 具体的にどのような挙動の差があるか。
- 「許可」と「監査のみ」の違い: ログやアラートの出力レベルの差について。
- 表記の不明瞭さ: UI上で「オーバーライド...」と省略されている箇所の正式名称。
- 「オン」という選択肢の不在: 「禁止」設定との関連性について。
4. 調査結果
- 「オーバーライド」設定: 正式には「オーバーライド付きブロック」を意味する。アップロードは一度ブロックされるが、ユーザーが理由を入力するなどの操作で設定を上書きし、アップロードを続行できる。
- 「オフ」設定: アップロードは制限されず、アクティビティのログも記録されない。
- 「許可」設定: アップロードは制限されません。操作ログが記録されない。
- 「監査のみ」設定: アップロードは制限されない。ログに加えてアラートが出力されまる。
- 「オン」と「禁止」の関係: 管理画面上の「オン」という表記は誤り(または以前の呼称)であり、現在の「禁止(ブロック)」に該当。
コメント