DLP(情報漏洩対策)とは?

クラウド情報漏洩対策 (DLP) は、機密情報や重要情報をサイバー攻撃者や内部社員による流出から守ります。中でも、SaaSやIaaSアプリケーションに含まれている機密情報の可視化と保護を提供するのが、クラウドDLPです。クラウドDLPは、CASB (Cloud Access Security Broker) の主要機能の1つです。

当社ProofpointがMicrosoft Office365とG Suite (現Google Workspace) の利用企業に実施した調査では、クラウド上のファイル共有の25%が、組織の内外に広く共有する公開設定であることがわかりました。

ここでは情報漏洩対策に重点を置き、企業や組織が安全を確保するために着手すべき8つのステップを紹介します。

1. データに優先順位をつける： すべてのデータが、クラウドDLPが必要なほど重要とは限りません。どのデータが流出すると莫大な損害を受けるのか、攻撃者のターゲットになりそうなデータはどこにあるのかを、見極めることが必要です。
2. データを分類する： 使用アプリケーションやデータ作成者と関連付けて分類します。機密情報としては、顧客や提携企業などのマイナンバー、クレジットカード番号を含むものが広く知られています。ペイメント・カード・インダストリー (PII) や個人を特定できる情報 (personally identifiable information : PII) などには、事前に設定した規則があります。
3. 情報リスクを理解する： クラウド上のファイルには、組織内外に公開するような幅広く共有を許可しているときにリスクが生じています。そのうえ、機密ファイルはターゲットになりやすい管理職が所有しているため、盗まれる危険性が高いです。
4. データの動きを監視する： 企業や組織は機密情報にどのような処理が行われているかがわかるように、そして、DLP 戦略を導入すべき問題点が見られるかを判断するため、データの動きを監視しなければなりません。
5. 完全一致を実践する： データの完全一致では、金融機関の口座番号や自治体のID、患者番号など、企業や事業部毎に一意な顧客辞書や識別子を作成します。
6. 意思疎通を図りコントロールを保つ： 責任者と合意が取れる実現可能なコントロールから始めることを推奨します。クラウドDLPが成功するまでに、特定のリスク発生をひとつずつ減らすような、より細やかに微調整した制御の展開が求められます。CASBは、細部に渡る制御を強化するために、環境 （デバイス、ネットワーク、ユーザー）と 内容（データの分類）を組み合わせて制御することができます。
7. 社員教育を継続的に行う： 社員に研修を行い、定期的にガイダンスを提供します。社員教育は、内部関係者からの予期せぬ情報漏洩のリスクを軽減します。社員は自分の行動が情報漏洩の原因になり得るとは、認識していないことがよくあります。このような状況は、トレーニングにより変えられます。CASBは、クラウド上で社員がDLPに抵触した場合に通知します。
8. 導入したシステムを運用する： 新たにDLP プログラムを導入する場合は、最も重要なデータにだけ、新しいセキュリティコントロールを適用することを推奨します。そうすると、クラウドベースのDLPは導入も管理もシンプルになります。また、後から事業プロセスへの影響を最小限に抑えて、より多くの情報にも展開していくことができます。

企業が事業を管理するためにITの活用を拡大し、クラウド上でのパソコン操作が増えれば、サイバーセキュリティ上のリスクもまた上昇します。新たな脅威に対しては、クラウド情報漏洩対策 (DLP) の利用が今まで以上に求められます。クラウドDLPソリューションは、機密情報や重要な情報を分類・保護するための規制として用いられます。必要なセキュリティコントロールとして導入し、社員や悪用された社員のアカウントが、企業をリスクにさらすデータを誤って、あるいは悪意を持ってシェアしたりできないようにします。

多くの企業は、ソーシャルエンジニアリングによる新たな脅威や、データの保護とアクセス要件を求める厳格なデータプライバシー新法に見合うように、クラウドDLPを導入しています。

同時に、現社員や元社員が機密情報や価値のある情報にアクセスし、個人的な利益や仕事上の利益を得るために悪用することもあります。 米Ponemon研究所によると、内部関係者が原因のサイバーセキュリティインシデントの発生件数は2018年から47％も跳ね上がっています。そして内部関係者の脅威に対する年間平均損失は、たった2年間で31%も上昇し1145万ドルに達しています。企業の内外から発生する脅威を認識することは、かつてないほど重要です。

企業成長とともに、サイバー攻撃の脅威も大きくなります。情報漏洩が今まで以上にニュースになり、企業はクラウドデータの安全性について考えなければなりません。情報保護のためのポリシーを導入し、漏洩の影響を軽減するための処理として戦略やツールを用意する必要性に迫られています。

さらに、サイバー攻撃者の脅威は、金銭的なものだけではありません。企業は、事業所から間違って送信されるデータのリスクも排除しなければなりません。例えば、独自文書・屈辱的な内容・政府の規制や自身のポリシーに反するデータ・機密データなどが、攻撃者の手に渡ることを含みます。

クラウド情報漏洩対策を効果的に運用するには、企業組織内に存在するセキュリティ問題をすべて見直し、取り扱いデータを種類別に分類して、データが危険にさらされた場合のリスクを把握する必要があります。従業員には研修を実施し、内部関係者から知らず知らずのうちに情報が漏洩してしまうリスクを減らします。そして、人を中心とした機密情報の管理ができるようにしてください。

ここまで、クラウド情報漏洩対策がサイバーセキュリティのアプローチの一つであることをご紹介してきました。まずは、貴社の最重要データセットを安全に守ることから始めてください。一部の最重要データから始めることで、クラウド情報漏洩対策の導入と管理が、よりスムーズに進みます。最初のプログラムの導入に成功したら、企業内の各方面にプログラムを拡大させていくことは簡単です。