組織にとって、知的財産の保護は重要です。イノベーションと独自の知財が競争力となる業界においては特にそうです。3つの独立事業への分割を進めている、あるグローバル化学企業にとって、機密データの制御が重要なミッションとなっていました。
このブログ記事では、この企業がProofpointでどのようにMicrosoftのデータセキュリティの課題を克服し、データ保護戦略を強化したかについて説明します。
課題:複雑な事業分割の中でデータを管理する
このFortune 500企業は、3つの株式公開企業への分割を計画しており、情報セキュリティ最高責任者(CISO)は、内部関係者による情報漏えいリスクの低減といった喫緊の課題に直面していました。この企業はMicrosoft E5ライセンスを所有していたことから、当初は情報漏えい対策 (DLP)にMicrosoft Purviewを使用していました。PurviewはE5ライセンスで無料で利用できるものでした。そのため、わざわざ他のDLPツールに投資する理由はありませんでした。
しかし、使用してから最初の6か月間で、CISOのチームは、Purviewには重大な欠点がいくつもあることを発見しました。例えば、以下のようなものです。
- 非効率なオペレーション:Purviewの場合、データを分析するには、ポリシーを事前定義し、作成しておく必要がありました。この柔軟性の乏しさにより、負担が大きくなっていました。
- 不適切なアラート:Purviewのアラートオプションは、柔軟ではありませんでした。内部脅威の検知においては、特にこの点が顕著に見られました。アラートをカスタマイズするには、PurviewとMicrosoft Sentinelを統合する必要があり、運用コストがかなりかかってしまいます。
- 連携の取れていないプラットフォーム:内部関係者による情報漏えいを管理するには、複数のMicrosoftコンソールを操作する必要がありました。これによりチームのワークフローは複雑になり、貴重な時間を無駄にしていました。
- 手動プロセスへの後戻り:こうした制限にストレスを感じたチームは、カスタムツールを構築して、Purviewからデータを抽出し、Excelスプレッドシートを使用して内部脅威を管理する手段を取りました。最適なソリューションとは程遠いものです。
この企業のサイバーセキュリティ責任者は、「データ保護のメイン プラットフォームにMicrosoftを使用すれば、会社は情報漏えいのリスクにさらされてしまう」と述べています。
プルーフポイントで成果をすぐに実現
この企業は、Proofpoint Enterprise DLP (Data Loss Prevention)を選択することで、具体的な改善をすぐに実感することができました。概念実証(PoC)において、プルーフポイントは、Microsoftが見逃していた、以下のような重大な脆弱性を明らかにしました。
- 保護されていないMicrosoft SharePoint Online:ドキュメントは、リンクが提供されている人であれば誰でもアクセスできるものでした。
- 許可されていないデータ共有:従業員が個人のメールアカウント経由で機密データを共有していたことがわかりました。
- アカウント乗っ取りの検知不能:この企業はアカウント乗っ取りが可視化できていませんでした。
プルーフポイントのソリューションが完全に導入されると、その成果は驚くべきものでした。
- 情報漏えいの大幅な減少:この企業は、1か月あたり2,000 GB(20万ファイル相当)から、毎月4,000件の高リスクイベントをブロックするなど、情報漏えいの削減に成功しました。
- オペレーションの効率化:プルーフポイントの統合コンソールは、運用効率を大幅に向上させました。クラウド、エンドポイント、メールシステムにおいてアラートトリアージがより簡単になっただけでなく、調査や対応にかかる時間も短縮されました。
- シンプルな除外管理:Purviewの場合、除外の作成には30分かかり、デプロイには最大1日かかることもありました。プルーフポイントなら、除外は、10分で作成でき、20分以内でユーザーに展開できました。
- 正確なアラートと調査:プルーフポイントは、誤検知を大幅に減らし、シームレスな調査を可能にしました。すべてが1つのダッシュボード内で行えます。
プルーフポイントを選ぶ理由:効率性、早期の投資効果、可視性
最終的に、この企業は、自社環境においてPurviewをプルーフポイントで補完することを選びました。この決定の理由は、3つの要素に集約されます。
1: 運用効率
プルーフポイントの「人」を中心としたHuman-Centricアプローチは、ユーザーの意図やデータアクセスに関するパターンについて、詳細なインサイトを提供します。また、コンテンツおよびコンテキストをベースとするルールを提供しているため、情報漏えいインシデントを正確に検知しながら、誤検知を最小限に抑えることができます。さらに、統合ダッシュボードにより、ワークフローはシンプルになります。結果として、チームの調査数は、1か月あたり36~40件から0件へと減りました。
2: 早期の投資効果
この企業は、Purviewでの6か月の苦労を経て、プルーフポイントでは、ポジティブな結果をすぐに実感しました。プルーフポイントのソリューションは、導入が簡単なだけでなく、アラートを設定不要で追跡できるためでした。
Microsoft Information Risk Management (IRM)の場合、画面収録や複雑な構成には別のエージェントが必要となります。これに対し、Proofpoint Insider Threat Management (ITM)では、2つの目的に対応したエージェントが、Proofpoint Endpoint DLPとフルに連携します。この設計により、プロセスは簡素化され、時間を節約できます。
3: 可視性
情報漏えいイベントを見逃してしまっては、DLPプログラムの意義が半減します。プルーフポイントは、メール、クラウド、アプリケーション、エンドポイントにおいてテレメトリを統合しています。結果として、アナリストは、データイベントを効果的に解釈できる、重要なコンテキストを得ることができます。Purviewもいくらかコンテキストを提供していましたが、複数のダッシュボードや複雑な連携により、インシデントを見逃していました。
無料のはずが高くつく
プルーフポイントにより、この企業は重大なリスクを軽減できるようになりました。PoCにおいて、プルーフポイントのチームは、特定のユースケースで内部脅威プログラムを設計し、ポリシー作成をサポートしました。このプロセスにおいて、Purviewでは、企業の内部脅威の軽減ニーズに対応できていないことが明らかになりました。さらに、簡単にいえば、プルーフポイントほど顧客に深く関わることは、Microsoftには不可能でした。
最終的に、企業のサイバーセキュリティ責任者は、プルーフポイントのソリューションによってどれほどコストを節約し、運用効率を改善できるかを提示することで、経営陣に説明することができました。
「無料だからいいとは限りません。」と、責任者は述べています。「プルーフポイントは有料ですが、それだけの価値があります。」
詳細はこちら
Microsoft Purviewに関するアナリストの視点については、無料のGartner®レポート、「Microsoftのデータセキュリティ機能とライセンス構造を紐解く」をご覧ください。
