Insider Threat Management

DLPと内部脅威管理プログラムの違い

エンタープライズ DLP (EDLP)内部脅威管理 (ITM) プログラムは連携していないように見えるかもしれません。従来より、EDLP はデータの追跡に、ITM はユーザーに焦点を当てています。これら2つのプログラムがどのように構築され運用されていても、プルーフポイントは、インシデント管理を統合してデータとユーザーの調査の両方に付加価値を与える、People-Centric な統合 DLP アプローチが重要であると考えています。

大規模組織は多くの場合、異なるクライテリア、構成要素、目標、成功の尺度を用いて、これら2つのプログラムを意図的に別々に実行しています。両方のプログラムの目標を合わせることもあります。中規模組織では、リソースとスケーラビリティの問題で、2つのプログラムを分けられないこともあります。 

 

ITMとDLP プログラムのクライテリア

DLP/ITM プログラムには最低でも以下が必要になります。  

プログラムチャーター文書

DLP/ITM プログラムの目的、スコープ、メンバー、ミッションを網羅した、プログラムレベルのガイド。セキュリティポリシー (つまりセキュリティ インシデント管理プロセス) が NIST または ISO 準拠の場合は、DLP/ITM プログラムサポートには NIST 800-61 または ISO 27035 を用いてください。 

エグゼクティブ スポンサーシップ

ビジネス側部門のスポンサーのサポートを得てください。できれば IT や情報セキュリティチーム外 (つまり CIO や CISO 以外) のスポンサーが望ましいです。プログラムの目的とスコープは、組織の目標と合致するようにしてください。プログラムスポンサーは、最高法務責任者 (法務顧問)、CFO、COO、CEO、事業部門長などが適任です。また人事やプライバシーの部門長もよいでしょう。  

役割と責任の明確な定義

責任者、説明責任者、アドバイザー、情報提供者の定義には RACI チャート が最適です。それ以外にも多くの方法があります。最低でも、チャーター文書には部門/個人とプログラムへの期待値の説明をするセクションが含まれていなければなりません。

一度にすべてをやろうとしない

ステップを踏んで実行するようにしてください。プログラムを成功させるには、ガードレールを設け、適切なスコープを定めることが重要です。そして強固な基盤を確立してから、次のステージに進む方法を模索します。この段階で製品やテクノロジーを用いれば、ポリシーをコントロールに正しくマッピングできているかを確認できます。 

DLP と ITM プログラムの主な違い

DLP プログラムと ITM プログラムの哲学には従来よりいくつか違いがあります。 

上記のように、DLP プログラムはまずコンテンツの検査とデータガバナンスに重点を置きます。データアクセスや移動 (または抽出/操作) の証拠を提供し、その後に、それらのデータイベントを特定のユーザーに関連付けます。従来の DLP プログラムでは、まずデータイベントが起こり、それが検証されてから調査が行われます。

一方、内部脅威管理プログラムはまずユーザーにフォーカスします。ITM プログラムでは、ユーザーがどのように行動して、データ、アプリケーション、およびその他のユーザーとどのようにやり取りをしているかを把握することを重視します。誰が最もリスクの高いユーザーかという、基本となる評価は非常に役立ちます (ヒント: このようなユーザーは、幹部、財務部門、または特権を多く持つ IT セキュリティ管理者だけとは限りません)。 

Gartner のエンタープライズ DLP マーケットについて取り上げ、2016年と2017年に最後の2つのマジック クアドラントクリティカル ケイパビリティを公開した際に、プルーフポイントではエンタープライズ DLP の主要ユースケースを3つ定義しました。この3つのユースケースは、規制コンプライアンス要件の順守、知的財産の保護、データの可視性と監視にフォーカスしています。

内部脅威管理プログラムの精度を高め、迅速化し、成功に導くには、役割を定義し、ユーザーとその潜在的な動機を理解することがカギになります。内部脅威が過失によるものか、セキュリティ侵害によるものか、または本当に悪意をもった行為なのかを判断しなければなりません。この分析は特別なプロセスをもって実行することが必要です。なぜなら SOC アナリストの注意を引くようなイベントを分析するだけでなく、人事、法務、プライバシーも考慮しなければならないからです。ユーザーレベルの理解を深めることは、DLP プログラムでも役立ちます。

詳細

最後に、プログラム始動時にポリシーの細分化にとらわれすぎないようにしてください。People-Centric な DLP アプローチを用いて、プログラムの例外については優先順位をつけ、注意を払って対処するようにします。「ローテク」や「ノーテク」な方法で DLP と ITM プログラムをすり抜けることも可能だということにも注意しなければなりません。People-Centric なアプローチで DLP/ITM 調査ができる統合インシデント管理インターフェースを用いれば、精度と効率を向上させることが可能です。 

内部脅威管理プログラムを設定するには、ぜひ「E-Book 内部脅威管理プログラム設定ガイド」を参考にしてください。