Computer Keyboard

情報 漏えい対策 (DLP)

情報漏えい対策(DLP: Data Loss Prevention)とは?
データ漏えい対策 (DLP) の詳細と DLP ツールの活用方法やベストプラクティスについてご説明します

定義

情報漏えい対策 (DLP) とは、機密情報や重要データを社内ネットワークの外へ漏えいさせないための対策です。ユーザーが送信するデータをネットワーク管理者が管理するソフトウェア製品「Data Loss Prevention (DLP)」の名称もここに由来しています。

DLP 製品は、機密情報や重要データを分類して保護するビジネスルールを適用して、許可のないユーザーが誤ってまたは悪意でデータを共有するリスクから組織を守ります。例えば、ユーザーがビジネス メールをコーポレート ドメイン以外へ転送しようとしたり、企業ファイルを Dropbox などの消費者向けクラウド ストレージ サービスにアップロードしようとした場合、それらを行えないようにします。

内部脅威 への対応や、厳しいデータ保護およびデータ アクセス要件を定めるデータプライバシー法に対応する必要性から、多くの組織で DLP 対策が採用されています。DLP ツールはエンドポイント アクティビティの監視とコントロールに使われますが、さらにコーポレート ネットワーク上のデータのフィルタリングや送受信中のデータの保護にも利用できます。

ベスト プラクティス

DLP のデプロイは次のように行います。

  • データに優先順位をつける
    すべてのデータが同じように重要なわけではありません。重要なデータの定義は組織により異なります。そこで、まず、データが窃盗された場合に最も深刻な被害となるデータを特定します。DLP 対策は、このように攻撃の標的となる可能性の高い、最重要の機密情報から着手します。
  • データを分類する
    コンテキストによるデータ分類は、シンプルで拡張可能なアプローチです。ソース アプリケーションやデータ ストア、データを作成したユーザーに結びつけて分類を行います。一貫した分類タグをデータに適用して、データの利用を追跡できるようにします。コンテンツの検査も便利な機能です。社会保障番号、クレジットカード番号またはキーボード入力 (例えば「機密」) などのよくある表現からデータの検査を行います。コンテンツの検査は、PCI、PII などの基準に対応する事前定義されたルールを適用することもできます。
  • リスクが高い場面を把握する
    ユーザーのデバイスに送信されたデータと、パートナー、顧客、サプライチェーンとの間で共有されたデータでは、リスクが異なりますが、いずれのケースでもリスクが最も高くなるのは、データがエンドポイント上で利用される場面です。例えば、 データが E メールに添付されたり 、リムーバブル ストレージ デバイスに移管された場合にリスクは高まります。DLP プログラムは、データの移動やデータ リスクが高い場面に対応できることが重要です。
  • 送受信中のデータを監視する
    データの利用方法を把握して、データ リスクを高めるような振る舞いを特定します。送受信中のデータを監視して機密データに何が起きているのかを可視化し、DLP 戦略で対応すべき問題の範囲を見極める必要があります。
  • コミュニケーションを図り、コントロールを策定する
    次に、事業部のマネージャーと協力して、リスクの発生原因を解明し、リスク低減に向けて採るべきコントロールを定めます。DLP プログラムの開始当初は、データ利用のコントロールは比較的簡易なものとなり、多くの事業部のマネージャーがリスクが高いと考える共通の振る舞いに焦点を当てます。プログラムの成熟度が増すと、よりきめの細かい、状況に応じたコントロールを定めて具体的なリスクに対応することができるようになります。
  • ユーザー トレーニングと継続的なガイダンスを提供する
    データの移動が把握できるようになれば、ユーザー トレーニングを実施することで、内部関係者の不注意によるデータ漏えいのリスクを低減することができます。一般的にユーザーは自分の行動がデータ漏えいにつながるとは考えていません。このため、トレーニングを受ければその行動は改善されます。高度な DLP ソリューションでは、企業ポリシーに違反する可能性のあるデータ利用やリスクを高めるようなデータ利用について通知するユーザー プロンプトを提供しています。これは、リスクの高いデータ アクティビティを全面的にブロックする機能に追加的に提供されます。
  • 展開
    こうした作業を、データの範囲を広げながら、またはデータの特定や分類を拡大しながら繰り返して、組織に合ったデータ コントロールを展開していきます。DLP では、当初は最重要データのセキュリティに注力することで、実施も管理もシンプルに始めます。パイロット プログラムとして始めることで、プログラムを拡張させるオプションも得ることができます。その後、対象となる機密情報の範囲を徐々に拡大させていけば、事業プロセスへの影響も最小限に抑えられます。

DLP に関する統計情報

データ侵害の 43% は社内で発生

データ漏えいは外部の攻撃から生じると考えられがちですが、これは誤解です。外部からの侵害行為がデータ侵害全体の半数以上を占めていますが、内部からのデータ侵害も増加傾向にあり、データ侵害全体の半数近くを占めるまでになっています。

データ侵害の 60% から 70% では情報開示が求められている

この数値は、組織の評判に影響が出ることを意味しています。Intel が実施した調査では、SME や SMB など中小企業で発生したデータ漏えいインシデントの 70% で、情報の開示が求められるか、または財務上の悪影響があったことがわかっています。

DLP を支えるツールおよびテクノロジー

プルーフポイントの Proofpoint Email Data Loss Prevention は、E メールおよび添付ファイルを対象とする統合されたデータ保護機能を提供します。不注意から生じるデータ漏えいを防止し、E メールを使った第三者による攻撃や詐欺攻撃を阻止します。このソリューションは、Proofpoint Data Discover や Proofpoint Email Encryption などの他の情報保護ソリューションと合わせてご利用いただけます。

DLP ツールの完全な導入を進めた場合は、集中管理されたサーバー、ネットワークの監視、ストレージ DLP およびエンドポイント DLP の4つの要素が含まれます。小規模な導入の場合は、エンドポイント エージェントを除くすべての機能について、シングル サーバーまたはシングル アプライアンス上で統合することができます。規模の大きな導入の場合は、異なるインフラをカバーする複数からなる配備も可能です。

このツールを用いることで、知的財産、個人情報、患者情報、財務情報などのプライベート データや機密データがどこに存在するのかを常に把握できるため、データが検知しやすくなり、データを迅速に評価してさまざまな問題に対処することが可能になります。プルーフポイントの DLP ソリューションに含まれる Content Control で提供される機能は以下のとおりです。

  • 機密データがどこにあっても、その場所を特定します。複雑な DLP ソリューションと格闘することも、すべてをロック ダウンすることもなく、問題を把握することが可能です。
  • 過去のデータを評価し、新しいデータが作成されれば必ず評価を行います。誤った資料からの悪影響を抑えるため、違反行為は、封じ込め、移動または削除の対象になります。例えば、コーポレート コンテンツが Dropbox の同期フォルダーで発見された場合は、自動的にユーザーにアラートが送られ、データは IT セキュリティーチームの管理下にあるレポジトリに移管されます。
  • メタデータおよびファイル内のすべてのテキストが評価対象となります。クレジットカード番号、個人 ID、免許証番号、医療情報などの情報の特定が可能になります。組織の生産性やワークフローに影響を及ぼす心配はありません。ユーザーは仕事をしながらデータ管理のベストプラクティスやセキュリティーについて学ぶことができます。

関連項目