Control Plane DPE
データポリシーエンジンは、Kiteworksセキュアデータ交換プラットフォームの実行層です。従業員やAIエージェントによるアクセスを問わず、組織内に入る・出る・通過するすべての機密データが、設定した属性ベースアクセス制御(ABAC)およびロールベースアクセス制御(RBAC)のルールに、すべてのチャネルで自動かつ一貫して従うことを保証します。
コンプライアンスの抜け穴や監査失敗を生むポリシーのサイロ化を解消
機密データは、メール、セキュアなファイル共有、マネージドファイル転送、API、データフォームなど、さまざまなチャネルを横断して流れていますが、多くの組織では、それらを一元的に管理する方法がありません。ポリシーはサイロ化されており、メール用、ファイル転送用、コラボレーション用とツールごとにバラバラで、連携が取れていません。その結果、ポリシーの適用に一貫性がなくなり、コンプライアンスの抜け穴や監査対応の悪夢が生まれ、セキュリティやコンプライアンス担当者は「統治」ではなく「対応」に追われることになります。
すべてのチャネルで機密データガバナンスを一元化するコントロールプレーン
現代のエンタープライズは、アプリケーション層、ネットワーク層、インフラ層を管理しており、それぞれに行動を統制するコントロールプレーンがあります。しかし、機密データ層には従来、独自のコントロールプレーンが存在しませんでした。Kiteworksプラットフォームはこれを変革します。組織の機密データ層に対するコントロールプレーンとして機能し、すべての機密データのやり取りが一つのプラットフォームを通じて流れ、統一されたポリシーで管理され、エンタープライズレベルのセキュリティで保護され、統合監査ログに記録されます。その中核となるのがData Policy Engineです。
データポリシーエンジンであらゆるチャネルにわたりデータガバナンスを自動適用
Kiteworksのデータポリシーエンジンは、NISTサイバーセキュリティフレームワークの原則を活用し、機密データのやり取りごとに「どのデータか」「誰またはどのエージェントが操作するか」「何をしようとしているか」の3要素を同時に評価します。この三位一体の評価、すなわち属性ベースアクセス制御(ABAC)が、人とAIエージェントの双方に対して動的かつリアルタイムでポリシー決定を行い、単一のコントロールポイントから自動的に強制されます。ルールセットはCMMC 2.0、HIPAA、GDPR、FedRAMP、ITARなどのフレームワークに直接対応しており、手動による介入は不要です。すべての操作は包括的かつ改ざん不可能な監査ログに記録され、コンプライアンスレポートやSIEM連携に直接活用されます。
ポリシー展開を加速する事前構築テンプレートとIF-THENルールロジック
属性ベースアクセス制御(ABAC)データポリシーを、データ、ユーザー/エージェント、アクションに基づく分かりやすいIF-THENルールとして定義できます:
- IF データに特定のフォルダパスやデータ分類(MIP感度ラベルやKiteworksタグ)がある場合。
- IF ユーザー/エージェントが特定のドメイン、ID、プロファイル、またはリアルタイムの位置情報を持っている場合。
THEN 指示を設定(ユーザー/エージェントのアクションに基づく):
- データアクセスアクションの場合: アクセスのブロック、閲覧のみ(SafeVIEW)、所有権を持たない編集アクセス(SafeEDIT)、アクセス前の正当化フォーム提出の必須化、またはフルアクセスを選択可能。
- データ送信・共有アクションの場合: ブロック、指定マネージャーの承認必須、または送信・共有の許可を選択可能。
- データのアップロード・添付アクションの場合: ブロック、特定のKiteworksタグ付与、アクション前の正当化フォーム提出の必須化、または単純な許可を選択可能。
すべてのデータ移動にリアルタイムポリシー適用で即時対応
-
ステップ1 — 評価: データがKiteworksのいずれかのチャネルを通過する際、DPEがリアルタイムでポリシー条件に照らして評価します。データ属性の読み取り、アクター(従業員またはAIエージェント)の特定、要求アクションの判定を実施。
-
ステップ2 — 適用: 条件に合致した指示が自動的に実行されます。人手による介入は不要。すべてのチャネルとアクタータイプで一律に適用されます。
きめ細かなロールベースアクセス制御(RBAC)で全ユーザー・全資産を統治
Kiteworksの最小権限ロールにより、各ユーザー種別ができること(アップロード可能なファイル種別、メール送信の可否や転送・有効期限オプション、利用可能なクライアントやプラグイン、フォルダ作成や他ユーザー招待の可否など)が定義されます。管理業務は明確に分離されたロールごとに割り当てられ、権限管理のコンプライアンスを実現。フォルダ単位では、閲覧専用からフル管理まで細かなアクセスロールが設定でき、所有者は日常管理をマネージャーに委任可能です。時間ベースの制御により、管理者はユーザーアカウント、フォルダ、ファイル、共有リンクの有効期限を設定でき、不要になった時点で自動的にアクセスを取り消します。
自動でコンプライアンスを徹底し、統合監査ログで証明
Data Policy Engineは、コンプライアンスを単なる書類上のものではなく、実運用に落とし込みます。Kiteworksは、事後に遵守を証明するのではなく、データ移動の瞬間にリアルタイムでコンプライアンスを強制。ポリシーコントロールは各種規制要件に直接マッピングされ、自動適用により人的ミスやポリシー逸脱を排除。統合監査ログにより、評価や監査の証拠収集も簡素化されます。
対応する主な規制フレームワーク例:
- CMMC 2.0
- HIPAA / HITECH
- GDPR / NIS 2
- FedRAMP Moderate AuthorizedおよびFedRAMP High In Process
- ITAR / EAR
- SOC 2 Type II
- ISO 27001, 27017, 27018
ポリシー適用だけでなく、完全なセキュアデータ交換プラットフォームを提供
- メール、セキュアなファイル共有、MFT、SFTP、API、データフォームを単一のポリシーフレームワークと統合監査ログで一元管理できる唯一のプラットフォーム—従業員もAIエージェントも対象
- FedRAMP Moderate AuthorizedおよびFedRAMP High In Process—最も厳格なセキュリティ検証を受けたプラットフォームの一つで、厳格なコンプライアンス要件を持つ組織にも対応
- 厳格なデータ分離要件を持つ組織向けに、共有インフラなしで環境を完全に制御できるハードニング済みシングルテナント展開オプションを提供
- CISOダッシュボードで、すべてのチャネルにおける機密データのアクティビティをリアルタイムに可視化—誰が、いつ、どこで、何を、誰に送ったかをドリルダウンレポートやSIEM連携で確認可能
よくあるご質問
ポリシーサイロとは、メール、ファイル転送、コラボレーションなどの各ツールごとに個別のポリシーを持ち、連携せずに断片的に運用することを指します。これにより、ポリシーの適用に一貫性がなくなり、コンプライアンスの抜け穴や監査不合格が発生しやすくなります。その結果、セキュリティやコンプライアンスチームはガバナンスではなく、後手の対応に追われることになります。
Kiteworksプラットフォームは、機密データのコントロールプレーンとして機能し、すべてのデータ交換を単一のプラットフォームで管理します。これにより、ポリシーを一貫して適用し、エンタープライズレベルのセキュリティを提供し、統合された監査ログを維持することで、あらゆるチャネルにわたる包括的なガバナンスを実現します。
データポリシーエンジン(DPE)はKiteworksプラットフォームの中核を担い、データの移動をリアルタイムでポリシー条件と照合し、自動的に指示を適用します。これにより、コントロールを規制要件にマッピングし、人為的ミスを排除し、コンプライアンス評価のための統合監査ログによって証拠収集を簡素化します。
ポリシー適用に加え、Kiteworksはメール、ファイル共有、MFT、SFTP、API、データフォームを1つのフレームワークで統合したセキュアなデータ交換プラットフォームを提供します。FedRAMP認証、強化されたシングルテナント導入、そして機密データのアクティビティをリアルタイムで可視化・レポートできるCISOダッシュボードも備えています。